HDX™ ダイレクト

Citrix提供のリソースにアクセスする際、HDX Directは、直接通信が可能な場合、内部および外部のクライアントデバイスがセッションホストと安全な直接接続を確立できるようにします。

システム要件

HDX Directを使用するためのシステム要件は以下のとおりです。

• コントロールプレーン

  • シトリックス DaaS™
  • シトリックス バーチャルアプリおよびデスクトップ™ 2503 以降

• バーチャル デリバリー エージェント (VDA)

  • Windows: バージョン2503以降

• ワークスペース アプリ

  • Windows: バージョン2503以降
  • Linux: バージョン2411以降
  • Mac: バージョン2411以降

• アクセスティア

  • シトリックス ワークスペース™
  • Citrix ストアフロント™ 2503 以降
  • Citrix ゲートウェイ サービス
  • シトリックス ネットスケーラー® ゲートウェイ

ネットワーク要件

HDX Direct を使用するためのネットワーク要件は以下のとおりです。

セッションホスト

セッションホストに Windows Defender ファイアウォールなどのファイアウォールがある場合は、内部接続のために以下の受信トラフィックを許可する必要があります。

注:

VDAインストーラーは、適切な受信規則をWindows Defenderファイアウォールに追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。

クライアントネットワーク

次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。

内部ユーザー

外部ユーザー

データセンターネットワーク

以下の表は、内部ユーザーと外部ユーザー向けのデータセンターネットワークについて説明しています。

内部ユーザー

外部ユーザー

注:

VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。

• stun.cloud.com:3478
• stun.cloudflare.com:3478
• stun.l.google.com:19302

HDX Directポート範囲ポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更した場合、対応するファイアウォールルールはカスタムポート範囲と一致している必要があります。

設定について

HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。

• HDX Direct: 機能を有効または無効にするため。
• HDX Directモード: HDX Directが内部クライアントのみで利用可能か、内部クライアントと外部クライアントの両方で利用可能かを決定します。
• HDX Directポート範囲: VDAが外部クライアントからの接続に使用するポート範囲を定義します。

必要に応じて、HDX Directが使用するSTUNサーバーのリストは、以下のレジストリ値を編集することで変更できます。

• Key: HKLM\SOFTWARE\Citrix\HDX-Direct
• Value type: REG_MULTI_SZ
• 値の名前は次の通り: STUNServers
• Data: stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302

注:

外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) でのみ利用可能です。したがって、アダプティブトランスポートを有効にする必要があります。

考慮事項

HDX Directを使用する際の考慮事項は次のとおりです。

• 外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) でのみ利用可能です。したがって、アダプティブトランスポートを有効にする必要があります。
• HDX Insightを使用している場合、HDX Directを使用するとHDX Insightのデータ収集が妨げられることに注意してください。これは、セッションがNetScaler Gatewayを介してプロキシされなくなるためです。

仕組み

HDX Directを使用すると、直接通信が可能な場合にクライアントがセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書を使用して、ネットワークレベルの暗号化 (TLS/DTLS) で直接接続を保護します。

内部ユーザー

次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。

HDXダイレクトの概要(/ja-jp/citrix-virtual-apps-desktops/2511/media/hdx-direct-overview.png)

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、VDAはHDX接続を介して、VDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をクライアントに送信します。
3. クライアントは、VDAに直接到達できるかどうかを確認するためにIPアドレスをプローブします。
4. クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立します。この接続は、ステップ(2)で交換された証明書と一致する証明書を使用して(D)TLSで保護されます。
5. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続が確立された後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。

従来の直接接続方式

Storefront、Direct Workload Connectionを備えたWorkspace、または内部専用接続用に構成されたWorkspaceを使用する場合、クライアントとセッションホスト間の直接接続は、最初にGatewayを介してルーティングする必要なく確立されます。

これらの場合、接続は本質的に直接的であるため、HDX Directはトリガーされません。ただし、HDX Directが有効になっている場合、これらの接続はHDX Direct証明書を利用してセッションを保護します。

外部ユーザー

次の図は、外部ユーザー向けのHDX Direct接続プロセスの概要を示しています。

HDXダイレクト接続プロセス(/ja-jp/citrix-virtual-apps-desktops/2511/media/hdx-direct-connection-process.png)

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、クライアントとVDAの両方がSTUNリクエストを送信して、それぞれのパブリックIPアドレスとポートを検出します。
3. STUNサーバーは、クライアントとVDAにそれぞれのパブリックIPアドレスとポートで応答します。
4. HDX接続を介して、クライアントとVDAはそれぞれのパブリックIPアドレスとUDPポートを交換し、VDAはクライアントに証明書を送信します。
5. VDAはクライアントのパブリックIPアドレスとUDPポートにUDPパケットを送信します。クライアントはVDAのパブリックIPアドレスとUDPポートにUDPパケットを送信します。
6. VDAからのメッセージを受信すると、クライアントはセキュアな接続要求で応答します。
7. DTLSハンドシェイク中に、クライアントは証明書がステップ(4)で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
8. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続が確立された後、セッションはアクティブになります。その後のステップは、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり妨げたりすることはありません。その後のいずれかのステップが失敗した場合でも、Gatewayを介した接続はユーザーのセッションを中断することなく維持されます。