Citrix Virtual Apps and Desktops

Framehawk

Importante:

A partire da Citrix Virtual Apps and Desktops 7 1903, Framehawk non è più supportato. Utilizzare invece Thinwire con il trasporto adattivo abilitato.

Framehawk è una tecnologia specializzata di visualizzazione remota per lavoratori mobili su connessioni wireless a banda larga (Wi-Fi e reti cellulari 4G/LTE) soggette ad elevata perdita di pacchetti. Framehawk supera le difficoltà dell’interferenza spettrale e della propagazione multipath. Framehawk offre un’esperienza utente fluida e interattiva agli utenti di app e desktop virtuali su dispositivi mobili Windows e iOS come laptop e tablet. Per aumentare al massimo la scalabilità dei server e ridurre al minimo il consumo di larghezza di banda della rete, si consiglia di utilizzare Framehawk solo per il caso d’uso specifico descritto sopra. Si consiglia il trasporto adattivo, che incorpora molti concetti di Framehawk per aumentare al massimo la velocità di trasmissione dei dati per tutti gli altri casi d’uso.

È possibile utilizzare i modelli di criteri Citrix per implementare Framehawk per un insieme di utenti e di scenari di accesso in un modo che sia appropriato per l’organizzazione. Framehawk si rivolge a casi d’uso mobili a schermo singolo come laptop e tablet. Utilizzare Framehawk nei casi in cui il valore per l’azienda delle prestazioni interattive in tempo reale giustifica il costo aggiuntivo delle risorse server e la necessità di connessione a banda larga.

Come Framehawk mantiene un’esperienza utente fluida

È possibile immaginare Framehawk come un’implementazione software dell’occhio umano, che guarda i contenuti del frame buffer e distingue i diversi tipi di contenuti sullo schermo. Cosa è importante per l’utente? Quando vi sono aree dello schermo che cambiano rapidamente, come nel caso di video o grafica in movimento, non importa per l’occhio umano se alcuni pixel vengono persi. Queste aree vengono rapidamente sovrascritte con nuovi dati.

Ma quando si tratta di aree statiche dello schermo, l’occhio umano è pignolo. Ad esempio, le icone dell’area di notifica o di una barra degli strumenti o il testo dopo lo scorrimento fino al punto in cui l’utente desidera iniziare a leggere. Un utente si aspetta che queste aree siano perfette in ogni pixel. A differenza dei protocolli che mirano ad essere tecnicamente accurati per quanto riguarda gli uno e gli zeri, Framehawk mira ad essere rilevante per l’essere umano che sta usando la tecnologia.

Framehawk include un amplificatore di segnale di qualità del servizio di nuova generazione e una mappa termica basata sul tempo per un’identificazione più fine e più efficiente dei carichi di lavoro. Utilizza trasformazioni autonome e autoriparanti oltre alla compressione dei dati ed evita la ritrasmissione dei dati per mantenere la risposta dei clic, la linearità e una cadenza costante. Su una connessione di rete con perdita, Framehawk può nascondere la perdita con l’interpolazione, e l’utente percepisce comunque una buona qualità dell’immagine godendo al contempo di un’esperienza più fluida. Inoltre, gli algoritmi di Framehawk distinguono in modo intelligente tra diversi tipi di perdita di pacchetti. Ad esempio, la perdita casuale (inviare più dati per compensare) rispetto alla perdita di congestione (non inviare più dati perché il canale è già intasato).

Framehawk Intent Engine nell’app Citrix Workspace distingue tra lo scorrimento verso l’alto o verso il basso, lo zoom, lo spostamento a sinistra o a destra, la lettura, la digitazione e altre azioni comuni. Il motore gestisce anche la comunicazione con il Virtual Delivery Agent (VDA) utilizzando un dizionario condiviso. Se l’utente sta cercando di leggere, la qualità visiva del testo deve essere eccellente. Se l’utente sta scorrendo, è più importante la velocità e la fluidità. E deve essere possibile interrompere il processo, in modo che l’utente abbia sempre il controllo dell’interazione con l’applicazione o il desktop.

Misurando la cadenza sulla connessione di rete (ingranaggi, analoghi alla tensione su una catena da bicicletta), la logica di Framehawk reagisce più rapidamente, fornendo un’esperienza superiore rispetto alle connessioni ad alta latenza. Questo sistema di ingranaggi unico e brevettato fornisce un feedback costante aggiornato sulle condizioni della rete, consentendo a Framehawk di reagire immediatamente ai cambiamenti di larghezza di banda, latenza e perdita.

