Citrix Virtual Apps and Desktops

Framehawk

Importante:

A partir do Citrix Virtual Apps and Desktops 7 1903, o Framehawk não tem mais suporte. Em vez disso, use o Thinwire com o transporte adaptativo ativado.

O Framehawk é uma tecnologia de exibição remota para trabalhadores móveis em conexões sem fio de banda larga (redes celulares Wi-Fi e 4G/LTE) sujeitos a uma grande perda de pacotes. O Framehawk supera os desafios da interferência espectral e da propagação multicaminhos. O Framehawk oferece uma experiência fluida e interativa aos usuários de aplicativos virtuais e desktops em dispositivos móveis Windows e iOS, como laptops e tablets. Para maximizar a escalabilidade do servidor e minimizar o consumo de largura de banda da rede, recomendamos usar o Framehawk apenas para o caso de uso específico descrito acima. Recomendamos o transporte adaptável, que incorpora muitos conceitos do Framehawk para maximizar a taxa de transferência de dados, para todos os outros casos de uso.

Você pode usar modelos de política da Citrix para implementar o Framehawk para um conjunto de usuários e acessar cenários de uma maneira apropriada para sua organização. O Framehawk tem como alvo casos de uso móvel de tela única, como laptops e tablets. Use o Framehawk onde o valor comercial do desempenho interativo em tempo real justifica o custo extra nos recursos do servidor e o requisito para uma conexão de banda larga.

Como o Framehawk garante facilidade no uso pelo usuário

Pense no Framehawk como uma implementação de software do olho humano, olhando para o que está no buffer de quadros e discernindo os diferentes tipos de conteúdo na tela. O que é importante para o usuário? Quando as áreas da tela estão mudando rapidamente, como vídeo ou gráficos em movimento, não importa para o olho humano se alguns pixels são perdidos. Essas áreas são rapidamente substituídas por novos dados.

Mas quando se trata de áreas estáticas da tela, o olho humano é exigente. Por exemplo, os ícones na área de notificação ou uma barra de ferramentas, ou texto após a rolagem para onde o usuário deseja começar a ler. Um usuário espera que essas áreas sejam perfeitas em pixels. Ao contrário dos protocolos que visam ser tecnicamente precisos a partir de uma perspectiva de uns e zeros, Framehawk pretende ser relevante para o ser humano que está usando a tecnologia.

O Framehawk inclui um amplificador de sinal de qualidade de serviço de próxima geração, além de um mapa térmico baseado no tempo para uma identificação mais apurada e eficiente das cargas de trabalho. Ele usa transformações autonômicas e de auto-recuperação, além da compactação de dados e evita a retransmissão de dados para manter a resposta de cliques, a linearidade e uma cadência consistente. Em uma conexão de rede com perdas, o Framehawk pode ocultar a perda com interpolação, e o usuário ainda recebe uma boa qualidade de imagem enquanto desfruta de uma experiência mais fluida. Além disso, os algoritmos do Framehawk distinguem de forma inteligente entre diferentes tipos de perda de pacotes. Por exemplo, perda aleatória (enviar mais dados para compensar) versus perda de congestionamento (não envie mais dados porque o canal já está saturado).

O aplicativo Framehawk Intent Engine no Citrix Workspace distingue entre rolagem para cima ou para baixo, zoom, mover para a esquerda ou para a direita, ler, digitar e outras ações comuns. O mecanismo também gerencia a comunicação de volta para o Virtual Delivery Agent (VDA) usando um dicionário compartilhado. Se o usuário está tentando ler, a qualidade visual do texto deve ser excelente. Se o usuário estiver rolando, a rolagem deve ser rápida e suave. E deve ser possível interromper, para que o usuário esteja sempre no controle da interação com o aplicativo ou desktop.

Medindo a cadência na conexão de rede (troca de marchas, análogo à tensão em uma corrente de bicicleta), a lógica Framehawk reage mais rapidamente, proporcionando uma experiência superior sobre conexões de alta latência. Este sistema de troca de marchas exclusivo e patenteado fornece feedback atualizado constante sobre as condições de rede, permitindo que o Framehawk reaja imediatamente às mudanças na largura de banda, latência e perda.

Considerações de projeto usando Thinwire e Framehawk

O Framehawk usa uma camada de transporte de dados construída sobre (User Datagram Protocol (UDP). O UDP é uma pequena parte de como o Framehawk supera a perda, como você pode ver ao comparar o desempenho do Framehawk com outros protocolos baseados em UDP. O UDP fornece uma base importante para as técnicas centradas no homem que diferenciam o Framehawk.

