Linux Virtual Delivery Agent

Rendezvous V1

使用 Citrix Gateway 服务时,Rendezvous 协议允许流量绕过 Citrix Cloud Connector,以直接安全地连接到 Citrix Cloud 控制平面。

有两种类型的流量需要考虑:1) 控制 VDA 注册和会话代理的流量;2) HDX 会话流量。

Rendezvous V1 允许 HDX 会话流量绕过 Cloud Connector,但它仍要求 Cloud Connector 代理所有控制流量以进行 VDA 注册和会话代理。

要求

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
  • Linux VDA 版本 2112 或更高版本。
    • 版本 2112 是非透明 HTTP 代理所需的最低版本。
    • 版本 2204 是透明代理和 SOCKS5 代理所需的最低版本。
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置
  • VDA 必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果您无法通过该方式将所有子域列入白名单,请改为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档(在 Virtual Apps and Desktops 服务下方)的 Internet 连接要求部分和知识中心文章 CTX270584
  • 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。要实现此目标,请为站点启用 DNS 解析:使用 Citrix DaaS 远程 PowerShell SDK,运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix DaaS 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API

代理配置

VDA 支持通过 HTTP 和 SOCKS5 代理建立 Rendezvous 连接。

代理注意事项

在 Rendezvous 中使用代理时,请注意以下事项:

  • 支持非透明 HTTP 代理和 SOCKS5 代理。

  • 不支持数据包解密和检查。配置异常,以便 VDA 与网关服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。

  • HTTP 代理通过使用协商和 Kerberos 身份验证协议支持基于计算机的身份验证。连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。

    注意:

    要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将失败。

  • 当前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理,必须配置例外,以便发往网关服务地址的流量(在要求中指定)可以绕过身份验证。
  • 只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

透明代理

Rendezvous 支持透明 HTTP 代理。如果在网络中使用透明代理,则不需要在 VDA 上进行其他配置。

非透明代理

在网络中使用非透明代理时,请配置 Rendezvous 代理配置设置。启用该设置后,为 VDA 指定 HTTP 或 SOCKS5 代理地址,以了解要使用哪个代理。例如:

  • 代理地址:http://<URL or IP>:<port>socks5://<URL or IP>:<port>

Rendezvous 验证

如果您满足所有要求,请按照下列步骤验证是否正在使用 Rendezvous:

  1. 在 VDA 上启动端点。
  2. 运行 /opt/Citrix/VDA/bin/ctxquery -f iP
  3. 传输协议指明连接类型:
    • TCP Rendezvous:TCP - TLS - CGP - ICA
    • EDT Rendezvous:UDP - DTLS - CGP - ICA
    • 通过Cloud Connector 代理:TCP - PROXY - SSL - CGP - ICA 或 UDP - PROXY - DTLS - CGP - ICA

提示:

如果启用了 Rendezvous,并且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 将回退到通过 Cloud Connector 代理 HDX 会话。

Rendezvous 的工作原理

下图概述了 Rendezvous 连接流程。

Rendezvous 协议概述

请按照步骤了解流程。

  1. 导航到 Citrix Workspace。
  2. 在 Citrix Workspace 中输入凭据。
  3. 如果使用本地 Active Directory,Citrix DaaS 将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
  4. Citrix Workspace 显示 Citrix DaaS 中的枚举资源。
  5. 从 Citrix Workspace 中选择资源。Citrix DaaS 向 VDA 发送一条消息,以便为传入会话做好准备。
  6. Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
  7. 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
  8. Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为 Rendezvous 连接,并将信息发送到 VDA。
  9. VDA 建立与 Citrix Gateway 服务的直接连接。
  10. 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 将通过 Cloud Connector 代理其连接。
  11. Citrix Gateway 服务在端点与 VDA 之间建立连接。
  12. VDA 通过 Cloud Connector 借助 Citrix DaaS 验证其许可证。
  13. Citrix DaaS 通过 Cloud Connector 向 VDA 发送会话策略。这些政策已应用。
Rendezvous V1