Linux Virtual Delivery Agent

Rendezvous V1

Lors de l’utilisation du service Citrix Gateway, le protocole Rendezvous permet au trafic de contourner les Citrix Cloud Connector et de se connecter directement et en toute sécurité au plan de contrôle Citrix Cloud.

Il existe deux types de trafic à prendre en compte : 1) Trafic du contrôle pour l’enregistrement du VDA et la négociation des sessions ; 2) Trafic de session HDX.

Rendezvous V1 permet au trafic de session HDX de contourner les Cloud Connector, mais il nécessite toujours que les Cloud Connector proxysent tout le trafic de contrôle pour l’enregistrement de VDA et la négociation des sessions.

Exigences

  • Accès à l’environnement à l’aide du service Citrix Workspace et Citrix Gateway.
  • Plan de contrôle : Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
  • VDA Linux version 2112 ou ultérieure.
    • La version 2112 est la version minimale requise pour les proxys HTTP non transparents.
    • La version 2204 est la version minimale requise pour les proxys transparents et SOCKS5.
  • Activez le protocole Rendezvous dans la stratégie Citrix. Pour plus d’informations, consultez la section Paramètre de stratégie de protocole Rendezvous.
  • Les VDA doivent avoir accès à https://*.nssvc.net, y compris tous les sous-domaines. Si vous ne pouvez pas mettre en liste blanche tous les sous-domaines de cette manière, utilisez plutôt https://*.c.nssvc.net et https://*.g.nssvc.net. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Virtual Apps and Desktop service) et à l’article du centre de connaissances CTX270584.
  • Les Cloud Connector doivent obtenir les noms de domaine complets des VDA lors de la négociation d’une session. Pour atteindre cet objectif, activez la résolution DNS pour le site : à l’aide du SDK Citrix DaaS Remote PowerShell, exécutez la commande Set-BrokerSite -DnsResolutionEnabled $true. Pour plus d’informations sur le SDK Citrix DaaS Remote PowerShell, reportez-vous à la section SDK et API.

Configuration du proxy

Le VDA prend en charge les connexions Rendezvous via des proxys HTTP et SOCKS5.

Considérations relatives au proxy

Prenez les points suivants en considération lors de l’utilisation de proxy avec Rendezvous :

  • Les proxys HTTP non transparents et les proxys SOCKS5 sont pris en charge.

  • Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic ICA entre le VDA et le service de passerelle ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion est interrompue.

  • Les proxies HTTP prennent en charge l’authentification basée sur une machine à l’aide de Negotiate et des protocoles d’authentification Kerberos. Lorsque vous vous connectez au serveur proxy, le schéma d’authentification Negotiate sélectionne automatiquement le protocole Kerberos. Kerberos est le seul schéma pris en charge par le Linux VDA.

    Remarque :

    Pour utiliser Kerberos, vous devez créer le nom principal de service (SPN) du serveur proxy et l’associer au compte Active Directory du proxy. Le VDA génère le SPN au format HTTP/<proxyURL> lorsqu’il établit une session, où l’URL du proxy est extraite du paramètre de stratégie proxy Rendezvous. Si vous ne créez pas de nom principal de service, l’authentification échoue.

  • L’authentification avec un proxy SOCKS5 n’est actuellement pas prise en charge. Si vous utilisez un proxy SOCKS5, configurez une exception afin que le trafic destiné aux adresses du service de passerelle (spécifié dans les exigences) puisse contourner l’authentification.
  • Seuls les proxies SOCKS5 prennent en charge le transport de données via EDT. Pour un proxy HTTP, utilisez TCP comme protocole de transport pour ICA.

Proxy transparent

Le proxy HTTP transparent est pris en charge pour Rendezvous. Si vous utilisez un proxy transparent dans votre réseau, aucune configuration supplémentaire n’est requise sur le VDA.

Proxy non transparent

Si vous utilisez un proxy non transparent sur votre réseau, configurez le paramètre Configuration du proxy Rendezvous. Lorsque le paramètre est activé, spécifiez l’adresse proxy HTTP ou SOCKS5 pour que le VDA sache quel proxy utiliser. Par exemple :

  • Adresse proxy : http://<URL or IP>:<port> ou socks5://<URL or IP>:<port>

Validation de Rendezvous

Si vous remplissez toutes les conditions requises, procédez comme suit pour confirmer si Rendezvous est utilisé :

  1. Lancez un terminal sur le VDA.
  2. Exécutez /opt/Citrix/VDA/bin/ctxquery -f iP.
  3. Les protocoles de transport utilisés indiqueront le type de connexion :
    • TCP Rendezvous: TCP - TLS - CGP - ICA
    • EDT Rendezvous : UDP - DTLS - CGP - ICA
    • Proxy via Cloud Connector : TCP - PROXY - SSL - CGP - ICA ou UDP - PROXY - DTLS - CGP - ICA

Conseil :

Si vous activez Rendezvous et que le VDA ne parvient pas à atteindre directement le service Citrix Gateway, le VDA revient au proxy de la session HDX via le Cloud Connector.

Fonctionnement de Rendezvous

Ce diagramme donne une vue d’ensemble du flux de connexion Rendezvous.

Présentation du protocole Rendezvous

Suivez les étapes pour comprendre le flux.

  1. Accédez à Citrix Workspace.
  2. Entrez les informations d’identification dans Citrix Workspace.
  3. Si vous utilisez un Active Directory local, Citrix DaaS authentifie les informations d’identification avec Active Directory à l’aide du canal Cloud Connector.
  4. Citrix Workspace affiche les ressources énumérées depuis Citrix DaaS.
  5. Sélectionnez des ressources dans Citrix Workspace. Citrix DaaS envoie un message au VDA pour préparer une session entrante.
  6. Citrix Workspace envoie un fichier ICA au point de terminaison qui contient un ticket STA généré par Citrix Cloud.
  7. Le point de terminaison se connecte au service Citrix Gateway, fournit le ticket pour se connecter au VDA et Citrix Cloud valide le ticket.
  8. Le service Citrix Gateway envoie des informations de connexion au Cloud Connector. Le Cloud Connector détermine si la connexion est une connexion Rendezvous et envoie les informations au VDA.
  9. Le VDA établit une connexion directe au service Citrix Gateway.
  10. Si une connexion directe entre le VDA et le service Citrix Gateway n’est pas possible, le VDA effectue via proxy sa connexion au Cloud Connector.
  11. Le service Citrix Gateway établit une connexion entre le point de terminaison et le VDA.
  12. Le VDA vérifie sa licence avec Citrix DaaS via Cloud Connector.
  13. Citrix DaaS envoie des stratégies de session au VDA via Cloud Connector. Ces stratégies sont appliquées.
Rendezvous V1