Quanta largura de banda o Framehawk requer?

O significado da banda larga sem fio depende de vários fatores, incluindo quantos usuários estão compartilhando a conexão, a qualidade da conexão e aplicativos que estão sendo usados. Para um desempenho ideal, a Citrix sugere uma base de 4 Mbps ou 5 Mbps mais cerca de 150 Kbps por usuário simultâneo.

Nossa recomendação de largura de banda para Thinwire geralmente é uma base de 1,5 Mbps mais 150 Kbps por usuário. Para obter detalhes, consulte o blog da largura de banda do Citrix Virtual Apps and Desktops). Com 3% de perda de pacotes, você descobrirá que o Thinwire sobre TCP precisa de muito mais largura de banda do que o Framehawk para manter uma experiência positiva do usuário.

O Thinwire continua sendo o principal canal de exibição remota no protocolo ICA. O Framehawk está desativado por padrão. A Citrix recomenda habilitá-lo seletivamente para abordar os cenários de acesso sem fio de banda larga em sua organização. Lembre-se de que o Framehawk requer consideravelmente mais recursos de servidor (CPU e memória) do que o Thinwire.

Requisitos e considerações

O Framehawk requer o VDA 7.6.300 mínimo e o Gerenciamento de Política de Grupo 7.6.300.

O ponto de extremidade deve ter um mínimo de aplicativo Workspace para Windows 1808 ou Citrix Receiver para Windows 4.3.100, aplicativo Workspace para iOS 1808 ou Citrix Receiver para iOS 6.0.1.

Por padrão, o Framehawk usa um intervalo de portas bidirecional User Datagram Protocol (UDP) (3224 a 3324) para trocar dados do canal de exibição do Framehawk com o aplicativo Citrix Workspace. O intervalo pode ser personalizado em uma configuração de política chamada Faixa de portas de canal de exibição do Framehawk. Cada conexão simultânea entre o cliente e a área de trabalho virtual requer uma porta exclusiva. Para ambientes de SO multiusuário, como os servidores Citrix Virtual Apps, defina portas suficientes para suportar o número máximo de sessões simultâneas de usuários. Para um sistema operacional de usuário único, como áreas de trabalho VDI, basta definir uma única porta UDP. O Framehawk tenta usar a primeira porta definida, trabalhando até a porta final especificada no intervalo. Isso se aplica tanto ao passar pelo Citrix Gateway quanto às conexões internas diretamente ao servidor StoreFront.

Para acesso remoto, deve ser implantado um Citrix Gateway. Por padrão, o Citrix Gateway usa a porta UDP 443 para comunicação criptografada entre o aplicativo cliente Citrix Workspace e o Gateway. Esta porta deve estar aberta em todos os firewalls externos para permitir uma comunicação segura em ambas as direções. O recurso é conhecido como Datagram Transport Security (DTLS).

Nota:

As conexões Framehawk/DTLS não são suportadas em dispositivos FIPS.

Conexões criptografadas Framehawk têm suporte, começando pelo NetScaler Gateway versão 11.0.62 e NetScaler Unified Gateway versão 11.0.64.34 ou posterior.

O NetScaler High Availability é compatível com o XenApp e o XenDesktop 7.12.

Considere as seguintes recomendações antes de implementar o Framehawk:

  • Entre em contato com o administrador de segurança para confirmar que as portas UDP definidas para Framehawk estão abertas no firewall. O processo de instalação não configura automaticamente o firewall.
  • Muitas vezes, o Citrix Gateway pode ser instalado no DMZ, acompanhado por firewalls no lado externo e interno. A porta UDP 443 deve estar aberta no firewall externo. As portas UDP 3224 a 3324 devem estar abertas no firewall interno se o ambiente estiver usando os intervalos de porta padrão.

Configuração

Cuidado:

A Citrix recomenda que você ative o Framehawk apenas para usuários que provavelmente experimentarão alta perda de pacotes. Também recomendamos que você não ative o Framehawk como uma política universal para todos os objetos no site.

O Framehawk está desativado por padrão. Quando ativado, o servidor tenta usar o Framehawk para gráficos e entrada do usuário. Se os pré-requisitos não forem atendidos por algum motivo, a conexão será estabelecida usando o modo padrão (Thinwire).

