Citrix Virtual Apps and Desktops

HDX Direct (Technical Preview)

Lors de l’accès aux ressources fournies par Citrix, HDX Direct permet aux périphériques clients internes et externes d’établir une connexion directe sécurisée avec l’hôte de la session si une communication directe est possible.

Important :

HDX Direct est actuellement disponible en version Technical Preview. Cette fonctionnalité est fournie sans support et n’est pas encore recommandée pour une utilisation dans les environnements de production. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.

Configuration système requise

Configuration système requise pour utiliser HDX Direct :

  • Plan de contrôle

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops version 2.3.1.1 ou ultérieure
  • Virtual Delivery Agent (VDA)

    • Windows : version 2311 ou ultérieure
  • Application Workspace

    • Windows : version 2311 ou ultérieure
  • Niveau d’accès

    • Citrix Workspace avec Citrix Gateway Service
    • Citrix Workspace avec NetScaler Gateway
  • Autre

    • Le transport adaptatif doit être activé pour les connexions directes externes

Configuration réseau requise

La configuration réseau requise pour utiliser HDX Direct est la suivante :

Hôtes de sessions

Si vos hôtes de session disposent d’un pare-feu tel que le pare-feu Windows Defender, vous devez autoriser le trafic entrant suivant pour les connexions internes.

Description Source Protocole Port
Connexion interne directe Client TCP 443
Connexion interne directe Client UDP 443

Remarque :

Le programme d’installation du VDA ajoute les règles entrantes appropriées au pare-feu Windows Defender. Si vous utilisez un autre pare-feu, vous devez ajouter les règles ci-dessus.

Réseau client

Le tableau suivant décrit le réseau client pour les utilisateurs internes et externes.

Utilisateurs internes

Description Protocole Source Port source Destination Port de destination
Connexion interne directe TCP Réseau client 1024–65535 Réseau VDA 443
Connexion interne directe UDP Réseau client 1024–65535 Réseau VDA 443

Utilisateurs externes

Description Protocole Source Port source Destination Port de destination
STUN (utilisateurs externes uniquement) UDP Réseau client 1024–65535 Internet (voir remarque ci-dessous) 3478, 19302
Connexion utilisateur externe UDP Réseau client 1024–65535 Adresse IP publique du centre de données 1024–65535

Réseau de centres de données

Le tableau suivant décrit le réseau du centre de données pour les utilisateurs internes et externes.

Utilisateurs internes

Description Protocole Source Port source Destination Port de destination
Connexion interne directe TCP Réseau client 1024–65535 Réseau VDA 443
Connexion interne directe UDP Réseau client 1024–65535 Réseau VDA 443

Utilisateurs externes

Description Protocole Source Port source Destination Port de destination
STUN (utilisateurs externes uniquement) UDP Réseau VDA 1024–65535 Internet (voir remarque ci-dessous) 3478, 19302
Connexion utilisateur externe UDP DMZ/Réseau interne 1024–65535 Réseau VDA 55000–55250
Connexion utilisateur externe UDP Réseau VDA 55000–55250 IP publique du client 1024–65535

Remarque :

Le VDA et l’application Workspace tentent d’envoyer des requêtes STUN aux serveurs suivants dans le même ordre :

  • stunserver.stunprotocol.org:3478
  • employees.org:3478
  • stun.l.google.com:19302

Si vous modifiez la plage de ports par défaut pour les connexions utilisateur externes à l’aide du paramètre de stratégie Plage de ports HDX Direct, les règles de pare-feu correspondantes doivent correspondre à votre plage de ports personnalisée.

Configuration

HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.

  • HDX Direct : permet d’activer ou de désactiver une fonctionnalité.
  • Mode HDX Direct : détermine si HDX Direct est disponible pour les clients internes uniquement ou pour les clients internes et externes.
  • Plage de ports HDX Direct : définit la plage de ports que le VDA utilise pour les connexions provenant de clients externes.

Considérations

Les points suivants sont à prendre en compte lors de l’utilisation de HDX Direct :

  • HDX Direct pour les utilisateurs externes est uniquement disponible avec EDT (UDP) comme protocole de transport. Le transport adaptatif doit donc être activé.
  • Si vous utilisez HDX Insight, notez que l’utilisation de HDX Direct empêche la collecte de données HDX Insight, car la session ne serait plus transmise par proxy via NetScaler Gateway.
  • Lorsque vous utilisez des machines non persistantes pour vos applications et bureaux virtuels, Citrix recommande d’activer HDX Direct sur les hôtes de session plutôt que dans l’image maître/modèle afin que chaque machine génère ses propres certificats.
  • L’utilisation de vos propres certificats avec HDX Direct n’est actuellement pas prise en charge.

