Rendezvous V2 | Linux Virtual Delivery Agent 2411

要求

使用 Rendezvous V2 的要求如下：

使用 Citrix Workspace™ 和 Citrix Gateway 服务访问环境。

控制平面：Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops™ 服务）。

VDA 版本 2201 或更高版本。

版本 2204 是 HTTP 和 SOCKS5 代理所需的最低版本。
在 Citrix 策略中启用 Rendezvous 协议。有关详细信息，请参阅Rendezvous 协议策略设置。

VDA 必须能够访问：

https://*.xendesktop.net 上的 TCP 443。如果无法以这种方式允许所有子域，可以使用 https://<customer_ID>.xendesktop.net，其中 <customer_ID> 是 Citrix Cloud 管理员门户中显示的 Citrix Cloud 客户 ID。
https://*.nssvc.net，包括所有子域。如果无法以这种方式将所有子域列入白名单，请改用 https://*.c.nssvc.net 和 https://*.g.nssvc.net。有关详细信息，请参阅 Citrix Cloud 文档（在 Virtual Apps and Desktop 服务下）中的 Internet 连接要求部分和知识中心文章 CTX270584。

VDA 必须能够连接到前面提到的地址：

对于 TCP Rendezvous，在 TCP 443 上。
对于 EDT Rendezvous，在 UDP 443 上。

代理配置

使用 Rendezvous 时，VDA 支持通过代理连接控制流量和 HDX 会话流量。这两种流量的要求和注意事项不同，请仔细查看。

控制流量代理注意事项

仅支持 HTTP 代理。

不支持数据包解密和检查。配置例外，以便 VDA 与 Citrix Cloud 控制平面之间的控制流量不会被拦截、解密或检查。否则，连接将失败。

不支持代理身份验证。

要为控制流量配置代理，请按如下方式编辑注册表：

 /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force
 <!--NeedCopy-->

HDX 流量代理注意事项

支持 HTTP 和 SOCKS5 代理。

EDT 只能与 SOCKS5 代理一起使用。
要为 HDX 流量配置代理，请使用Rendezvous 代理配置策略设置。
不支持数据包解密和检查。配置例外，以便 VDA 与 Citrix Cloud 控制平面之间的 HDX 流量不会被拦截、解密或检查。否则，连接将失败。

HTTP 代理通过使用 Negotiate 和 Kerberos 身份验证协议支持基于计算机的身份验证。当您连接到代理服务器时，Negotiate 身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。

注意：

要使用 Kerberos，您必须为代理服务器创建服务主体名称 (SPN)，并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时会生成 HTTP/<proxyURL> 格式的 SPN，其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果您不创建 SPN，身份验证将失败。

目前不支持使用 SOCKS5 代理进行身份验证。如果使用 SOCKS5 代理，则必须配置例外，以便发往 Gateway Service 地址（在要求中指定）的流量可以绕过身份验证。

只有 SOCKS5 代理支持通过 EDT 进行数据传输。对于 HTTP 代理，请使用 TCP 作为 ICA 的传输协议。

透明代理

Rendezvous 支持透明 HTTP 代理。如果您的网络中使用透明代理，则 VDA 上无需进行额外配置。

如何配置 Rendezvous V2

以下是在您的环境中配置 Rendezvous 的步骤：

确保满足所有要求。

安装 VDA 后，运行以下命令设置所需的注册表项：

/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force
<!--NeedCopy-->

重新启动 VDA 计算机。

创建 Citrix 策略或编辑现有策略：

将 Rendezvous 协议设置设为允许。Rendezvous 协议默认处于禁用状态。当 Rendezvous 协议启用（允许）时，Rendezvous V2 而非 V1 生效。
确保 Citrix 策略筛选器设置正确。该策略适用于需要启用 Rendezvous 的计算机。
确保 Citrix 策略具有正确的优先级，以免覆盖其他策略。

Rendezvous 验证

要检查会话是否正在使用 Rendezvous 协议，请在终端中运行命令 /opt/Citrix/VDA/bin/ctxquery -f iP。

显示的传输协议指示连接类型：

TCP Rendezvous：TCP - TLS - CGP - ICA

EDT Rendezvous：UDP - DTLS - CGP - ICA

通过 Cloud Connector 代理：TCP - PROXY - SSL - CGP - ICA 或 UDP - PROXY - DTLS - CGP - ICA

如果正在使用 Rendezvous V2，则协议版本显示 2.0。

提示：

如果 VDA 在启用 Rendezvous 的情况下无法直接访问 Citrix Gateway 服务，则 VDA 会回退到通过 Cloud Connector 代理 HDX 会话。

Rendezvous 流量流

下图说明了 Rendezvous 流量流的步骤顺序。

VDA 与 Citrix Cloud 建立 WebSocket 连接并注册。

VDA 向 Citrix Gateway Service 注册并获取专用令牌。

VDA 与 Gateway Service 建立持久控制连接。

用户导航到 Citrix Workspace。

Workspace 评估身份验证配置并将用户重定向到相应的 IdP 进行身份验证。

用户输入其凭据。

成功验证用户凭据后，用户将被重定向到 Workspace。

Workspace 计算用户的资源并显示它们。

用户从 Workspace 中选择桌面或应用程序。Workspace 将请求发送到 Citrix DaaS™，后者代理连接并指示 VDA 准备会话。

VDA 响应 Rendezvous 功能及其身份。

Citrix DaaS 生成启动票证并通过 Workspace 将其发送到用户设备。

用户的端点连接到 Gateway Service 并提供启动票证以进行身份验证并识别要连接的资源。

Gateway Service 将连接信息发送到 VDA。

VDA 与 Gateway Service 建立会话的直接连接。

Gateway Service 完成端点与 VDA 之间的连接。

VDA 验证会话的许可。

Citrix DaaS 将适用的策略发送到 VDA。

这是否有帮助？