Service Citrix Gateway pour proxy HDX

Le service Citrix Gateway pour le proxy HDX fournit aux utilisateurs un accès distant sécurisé à Citrix Virtual Apps and Desktops sans avoir à déployer Citrix Gateway dans la DMZ locale ou à reconfigurer les pare-feu. Citrix héberge la totalité des frais d’infrastructure liés à la gestion de l’accès à distance dans le cloud.

Sur site vs. Cloud

Sur site

Citrix Virtual Apps and Desktops a bien servi les entreprises depuis des décennies, mais elles ont des exigences supplémentaires pour fournir un accès à distance, notamment :

  • Implémentation et maintenance de plusieurs sites à des fins de redondance
  • Implémentation et tenue à jour des adresses IP publiques
  • Implémentation et maintenance des périphériques réseau
  • Mise en œuvre et mise à jour des règles de pare-feu

Sur site

Cloud

Grâce au service Citrix Cloud et Citrix Gateway, les entreprises peuvent désormais fournir un accès distant à Citrix Virtual Apps and Desktops sans ces exigences supplémentaires ainsi que d’autres avantages :

  • Plusieurs sites sont implémentés et maintenus à l’échelle mondiale par Citrix
  • Les adresses IP publiques sont implémentées et maintenues par Citrix
  • Sécurité avancée Citrix Cloud avec Citrix Analytics
  • Le DNS prédictif offre une meilleure expérience utilisateur
  • Aucune modification de l’environnement des applications virtuelles et des postes de travail n’est requise
  • Les certificats sont implémentés et gérés par Citrix
  • L’évolutivité élastique et la haute disponibilité sont fournies et gérées par Citrix
  • Les entreprises paient à mesure qu’elles croissent et réduisent leurs dépenses d’exploitation
  • Intégration plus rapide pour les nouveaux clients

Cloud

Citrix Cloud Services

Citrix Workspace

Citrix Workspace regroupe toutes les ressources utilisateur dans une interface unique et personnalisée à l’aide d’un navigateur local installé localementApplication Workspace(bureau et mobile) ou d’un navigateur local. Citrix Workspace communique avec le contrôleur Citrix Virtual Apps and Desktops via un Citrix Cloud Connector.

Citrix Cloud Connector

Citrix Cloud Connector s’exécute sur des instances Windows Server hébergées dans des emplacements de ressources et crée un proxy inverse pour acheminer le trafic entre le ou les sites et Citrix Cloud. Il fournit une connectivité entre Citrix Cloud et les emplacements de ressources. Il inclut également l’accès à Active Directory et la distribution du trafic de canal de contrôle entre les contrôleurs Citrix Workspace et Citrix Virtual Apps and Desktops. Cloud Connector crée également une connexion à partir de l’emplacement de ressource vers le POP Citrix le plus proche pour établir un canal de données initial.

Service Citrix Gateway

Le service Citrix Gateway fait partie des services Citrix Cloud pour fournir un accès distant sécurisé. Il a été développé depuis plus d’une décennie, tout en étant utilisé par les plus grandes entreprises du monde. Il s’appuie sur Citrix Optimal Gateway Routing pour diriger les clients vers le service POP Citrix Gateway le plus proche. À partir de là, il coordonne la connectivité sécurisée entre les clients Citrix Workspace et les ressources de virtualisation afin de proposer des sessions avec la plus faible latence et la meilleure expérience utilisateur possible.

Protocole Rendezvous

Chaque Cloud Connector prend en charge une limite de 1 000 sessions simultanées, et tout en ajoutant plus de connecteurs augmente la capacité Citrix fournit une solution plus efficace pour l’évolutivité. Protocole Rendezvous permet de configurer des sessions HDX, via un transport TLS sécurisé, directement à partir du Virtual Delivery Agent (VDA) vers le service Citrix Gateway sans passer d’abord par le Cloud Connector. Il est disponible dans Citrix Virtual Apps and Desktops version 1912+ et peut être activé via un paramètre de stratégie Citrix. Si le protocole Rendezvous est activé et qu’il ne parvient pas à atteindre le Gateway Service pour quelque raison que ce soit, il revient au trafic proxy via Cloud Connector.

Résilience

Le service Citrix Gateway fonctionne dans plusieurs POP. Si, pour une raison quelconque, un POP tombe en panne ou que la connectivité est dégradée au-delà des seuils, Citrix Optimal Gateway Routing répond aux requêtes DNS suivantes avec l’adresse IP publique du POP suivant le plus proche. (L’application Workspace et le contrôleur Citrix Virtual Apps and Desktops lancent des tentatives et des délais d’attente en fonction de la sessionconnexion/fr-fr/citrix-virtual-apps-desktops/manage-deployment/connections.html[()]etminuteur[]/fr-fr/citrix-virtual-apps-desktops/policies/reference/ica-policy-settings/session-limits-policy-settings.htmlparamètres.)