Fonctionnement

HDX Direct permet aux clients d’établir une connexion directe avec l’hôte de session lorsqu’une communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, des certificats auto-signés sont utilisés pour sécuriser la connexion directe à l’aide du cryptage au niveau du réseau (TLS/DTLS).

Utilisateurs internes

Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct des utilisateurs internes.

Présentation de HDX Direct

  1. Le client établit une session HDX via Gateway Service.
  2. Une fois la connexion établie, le VDA envoie au client le nom de domaine complet de la machine VDA, une liste de ses adresses IP et le certificat de la machine VDA via la connexion HDX.
  3. Le client analyse les adresses IP pour voir s’il peut accéder directement au VDA.
  4. Si le client peut accéder directement au VDA avec l’une des adresses IP partagées, il établit une connexion directe avec le VDA, sécurisée par (D)TLS à l’aide d’un certificat correspondant à celui échangé à l’étape (2).
  5. Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.

Remarque :

Après avoir établi la connexion à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’entravent pas la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.

Utilisateurs externes

Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct pour les utilisateurs externes :

Processus de connexion HDX Direct

  1. Le client établit une session HDX via Gateway Service.
  2. Une fois la connexion établie, le client et le VDA envoient une requête STUN pour découvrir leurs adresses IP et ports publics.
  3. Le serveur STUN répond au client et au VDA avec leurs adresses IP et ports publics correspondants.
  4. Par le biais de la connexion HDX, le client et le VDA échangent leurs adresses IP publiques et leurs ports UDP, et le VDA envoie son certificat au client.
  5. Le VDA envoie des paquets UDP à l’adresse IP publique et au port UDP du client. Le client envoie des paquets UDP à l’adresse IP publique et au port UDP du VDA.
  6. À la réception d’un message du VDA, le client répond par une demande de connexion sécurisée.
  7. Lors de la prise de contact DTLS, le client vérifie que le certificat correspond au certificat échangé à l’étape (4). Après validation, le client envoie son jeton d’autorisation. Une connexion directe sécurisée est désormais établie.
  8. Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.

Remarque :

Après avoir établi la connexion à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’entravent pas la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.

Gestion des certificats

Hôte de la session

Les deux services suivants de la machine VDA gèrent la création et la gestion des certificats, tous deux configurés pour s’exécuter automatiquement au démarrage de la machine :

  • Service Citrix ClxMtp : responsable de la génération et de la rotation des clés de certificats CA.
  • Service Citrix Certificate Manager : responsable de la génération et de la gestion du certificat CA racine autosigné et des certificats de machine.

Les étapes suivantes décrivent le processus de gestion des certificats :

  1. Les services sont lancés au démarrage de la machine.
  2. Citrix ClxMtp Service crée des clés si aucune n’a encore été créée.
  3. Le service Citrix Certificate Manager vérifie si HDX Direct est activé. Dans le cas contraire, le service s’arrête de lui-même.
  4. Si HDX Direct est activé, le service Citrix Certificate Manager vérifie si un certificat CA racine autosigné existe. Dans le cas contraire, un certificat racine autosigné est créé.
  5. Une fois qu’un certificat d’autorité de certification racine est disponible, le service Citrix Certificate Manager vérifie s’il existe un certificat de machine autosigné. Dans le cas contraire, le service génère des clés et crée un nouveau certificat à l’aide du nom de domaine complet de la machine.
  6. Si un certificat de machine existant a été créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au nom de domaine complet de la machine, un nouveau certificat est généré.

Remarque :

Le service Citrix Certificate Manager génère des certificats RSA qui exploitent des clés de 2 048 bits.

Machine cliente

Pour établir une connexion HDX Direct sécurisée, le client doit faire confiance aux certificats utilisés pour sécuriser la session. Pour faciliter cela, le client reçoit le certificat CA pour la session via le fichier ICA (fourni par Workspace). Il n’est donc pas nécessaire de distribuer des certificats CA aux magasins de certificats des appareils clients.

HDX Direct (Technical Preview)