技术简报:HDX 代理的网关服务

适用于 HDX 代理的 Citrix Gateway 服务使用户无需在本地 DMZ 中部署 NetScaler Gateway 设备或重新配置防火墙,即可安全地远程访问 Citrix DaaS。Citrix Cloud Services 托管由 Citrix DaaS、Citrix Gateway 服务等提供的一系列服务。所有这些服务都使用 Workspace 体验在单个窗格中提供。

本地与云

本地

Citrix Gateway 是一款经过强化的设备(物理或虚拟),它使用基于标准的 SSL/TLS 加密来代理和保护所有 Citrix DaaS 流量。最常见的部署配置是将 Citrix Gateway 设备放置在 DMZ 中。这将 NetScaler Gateway 置于组织的安全内部网络和 Internet(或任何外部网络)之间。

十几年来,NetScaler Gateway 设备一直为企业提供良好的服务,但他们还有额外的要求来提供远程访问,例如:

  • 实施和维护本地 NetScaler Gateway 设备。
  • 实施和维护多个站点以实现冗余。
  • 实施和维护公有 IP 地址。
  • 实施和维护网络设备。
  • 实施和维护防火墙规则。

On-Premises

适用于 HDX 代理的 Citrix Gateway 服务使用户无需在本地 DMZ 中部署 NetScaler Gateway 设备或重新配置防火墙,即可安全地远程访问 Citrix DaaS。Citrix 承担管理云中远程访问的整个基础架构开销。 借助 Citrix Cloud 和 Citrix Gateway 服务,企业现在可以提供对 Citrix DaaS 的远程访问,无需这些额外要求以及其他好处:

  • Citrix 在全球范围内实施和维护了多个站点。
  • 公有 IP 地址由 Citrix 实施和维护。
  • Citrix Analytics 提供 Citrix Cloud 高级安全保护。
  • 预测型 DNS 可提供更好的用户体验。
  • 无需对 Virtual Apps and Desktops 环境进行任何更改。
  • 证书由 Citrix 实施和维护。
  • 弹性可扩展性和高可用性由 Citrix 提供和管理。
  • 企业随增长而付费,减少运营开支。
  • 加快新客户的入门速度。

Cloud

Citrix Cloud 服务

Citrix Workspace

Citrix Workspace 聚合并集成了 Citrix Cloud 服务,使最终用户能够通过带有 Workspace URL 的浏览器或取代 Citrix Receiver 的 Citrix Workspace 应用程序统一访问所有可用资源。有关用户如何访问其 Citrix Workspace 的详细信息,请访问 Workspace 访问权限

Citrix Cloud Connector

Citrix Cloud Connector 是一个软件包,用于部署一组在 Microsoft Windows 服务器上运行的服务。托管 Cloud Connector 的计算机位于您在 Citrix Cloud 上使用的资源所在的网络中。Cloud Connector 进行身份验证并加密 Citrix Cloud 与您的资源位置之间的所有通信。安装后,Cloud Connector 将通过出站连接启动与 Citrix Cloud 的通信。所有连接都是从 Cloud Connector 到云使用标准 HTTPS 端口 (443) 和 TCP 协议建立的。不接受任何传入连接。

Citrix Gateway 服务

Citrix Gateway 服务是 Citrix Cloud 服务的一部分,用于提供安全的远程访问。Citrix Gateway 服务是一项分布在全球的多租户服务。无论 Citrix Cloud Control 平面地理选择或访问的应用程序的位置如何,最终用户都可以使用他们所需的特定功能可用的最近的存在点 (PoP)。配置(例如授权元数据)将复制到所有 PoP。

Citrix Gateway 服务提供以下功能:

  • HDX 连接:托管应用程序和桌面的虚拟交付代理 (VDA) 仍处于客户选择的数据中心(云端或本地)的控制之下。
  • DTLS 1.2 协议支持:Citrix Gateway 服务支持通过 EDT(基于 UDP 的传输协议)进行 HDX 会话的数据报传输层安全 (DTLS) 1.2:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS 协议支持:Citrix Gateway 服务支持以下 TLS 密码套件:
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1-ECDHE-RSA-AES128-SHA
    • TLS1.2-AES256-GCM-SHA384
    • TLS1-AES-256-CBC-SHA
  • Endpoint Management 集成: 与 Citrix Endpoint Management 和 Citrix Workspace 集成后,Citrix Gateway 服务可提供对内部网络和资源的安全远程设备访问。通过 Endpoint Management 登录 Citrix Gateway 服务既快速又简单。Citrix Gateway 服务包括对 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO 的全面支持。

