HDX™ ダイレクト

Citrixが提供するリソースにアクセスする場合、HDX Directは、直接通信が可能な場合、内部および外部のクライアントデバイスがセッションホストとの安全な直接接続を確立することを可能にします。

システム要件

HDX Directを使用するためのシステム要件は次のとおりです。

• コントロールプレーン

  • シトリックス DaaS™
  • シトリックス バーチャル アプリケーションズ アンド デスクトップス™ 2503 以降

• バーチャル デリバリー エージェント (VDA)

  • Windows: バージョン 2503 以降

• ワークスペースアプリ

  • Windows: バージョン 2503 以降
  • Linux: バージョン 2411 以降
  • Mac: バージョン 2411 以降

• アクセスティア

  • シトリックス ワークスペース™
  • Citrix Storefront™ 2503 or later
  • シトリックス ゲートウェイ サービス
  • シトリックス ネットスケーラー ゲートウェイ

ネットワーク要件

以下は、HDX Direct を使用するためのネットワーク要件です。

セッションホスト

セッションホストに Windows Defender ファイアウォールなどのファイアウォールがある場合は、内部接続のために以下の受信トラフィックを許可する必要があります。

注:

VDAインストーラーは、適切な受信規則をWindows Defender ファイアウォールに追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。

クライアントネットワーク

次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。

内部ユーザー

外部ユーザー

データセンターネットワーク

次の表は、内部ユーザーと外部ユーザーのデータセンターネットワークについて説明しています。

内部ユーザー

外部ユーザー

注:

VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。

• stun.cloud.com:3478
• stun.cloudflare.com:3478
• stun.l.google.com:19302

HDX Direct port rangeポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更した場合、対応するファイアウォールルールはカスタムポート範囲と一致する必要があります。

構成方法

HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。

• HDX Direct：機能を有効または無効にするため。
• HDX Direct mode：HDX Directが内部クライアントのみで利用可能か、内部クライアントと外部クライアントの両方で利用可能かを決定します。
• HDX Direct port range：VDAが外部クライアントからの接続に使用するポート範囲を定義します。

必要に応じて、HDX Directが使用するSTUNサーバーのリストは、以下のレジストリ値を編集することで変更できます。

• Key: HKLM\SOFTWARE\Citrix\HDX-Direct
• Value type: REG_MULTI_SZ
• Value name: STUNServers
• Data: stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302

注:

外部ユーザー向けのHDX Directは、転送プロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。そのため、Adaptive Transportを有効にする必要があります。

考慮事項

HDX Directを使用する際の考慮事項は次のとおりです。

• 外部ユーザー向けのHDX Directは、転送プロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。そのため、Adaptive Transportを有効にする必要があります。
• HDX Insightを使用している場合、HDX Directを使用すると、セッションがNetScaler Gatewayを介してプロキシされなくなるため、HDX Insightのデータ収集が妨げられることに注意してください。

仕組み

HDX Directを使用すると、直接通信が可能な場合、クライアントはセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書がネットワークレベルの暗号化 (TLS/DTLS) で直接接続を保護するために使用されます。

内部ユーザー

次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、VDAはHDX接続を介して、VDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をクライアントに送信します。
3. クライアントは、VDAに直接到達できるかどうかを確認するためにIPアドレスをプローブします。
4. クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立します。この接続は、ステップ(2)で交換された証明書と一致する証明書を使用して(D)TLSで保護されます。
5. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続を確立した後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。

伝統的な直接接続

Storefront、Direct Workload Connectionを備えたWorkspace、または内部接続専用に構成されたWorkspaceを使用する場合、クライアントとセッションホストの間で、最初にGatewayを介してルーティングすることなく直接接続が確立されます。

これらの場合、接続は本質的に直接的であるため、HDX Directはトリガーされません。ただし、HDX Directが有効になっている場合、これらの接続はHDX Direct証明書を利用してセッションを保護します。

外部ユーザー

次の図は、外部ユーザー向けのHDX Direct接続プロセスの概要を示しています。

HDXダイレクト接続プロセス(/ja-jp/citrix-virtual-apps-desktops/2503/media/hdx-direct-connection-process.png)

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、クライアントとVDAの両方がSTUNリクエストを送信して、それぞれのパブリックIPアドレスとポートを検出します。
3. STUNサーバーは、クライアントとVDAにそれぞれのパブリックIPアドレスとポートで応答します。
4. HDX接続を介して、クライアントとVDAはそれぞれのパブリックIPアドレスとUDPポートを交換し、VDAはクライアントに証明書を送信します。
5. VDAはクライアントのパブリックIPアドレスとUDPポートにUDPパケットを送信します。クライアントはVDAのパブリックIPアドレスとUDPポートにUDPパケットを送信します。
6. VDAからのメッセージを受信すると、クライアントはセキュアな接続要求で応答します。
7. DTLSハンドシェイク中に、クライアントは証明書がステップ(4)で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
8. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続が確立された後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、ユーザーのセッションを中断することなく、Gatewayを介した接続は維持されます。