技術概要:HDXプロキシのゲートウェイサービス

HDX Proxy用Citrix Gateway サービスを使用すると、オンプレミスのDMZにCitrix Gatewayを展開したり、ファイアウォールを再構成したりすることなく、Citrix Virtual Apps and Desktopsへのセキュアなリモートアクセスをユーザーに提供できます。Citrixは、クラウドでのリモートアクセスの管理に伴うインフラストラクチャのオーバーヘッド全体をホストします。

オンプレミス vs. クラウド

オンプレミス

Citrix Virtual Apps and Desktopsは何十年もの間、企業に優れたサービスを提供していますが、次のようなリモートアクセスを提供するための追加の要件があります。

  • 冗長性のための複数のサイトの実装とメンテナンス
  • パブリック IP アドレスの実装と保守
  • ネットワークデバイスの実装とメンテナンス
  • ファイアウォールルールの実装と管理

オンプレミス

クラウド

Citrix CloudおよびCitrix Gatewayサービスにより、企業はCitrix Virtual Apps and Desktops へのリモートアクセスを提供できるようになりました。これらの追加要件に加えて、その他のメリットもありません。

  • 複数のサイトがCitrixによってグローバルに実装され、維持されている
  • パブリックIPアドレスは、Citrixによって実装され、管理されます
  • Citrix Analytics による高度なセキュリティ
  • 予測 DNS により優れたユーザーエクスペリエンスを提供
  • Virtual Apps and Desktops環境への変更は不要
  • 証明書はCitrixによって実装され、管理されます
  • 柔軟な拡張性と高可用性は、Citrixによって提供および管理されます
  • 企業は成長に応じて支払いを行い、運用コストを削減
  • 新規顧客の迅速なオンボーディング

クラウド

Citrix Cloudサービス

Citrix Workspace

Citrix Workspace は、 ローカルにインストールされたWorkspaceアプリ (デスクトップおよびモバイル)またはローカルブラウザーを使用して、すべてのユーザーリソースを単一のパーソナライズされたインターフェイスに集約します。Citrix Workspaceでは、Citrix Cloud Connectorを介してCitrix仮想アプリおよびデスクトップコントローラーと通信します。

Citrix Cloud Connector

Citrix Cloud Connectorは、リソースの場所でホストされているWindows Serverインスタンス上で実行され、サイトとCitrix Cloud間のトラフィックをルーティングするためのリバースプロキシを作成します。Citrix Cloudからリソースの場所への接続を提供します。また、Active Directory へのアクセスと、Citrix WorkspaceとCitrix Virtual Apps and Desktops コントローラー間のコントロールチャネルトラフィックの配信も含まれます。また、Cloud Connectorは、リソースの場所から最も近いCitrix PoPへの接続を作成し、初期データチャネルを確立します。

Citrix Gatewayサービス

Citrix Gatewayサービスは、安全なリモートアクセスを提供するために、Citrix Cloudサービスの一部です。それは10年以上にわたって開発されましたが、その間、世界の大企業によって使用されています。クライアントを最も近いグローバルCitrix GatewayサービスPoPに転送するには、Citrix最適ゲートウェイルーティングを使用します。そこから、Citrix Workspaceクライアントと仮想化リソース間の安全な接続を調整し、レイテンシーを最小限に抑え、可能な限り最高のユーザーエクスペリエンスでセッションを提供します。

ランデブープロトコル

各Cloud Connectorは、最大1,000の同時セッションをサポートし、コネクタを追加すると容量が増大する一方で、Citrixはより効率的な拡張ソリューションを提供します。ランデブープロトコルを使用すると、安全なTLSトランスポートを介して、Virtual Delivery Agent(VDA)からCitrix Gateway サービスに直接HDXセッションをセットアップできます。Citrix Virtual Apps and Desktops リリース1912以降で使用でき、Citrixポリシー設定で有効にすることができます。Rendezvous プロトコルが有効で、何らかの理由でゲートウェイサービスに到達できない場合、Cloud Connector 経由でトラフィックをプロキシするようにフォールバックします。

弾力性

Citrix Gatewayサービスは複数のPoPで動作します。何らかの理由でPoPが停止したり、しきい値を超えて接続が低下した場合、Citrix Optimal Gatewayルーティングは、次に近いPoPのパブリックIPアドレスを使用して後続のDNSクエリに応答します。WorkspaceアプリとCitrix Virtual Apps and Desktopsコントローラーは、 [セッション接続とタイマー設定に基づいて再試行とタイムアウトを開始します](/ja-jp/citrix-virtual-apps-desktops/policies/reference/ica-policy-settings/session-limits-policy-settings.html)

  • 各PoPは高可用性用に構成されています
  • 499の信頼性
  • 20 グローバルポップス

Citrixグローバルプレゼンスポイント

展開

初期セットアップ

オンプレミスゲートウェイからCitrix Gateway サービスへのアクセスの移行は、 Citrix Cloud 環境を作成することから始まります。その後、Windows Serverインスタンスから環境にログインし、Citrix Virtual Apps and Desktops コントローラーへのネットワークアクセスが可能です。次に、 Citrix Cloud Connectorをインストールして 、Citrix Cloudへの接続を提供できます。 Cloud Connector