  • Chaque POP est configuré pour la haute disponibilité
  • Quatre 9 s de fiabilité
  • 20 POP mondiaux

Points de présence mondiaux Citrix

Déploiement

Configuration initiale

La transition de l’accès de votre passerelle locale vers le service Citrix Gateway commence par la créationvotre environnement Citrix Cloud. Ensuite, vous vous connectez à votre environnement à partir d’instances Windows Server, avec accès réseau à vos contrôleurs Citrix Virtual Apps and Desktops. Ensuite, vous pouvez installer Citrix Cloud Connectors fournir une connectivité à Citrix Cloud. Cloud Connector

Configuration initiale

Une fois les Citrix Cloud Connector installés et installés à votre emplacement de ressources, Citrix Workspace peut être configuré dans Citrix Cloud. Après avoir spécifié si l’authentification se produit à l’aide d’Active Directory (AD) ou Azure Active Directory (AAD), et l’implémentation des personnalisations souhaitées pour l’application Workspace, Gateway et Citrix Virtual Apps and Desktops Sites sur site doivent être activés sous Intégrations de service. Ensuite, le site peut être ajouté et configuré. La configuration du site inclut : spécifier si le contrôleur est avant ou après la version 6.5, spécifier le nom de domaine complet du contrôleur hébergé dans votre emplacement de ressources, vérifier le domaine identifié par l’installation de Citrix Cloud Connector et spécifier que le Gateway Service est utilisé pour la connectivité. Configuration de l'espace de travail

Déploiement initial

Une fois Citrix Workspace configuré dans Citrix Cloud, le nouveau nom de domaine complet peut être ajouté à l’application Workspace. Les utilisateurs peuvent se connecter avec les mêmes informations d’identification AD qu’ils utiliseraient avec Citrix Gateway local et avoir les mêmes applications et bureaux énumérés. Application Workspace

Considérations de déploiement

Lorsqu’un utilisateur lance une application dans l’application Workspace, une requête DNS pour un nom de domaine complet hébergé sur Citrix Gateways est relayée vers le serveur de noms DNS local du point de terminaison. Il le relaie généralement à un serveur de noms DNS ISP qui fait une requête récursive. Comme le serveur de noms faisant autorité, Citrix Gateway Service renvoie l’adresse IP publique du POP le plus proche en fonction de l’emplacement de l’adresse IP du ou des serveurs de noms des fournisseurs de services Internet qui ont fait la requête récursive. Il est donc essentiel que le serveur de noms soit à proximité du point de terminaison. Dans le cas contraire, les sessions peuvent présenter des problèmes de performance.

Proxy Web/SSL

Il est recommandé d’exclure les noms complets de service de passerelle de tout filtrage DNS et inspection du trafic (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

Les proxies peuvent provoquer les problèmes suivants :

  • Randomiser l’adresse IP source DNS, ce qui conduit à diriger les utilisateurs vers un POP sous-optimal
  • Ajouter la latence aux connexions qui sont dirigées vers le mauvais POP (100ms+, avec gigue excessive)
  • L’inspection TLS rompt le service de passerelle car il ne prend pas en charge l’interception TLS

Pour l’implémenter avec Zscaler :

  • Mettez à jour votre ZPA pour contourner certaines applications
  • Sous Edit Application Segment Saisissez des entrées d’application pour les noms complets du service de passerelle (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    Pour plus d’informations, voir ZPA — Configuration des paramètres de contournement

VPN

Il est recommandé pour les VPN d’implémenter la répartition locale pour les domaines Gateway Service (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  • Activez le fractionnement tunnel, de sorte que le client VPN envoie uniquement le trafic destiné aux réseaux internes protégés par le tunnel VPN
  • Le trafic destiné au Citrix Gateway Service serait envoyé directement via leur Internet local, plutôt que d’être rétroacheminé via le tunnel VPN et le réseau interne

Pour l’implémenter avec Citrix Gateway VPN, apportez les modifications suivantes :

  • Activer le tunneling de broche sous l’onglet Expérience client de stratégie de session VPN en définissant le champ « Fractionnement du tunnel » sur « ON »
  • Configurer des entrées d’application intranet transparentes avec les plages d’adresses IP réseau interne
  • Sous l’onglet Expérience client, paramètre avancé, assurez-vous que « Split DNS » est défini sur Local. Configurez également la liste des suffixe DNS sous Gestion du trafic > DNS > Suffixe DNS. Les requêtes correspondantes seront transmises à la passerelle, tandis que d’autres seront transmises au DNS local

    Pour plus d’informations, voir configuration de tunneling fractionné dans une configuration VPN complète sur Citrix Gateway

Facilité de gestion

Le service Citrix Gateway simplifie les exigences relatives à l’accès aux Virtual Apps and Desktops locaux et réduit ainsi l’infrastructure nécessaire et les frais opérationnels nécessaires à sa maintenance. La nécessité de maintenir des passerelles avec des certificats SSL et des adresses IP publiques dans plusieurs POP est éliminée. Les administrateurs peuvent ensuite se concentrer davantage sur la gestion de leurs propres priorités en matière de services informatiques.

  • Surveillance et maintenance 24x7j/7 par des experts Citrix Cloud
  • Offrez un espace de travail unifié plus rapidement avec le personnel informatique existant
  • Réduire le besoin de compétences informatiques spécialisées

Citrix Cloud Operations

Connectivité de session

Un utilisateur sélectionne une application virtuelle ou un bureau, à partir de son espace de travail, et son point de terminaison reçoit un ticket de lancement. Il est dirigé pour se connecter au service Citrix Gateway qui, à son tour, contacte le VDA. S’il est configuré pour utiliser le protocole Rendezvous, le VDA établit une connexion TLS directement au POP du service Citrix Gateway demandeur, sinon il utilise Cloud Connector. Ensuite, le service Citrix Gateway établit la session entre le point de terminaison et le VDA.

  • Les sessions sont liées via le service Citrix Gateway sur les réseaux réseau réseau des partenaires de cloud
  • VDA et points de terminaison Workspace rendez-vous au service Citrix Gateway POP le plus proche de l’utilisateur
  • Séances de haute qualité

Service Citrix Gateway et proxy HDX : flux de trafic

Service Citrix Gateway pour proxy HDX