Considerazioni sulla progettazione utilizzando Thinwire e Framehawk

Framehawk utilizza un livello di trasporto dati costruito sopra UDP (User Datagram Protocol). UDP è uno dei processi mediante i quali Framehawk supera la perdita di dati, come si può vedere quando si confrontano le prestazioni di Framehawk con altri protocolli basati su UDP. UDP costituisce una base importante per le tecniche incentrate sull’uomo che contraddistinguono Framehawk.

Quanta larghezza di banda richiede Framehawk?

La significatività del wireless a banda larga dipende da diversi fattori, tra cui il numero di utenti che condividono la connessione, la qualità della connessione e le app utilizzate. Per prestazioni ottimali, Citrix suggerisce una base di 4 Mbps o 5 Mbps più circa 150 Kbps per utente simultaneo.

La nostra raccomandazione sulla larghezza di banda per Thinwire è generalmente una base di 1,5 Mbps più 150 Kbps per utente. Per ulteriori informazioni, vedere il blog sulla larghezza di banda di Citrix Virtual Apps and Desktops. Con una perdita di pacchetti del 3%, si osserverà che Thinwire su TCP necessita di molta più larghezza di banda rispetto a Framehawk per mantenere un’esperienza utente positiva.

Thinwire rimane il canale di comunicazione remota display principale del protocollo ICA. Framehawk è disabilitato per impostazione predefinita. Citrix consiglia di abilitarlo selettivamente in base agli scenari di accesso wireless a banda larga nell’organizzazione. Ricordare che Framehawk richiede una quantità considerevolmente maggiore di risorse server (CPU e memoria) rispetto a Thinwire.

Requisiti e considerazioni

Framehawk richiede come minimo un VDA 7.6.300 e Gestione Criteri di gruppo 7.6.300.

L’endpoint deve avere almeno un’app Workspace per Windows 1808 o Citrix Receiver per Windows 4.3.100, un’app Workspace per iOS 1808 o Citrix Receiver per iOS 6.0.1.

Per impostazione predefinita, Framehawk utilizza un intervallo di porte UDP (User Datagram Protocol) bidirezionale (da 3224 a 3324) per scambiare i dati del canale di visualizzazione Framehawk con l’app Citrix Workspace. L’intervallo può essere personalizzato in un’impostazione di criteri denominata Framehawk display channel port range (intervallo di porte del canale di visualizzazione Framehawk). Ogni connessione simultanea tra il client e il desktop virtuale richiede una porta univoca. Per gli ambienti con sistemi operativi multiutente, ad esempio i server Citrix Virtual Apps, definire porte sufficienti per supportare il numero massimo di sessioni utente simultanee. Per un sistema operativo a utente singolo, ad esempio i desktop VDI, è sufficiente definire una singola porta UDP. Framehawk tenta di utilizzare la prima porta definita, per arrivare alla porta finale specificata nell’intervallo. Questo vale sia quando si passa attraverso Citrix Gateway che per le connessioni interne dirette verso il server StoreFront.

Per l’accesso remoto, è necessario distribuire un Citrix Gateway. Per impostazione predefinita, Citrix Gateway utilizza la porta UDP 443 per la comunicazione crittografata tra l’app client Citrix Workspace e il Gateway. Questa porta deve essere aperta su qualsiasi firewall esterno per consentire una comunicazione sicura in entrambe le direzioni. La funzione è nota come Datagram Transport Security (DTLS).

Nota:

Le connessioni Framehawk/DTLS non sono supportate sulle appliance FIPS.

Sono supportate le connessioni Framehawk crittografate, a partire da NetScaler Gateway versione 11.0.62 e NetScaler Unified Gateway versione 11.0.64.34 o successive.

NetScaler High Availability è supportato da XenApp e XenDesktop 7.12.

Considerare le seguenti raccomandazioni prima di implementare Framehawk:

  • Contattare l’amministratore della sicurezza per verificare che le porte UDP definite per Framehawk siano aperte sul firewall. Il processo di installazione non configura automaticamente il firewall.
  • Spesso Citrix Gateway è installato nel DMZ, affiancato da firewall sia sul lato esterno che sul lato interno. Verificare che la porta UDP 443 sia aperta sul firewall esterno. Verificare che le porte UDP da 3224 a 3324 siano aperte sul firewall interno se l’ambiente utilizza gli intervalli di porte predefiniti.

Configurazione

Attenzione:

Citrix consiglia di abilitare Framehawk solo per gli utenti che rischiano di subire una perdita di pacchetti elevata. Si consiglia inoltre di non abilitare Framehawk come criterio universale per tutti gli oggetti del sito.

Framehawk è disabilitato per impostazione predefinita. Quando è abilitato, il server tenta di utilizzare Framehawk per l’input e la grafica dell’utente. Se per qualsiasi motivo i prerequisiti non vengono soddisfatti, la connessione viene stabilita utilizzando la modalità predefinita (Thinwire).

