技术简报:HDX 代理的网关服务

适用于 HDX 代理的 Citrix Gateway 服务为用户提供对 Citrix Virtual Apps and Desktops 的安全远程访问,而无需在本地 DMZ 中部署 Citrix Gateway 或重新配置防火墙。Citrix 承担管理云中远程访问的整个基础架构开销。

本地与云

本地

Citrix Virtual Apps and Desktops 几十年来一直为企业提供良好的服务,但他们还需要提供远程访问的额外要求

  • 实施和维护多个站点以实现冗余
  • 实施和维护公有 IP 地址
  • 实施和维护网络设备
  • 实施和维护防火墙规则

本地

借助 Citrix Cloud 和 Citrix Gateway 服务,企业现在可以提供对 Citrix Virtual Apps and Desktops 的远程访问,而无需额外要求以及其他优势

  • Citrix 在全球范围内实施和维护多个站点
  • 公有 IP 地址由 Citrix 实施和维护
  • 通过 Citrix Analytics 实现的 Citrix Cloud 高级安全性
  • 预测 DNS 提供更好的用户体验
  • 无需更改 Virtual Apps and Desktops 环境
  • 证书由 Citrix 实施和维护
  • 弹性可扩展性和高可用性由 Citrix 提供和管理
  • 企业随着成长而支付,减少运营费用
  • 为新客户提供更快的入职服务

云

Citrix Cloud 服务

Citrix Workspace

Citrix Workspace 使用本地安装的 W orkspace 应用程序 (桌面和移动设备)或本地浏览器将所有用户资源聚合到一个个性化的界面中。Citrix Workspace 通过 Citrix Cloud Connector 与 Citrix Virtual Apps and Desktops 控制器进行通信。

Citrix Cloud Connector

Citrix Cloud Connector 在资源位置中托管的 Windows Server 实例上运行,并创建一个反向代理以路由站点和 Citrix Cloud 之间的流量。它提供从 Citrix Cloud 到资源位置的连接。它还包括访问 Active Directory 以及 Citrix Workspace 与 Citrix Virtual Apps and Desktops 控制器之间的控制通道流量传送。Cloud Connector 还会创建从资源位置到最近的 Citrix PoP 的连接,以建立初始数据通道。

Citrix Gateway 服务

Citrix Gateway 服务是 Citrix Cloud 服务的一部分,用于提供安全的远程访问。它已经开发了十多年,同时也被世界上最大的公司所使用。它依赖 Citrix 最佳网关路由将客户端引导到最近的全球 Citrix Gateway 服务 POP。从那里,它协调 Citrix Workspace 客户端和虚拟化资源之间的安全连接,以尽可能最低的延迟和最佳用户体验交付会话。

汇聚协议

每个 Cloud Connector 支持 1000 个并发会话限制,在添加更多连接器的同时,Citrix 提供了更有效的扩展解决方案。Rendezvous 协议 允许通过安全的 TLS 传输直接从Virtual Delivery Agent (VDA) 到 Citrix Gateway 服务设置 HDX 会话,而无需先通过Cloud Connector。它在 Citrix Virtual Apps and Desktops 1912+ 版本中提供,可通过 Citrix 策略设置启用。如果 Rendezvous 协议已启用,但由于任何原因无法访问网关服务,则会回退到通过 Cloud Connector 代理流量。

灵活性

Citrix Gateway 服务在多个 POP 中运行。如果出于任何原因 POP 关闭或连接性降级超过阈值,Citrix Optimal Gateway 路由将使用下一个最接近 POP 的公有 IP 地址响应后续 DNS 查询。Workspace 应用程序和 Citrix Virtual Apps and Desktops 控制器将根据会话 连接计时器 设置启动重试和超时。

  • 每个 PoP 都配置为高可用性
  • 四个 9 秒的可靠性
  • 20 全球 POP

Citrix 全球存在点

部署

初始设置

要将访问权限从本地网关转移到 Citrix Gateway 服务,首先要创建 Citrix Cloud 环境。之后,您可以从 Windows Server 实例登录到环境,并通过网络访问 Citrix Virtual Apps and Desktops 控制器。然后,您可以安装 Citrix Cloud Connector 以提供与 Citrix Cloud 的连接。 Cloud Connector

