HDX™ Direct

Lors de l’accès aux ressources fournies par Citrix, HDX Direct permet aux périphériques clients internes et externes d’établir une connexion directe sécurisée avec l’hôte de session si une communication directe est possible.

Configuration système requise

Voici la configuration système requise pour utiliser HDX Direct :

• Plan de contrôle

  • Citrix DaaS™
  • Citrix Virtual Apps and Desktops™ 2503 ou version ultérieure

• Virtual Delivery Agent (VDA)

  • Windows : version 2503 ou ultérieure

• application Workspace

  • Windows : version 2503 ou ultérieure
  • Linux : version 2411 ou ultérieure
  • Mac : version 2411 ou ultérieure

• Niveau d’accès

  • Citrix Workspace™
  • Citrix Storefront™ 2503 ou version ultérieure
  • Citrix Gateway Service
  • Citrix NetScaler® Gateway

Configuration réseau requise

Voici la configuration réseau requise pour l’utilisation de HDX Direct.

Hôtes de session

Si vos hôtes de session disposent d’un pare-feu tel que le Pare-feu Windows Defender, vous devez autoriser le trafic entrant suivant pour les connexions internes.

Remarque :

L’installateur VDA ajoute les règles entrantes appropriées au pare-feu Windows Defender. Si vous utilisez un pare-feu différent, vous devez ajouter les règles ci-dessus.

Réseau client

Le tableau suivant décrit le réseau client pour les utilisateurs internes et externes.

Utilisateurs internes

Utilisateurs externes

Réseau du centre de données

Le tableau suivant décrit le réseau du centre de données pour les utilisateurs internes et externes.

Utilisateurs internes

Utilisateurs externes

REMARQUE :

Le VDA et l’application Workspace tentent tous deux d’envoyer des requêtes STUN aux serveurs suivants, dans le même ordre :

• stun.cloud.com:3478
• stun.cloudflare.com:3478
• stun.l.google.com:19302

Si vous modifiez la plage de ports par défaut pour les connexions utilisateur externes à l’aide du paramètre de stratégie Plage de ports HDX Direct, les règles de pare-feu correspondantes doivent correspondre à votre plage de ports personnalisée.

Configuration

HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.

• HDX Direct : Pour activer ou désactiver une fonctionnalité.
• Mode HDX Direct : Détermine si HDX Direct est disponible uniquement pour les clients internes ou pour les clients internes et externes.
• Plage de ports HDX Direct : Définit la plage de ports que le VDA utilise pour les connexions provenant de clients externes.

Si nécessaire, la liste des serveurs STUN utilisés par HDX Direct peut être modifiée en éditant la valeur de registre suivante :

• Clé : HKLM\SOFTWARE\Citrix\HDX-Direct
• Type de valeur : REG_MULTI_SZ
• Nom de la valeur : STUNServers
• Données : stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302

REMARQUE :

HDX Direct pour les utilisateurs externes est uniquement disponible avec EDT (UDP) comme protocole de transport. Par conséquent, le transport adaptatif doit être activé.

Considérations

Voici les considérations relatives à l’utilisation de HDX Direct :

• HDX Direct pour les utilisateurs externes est uniquement disponible avec EDT (UDP) comme protocole de transport. Par conséquent, le transport adaptatif doit être activé.
• Si vous utilisez HDX Insight, notez que l’utilisation de HDX Direct empêche la collecte de données HDX Insight, car la session ne serait plus acheminée via NetScaler Gateway.

Fonctionnement

HDX Direct permet aux clients d’établir une connexion directe à l’hôte de session lorsqu’une communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, des certificats auto-signés sont utilisés pour sécuriser la connexion directe avec un chiffrement au niveau du réseau (TLS/DTLS).

Utilisateurs internes

Le diagramme suivant présente un aperçu du processus de connexion HDX Direct des utilisateurs internes.

1. Le client établit une session HDX via le service Gateway.
2. Lors d’une connexion réussie, le VDA envoie au client le FQDN de la machine VDA, une liste de ses adresses IP et le certificat de la machine VDA via la connexion HDX.
3. Le client sonde les adresses IP pour voir s’il peut atteindre le VDA directement.
4. Si le client peut atteindre le VDA directement avec l’une des adresses IP partagées, le client établit une connexion directe avec le VDA, sécurisée avec (D)TLS à l’aide d’un certificat correspondant à celui échangé à l’étape (2).
5. Une fois la connexion directe établie avec succès, la session est transférée vers la nouvelle connexion, et la connexion au service Gateway est terminée.

Remarque :

Après avoir établi la connexion à l’étape 2, ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’interfèrent avec la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via la passerelle est maintenue sans interrompre la session de l’utilisateur.

Connexions directes traditionnelles

Lors de l’utilisation de Storefront, de Workspace avec Direct Workload Connection, ou de Workspace configuré pour une connectivité interne uniquement, des connexions directes sont établies entre le client et l’hôte de session sans qu’il soit nécessaire de passer d’abord par une passerelle.

Dans ces cas, HDX Direct n’est pas déclenché car les connexions sont intrinsèquement directes. Cependant, si HDX Direct est activé, ces connexions utiliseront les certificats HDX Direct pour sécuriser les sessions.

Utilisateurs externes

Le diagramme suivant présente un aperçu du processus de connexion HDX Direct pour les utilisateurs externes :

1. Le client établit une session HDX via le service Gateway.
2. Lors d’une connexion réussie, le client et le VDA envoient une requête STUN pour découvrir leurs adresses IP publiques et leurs ports.
3. Le serveur STUN répond au client et au VDA avec leurs adresses IP publiques et leurs ports correspondantes.
4. Par la connexion HDX, le client et le VDA échangent leurs adresses IP publiques et leurs ports UDP, et le VDA envoie son certificat au client.
5. Le VDA envoie des paquets UDP à l’adresse IP publique et au port UDP du client. Le client envoie des paquets UDP à l’adresse IP publique et au port UDP du VDA.
6. Dès réception d’un message du VDA, le client répond par une demande de connexion sécurisée.
7. Pendant l’établissement de la liaison DTLS, le client vérifie que le certificat correspond à celui échangé à l’étape (4). Après validation, le client envoie son jeton d’autorisation. Une connexion directe sécurisée est maintenant établie.
8. Une fois la connexion directe établie avec succès, la session est transférée vers la nouvelle connexion, et la connexion au service Gateway est terminée.

Remarque :

Après avoir établi la connexion à l’étape 2, ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’interfèrent avec la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via la passerelle est maintenue sans interrompre la session de l’utilisateur.