Citrix DaaS

HDX Direct (anteprima tecnica)

Quando si accede alle risorse fornite da Citrix, HDX Direct consente ai dispositivi client di stabilire una connessione diretta sicura con il VDA se esiste una linea di vista diretta.

Importante:

HDX Direct è attualmente disponibile in anteprima tecnica. Per inviare commenti o segnalare problemi, utilizzare questo modulo.

Requisiti

Di seguito sono riportati i requisiti per l’uso di HDX Direct:

  • Piano di controllo

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2303 o versioni successive
  • Virtual Delivery Agent (VDA)

    • Windows: versione 2303 o successiva
  • App Workspace

    • Windows: versione 2303 o successiva
  • Livello di accesso

    • Citrix Workspace
    • Citrix Gateway Service
    • NetScaler Gateway
  • Firewall

    • Macchina VDA

      • TCP 443 in entrata (ICA su TCP)
      • UDP 443 in entrata (ICA su EDT)
    • Rete

      Protocollo Porta Origine Destinazione
      TCP 443 Client VDA
      UDP 443 Client VDA

Configurazione

HDX Direct è disabilitato per impostazione predefinita. È possibile configurare questa funzionalità utilizzando l’impostazione HDX Direct nei criteri Citrix.

  • Allowed (Consentito): HDX Direct è abilitato e tenta di stabilire una connessione diretta all’host della sessione quando è connessa una sessione.
  • Prohibited (Vietato): impostazione predefinita. HDX Direct è disabilitato e impedisce al client di tentare di connettersi direttamente all’host della sessione quando è connesso tramite un gateway.

Per confermare che HDX Direct ha stabilito correttamente una connessione diretta, utilizzare l’utilità CtxSession.exe sulla macchina VDA.

Per utilizzare l’utilità CtxSession.exe, avviare un prompt dei comandi o PowerShell all’interno della sessione ed eseguire ctxsession.exe -v. Se è stata correttamente stabilita una connessione HDX Direct, verrà visualizzato quanto segue:

  • Protocollo di trasporto

    • UDP > DTLS > CGP > ICA (se si utilizza EDT)
    • TCP > SSL > CGP > ICA (se si utilizza TCP)
  • L’indirizzo remoto e l’indirizzo del client sono gli stessi

    Indirizzo remoto e client di HDX Direct

Considerazioni

Di seguito sono riportate considerazioni sull’utilizzo di HDX Direct:

  • Quando si utilizzano macchine non persistenti per app e desktop virtuali, non abilitare HDX Direct nell’immagine master/modello per evitare di generare certificati per la macchina virtuale (VM) master.

Come funziona

HDX Direct consente ai client di stabilire una connessione diretta con l’host della sessione quando è disponibile una comunicazione diretta. Quando le connessioni dirette vengono effettuate utilizzando HDX Direct, viene utilizzata la crittografia a livello di rete (TLS/DTLS) per proteggerle, sfruttando certificati autofirmati.

Esistono tre fasi che coprono diverse parti della funzionalità: pre-avvio, avvio e post-avvio.

Fase di pre-avvio

Questa è la fase iniziale, che riguarda la creazione e la gestione dei certificati. Queste attività sono gestite dai seguenti servizi sulla macchina VDA, entrambi impostati per essere eseguiti automaticamente all’avvio della macchina:

  • Servizio Citrix ClxMtp: responsabile della generazione e della rotazione dei certificati CA.
  • Citrix Certificate Manager Service: responsabile della generazione e della gestione del certificato CA root autofirmato, delle chiavi dei certificati della macchina e dei certificati della macchina.

Di seguito è riportata una panoramica del processo di gestione dei certificati:

  1. I servizi vengono avviati all’avvio della macchina.
  2. Il servizio Citrix ClxMtp crea le chiavi se non ne è già stata creata alcuna.
  3. Il servizio Citrix Certificate Manager verifica se HDX Direct è abilitato. In caso contrario, il servizio si interrompe da solo.
  4. Se HDX Direct è abilitato, Citrix Certificate Manager Service verifica se esiste un certificato CA root autofirmato. In caso contrario, viene creato un certificato root autofirmato.
  5. Una volta disponibile un certificato CA root, il servizio Citrix Certificate Manager verifica se esiste un certificato macchina autofirmato. In caso contrario, il servizio genera le chiavi e crea un nuovo certificato utilizzando il nome di dominio completo della macchina.
  6. Se esiste un certificato della macchina creato dal servizio Citrix Certificate Manager e il nome dell’oggetto non corrisponde al FQDN della macchina, viene generato un nuovo certificato.

Nota:

Il servizio Citrix Certificate Manager genera certificati RSA che sfruttano chiavi a 2048 bit.

Fase di avvio

Per riuscire a stabilire una connessione HDX Direct sicura, il client deve considerare attendibili i certificati utilizzati per proteggere la sessione. Per ottenere questo risultato, il VDA invia al Broker le informazioni sul certificato durante l’intermediazione di una sessione. Successivamente, il Broker invia queste informazioni a Workspace per includerle nel file ICA inviato al client per avviare la sessione.

Fase post-avvio

Una volta che una sessione è stata mediata con successo, la sessione viene avviata. Di seguito è riportata una panoramica del processo di connessione di HDX Direct:

Processo di connessione di HDX Direct

  1. Il client stabilisce una connessione con il VDA tramite il servizio Gateway.
  2. Dopo una connessione riuscita, il VDA invia al client il nome di dominio completo della macchina VDA e un elenco dei relativi indirizzi IP.
  3. Il client analizza gli indirizzi IP per verificare se può raggiungere direttamente il VDA.
  4. Se è in grado di raggiungere il VDA direttamente con uno qualsiasi degli indirizzi IP condivisi, il client stabilisce una connessione diretta sicura con il VDA.
  5. Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al servizio gateway termina.

Problemi noti

Di seguito sono riportati i problemi noti relativi a HDX Direct:

  • La connessione HDX Direct potrebbe non riuscire quando Rendezvous è disabilitato.
  • La connessione HDX Direct potrebbe non riuscire quando si avviano sessioni da un sito Citrix Virtual Apps and Desktops 2303 locale.
  • L’app Workspace potrebbe bloccarsi se il VDA è in esecuzione su Windows 11.
HDX Direct (anteprima tecnica)