数据流

Citrix Gateway 服务是一项全球分布式多租户服务。无论 Citrix Cloud Control 平面地理选择或访问的应用程序的位置如何,最终用户都可以使用他们所需的特定功能可用的最近的存在点 (PoP)。配置(例如授权元数据)将复制到所有 PoP。

  • Citrix 用于诊断、监视、业务和容量规划的日志安全并存储在一个中心位置。
  • 客户配置存储在一个中央位置, 并全局性地分布到所有 PoP 中。
  • 云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。
  • 用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。

Rendezvous 协议

使用 Citrix Gateway 服务时,Rendezvous 协议允许流量绕过 Citrix Cloud Connector,直接安全地连接到 Citrix Cloud 控制平面。有两种类型的流量需要注意:

  1. VDA 注册和会话代理的控制流量。
  2. HDX 会话流量。

Rendezvous V1 - 使用 Citrix Gateway 服务时,Rendezvous 协议版本 V1 允许 VDA 绕过 Citrix Cloud Connector 直接连接到网关 PoP 以获取数据路径流量。有关实现 Rendezvous V1 协议的要求,请参阅 Rendezvous V1

Rendezvous V2 - Rendezvous 协议版本 V2 支持绕过 Citrix Cloud Connectors 来控制流量和 HDX 会话流量。有关实现 Rendezvous 协议的要求,请参阅 Rendezvous V2

Rendezvous 通信流

下图说明了有关 Rendezvous 通信流的步骤顺序。

Rendezvous 通信流

  1. VDA 与 Citrix Cloud 建立 WebSocket 连接并注册。
  2. VDA 向 Citrix Gateway 服务注册并获得专用令牌。
  3. VDA 与 Gateway 服务建立永久控制连接。
  4. 用户导航到 Citrix Workspace。
  5. Workspace 评估身份验证配置并将用户重定向到相应的 IdP 进行身份验证。
  6. 用户输入自己的证书。
  7. 成功验证用户凭据后,用户将被重定向到 Workspace。
  8. Workspace 为用户计算资源的数量并显示这些资源。
  9. 用户从 Workspace 中选择桌面或应用程序。Workspace 向 Citrix DaaS 发送请求,后者代理连接并指示 VDA 为会话做好准备。
  10. VDA 使用 Rendezvous 功能及其标识进行响应。
  11. Citrix DaaS 生成启动票据并通过 Workspace 将其发送到用户设备。
  12. 用户的端点连接到 Citrix Gateway 服务并提供启动票证以进行身份验证和识别要连接的资源。
  13. Gateway 服务将连接信息发送到 VDA。
  14. VDA 为与 Gateway 服务的会话建立直接连接。
  15. Citrix Gateway 服务完成端点与 VDA 之间的连接。
  16. VDA 验证会话的许可。
  17. Citrix DaaS 向 VDA 发送适用的策略。

灵活性

Citrix Gateway 服务旨在与该服务的多个实例一起实现高可用性,这些实例部署在世界各个位置的多个接入点 (PoP) 上。此外,该服务托管在不同的云提供商上。有关 Citrix Gateway 服务 POP 列表,请参阅 Citrix Gateway 服务 - 接入点 (POP)。 在 Citrix Gateway 服务 PoP 中,微服务和租户部署在完全冗余的主动-主动模型中。如果出现故障,此功能允许任何组件切换到备用组件。只有在极少数情况下,如果 PoP 中某个组件的所有服务都失败,Gateway 服务才会将自己标记为关闭。 Citrix 使用智能流量管理器监视 PoP 运行状况,并在必要时自动使用 DNS 将流量切换到备用 PoP。

Citrix 全球存在点

Google 云端平台 (GCP) 上的 Citrix Gateway 服务支持

借助 Google 云端平台 (GCP) 上的 Citrix Gateway 服务支持,在 Google Cloud 上运行工作负载的客户可以使用 Citrix Gateway 最佳路由功能利用 Google Cloud 的高性能全球网络。最佳网关路由功能将客户机定向到最近的 GCP Citrix Gateway 服务 PoP。此外,Google Cloud 上的 Citrix Gateway 服务在 Citrix Workspace 客户端和虚拟化资源之间提供安全连接,以尽可能低的延迟和最佳的用户体验提供会话。有关详情,请参阅 Google 云端平台上的 Citrix Gateway 服务

部署

启用 Citrix Gateway 服务

有权使用 Citrix DaaS 的客户将默认启用 Citrix Gateway 服务。客户不必申请单独的 Citrix Gateway 服务试用版。有关详细信息,请参阅注册该服务

