HDX™ Direct (Anteprima)
Quando si accede alle risorse fornite da Citrix, HDX Direct consente ai dispositivi client sia interni che esterni di stabilire una connessione diretta sicura con l’host di sessione se la comunicazione diretta è possibile.
Importante:
HDX Direct è attualmente in anteprima. Questa funzionalità è fornita senza supporto e non è ancora consigliata per l’uso in ambienti di produzione. Per inviare feedback o segnalare problemi, utilizzare questo modulo.
Requisiti di sistema
Di seguito sono riportati i requisiti di sistema per l’utilizzo di HDX Direct:
-
Piano di controllo
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 o versioni successive
-
Virtual Delivery Agent (VDA)
- Windows: versione 2311 o versioni successive
-
app Workspace
- Windows: versione 2311 o versioni successive
-
Livello di accesso
- Citrix Workspace™ con Citrix Gateway Service
- Citrix Workspace con NetScaler® Gateway
-
Altro
- Il trasporto adattivo deve essere abilitato per le connessioni dirette esterne
Requisiti di rete
Di seguito sono riportati i requisiti di rete per l’utilizzo di HDX Direct.
Host di sessione
Se gli host di sessione dispongono di un firewall come Windows Defender Firewall, è necessario consentire il seguente traffico in entrata per le connessioni interne.
| Descrizione | Origine | Protocollo | Porta |
|---|---|---|---|
| Connessione interna diretta | Client | TCP | 443 |
| Connessione interna diretta | Client | UDP | 443 |
Nota:
Il programma di installazione VDA aggiunge le regole in entrata appropriate a Windows Defender Firewall. Se si utilizza un firewall diverso, è necessario aggiungere le regole di cui sopra.
Rete client
La seguente tabella descrive la rete client per gli utenti interni ed esterni.
Utenti interni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| Connessione interna diretta | TCP | Rete client | 1024–65535 | Rete VDA | 443 |
| Connessione interna diretta | UDP | Rete client | 1024–65535 | Rete VDA | 443 |
Utenti esterni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| STUN (solo utenti esterni) | UDP | Rete client | 1024–65535 | Internet (vedere la nota seguente) | 3478, 19302 |
| Connessione utente esterno | UDP | Rete client | 1024–65535 | Indirizzo IP pubblico del data center | 1024–65535 |
Rete del data center
La seguente tabella descrive la rete del data center per gli utenti interni ed esterni.
Utenti interni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| Connessione interna diretta | TCP | Rete client | 1024–65535 | Rete VDA | 443 |
| Connessione interna diretta | UDP | Rete client | 1024–65535 | Rete VDA | 443 |
Utenti esterni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| STUN (solo utenti esterni) | UDP | Rete VDA | 1024–65535 | Internet (vedere la nota seguente) | 3478, 19302 |
| Connessione utente esterna | UDP | DMZ / Rete interna | 1024–65535 | Rete VDA | 55000–55250 |
| Connessione utente esterna | UDP | Rete VDA | 55000–55250 | IP pubblico del client | 1024–65535 |
Nota:
Sia il VDA che l’app Workspace tentano di inviare richieste STUN ai seguenti server nello stesso ordine:
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
Se si modifica l’intervallo di porte predefinito per le connessioni utente esterne utilizzando l’impostazione dei criteri Intervallo di porte HDX Direct, le regole del firewall corrispondenti devono corrispondere all’intervallo di porte personalizzato.
Configurazione
HDX Direct è disabilitato per impostazione predefinita. È possibile configurare questa funzionalità utilizzando l’impostazione HDX Direct nei criteri Citrix.
- HDX Direct: Per abilitare o disabilitare una funzionalità.
- Modalità HDX Direct: Determina se HDX Direct è disponibile solo per i client interni o per entrambi i client interni ed esterni.
- Intervallo di porte HDX Direct: Definisce l’intervallo di porte che il VDA utilizza per le connessioni da client esterni.
Considerazioni
Di seguito sono riportate le considerazioni per l’utilizzo di HDX Direct:
- HDX Direct per gli utenti esterni è disponibile solo con EDT (UDP) come protocollo di trasporto. Pertanto, Adaptive Transport deve essere abilitato.
- Se si utilizza HDX Insight, si noti che l’uso di HDX Direct impedisce la raccolta dei dati di HDX Insight, poiché la sessione non verrebbe più instradata tramite NetScaler Gateway.
- Quando si utilizzano macchine non persistenti per le proprie app e desktop virtuali, Citrix consiglia di abilitare HDX Direct sugli host di sessione anziché nell’immagine master/modello, in modo che ogni macchina generi i propri certificati.
- L’utilizzo dei propri certificati con HDX Direct non è attualmente supportato.