Le seguenti impostazioni dei criteri influiscono su Framehawk:

  • Canale di visualizzazione Framehawk: Abilita o disabilita la funzione.
  • Framehawk display channel port range: specifica l’intervallo di numeri di porta UDP (dal numero di porta più basso al più alto) utilizzato dal VDA per scambiare i dati dei canali di visualizzazione di Framehawk con il dispositivo utente. Il VDA tenta di utilizzare ciascuna porta, partendo dal numero di porta più basso e incrementando per ogni tentativo successivo. La porta gestisce il traffico in entrata e in uscita.

Aprire le porte per il canale di visualizzazione Framehawk

Da XenApp e XenDesktop 7.8, è disponibile un’opzione per riconfigurare il firewall durante il passaggio Funzioni del programma di installazione del VDA. Se selezionata, questa casella di controllo apre le porte UDP da 3224 a 3324 in Windows Firewall. La configurazione manuale del firewall è necessaria in alcuni casi:

  • Per qualsiasi firewall di rete. oppure
  • L’intervallo di porte predefinito è personalizzato.

Per aprire queste porte UDP, selezionare la casella di controllo Framehawk :

aprire le porte UDP

È inoltre possibile utilizzare la riga di comando per aprire le porte UDP per Framehawk digitando /ENABLE_FRAMEHAWK_PORT:

aprire le porte FH

Verificare le assegnazioni delle porte UDP di Framehawk

Durante l’installazione, è possibile verificare le porte UDP assegnate a Framehawk nella schermata Firewall :

porte UDP predefinite

La schermata Summary (Riepilogo) indica se la funzione Framehawk è abilitata:

schermata di riepilogo

Supporto Citrix Gateway per Framehawk

Il traffico crittografato di Framehawk è supportato su Citrix Gateway 1808 o versione successiva e su NetScaler Gateway 11.0.62.10 o versione successiva e Citrix Unified Gateway 1808 e NetScaler Unified Gateway 11.0.64.34 o versione successiva.

  • Citrix Gateway fa riferimento all’architettura di distribuzione in cui il server virtuale VPN Gateway è direttamente accessibile dal dispositivo dell’utente finale. Ciò significa che il server virtuale VPN ha un indirizzo IP pubblico assegnato e l’utente si connette direttamente a questo indirizzo IP.
  • Citrix Gateway con Unified Gateway fa riferimento alla distribuzione in cui il server virtuale VPN Gateway è associato come destinazione al server virtuale di commutazione dei contenuti (CS). In questa distribuzione, il server virtuale CS ha l’indirizzo del protocollo Internet pubblico e il server virtuale VPN Gateway ha un indirizzo di protocollo Internet fittizio.

Per abilitare il supporto di Framehawk su Citrix Gateway, è necessario abilitare il parametro DTLS a livello di server virtuale VPN Gateway. Dopo che il parametro è abilitato e i componenti di Citrix Virtual Apps o Citrix Virtual Desktops sono stati aggiornati correttamente, il traffico audio, video e interattivo di Framehawk viene crittografato tra il server virtuale VPN Gateway e il dispositivo utente.

Il bilanciamento del carico di Citrix Gateway, Unified Gateway e Citrix Gateway + server globale sono supportati con Framehawk.

I seguenti scenari non sono supportati con Framehawk:

  • HDX Insight
  • Citrix Gateway in modalità IPv6
  • Citrix Gateway doppio hop
  • Citrix Gateway con configurazione del cluster
Scenario Supporto Framehawk
Citrix Gateway
Bilanciamento del carico di Citrix Gateway + server globale
Citrix Gateway con Unified Gateway Sì. Nota: è supportata la versione 11.0.64.34 e successive di Unified Gateway.
HDX Insight No
Citrix Gateway in modalità IPv6 No
Citrix Gateway doppio hop No
Più Secure Ticket Authority su Citrix Gateway
Citrix Gateway e High Availability
Configurazione di Citrix Gateway e cluster No

Configurare Citrix Gateway per il supporto di Framehawk

Per abilitare il supporto Framehawk su Citrix Gateway, abilitare il parametro DTLS a livello di server virtuale VPN Gateway. Dopo che il parametro è stato abilitato e i componenti di Citrix Virtual Apps and Desktops sono stati aggiornati correttamente, il traffico audio, video e interattivo di Framehawk viene crittografato tra il server virtuale VPN Gateway e il dispositivo utente.

Questa configurazione è necessaria se si abilita la crittografia UDP su Citrix Gateway per l’accesso remoto.