以下是为 Citrix Workspace 用户启用 Citrix Gateway 服务的步骤。

  1. 以管理员用户身份登录 Citrix Cloud Services。
  2. 单击汉堡包图标,然后选择 Workspace 配置
  3. 在“外部连接”部分下的“访问”标签中,找到 Citrix DaaS 下显示的“我的资源位置”旁边的省略号。单击省略号,然后单击配置连接启用 Citrix Gateway 服务
  4. 在弹出窗口中选择 Citrix Gateway 服务 ,然后单击“保存”。 启用 Citrix Gateway 服务

Web/SSL 代理

在某些代理上启用 SSL 解密后,某些服务可能无法连接到 Citrix Cloud。这些连接困难可以看作是可靠的连接故障、间歇性连接失败或超时。 代理可能会导致以下问题:

  • 随机化 DNS 源 IP,这会导致用户被定向到次优的 PoP。
  • 增加指向错误 PoP 的连接延迟(100 毫秒以上,抖动过大)。
  • TLS 检查会中断 Citrix Gateway 服务,因为它不支持 TLS 拦截。

建议将 Citrix Gateway 服务 FQDN 排除在任何 DNS 筛选和流量检查之外。有关所需的可联系 Internet 地址以及在资源与 Citrix Cloud 之间建立连接的注意事项,请参阅系统和连接要求

allowlist.json 文件位于 https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json,列出了 Cloud Connector 访问的 FQDN。此列表按产品分组,包括每组 FQDN 的更改日志。

如果使用 Zscaler Private Access (ZPA),建议您为 Citrix Gateway 服务配置旁路设置,以避免延迟增加和相关的性能影响。为此,必须为 Citrix Gateway 服务地址(在要求中指定)定义应用分段,并将其设置为始终绕过。有关配置应用程序分段以绕过 ZPA 的信息,请参阅 Secure Private Access (ZPA) - 配置绕过设置

VPN

建议 VPN 对 Citrix Gateway 服务域实施本地分组 - https://..nssvc.net, https://.g.nssvc.net, and https://.c.nssvc.net

  • 启用拆分隧道,这样 VPN 客户端只发送发往 VPN 隧道保护的内部网络的流量。
  • 传输到 Citrix Gateway 服务的流量将直接通过其本地 Internet 发送,而不是通过 VPN 隧道和内部网络进行回程。

要使用 Citrix Gateway VPN 实现它,请进行以下更改:

  • 通过将“拆分隧道”字段设置为“开”,在 VPN 会话策略“客户体验”选项卡下启用吐出隧道。
  • 使用内部网络 IP 地址范围配置透明的 Intranet 应用程序条目。
  • 在“客户端体验”选项卡的高级设置下,确保“拆分 DNS”设置为本地。另外,在 流量管理 > DNS > DNS 后缀下配置 DNS 后缀列表。匹配的查询被转发到网关,而其他查询则转发到本地 DNS。

有关详细信息,请参阅 NetScaler Gateway 上的完整 VPN 设置 - 配置拆分隧道

可管理性

Citrix Gateway 服务作为基于云的远程访问解决方案,可以通过集中管理、降低基础架构复杂性、提供自动更新以及提供可扩展的弹性解决方案来简化运营开销。组织可以受益于云服务的便利,使IT团队能够专注于战略计划,而不是日常运营任务。

  • 集中管理:由于 Citrix Gateway 服务成为 Citrix Cloud 的一部分,管理员可以通过统一控制台集中管理 Citrix Gateway 服务。无需单独管理多个本地 NetScaler Gateway,从而降低了操作的复杂性。
  • 减少基础架构管理:Citrix Gateway 服务使组织无需管理和维护本地 NetScaler Gateway 设备。显著减少与维护物理服务器、网络设备和相关组件相关的运营负担。
  • 自动更新和补丁:Citrix Gateway 服务包括自动更新和补丁管理。确保该服务运行最新的安全增强和功能更新,无需管理员的手动干预。
  • 可扩展性和弹性:Citrix Gateway 服务允许组织轻松地根据需要向上或向下扩展其远程访问基础架构,而不会出现与传统基础架构扩展相关的复杂性。
  • 外包维护和支持:通过使用基于云的服务,组织可以使用 Citrix 提供的专业技术和支持服务。将一些维护任务和故障排除职责从组织的内部 IT 团队手中解放出来。

Citrix 的服务承诺是保持服务每月至少 99.9% 的正常运行时间。有关更多信息,请参阅 Citrix Cloud 服务等级协议Citrix Cloud Health 控制面板按地理区域提供有关重大事件或云服务定期维护的状态更新。有关更多信息,请参阅 Citrix Cloud 服务运行状况文档Citrix Cloud 运行状况控制面板

技术简报:HDX 代理的网关服务