HDX™ Direct
Quando si accede alle risorse fornite da Citrix, HDX Direct consente ai dispositivi client sia interni che esterni di stabilire una connessione diretta sicura con l’host di sessione, se la comunicazione diretta è possibile.
Importante:
HDX Direct per gli utenti esterni è attualmente in anteprima. Questa funzionalità è fornita senza supporto e non è ancora consigliata per l’uso in ambienti di produzione. Per inviare feedback o segnalare problemi, utilizzare questo modulo.
Requisiti di sistema
Di seguito sono riportati i requisiti di sistema per l’utilizzo di HDX Direct:
-
Piano di controllo
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2411 o versioni successive
-
Virtual Delivery Agent (VDA)
- Windows: versione 2411 o successiva
-
app Workspace
- Windows: versione 2409 o successiva
- Linux: versione 2411 o successiva
- Mac: versione 2411 o successiva
-
Livello di accesso
- Citrix Workspace™ con Citrix Gateway Service
- Citrix Workspace con NetScaler® Gateway
-
Altro
- Il trasporto adattivo deve essere abilitato per le connessioni dirette esterne
Requisiti di rete
Di seguito sono riportati i requisiti di rete per l’utilizzo di HDX Direct.
Host di sessione
Se gli host di sessione dispongono di un firewall come Windows Defender Firewall, è necessario consentire il seguente traffico in entrata per le connessioni interne.
| Descrizione | Origine | Protocollo | Porta |
|---|---|---|---|
| Connessione interna diretta | Client | TCP | 443 |
| Connessione interna diretta | Client | UDP | 443 |
Nota:
Il programma di installazione VDA aggiunge le regole in entrata appropriate a Windows Defender Firewall. Se si utilizza un firewall diverso, è necessario aggiungere le regole di cui sopra.
Rete client
La tabella seguente descrive la rete client per gli utenti interni ed esterni.
Utenti interni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| Connessione interna diretta | TCP | Rete client | 1024–65535 | Rete VDA | 443 |
| Connessione interna diretta | UDP | Rete client | 1024–65535 | Rete VDA | 443 |
Utenti esterni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| STUN (solo utenti esterni) | UDP | Rete client | 1024–65535 | Internet (vedere la nota seguente) | 3478, 19302 |
| Connessione utente esterno | UDP | Rete client | 1024–65535 | Indirizzo IP pubblico del data center | 1024–65535 |
Rete del data center
La seguente tabella descrive la rete del data center per gli utenti interni ed esterni.
Utenti interni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| Connessione interna diretta | TCP | Rete client | 1024–65535 | Rete VDA | 443 |
| Connessione interna diretta | UDP | Rete client | 1024–65535 | Rete VDA | 443 |
Utenti esterni
| Descrizione | Protocollo | Origine | Porta di origine | Destinazione | Porta di destinazione |
|---|---|---|---|---|---|
| STUN (solo utenti esterni) | UDP | Rete VDA | 1024–65535 | Internet (vedere la nota seguente) | 3478, 19302 |
| Connessione utente esterno | UDP | DMZ / Rete interna | 1024–65535 | Rete VDA | 55000–55250 |
| Connessione utente esterno | UDP | Rete VDA | 55000–55250 | IP pubblico del client | 1024–65535 |
Nota:
Sia il VDA che l’app Workspace tentano di inviare richieste STUN ai seguenti server nello stesso ordine:
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
Se si modifica l’intervallo di porte predefinito per le connessioni utente esterne utilizzando l’impostazione dei criteri Intervallo di porte HDX Direct, le regole del firewall corrispondenti devono corrispondere all’intervallo di porte personalizzato.
Configurazione
HDX Direct è disabilitato per impostazione predefinita. È possibile configurare questa funzionalità utilizzando l’impostazione HDX Direct nei criteri Citrix.
- HDX Direct: Per abilitare o disabilitare una funzionalità.
- Modalità HDX Direct: Determina se HDX Direct è disponibile solo per i client interni o per i client interni ed esterni.
- Intervallo di porte HDX Direct: Definisce l’intervallo di porte che il VDA utilizza per le connessioni dai client esterni.
Considerazioni
Di seguito sono riportate le considerazioni per l’utilizzo di HDX Direct:
- HDX Direct per gli utenti esterni è disponibile solo con EDT (UDP) come protocollo di trasporto. Pertanto, il Trasporto adattivo deve essere abilitato.
- Se si utilizza HDX Insight, si noti che l’utilizzo di HDX Direct impedisce la raccolta dei dati di HDX Insight, poiché la sessione non verrebbe più instradata tramite NetScaler Gateway.
- Quando si utilizzano macchine non persistenti per le app e i desktop virtuali, Citrix consiglia di abilitare HDX Direct sugli host di sessione anziché nell’immagine master/modello, in modo che ogni macchina generi i propri certificati.