Come funziona
HDX Direct consente ai client di stabilire una connessione diretta all’host di sessione quando la comunicazione diretta è disponibile. Quando le connessioni dirette vengono stabilite utilizzando HDX Direct, vengono utilizzati certificati autofirmati per proteggere la connessione diretta con crittografia a livello di rete (TLS/DTLS).
Utenti interni
Il seguente diagramma illustra la panoramica del processo di connessione HDX Direct per gli utenti interni.
- Il client stabilisce una sessione HDX tramite il Gateway Service.
- Dopo una connessione riuscita, il VDA invia al client il FQDN della macchina VDA, un elenco dei suoi indirizzi IP e il certificato della macchina VDA tramite la connessione HDX.
- Il client sonda gli indirizzi IP per verificare se può raggiungere direttamente il VDA.
- Se il client può raggiungere direttamente il VDA con uno qualsiasi degli indirizzi IP condivisi, il client stabilisce una connessione diretta con il VDA, protetta con (D)TLS utilizzando un certificato che corrisponde a quello scambiato nel passaggio (2).
- Una volta stabilita con successo la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al Gateway Service viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, sopra, la sessione è attiva. I passaggi successivi non ritardano né interferiscono con la capacità dell’utente di utilizzare l’applicazione o il desktop virtuale. Se uno qualsiasi dei passaggi successivi fallisce, la connessione tramite il Gateway viene mantenuta senza interrompere la sessione dell’utente.
Utenti esterni
Il seguente diagramma illustra la panoramica del processo di connessione HDX Direct per gli utenti esterni:
- Il client stabilisce una sessione HDX tramite il Gateway Service.
- Dopo una connessione riuscita, sia il client che il VDA inviano una richiesta STUN per scoprire i loro indirizzi IP pubblici e le porte.
- Il server STUN risponde al client e al VDA con i loro indirizzi IP pubblici e le porte corrispondenti.
- Tramite la connessione HDX, il client e il VDA si scambiano i loro indirizzi IP pubblici e le porte UDP, e il VDA invia il suo certificato al client.
- Il VDA invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del client. Il client invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del VDA.
- Alla ricezione di un messaggio dal VDA, il client risponde con una richiesta di connessione sicura.
- Durante l’handshake DTLS, il client verifica che il certificato corrisponda al certificato scambiato nel passaggio (4). Dopo la convalida, il client invia il suo token di autorizzazione. Una connessione diretta sicura è ora stabilita.
- Una volta stabilita con successo la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al Gateway Service viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, sopra, la sessione è attiva. I passaggi successivi non ritardano né interferiscono con la capacità dell’utente di utilizzare l’applicazione o il desktop virtuale. Se uno qualsiasi dei passaggi successivi fallisce, la connessione tramite il Gateway viene mantenuta senza interrompere la sessione dell’utente.
Gestione dei certificati
Host di sessione
I seguenti due servizi sulla macchina VDA gestiscono la creazione e la gestione dei certificati, entrambi impostati per essere eseguiti automaticamente all’avvio della macchina:
- Citrix ClxMtp Service: Responsabile della generazione e rotazione delle chiavi dei certificati CA.
- Citrix Certificate Manager Service: Responsabile della generazione e gestione del certificato CA radice autofirmato e dei certificati della macchina.
I seguenti passaggi descrivono il processo di gestione dei certificati:
- I servizi si avviano all’avvio della macchina.
-
Citrix ClxMtp Servicecrea le chiavi se non ne è stata creata alcuna in precedenza. - Citrix Certificate Manager Service verifica se HDX Direct è abilitato. In caso contrario, il servizio si arresta.
- Se HDX Direct è abilitato, il Citrix Certificate Manager Service verifica se esiste un certificato CA radice autofirmato. In caso contrario, viene creato un certificato radice autofirmato.
- Una volta disponibile un certificato CA radice, il Citrix Certificate Manager Service verifica se esiste un certificato macchina autofirmato. In caso contrario, il servizio genera le chiavi e crea un nuovo certificato utilizzando l’FQDN della macchina.
- Se esiste un certificato macchina esistente creato dal Citrix Certificate Manager Service e il nome del soggetto non corrisponde all’FQDN della macchina, viene generato un nuovo certificato.
Nota:
Il Citrix Certificate Manager Service genera certificati RSA che utilizzano chiavi a 2048 bit.
Dispositivo client
Per stabilire con successo una connessione HDX Direct sicura, il client deve fidarsi dei certificati utilizzati per proteggere la sessione. Per facilitare ciò, il client riceve il certificato CA per la sessione tramite il file ICA® (fornito da Workspace), quindi non è necessario distribuire i certificati CA agli archivi certificati dei dispositivi client.