技術概要:HDXプロキシのゲートウェイサービス

HDX Proxy向けCitrix Gatewayサービスにより、ユーザーはオンプレミスのDMZにNetScaler Gatewayアプライアンスを展開したり、ファイアウォールを再構成したりすることなく、Citrix DaaSへの安全なリモートアクセスを実現できます。Citrix Cloud Servicesは、Citrix DaaS、Citrix Gatewayサービスなどが提供する一連のサービスをホストします。これらのサービスはすべて、Workspace エクスペリエンスを使用して 1 つのペインで配信されます。

オンプレミス vs. Cloud

オンプレミス

Citrix Gatewayは、標準ベースのSSL/TLS暗号化を使用してすべてのCitrix DaaSトラフィックをプロキシして保護する強化されたアプライアンス(物理または仮想)です。最も一般的な展開構成は、NetScaler GatewayアプライアンスをDMZに配置することです。組織内の安全な内部ネットワークとインターネット(または外部ネットワーク)の間にNetScaler Gatewayが配置されます。

NetScaler Gatewayアプライアンスは数十年にわたり企業に好評を博してきましたが、リモートアクセスを提供するには次のような追加要件があります:

  • オンプレミスのNetScaler Gatewayアプライアンスの実装と保守。
  • 冗長性を確保するために複数のサイトを実装および保守します。
  • パブリック IP アドレスの実装と管理。
  • ネットワークデバイスの実装と保守。
  • ファイアウォールルールの実装と管理。

On-Premises

Cloud

HDXプロキシ向けCitrix Gatewayサービスにより、ユーザーはオンプレミスのDMZにNetScaler Gatewayアプライアンスを展開したり、ファイアウォールを再構成したりすることなく、Citrix DaaSへの安全なリモートアクセスを実現できます。Citrixは、クラウドでのリモートアクセスの管理に伴うインフラストラクチャのオーバーヘッド全体をホストします。 Citrix CloudとCitrix Gatewayを使用することで、サービス企業は次のような追加要件なしにCitrix DaaSへのリモートアクセスを提供できるようになり、次のようなメリットも得られます:

  • Citrix は、複数のサイトをグローバルに実装し、維持しています。
  • パブリックIPアドレスはCitrix によって実装および管理されます。
  • Citrix AnalyticsによるCitrix Cloudの高度なセキュリティ。
  • Predictive DNS はより優れたユーザーエクスペリエンスを提供します。
  • Virtual Apps and Desktops 環境を変更する必要はありません。
  • 証明書はCitrix によって実装および管理されます。
  • エラスティック・スケーラビリティと高可用性は、Citrix によって提供および管理されています。
  • 企業は成長に合わせて支払いを行い、運営費を削減します。
  • 新規顧客のオンボーディングを迅速化します。

Cloud

Citrix Cloudサービス

Citrix Workspace

Citrix WorkspaceはCitrix Cloudサービスを集約して統合し、エンドユーザーが利用できるすべてのリソースに一元的にアクセスできるようにします。Workspace URLの付いたブラウザからでも、Citrix Receiverに代わるCitrix Workspaceアプリを使用することもできます。ユーザーがCitrix Workspaceにアクセスする方法について詳しくは、「 ワークスペースへのアクセス」を参照してください。

Citrix Cloud Connector

Citrix Cloud Connectorは、Microsoft Windowsサーバーで実行されるサービスセットを展開するソフトウェアパッケージです。Cloud Connectorをホストするマシンは、Citrix Cloudで使用するリソースが存在するネットワーク内にあります。Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。インストールされると、Cloud Connectorは発信接続を介してCitrix Cloudとの通信を開始します。すべての接続が、標準HTTPSポート(443)とTCPプロトコルを使用してCloud Connectorからクラウドに対して確立されます。受信接続は受け入れられません。

Citrix Gatewayサービス

NetScaler Gatewayサービスは、安全なリモートアクセスを提供するために、Citrix Cloudサービスの一部です。NetScaler Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能を利用できる最も近いPoP(PoP)を使用します。認可メタデータなどの設定は、すべての POP に複製されます。

Citrix Gateway サービスは次の機能を提供します:

  • HDX接続:アプリとデスクトップをホストするVirtual Delivery Agent(VDA)は、クラウドまたはオンプレミスのいずれかの選択したデータセンターで引き続きお客様の管理下にあります。
  • DTLS 1.2プロトコルのサポート:Citrix Gatewayサービスは、EDT(UDPベースのトランスポートプロトコル)を介したHDXセッションのDatagram Transport Layer Security(DTLS)1.2をサポートします:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLSプロトコルのサポート:Citrix Gateway サービスは、以下のTLS暗号スイートをサポートしています:
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1-ECDHE-RSA-AES128-SHA
    • TLS1.2-AES256-GCM-SHA384
    • TLS1-AES-256-CBC-SHA
  • Endpoint Management 統合: Citrix Endpoint Management Citrix Workspace と統合すると、NetScaler Gatewayサービスは、内部ネットワークとリソースへの安全なリモートデバイスアクセスを提供します。Endpoint Management を使用したNetScaler Gatewayサービスのオンボーディングは迅速かつ簡単です。NetScaler Gateway サービスには、Secure MailやSecure Webなどのアプリケーション向けのCitrix SSOのフルサポートが含まれています。

データフロー

Citrix Gateway サービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能を利用できる最も近いPoP(PoP)を使用します。認可メタデータなどの設定は、すべての POP に複製されます。

  • 診断、監視、ビジネス、および容量計画のためにCitrixが使用するログは、一元化された場所にセキュリティで保護され、保存されます。
  • お客様の構成は、一元化された場所に保存され、すべての POP にグローバルに分散されます。
  • クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。
  • ユーザー認証とシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。

Rendezvousプロトコル

Citrix Gateway サービスを使用する場合、 ランデブープロトコルによりトラフィックがCitrix Cloud Connectorをバイパスし、Citrix Cloudコントロールプレーンに直接かつ安全に接続できます。考慮すべきトラフィックには2つのタイプがあります:

  1. VDA登録とセッション仲介のための制御用トラフィック。
  2. HDXセッショントラフィック。

ランデブーV1-Citrix Gatewayサービスを使用する場合、ランデブープロトコルバージョンV1により、VDAはCitrix Cloud Connectorをバイパスして、データパストラフィックのゲートウェイPoPに直接接続できます。ランデブー V1 プロトコルを実装するための要件については、ランデブー V1 を参照してください。

Rendezvous V2 -Rendezvous プロトコルバージョンV2は、制御用トラフィックとHDXセッショントラフィックの両方でCitrix Cloud Connectorのバイパスをサポートしています。ランデブープロトコルを実装するための要件については、ランデブーV2を参照してください

Rendezvousトラフィックフロー

次の図は、Rendezvousのトラフィックフローに関する一連の手順を示しています。

Rendezvousトラフィックフロー

  1. VDAは、Citrix CloudとのWebSocket接続を確立し、登録します。
  2. VDAはCitrix Gatewayサービスに登録され、専用のトークンを取得します。
  3. VDAは、Gatewayサービスとの永続的な制御接続を確立します。
  4. ユーザーはCitrix Workspaceに移動します。
  5. Workspaceは認証構成を評価し、認証のためにユーザーを適切なIDプロバイダーにリダイレクトします。
  6. ユーザーは自分の資格情報を入力します。
  7. ユーザーの資格情報が正常に検証された後、ユーザーはWorkspaceにリダイレクトされます。
  8. Workspaceはユーザーのリソースをカウントして表示します。
  9. ユーザーは、Workspaceからデスクトップまたはアプリケーションを選択します。Workspaceは要求をCitrix DaaSに送信し、Citrix DaaSは接続を仲介し、VDAにセッションの準備を指示します。
  10. VDAは、Rendezvous機能とそのIDで応答します。
  11. Citrix DaaSは起動チケットを生成し、Workspace経由でユーザーデバイスに送信します。
  12. ユーザーのエンドポイントはCitrix Gateway サービスに接続し、接続するリソースを認証および識別するための起動チケットを提供します。
  13. Gatewayサービスは、接続情報をVDAに送信します。
  14. VDAは、Gatewayサービスへの直接接続を確立します。
  15. Citrix Gateway サービスは、エンドポイントとVDA間の接続を完了します。
  16. VDAは、セッションのライセンスを検証します。
  17. Citrix DaaSは、適用するポリシーをVDAに送信します。

