HDX™ 直接
访问 Citrix 提供的资源时,如果直接通信可行,HDX Direct 允许内部和外部客户端设备与会话主机建立安全的直接连接。
系统配置要求
以下是使用 HDX Direct 的系统要求:
-
控制平面
- Citrix 桌面即服务™
- Citrix 虚拟应用和桌面™ 2503 或更高版本
-
虚拟投递代理 (VDA)
- Windows: 版本 2503 或更高版本
-
工作区应用程序
- Windows: 版本 2503 或更高版本
- Linux: 版本 2411 或更高版本
- Mac: 版本 2411 或更高版本
-
访问层
- 思杰工作区™
- Citrix 店面™ 2503 或更高版本
- Citrix 网关服务
- 思杰网络加速器® 网关
网络连接要求
以下是使用 HDX Direct 的网络要求。
会话主机
如果您的会话主机具有防火墙(例如 Windows Defender 防火墙),则必须允许以下入站流量用于内部连接。
| 详细描述 | 源 | 协议 | 端口 |
|---|---|---|---|
| 直接内部网络连接 | 客户端 | TCP | 443 |
| 内部网络的直接连接 | 客户端 | UDP | 443 |
注意:
VDA 安装程序会将相应的入站规则添加到 Windows Defender 防火墙。如果您使用其他防火墙,则必须添加上述规则。
客户端网络
下表详细描述了内部和外部用户的客户端网络。
内部用户
| 详细说明 | 协议 | 源 | 源端口 | 目标地址 | 目标端口 |
|---|---|---|---|---|---|
| 直接的内部连接 | TCP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
| 直接的内部连接 | UDP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
外部用户
| 功能描述 | 协议 | 源 | 源端口 | 目标地址 | 目标端口 |
|---|---|---|---|---|---|
| STUN(仅限外部用户) | UDP | 客户端网络 | 1024–65535 | Internet(请参阅下面的注释) | 3478, 19302 |
| 外部用户连接 | UDP | 客户端网络 | 1024–65535 | 数据中心的公共 IP 地址 | 1024–65535 |
数据中心网络
下表详细阐述了适用于内部和外部用户的数据中心网络。
内部用户
| 详细描述 | 协议 | 源 | 源端口 | 目的地 | 目标端口 |
|---|---|---|---|---|---|
| 直接的内部连接 | TCP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
| 直接的内部连接 | UDP | 客户端网络 | 1024–65535 | VDA 网络 | 443 |
外部用户
| 详细描述 | 协议 | 源 | 源端口 | 目的地 | 目标端口 |
|---|---|---|---|---|---|
| STUN(仅限外部用户) | UDP | VDA 网络 | 1024–65535 | 互联网(参见下文注释) | 3478, 19302 |
| 外部用户连接 | UDP | DMZ / 内部网络 | 1024–65535 | VDA 网络 | 55000–55250 |
| 外部用户连接 | UDP | VDA 网络 | 55000–55250 | 客户端的公共 IP | 1024–65535 |
注意:
VDA 和 Workspace 应用程序都尝试按以下相同顺序向以下服务器发送 STUN 请求:
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
如果您使用 HDX Direct 端口范围策略设置更改外部用户连接的默认端口范围,则相应的防火墙规则必须与您的自定义端口范围匹配。
配置设置
HDX Direct 默认处于禁用状态。您可以使用 Citrix 策略中的 HDX Direct 设置配置此功能。
- HDX Direct:用于启用或禁用功能。
- HDX Direct 模式:确定 HDX Direct 仅适用于内部客户端,还是同时适用于内部和外部客户端。
- HDX Direct 端口范围:定义 VDA 用于来自外部客户端连接的端口范围。
如有需要,可以通过编辑以下注册表值来修改 HDX Direct 使用的 STUN 服务器列表:
- Key: HKLM\SOFTWARE\Citrix\HDX-Direct
- Value type: REG_MULTI_SZ
- 值名称: STUN服务器
- Data: stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302
注意:
外部用户的 HDX Direct 仅在 EDT (UDP) 作为传输协议时可用。因此,必须启用自适应传输。
注意事项
以下是使用 HDX Direct 的注意事项:
- 外部用户的 HDX Direct 仅在 EDT (UDP) 作为传输协议时可用。因此,必须启用自适应传输。
- 如果您正在使用 HDX Insight,请注意使用 HDX Direct 会阻止 HDX Insight 数据收集,因为会话将不再通过 NetScaler Gateway 进行代理。
工作原理
当直接通信可用时,HDX Direct 允许客户端与会话主机建立直接连接。当使用 HDX Direct 建立直接连接时,将使用自签名证书通过网络级加密 (TLS/DTLS) 来保护直接连接。
内部用户
下图描绘了内部用户的 HDX Direct 连接过程概述。
- 客户端通过网关服务建立 HDX 会话。
- 成功连接后,VDA 通过 HDX 连接向客户端发送 VDA 机器的 FQDN、其 IP 地址列表以及 VDA 机器的证书。
- 客户端探测 IP 地址,以查看是否可以直接访问 VDA。
- 如果客户端可以使用共享的任何 IP 地址直接访问 VDA,则客户端会与 VDA 建立直接连接,该连接使用与步骤 (2) 中交换的证书匹配的证书通过 (D)TLS 进行保护。
- 一旦直接连接成功建立后,该会话便会转移到新的连接上,并且与网关服务的连接将被终止。
注意:
在上述步骤 2 中建立连接后,会话处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果任何后续步骤失败,通过网关的连接将保持不变,而不会中断用户会话。
传统的直接连接方式
当使用 Storefront、具有直接工作负载连接的 Workspace 或配置为仅限内部连接的 Workspace 时,客户端和会话主机之间会建立直接连接,而无需首先通过网关路由。
在这些情况下,HDX Direct 不会被触发,因为连接本身就是直接的。但是,如果启用了 HDX Direct,这些连接将利用 HDX Direct 证书来保护会话。
外部用户
下图描绘了外部用户的 HDX Direct 连接过程概述:
- 客户端通过网关服务建立 HDX 会话。
- 成功连接后,客户端和 VDA 都会发送 STUN 请求以发现其公共 IP 地址和端口。
- STUN 服务器向客户端和 VDA 响应其相应的公共 IP 地址和端口。
- 通过 HDX 连接,客户端和 VDA 交换其公共 IP 地址和 UDP 端口,VDA 将其证书发送给客户端。
- VDA 将 UDP 数据包发送到客户端的公共 IP 地址和 UDP 端口。客户端将 UDP 数据包发送到 VDA 的公共 IP 地址和 UDP 端口。
- 收到 VDA 的消息后,客户端会响应一个安全连接请求。
- 在 DTLS 握手期间,客户端会验证证书是否与步骤 (4) 中交换的证书匹配。验证后,客户端会发送其授权令牌。此时已建立安全的直接连接。
- 一旦直接连接成功建立,会话便会立即转移至新的连接,同时,与网关服务的连接也将被终止。
注意:
在上述步骤 2 中建立连接后,会话处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果后续任何步骤失败,通过网关的连接将保持不变,而不会中断用户的会话。