As seguintes configurações de política afetam o Framehawk:

  • Framehawk display channel: Ativa ou desativa o recurso.
  • Framehawk display channel port range: Especifica o intervalo de números de porta UDP (número de porta mais baixo para o mais alto) que o VDA usa para trocar dados do canal de exibição do Framehawk com o dispositivo do usuário. O VDA tenta usar cada porta, começando no menor número de porta e incrementando para cada tentativa subsequente. A porta lida com o tráfego de entrada e de saída.

Abertura de portas para o canal de exibição Framehawk

No XenApp e no XenDesktop 7.8, uma opção está disponível para reconfigurar o Firewall durante a etapa Recursos do instalador VDA. Esta caixa de seleção abre as portas UDP 3224 a 3324 no Firewall do Windows, se selecionada. É necessário configura o firewall manualmente em algumas circunstâncias:

  • Para todos os firewalls de rede. Ou
  • O intervalo de portas padrão é customizado.

Para abrir estas portas UDP, marque a caixa de seleção Framehawk :

portas UDP abertas

Você também pode usar a linha de comando para abrir portas UDP para o Framehawk usando /ENABLE_FRAMEHAWK_PORT:

portas FH abertas

Verificação de atribuições de porta UDP do Framehawk

Durante a instalação, você pode verificar as portas UDP atribuídas ao Framehawk na tela Firewall :

portas UDP padrão

A tela Summary indica se o recurso Framehawk está ativado:

tela de resumo

Suporte ao Citrix Gateway para Framehawk

O tráfego criptografado Framehawk é suportado no Citrix Gateway 1808 ou posterior e no NetScaler Gateway 11.0.62.10 ou posterior, e no Citrix Unified Gateway 1808 e NetScaler Unified Gateway 11.0.64.34 ou posterior.

  • O Citrix Gateway refere-se à arquitetura de implantação em que o servidor virtual Gateway VPN é diretamente acessível a partir do dispositivo do usuário final. Ou seja, o servidor virtual VPN tem um endereço IP público atribuído e o usuário se conecta a este endereço IP diretamente.
  • O Citrix Gateway com Unified Gateway refere-se à implantação em que o servidor virtual Gateway VPN está vinculado como destino ao servidor virtual de comutação de conteúdo (CS). Nesta implantação, o servidor virtual CS tem o endereço de protocolo de internet pública e o servidor virtual Gateway VPN tem um endereço de protocolo de internet fictícia.

Para ativar o suporte ao Framehawk no Citrix Gateway, o parâmetro DTLS no nível do servidor virtual Gateway VPN deve estar ativado. Depois que o parâmetro é ativado e os componentes do Citrix Virtual Apps ou Citrix Virtual Desktops forem atualizados corretamente, o tráfego interativo e o áudio do Framehawk são criptografados entre o servidor virtual Gateway VPN e o dispositivo do usuário.

O Citrix Gateway, Unified Gateway e Citrix Gateway + balanceamento de carga global do servidor são compatíveis com o Framehawk.

Os seguintes cenários não têm suporte com o Framehawk:

  • HDX Insight
  • Citrix Gateway no modo IPv6
  • Citrix Gateway Double Hop
  • Citrix Gateway com configuração de cluster
Cenário Suporte ao Framehawk
Citrix Gateway Sim
Citrix Gateway + balanceamento de carga global do servidor Sim
Citrix Gateway com Unified Gateway Sim. Nota: A versão 11.0.64.34 do Unified Gateway e versões posteriores têm suporte.
HDX Insight Não
Citrix Gateway no modo IPv6 Não
Citrix Gateway Double Hop Não
Secure Ticket Authority múltipla no Citrix Gateway Sim
Citrix Gateway e alta disponibilidade Sim
Configuração do Citrix Gateway e cluster Não

Configuração do suporte ao Citrix Gateway para Framehawk

Para habilitar o suporte ao Framehawk no Citrix Gateway, ative o parâmetro DTLS no nível de servidor virtual do Gateway VPN. Depois que o parâmetro for ativado e os componentes do Citrix Virtual Apps and Desktops forem atualizados corretamente, o tráfego interativo e o áudio do Framehawk serão criptografados entre o servidor virtual da VPN de Gateway e o dispositivo do usuário.

Essa configuração é necessária se você estiver ativando a criptografia de UDP no Citrix Gateway para acesso remoto.