弾力性

NetScaler Gatewayサービスは、サービスの複数のインスタンスで可用性を高めるように構築されており、世界中のさまざまな場所の複数のポイントオブプレゼンス(PoP)に展開されています。また、このサービスは異なるクラウドプロバイダーでホストされています。Citrix Gateway サービスのPOPの一覧については、「 Citrix Gateway サービス — ポイントオブプレゼンス(POP)」を参照してください。 NetScaler GatewayサービスPoP内では、マイクロサービスとテナントは、完全に冗長化されたアクティブ/アクティブモデルで展開されます。この機能により、障害が発生した場合に、任意のコンポーネントをスタンバイに切り替えることができます。まれに、PoP 内のコンポーネントのすべてのサービスに障害が発生した場合、Gateway サービスは自身をダウンとしてマークします。 Citrixでは、インテリジェントトラフィックマネージャーを使用してPoPの状態を監視し、必要に応じてDNSを使用してトラフィックを代替POPに切り替えます。

Citrixグローバルプレゼンスポイント

Google Cloud プラットフォーム(GCP)でのCitrix Gatewayサービスのサポート

Google Cloud Platform(GCP)でのCitrix Gatewayサービスのサポートにより、Google Cloudでワークロードを実行しているお客様は、Citrix Gatewayの最適なルーティング機能を使用してGoogle Cloudの高性能グローバルネットワークを活用できます。最適なゲートウェイルーティング機能により、クライアントは最も近いGCP Citrix Gateway Service PoPにリダイレクトされます。また、Google Cloud上のCitrix Gateway Serviceは、Citrix Workspaceクライアントと仮想化リソース間の安全な接続を提供し、可能な限り低いレイテンシーと最高のユーザーエクスペリエンスでセッションを提供します。詳しくは、 Google Cloud プラットフォームの Citrix Gateway サービスをご覧ください

展開

NetScaler Gateway サービスを有効にする

Citrix DaaS を利用する資格のあるお客様には、Citrix Gateway サービスがデフォルトで有効になっています。顧客がNetScaler Gatewayサービストライアルを個別にリクエストする必要はありません。詳細については、「 サービスへのサインアップ」を参照してください。

Citrix WorkspaceユーザーのNetScaler Gateway サービスを有効にする手順は次のとおりです。

  1. 管理者ユーザーとしてCitrix Cloudサービスにサインインします。
  2. ハンバーガーアイコンをクリックし、「 ワークスペース設定」を選択します。
  3. 外部接続 」セクションの「 アクセス」タブでCitrix DaaS の下に表示される「 マイリソースの場所」の横にある省略記号を探します。省略記号をクリックし、[ 接続の構成] をクリックします。 Citrix Gatewayサービスを有効にする
  4. ポップアップウィンドウで Citrix Gateway サービスを選択し 、「 保存」をクリックします。 Citrix Gatewayサービスを有効にする

ウェブ/SSLプロキシ

特定のプロキシでSSL復号化が有効になっていると、一部のサービスがCitrix Cloudに接続できないことがあります。このような接続障害は、信頼性の高い接続障害、断続的な接続障害、またはタイムアウトとして見られることがあります。 プロキシは、次の問題を引き起こす可能性があります:

  • DNSソースIPをランダム化します。これにより、ユーザーは最適ではないPoPに誘導されます。
  • 間違った PoP に転送された接続に遅延を追加します(100 ミリ秒以上、過度のジッターあり)。
  • TLSインスペクションはTLSインターセプトをサポートしていないため、Citrix Gatewayサービスが中断されます。

Citrix Gateway サービスのFQDNは、DNSフィルタリングおよびトラフィック検査から除外することをお勧めします。必要な接続可能なインターネットアドレス、およびリソースとCitrix Cloud間の接続を確立する際の考慮事項については、「システムおよび接続要件 」を参照してください。

allowlist.jsonファイルはhttps://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.jsonにあり、Cloud ConnectorがアクセスするFQDNがリストされています。この一覧は製品ごとにグループ化されており、一覧の中にFQDNの各グループの変更ログも記載されています。