初期構成

Citrix Cloud Connectorをリソースの場所にインストールして起動すると、Citrix CloudでCitrix Workspaceを構成できます。Active Directory(AD)またはAzure Active Directory(AAD)を使用して認証を行うかどうかを指定し、ワークスペースアプリ、ゲートウェイ、およびCitrix Virtual Apps and Desktopsオンプレミスサイトへの必要なカスタマイズを実装するには、[ サービス統合]で有効にする必要があります。その後、サイトを追加して構成できます。サイト構成には、コントローラがバージョン6.5より前か以前のかの指定、リソースの場所でホストされているコントローラの完全修飾ドメインを指定する、Citrix Cloud Connectorのインストールで識別されたドメインの検証、Gatewayサービスを接続に使用することの指定が含まれます。 ワークスペースの構成

初期導入

Citrix CloudでCitrix Workspaceを構成した後、新しいFQDNをワークスペースアプリに追加できます。ユーザーは、オンプレミスのCitrix Gatewayで使用するのと同じAD資格情報を使用してログインし、同じアプリとデスクトップを列挙できます。 Workspaceアプリ

障害回復についての注意事項

ユーザーがWorkspaceアプリ内でアプリを起動すると、Citrix GatewaysでホストされているFQDNに対するDNSクエリが、エンドポイントのローカルDNSネームサーバーに中継されます。通常、再帰的なクエリを作成する ISP DNS ネームサーバーにリレーします。権限のあるネームサーバーとして、Citrix Gateway Serviceは、再帰クエリを行ったISPネームサーバーのIPアドレスの場所に基づいて、最も近いPoPのパブリックIPアドレスを返します。したがって、ネームサーバーはエンドポイントに近接している必要があります。そうでない場合は、セッションでパフォーマンスの問題が発生する可能性があります。

ウェブ/SSLプロキシ

ゲートウェイサービス FQDN は、DNS フィルタリングおよびトラフィックインスペクションから除外することを推奨します。 (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

プロキシは、次の問題を引き起こす可能性があります。

  • DNS ソース IP をランダム化します。これにより、ユーザーは最適でないPoPに転送されます。
  • 間違った PoP(100 ms+、過度のジッタあり) に向けられた接続に遅延を追加する
  • TLS インスペクションは TLS インターセプトをサポートしていないため、ゲートウェイサービスを中断します

Zscaler で実装するには:

  • ZPAを更新して特定のアプリケーションをバイパスする
  • Edit Application Segmentでゲートウェイサービス FQDN のアプリケーションエントリを入力(*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    詳細については、「 ZPA — バイパス設定の構成」を参照してください

VPN

VPN では、ゲートウェイサービスドメインのローカルブレークアウトを実装することが推奨されます。 (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  • VPN Client が VPN トンネルで保護されている内部ネットワーク宛てのトラフィックだけを送信するように、スプリットトンネリングをイネーブルにします。
  • Citrix Gateway Service宛てのトラフィックは、VPNトンネルと内部ネットワーク経由でバックホールされるのではなく、ローカルインターネット経由で直接送信されます

Citrix Gateway VPNで実装するには、次の変更を行います。

  • VPN セッションポリシーの [クライアントエクスペリエンス] タブで [スプリットトンネル] フィールドを [ON] に設定して、唾トンネリングを有効にします
  • 内部ネットワークの IP アドレス範囲を使用した透過的なイントラネットアプリケーションエントリの構成
  • [クライアントエクスペリエンス] タブの [詳細設定] で、[スプリット DNS] が [ローカル] に設定されていることを確認します。また、[ トラフィック管理] > [DNS] > [DNS サフィックス] の [DNS サフィックス] 一致するクエリはゲートウェイに転送され、他のクエリはローカル DNS に転送されます

    詳しくは、「 Citrix Gateway の完全VPNセットアップでのスプリットトンネリングの構成」を参照してください。

管理性

Citrix Gatewayサービスにより、オンプレミスのVirtual Apps and Desktops へのアクセス要件が簡素化され、必要なインフラストラクチャとその保守に必要な運用オーバーヘッドが削減されます。複数の PoPで SSL 証明書とパブリック IP を使用してゲートウェイを維持する必要性がなくなります。管理者は、各自の IT ビジネスサービスの優先順位の管理に集中できます。

  • Citrix Cloudのエキスパートによる24時間365日体制の監視とメンテナンス
  • 既存のITスタッフによる統合Workspaceの迅速な提供
  • 専門的な IT スキルの必要性を軽減

Citrix Cloud 運用

セッション接続

ユーザーが Workspace から仮想アプリまたはデスクトップを選択し、エンドポイントは起動チケットを受け取ります。Citrix Gatewayサービスに接続するように指示され、VDAにアクセスします。ランデブープロトコルを使用するように構成されている場合、VDAは要求元のCitrix GatewayサービスPoPへのTLS接続を直接確立します。そうでない場合は、Cloud Connectorが使用されます。次に、Citrix GatewayサービスによってエンドポイントとVDA間のセッションが確立されます。

  • セッションは、クラウドパートナーのWAN間でCitrix Gatewayサービスを介してリンクされます
  • VDAとワークスペースエンドポイントは、ユーザーに最も近いCitrix GatewayサービスPoPでランデブー
  • 高品質のセッション

Citrix Gateway サービスとHDXプロキシ:トラフィックフロー

技術概要:HDXプロキシのゲートウェイサービス