Ao configurar o suporte ao Citrix Gateway para Framehawk:

  • Verifique se a porta UDP 443 está aberta em todos os firewalls externos
  • Verifique se a porta CGP (padrão 2598) está aberta em todos os firewalls externos
  • Habilite o DTLS nas configurações para o servidor virtual VPN
  • Desvincule e revincule o par de chaves de certificação SSL. Esta etapa não é necessária se você estiver usando o Citrix Gateway 1808 ou posterior ou NetScaler versão 11.0.64.34 ou posterior.

Para configurar o suporte ao Citrix Gateway for Framehawk:

  1. Implante e configure o Citrix Gateway para se comunicar com o StoreFront e autenticar usuários do Citrix Virtual Apps and Desktops.
  2. Na guia Configuration do Citrix Gateway, expanda Citrix Gateway e selecione Virtual Servers.
  3. Escolha a Edit para indicar ajustes básicos para o servidor virtual VPN; verifique o estado da configuração DTLS.
  4. Escolha More para exibir mais opções de configuração:
  5. Escolha DTLS para fornecer segurança de comunicações para protocolos de datagrama, como o Framehawk. Clique em OK. A área de configurações básicas para o servidor virtual VPN mostra que a bandeira DTLS está definida como True.
  6. Reabra a tela Server Certificate Binding e clique em + para vincular o par de chaves de certificado.
  7. Escolha o par de chaves do certificado de mais cedo, clique Select.
  8. Salve as alterações na vinculação do certificado do servidor.
  9. Depois de salvar, o par de chaves de certificado é exibido. Clique em Bind.
  10. Ignore a mensagem de advertência No usable ciphers configured on the SSL vserver/service, caso seja exibida.

Etapas para versões antigas do NetScaler Gateway

Se você estiver usando uma versão do NetScaler Gateway anterior à versão 11.0.64.34:

  1. Reabra a tela Server Certificate Binding e clique em + para vincular o par de chaves de certificado.
  2. Escolha o par de chaves do certificado de mais cedo, clique Select.
  3. Salve as alterações na vinculação do certificado do servidor.
  4. Depois de salvar, o par de chaves de certificado é exibido. Clique em Bind.
  5. Ignore a mensagem de advertência No usable ciphers configured on the SSL vserver/service, caso seja exibida.

Para configurar o suporte ao Unified Gateway para Framehawk:

  1. Verifique se o Unified Gateway está instalado e configurado corretamente. Para obter informações adicionais, consulte informações sobre o Unified Gateway no site de Documentação de Produtos Citrix.
  2. Ative o parâmetro DTLS no servidor virtual VPN, que é limitado ao servidor virtual CS como servidor virtual de destino.

Limitações

Se houver entradas DNS obsoletas para o servidor virtual Citrix Gateway no dispositivo cliente, o transporte adaptativo e o Framehawk poderão recorrer ao transporte TCP em vez do transporte UDP. Se ocorrer fallback ao transporte TCP, esvazie o cache DNS no cliente e reconecte-se para estabelecer a sessão usando o transporte UDP.

O Framehawk não suporta cursores de mouse de 32 bits, como ocorre em aplicativos como o PTC Creo.

O Framehawk foi projetado para dispositivos móveis, como laptops e tablets usando um único monitor, e ele reverte para o Thinwire em uma configuração de dois ou vários monitores.

Suporte para outros produtos de VPN

O Citrix Gateway é o único produto SSL VPN que dá suporte à criptografia UDP exigida pelo Framehawk. Se for usada outra VPN SSL ou uma versão incorreta do Citrix Gateway, a política do Framehawk poderá deixar de ser aplicada. Os produtos VPN IPsec tradicionais dão suporte a Framehawk sem modificações.

Monitoramento de Framehawk

Você pode monitorar o uso e o desempenho do Framehawk por meio do Citrix Director. A visualização Detalhes do Canal Virtual HDX contém informações úteis para solução de problemas e monitoramento do Framehawk em qualquer sessão. Para exibir métricas relacionadas ao Framehawk, selecione Graphics-Framehawk.

Se a conexão Framehawk for estabelecida, você verá Provider = VD3D e Connected = True na página de detalhes. É normal que o estado do canal virtual fique ocioso, porque ele monitora o canal de sinalização, que é usado somente durante o aperto de mão inicial. Esta página também fornece outras estatísticas úteis sobre a conexão.

Se você encontrar problemas, consulte o Framehawk troubleshooting blog.