Zscaler Private Access(ZPA)を使用する場合は、Citrix Gateway サービスのバイパス設定を構成して、遅延の増加とそれに伴うパフォーマンスへの影響を避けることをお勧めします。そのためには、要件で指定されているCitrix Gateway サービスアドレスのアプリケーションセグメントを定義し、それらを常にバイパスするように設定する必要があります。ZPAをバイパスするようにアプリケーションセグメントを設定する方法については、「 Secure Private Access (ZPA) — バイパス設定の構成」を参照してください。

VPN

VPNでは、Citrix Gatewayサービスドメインのローカルブレークアウトを実装することをお勧めします。https://..nssvc.net, https://.g.nssvc.net, and https://.c.nssvc.net

  • スプリットトンネリングを有効にして、VPN Client が VPN トンネルで保護されている内部ネットワーク宛のトラフィックのみを送信するようにします。
  • Citrix Gateway サービス宛のトラフィックは、VPNトンネルや内部ネットワークを介してバックホールされるのではなく、ローカルインターネット経由で直接送信されます。

Citrix Gateway VPNで実装するには、次の変更を行います:

  • VPN セッションポリシーの [クライアントエクスペリエンス] タブで [スプリットトンネル] フィールドを [オン] に設定して、スプリットトンネリングを有効にします。
  • 内部ネットワークのIPアドレス範囲を使用して透過的なイントラネットアプリケーションエントリを構成します。
  • [クライアントエクスペリエンス] タブの [詳細設定] で、[スプリット DNS] が [ローカル] に設定されていることを確認します。また、[トラフィック管理]>[DNS]>[DNS サフィックス]の DNS サフィックス一覧を構成します。一致するクエリはゲートウェイに転送され、他のクエリはローカルDNSに転送されます。

詳しくは、「 NetScaler Gatewayでの完全VPNセットアップ-スプリットトンネリングの構成」を参照してください

管理性

クラウドベースのリモートアクセスソリューションであるCitrix Gatewayサービスは、管理を一元化し、インフラストラクチャの複雑さを軽減し、自動更新を提供し、スケーラブルで弾力性のあるソリューションを提供することで、運用上のオーバーヘッドを簡素化できます。組織はクラウドサービスの利便性の恩恵を受けることができ、ITチームは日常業務ではなく戦略的イニシアチブに集中できます。

  • 一元管理:Citrix GatewayサービスがCitrix Cloudの一部であるため、管理者は統合コンソールを通じてCitrix Gatewayサービスを一元的に管理できます。複数のオンプレミスNetScaler Gatewayを個別に管理する必要がなくなり、運用の複雑さが軽減されます。
  • インフラストラクチャ管理の軽減:Citrix Gatewayサービスにより、組織はオンプレミスのNetScaler Gatewayアプライアンスを管理および保守する必要がなくなります。物理サーバー、ネットワーク機器、および関連コンポーネントの保守に関連する運用上の負担を大幅に軽減します。
  • 自動更新とパッチ適用:Citrix Gateway サービスには、自動アップデートとパッチ管理が含まれています。管理者が手動で操作しなくても、サービスが最新のセキュリティ強化や機能更新を実行していることを確認します。
  • スケーラビリティと弾力性:Citrix Gateway サービスにより、組織は従来のインフラストラクチャの拡張に伴う複雑さなしに、必要に応じてリモートアクセスインフラストラクチャを簡単に拡張または縮小できます。
  • 保守とサポートのアウトソーシング:クラウドベースのサービスを使用することで、組織はCitrix が提供する専門知識とサポートサービスを利用できます。メンテナンスタスクとトラブルシューティングの責任の一部を組織内のITチームに任せる。

Citrix のサービスコミットメントは、サービスの月間稼働率を少なくとも 99.9% 維持することです。追加情報については、Citrix Cloudサービスレベル契約を参照してくださいCitrix Cloud Health Dashboardには 、重大なインシデントやクラウドサービスの定期メンテナンスに関するステータス更新が、地域ごとに表示されます。追加情報については、 Citrix Cloudサービスヘルスのドキュメントを参照してくださいCitrix Cloud ヘルスダッシュボード

技術概要:HDXプロキシのゲートウェイサービス