直接工作负载连接
借助 Citrix Cloud 中的直接工作负载连接,您可以优化工作区中应用程序和桌面的内部流量,以加快 HDX 会话速度。 通常,内部和外部网络上的用户都通过外部网关连接到 VDA。 此网关可能位于您的组织内部,或作为 Citrix 的服务提供并添加到 Citrix Cloud 内的资源位置。 直接工作负载连接允许内部用户绕过网关并直接连接到 VDA,从而减少内部网络流量的延迟。
注意:
HDX direct 功能允许客户端在可能的情况下自动直接连接到 VDA。 这样就无需手动配置内部网络位置。
要设置直接工作负载连接,您需要与客户端在您的环境中启动应用程序和桌面的位置相对应的网络位置。 使用 Citrix Cloud 中的 网络位置 页面为这些客户端所在的每个办公位置添加一个公共地址。
网络位置对应于您的内部用户所连接的网络的公共 IP 范围,例如您的办公室或分支机构。 Citrix Cloud 使用公共 IP 地址来确定启动虚拟应用程序或桌面的网络是公司网络内部还是外部。 如果订阅者从内部网络连接,Citrix Cloud 会将连接直接路由到 VDA,绕过 NetScaler Gateway。 如果订阅者从外部连接,Citrix Cloud 会通过 NetScaler Gateway 对其进行路由,然后通过 Citrix Cloud Connector 将会话流量定向到内部网络中的 VDA。 如果使用 Citrix Gateway 服务并且启用了 Rendezvous 协议 ,Citrix Cloud 会通过 Gateway 服务将外部用户路由到内部网络中的 VDA。 笔记本电脑等漫游客户端可能会使用其中任一网络路由,具体取决于启动时客户端是在公司网络内部还是外部。
远程浏览器隔离启动始终通过网关路由。 这些启动不会通过配置直接工作负载连接获得性能改进。
要求
网络要求
- 公司网络和访客 Wi-Fi 网络必须具有单独的公共 IP 地址。 如果您的公司网络和来宾网络共享公共 IP 地址,则来宾网络上的用户将无法启动 DaaS 会话。
- 使用内部用户所连接网络的公共 IP 地址范围。 这些网络上的内部用户必须与 VDA 直接连接。 否则,虚拟资源的启动将失败,因为 Workspace 会尝试将内部用户直接路由到 VDA,而这是不可能的。
- 虽然 VDA 通常位于您的本地网络内,但您也可以使用托管在公共云(如 Microsoft Azure)内的 VDA。 客户端启动必须具有网络路由才能联系 VDA,而不会被防火墙阻止。 这需要从您的本地网络到 VDA 所在的虚拟网络的 VPN 隧道。
在 Web 浏览器中打开资源时的 TLS 要求
如果您的最终用户使用 Web 浏览器打开应用程序和桌面,Citrix 建议您在内部网络中的 VDA 上配置 TLS。 将您的 VDA 配置为使用 TLS 连接可确保可以直接启动 VDA。 如果 VDA 未启用 TLS,则当订阅者使用 Citrix Workspace 应用程序进行 HTML5 时,应用程序和桌面启动必须通过网关进行路由。 使用 Desktop Viewer 启动不会受到影响。 有关使用 TLS 保护直接 VDA 连接的详细信息,请参阅 Citrix 支持知识中心内的 CTX134123 。
配置网络位置
您可以在 Citrix Cloud 内配置网络位置。 有关更多信息,请参阅 网络位置。
如果启用了自适应访问,则必须将位置配置为 内部。 如果禁用自适应访问,则您无法选择网络位置类型,并且所有配置的网络位置都被视为内部。
验证内部启动是否正确路由
要验证内部启动是否直接访问 VDA,请使用以下方法之一:
- 通过 DaaS 控制台查看 VDA 连接。
- 使用 ICA 文件日志记录来验证客户端连接的正确寻址。
Citrix DaaS 控制台
选择 管理 > 监控 然后搜索具有活动会话的用户。 在控制台的 会话详细信息 部分,直接 VDA 连接显示为 UDP 连接,而网关连接显示为 TCP 连接。
如果您在 DaaS 控制台上看不到 UDP,则必须为 VDA 启用 HDX 自适应传输策略。
ICA 文件日志记录
按照 Citrix Workspace app for Windows 文档中的说明在客户端计算机上启用 ICA 文件日志记录。 启动会话后,检查记录的 ICA 文件中的 Address 和 SSLProxyHost 条目。
直接 VDA 连接
对于直接 VDA 连接, Address 属性包含 VDA 的 IP 地址和端口。
以下是客户端使用 NLS 启动应用程序时的 ICA 文件示例:
[Notepad++ Cloud]
Address=;10.0.1.54:1494
SSLEnable=Off
<!--NeedCopy-->
此文件中不存在 SSLProxyHost 属性。 仅通过网关启动时才包含此属性。
网关连接
对于网关连接, Address 属性包含 Citrix Cloud STA 票证, SSLEnable 属性设置为 On, SSLProxyHost 属性包含网关的 FQDN 和端口。
以下是客户端通过 Citrix Gateway 服务建立连接并启动应用程序时的 ICA 文件示例:
[PowerShell ISE Cloud]
Address=;40;CWSSTA;027C02199068B33889A40C819A85CBB4
SSLEnable=On
SSLProxyHost=global.g.nssvcstaging.net:443
<!--NeedCopy-->
以下是客户端通过本地网关建立连接并使用在资源位置内配置的本地网关启动应用程序时的 ICA 文件示例:
[PowerShell ISE Cloud]
Address=;40;CWSSTA;027C02199068B33889A40C819A85CBB5
SSLEnable=On
SSLProxyHost=onpremgateway.domain.com:443
<!--NeedCopy-->
注意:
用于启动虚拟应用程序和桌面的本地网关虚拟服务器必须是 VPN 虚拟服务器,而不是 nFactor 身份验证虚拟服务器。 nFactor 身份验证虚拟服务器仅用于用户身份验证,不代理资源 HDX 和 ICA 启动流量。
故障排除
VDA 启动失败
如果 VDA 会话无法启动,请验证您使用的是正确的网络的公共 IP 地址范围。 配置网络位置时,您必须使用内部用户所连接的网络的公共 IP 地址范围来访问 Internet。 有关更多信息,请参阅本文中的 要求 。
内部 VDA 启动仍通过网关路由
如果内部启动的 VDA 会话仍像外部会话一样通过网关路由,请验证您使用的是正确的公共 IP 地址,内部用户可以通过该地址连接以到达他们的工作区。 NLS 站点中列出的公共 IP 地址必须与启动资源的客户端用于访问 Internet 的地址相对应。 要获取客户端的正确公共 IP 地址,请登录客户端计算机,访问搜索引擎,然后在搜索栏中输入“我的 IP 是什么”。
在同一办公地点内启动资源的所有客户端通常使用相同的网络出口公共 IP 地址访问互联网。 这些客户端必须具有到 VDA 所在子网的 Internet 网络路由,并且该路由不会被防火墙阻止。 有关更多信息,请参阅本文中的 要求 。
额外的帮助和支持
如需故障排除帮助或有任何疑问,请联系您的 Citrix 销售代表或 Citrix 支持。