- L’utilizzo dei propri certificati con HDX Direct non è attualmente supportato.
Come funziona
HDX Direct consente ai client di stabilire una connessione diretta all’host di sessione quando la comunicazione diretta è disponibile. Quando le connessioni dirette vengono stabilite utilizzando HDX Direct, vengono utilizzati certificati autofirmati per proteggere la connessione diretta con la crittografia a livello di rete (TLS/DTLS).
Utenti interni
Il seguente diagramma illustra la panoramica del processo di connessione HDX Direct per gli utenti interni.
- Il client stabilisce una sessione HDX tramite il servizio Gateway.
- Dopo una connessione riuscita, il VDA invia al client il FQDN della macchina VDA, un elenco dei suoi indirizzi IP e il certificato della macchina VDA tramite la connessione HDX.
- Il client sonda gli indirizzi IP per verificare se può raggiungere direttamente il VDA.
- Se il client può raggiungere direttamente il VDA con uno qualsiasi degli indirizzi IP condivisi, il client stabilisce una connessione diretta con il VDA, protetta con (D)TLS utilizzando un certificato che corrisponde a quello scambiato nel passaggio (2).
- Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al Gateway Service viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, sopra, la sessione è attiva. I passaggi successivi non ritardano né interferiscono con la capacità dell’utente di utilizzare l’applicazione o il desktop virtuale. Se uno dei passaggi successivi fallisce, la connessione tramite il Gateway viene mantenuta senza interrompere la sessione dell’utente.
Utenti esterni
Il seguente diagramma illustra la panoramica del processo di connessione diretta HDX per gli utenti esterni:
- Il client stabilisce una sessione HDX tramite il Gateway Service.
- In caso di connessione riuscita, sia il client che il VDA inviano una richiesta STUN per scoprire i loro indirizzi IP pubblici e le porte.
- Il server STUN risponde al client e al VDA con i rispettivi indirizzi IP pubblici e le porte.
- Tramite la connessione HDX, il client e il VDA si scambiano i loro indirizzi IP pubblici e le porte UDP, e il VDA invia il suo certificato al client.
- Il VDA invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del client. Il client invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del VDA.
- Alla ricezione di un messaggio dal VDA, il client risponde con una richiesta di connessione sicura.
- Durante l’handshake DTLS, il client verifica che il certificato corrisponda al certificato scambiato nel passaggio (4). Dopo la convalida, il client invia il suo token di autorizzazione. Una connessione diretta sicura è ora stabilita.
- Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al Gateway Service viene terminata.
Nota:
Dopo aver stabilito la connessione nel passaggio 2, sopra, la sessione è attiva. I passaggi successivi non ritardano né interferiscono con la capacità dell’utente di utilizzare l’applicazione o il desktop virtuale. Se uno qualsiasi dei passaggi successivi fallisce, la connessione tramite il Gateway viene mantenuta senza interrompere la sessione dell’utente.
Gestione dei certificati
Host di sessione
I seguenti due servizi sulla macchina VDA gestiscono la creazione e la gestione dei certificati, ed entrambi sono impostati per essere eseguiti automaticamente all’avvio della macchina:
- Servizio Citrix ClxMtp: responsabile della generazione e della rotazione delle chiavi dei certificati CA.
- Servizio Citrix Certificate Manager: responsabile della generazione e della gestione del certificato CA radice autofirmato e dei certificati della macchina.
I seguenti passaggi descrivono il processo di gestione dei certificati:
- I servizi si avviano all’avvio della macchina.
-
Citrix ClxMtp Servicecrea le chiavi se non ne è stata creata alcuna in precedenza. - Il servizio Citrix Certificate Manager verifica se HDX Direct è abilitato. In caso contrario, il servizio si arresta.
- Se HDX Direct è abilitato, il servizio Citrix Certificate Manager verifica se esiste un certificato CA radice autofirmato. In caso contrario, viene creato un certificato radice autofirmato.
- Una volta disponibile un certificato CA radice, il servizio Citrix Certificate Manager verifica se esiste un certificato macchina autofirmato. In caso contrario, il servizio genera le chiavi e crea un nuovo certificato utilizzando l’FQDN della macchina.
- Se esiste un certificato macchina creato dal servizio Citrix Certificate Manager e il nome del soggetto non corrisponde all’FQDN della macchina, viene generato un nuovo certificato.
Nota:
Il servizio Citrix Certificate Manager genera certificati RSA che utilizzano chiavi a 2048 bit.
Dispositivo client
Per stabilire con successo una connessione sicura HDX Direct, il client deve considerare attendibili i certificati utilizzati per proteggere la sessione. Per facilitare ciò, il client riceve il certificato CA per la sessione tramite il file ICA® (fornito da Workspace), quindi non è necessario distribuire i certificati CA agli archivi certificati dei dispositivi client.