初始配置

在资源位置安装并启动 Citrix Cloud Connector 后,即可在 Citrix Cloud 中配置 Citrix Workspace。在指定是使用 Active Directory (AD) 还是 Azure Active Directory (AAD) 进行身份验证之后,必须在 服务集成下启用对 Workspace 应用程序、网关和 Citrix Virtual Apps and Desktops 本地站点实施任何所需的自定义设置。然后可以添加和配置站点。站点配置包括:指定控制器是 6.5 版之前还是后版本,指定资源位置中托管的控制器的 FQDN,验证通过 Citrix Cloud Connector 安装标识的域,以及指定网关服务用于连接。 Workspace 配置

初始部署

在 Citrix Cloud 中配置 Citrix Workspace 后,可以将新的 FQDN 添加到工作区应用程序中。用户可以使用与本地 Citrix Gateway 一起使用的相同 AD 凭据登录,并枚举相同的应用程序和桌面。 Workspace 应用程序

部署注意事项

当用户在 Workspace 应用程序中启动应用程序时,Citrix Gateways 上托管的 FQDN 的 DNS 查询将中继到终端节点的本地 DNS 名称服务器。它通常会将其中继到 ISP DNS 名称服务器,该服务器进行递归查询。作为权威名称服务器,Citrix Gateway Service 会根据进行递归查询的 ISP 名称服务器的 IP 地址的位置返回最近 POP 的公有 IP 地址。因此,名称服务器必须靠近终端节点。如果不是,会话可能会产生性能问题。

Web/SSL 代理

建议将网关服务 FQDN 排除在任何 DNS 过滤和流量检查之外 (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

代理可能会导致以下问题:

  • 随机化 DNS 源 IP,这导致用户被定向到次优 POP
  • 为定向到错误 POP 的连接添加延迟(100ms+,抖动过多)
  • TLS 检查中断了网关服务,因为它不支持 TLS 拦截

要使用 Zscaler 实现它:

  • 更新 ZPA 以绕过某些应用程序
  • Edit Application Segment 下输入网关服务的应用程序条目下 FQDN (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    有关更多信息,请参阅 ZPA-配置旁路设置

VPN

建议 VPN 为网关服务域 (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net) 实施本地突破

  • 启用拆分隧道,以便 VPN 客户端只发送目的地是受 VPN 隧道保护的内部网络的流量
  • 发往 Citrix Gateway 服务的流量将直接通过本地互联网发送,而不是通过 VPN 隧道和内部网络回传

要使用 Citrix Gateway VPN 实施它,请进行以下更改:

  • 通过将 “拆分隧道” 字段设置为 “开”,在 VPN 会话策略 “客户体验” 选项卡下启用吐出隧道
  • 使用内部网络 IP 地址范围配置透明 Intranet 应用程序条目
  • 在 “客户端体验” 选项卡的高级设置下,确保 “拆分 DNS” 设置为本地。另外,在 流量管理 > DNS > DNS 后缀下配置 DNS 后缀列表。匹配的查询将被转发到网关,而其他查询将转发到本地 DNS

    有关更多信息,请参阅 在 Citrix Gateway 的完整 VPN 设置中配置拆分隧

可管理性

Citrix Gateway 服务简化了访问本地 Virtual Apps and Desktops 的要求,从而减少了维护所需的基础架构和运营开销。无需在多个 PoP 中维护具有 SSL 证书和公共 IP 的网关。然后,管理员可以更多地关注自己的 IT 业务服务优先级的管理。

  • Citrix Cloud 专家提供全天候监控和维护
  • 利用现有 IT 人员更快地交付统一的工作空间
  • 减少对专业 IT 技能的需求

Citrix Cloud 运营

会话连接

用户从其 Workspace 中选择虚拟应用程序或桌面,他们的终端节点会收到启动票证。它被定向连接到 Citrix Gateway 服务,该服务反过来又与 VDA 联系。如果配置为使用 Rendezvous 协议,VDA 会将 TLS 连接直接与请求的 Citrix Gateway 服务 POP 建立 TLS 连接,否则使用 Cloud Connector。然后 Citrix Gateway 服务在终端节点和 VDA 之间建立会话。

  • 会话通过 Citrix Gateway 服务跨云合作伙伴的 WAN 进行链接
  • VDA 和 Workspace 终端节点在距离用户最近的 Citrix Gateway 服务 POP 集合
  • 高质量的会议

Citrix Gateway 服务和 HDX 代理:流量

技术简报:HDX 代理的网关服务