Durante la configurazione del supporto Citrix Gateway per Framehawk:

  • Verificare che la porta UDP 443 sia aperta su qualsiasi firewall esterno
  • Verificare che la porta CGP (predefinita 2598) sia aperta su qualsiasi firewall esterno
  • Abilitare DTLS nelle impostazioni per il server virtuale VPN
  • Scollegare e riassociare la coppia chiave-certificato SSL. Questo passaggio non è necessario se si utilizza Citrix Gateway 1808 o versione successiva o NetScaler 11.0.64.34 o versione successiva.

Per configurare il supporto di Citrix Gateway per Framehawk:

  1. Distribuire e configurare Citrix Gateway per comunicare con StoreFront e autenticare gli utenti per Citrix Virtual Apps and Desktops.
  2. Nella scheda Configurazione del gateway Citrix, espandere Citrix Gateway e selezionare Virtual Servers (Server virtuali).
  3. Scegliere Edit per visualizzare le impostazioni di base per il server virtuale VPN; verificare lo stato dell’impostazione DTLS.
  4. Scegliere More per visualizzare altre opzioni di configurazione:
  5. Scegliere DTLS per garantire la sicurezza delle comunicazioni per i protocolli di datagramma come Framehawk. Fare clic su OK. L’area Impostazioni di base per il server virtuale VPN mostra che il flag DTLS è impostato su True.
  6. Riaprire la schermata Server Certificate Binding (Associazione dei certificati server) e fare clic su + per associare la coppia certificato-chiave.
  7. Scegliere la coppia certificato-chiave di cui sopra e fare clic su Select.
  8. Salvare le modifiche apportate all’associazione certificati server.
  9. Dopo il salvataggio, viene visualizzata la coppia certificato-chiave. Fare clic su Bind (Associa).
  10. Ignorare il messaggio di avviso No usable ciphers configured on the SSL vserver/service (Nessuna crittografia utilizzabile confiturata sul vserver/servizio SSL), se visualizzato.

Passaggi per le versioni precedenti di NetScaler Gateway

Se si utilizza una versione di NetScaler Gateway precedente alla 11.0.64.34:

  1. Riaprire la schermata Server Certificate Binding (Associazione dei certificati server) e fare clic su + per associare la coppia certificato-chiave.
  2. Scegliere la coppia certificato-chiave di cui sopra e fare clic su Select.
  3. Salvare le modifiche apportate all’associazione certificati server.
  4. Dopo il salvataggio, viene visualizzata la coppia certificato-chiave. Fare clic su Bind (Associa).
  5. Ignorare il messaggio di avviso No usable ciphers configured on the SSL vserver/service (Nessuna crittografia utilizzabile confiturata sul vserver/servizio SSL), se visualizzato.

Per configurare Unified Gateway per il supporto di Framehawk:

  1. Assicurarsi che Unified Gateway sia installato e configurato correttamente. Per ulteriori informazioni, vedere le informazioni su Unified Gateway nel sito della documentazione del prodotto Citrix.
  2. Abilitare il parametro DTLS sul server virtuale VPN associato al server virtuale CS come server virtuale di destinazione.

Limitazioni

Se sul dispositivo client sono presenti voci DNS obsolete per il server virtuale Citrix Gateway, il trasporto adattivo e Framehawk potrebbero effettuare il fallback al trasporto TCP anziché al trasporto UDP. In caso di fallback al trasporto TCP, svuotare la cache DNS sul client e riconnettersi per stabilire la sessione utilizzando il trasporto UDP.

Framehawk non supporta i cursori mouse a 32 bit, come quelli che si trovano in applicazioni quale PTC Creo.

Framehawk è progettato per dispositivi mobili come laptop e tablet che utilizzano un singolo monitor e ripristina Thinwire in una configurazione duale/multi-monitor.

Supporto di altri prodotti VPN

Citrix Gateway è l’unico prodotto VPN SSL a supportare la crittografia UDP richiesta da Framehawk. Se viene utilizzata un’altra VPN SSL o una versione non corretta di Citrix Gateway, i criteri di Framehawk potrebbero non essere applicati. I tradizionali prodotti VPN IPsec supportano Framehawk senza alcuna modifica.

Monitorare Framehawk

È possibile monitorare l’utilizzo e le prestazioni di Framehawk da Citrix Director. La vista dettagliata del canale virtuale HDX contiene informazioni utili per la risoluzione dei problemi e il monitoraggio di Framehawk in qualsiasi sessione. Per visualizzare le metriche correlate a Framehawk, selezionare Graphics-Framehawk.

Se viene stabilita la connessione Framehawk, nella pagina dei dettagli viene visualizzato Provider = VD3D e Connected = True. È normale che lo stato del canale virtuale sia inattivo, perché monitora il canale di segnalazione, che viene utilizzato solo durante l’handshake iniziale. Questa pagina fornisce anche altre statistiche utili sulla connessione.

Se si riscontrano problemi, vedere il blog sulla risoluzione dei problemi di Framehawk.