技术简介:HDX代理的网关服务
针对HDX Proxy的Citrix Gateway服务为用户提供对Citrix虚拟应用程序和桌面的安全远程访问,而无需在本地DMZ中部署Citrix Gateway或重新配置防火墙。Citrix托管在云中管理远程访问的整个基础设施开销。
内部部署vs.云
本地
Citrix虚拟应用程序和桌面已经为企业提供了数十年的良好服务,但它们对提供远程访问有额外的要求,例如:
- 实现和维护多个站点以实现冗余
- 实现和维护公网IP地址
- 实现和维护网络设备
- 实现和维护防火墙规则
云
通过Citrix Cloud和Citrix Gateway服务,企业现在可以提供对Citrix虚拟应用程序和桌面的远程访问,而无需这些额外的要求以及其他好处:
- Citrix在全球范围内实现和维护多个站点
- 公网IP地址由Citrix实现和维护
- 思杰云高级安全与思杰分析
- 预测性DNS提供更好的用户体验
- 不需要更改虚拟应用程序和桌面环境
- 证书由Citrix实现和维护
- 弹性可伸缩性和高可用性由Citrix提供和管理
- 企业在增长和减少运营费用时支付
- 新客户更快上手
思杰云服务
Citrix工作区
Citrix Workspace使用本地安装的接口将所有用户资源聚合到一个单独的个性化界面中工作空间的应用(桌面和移动)或本地浏览器。Citrix工作区通过Citrix云连接器与Citrix虚拟应用程序和桌面控制器通信。
Citrix云连接器
Citrix Cloud Connector运行在资源位置托管的Windows Server实例上,并创建反向代理来在站点/s和Citrix Cloud之间路由流量。它提供了从Citrix Cloud到资源位置的连接。它还包括对活动目录的访问,以及在Citrix工作区和Citrix虚拟应用程序和桌面控制器之间传递控制通道流量。云连接器还创建从资源位置到最近的Citrix POP的连接,以建立初始数据通道。
Citrix Gateway服务
Citrix Gateway服务是Citrix Cloud Services的一部分,用于提供安全的远程访问。它已经被开发了十多年,一直被世界上最大的公司所使用。它依靠Citrix最优网关路由将客户端引导到最近的全球Citrix网关服务POP。从那里,它协调Citrix Workspace客户端和虚拟化资源之间的安全连接,以尽可能低的延迟和最佳的用户体验交付会话。
对接协议
每个云连接器支持1000个并发会话的限制,在增加更多连接器的同时增加容量,Citrix提供了更有效的扩展解决方案。对接协议允许HDX会话通过安全TLS传输,直接从虚拟交付代理(VDA)建立到Citrix Gateway服务,而无需先通过云连接器。它在Citrix虚拟应用程序和桌面版本1912+中可用,可以通过Citrix策略设置启用。如果启用了交会协议,并且由于任何原因它无法到达网关服务,那么它将退回到通过云连接器代理通信。
弹性
Citrix Gateway服务在多个pop中运行。如果由于任何原因,一个POP宕机或连接降级超过阈值,Citrix最优网关路由将使用下一个最近的POP的公共IP地址响应后续DNS查询。工作区应用程序和Citrix虚拟应用程序和桌面控制器将基于会话发起重试和超时连接和计时器设置。
- 每个POP都配置为高可用性
- 4个9的可靠性
- 20种全球持久性有机污染物
部署
初始设置
从本地网关到Citrix网关服务的访问转换从创建开始您的Citrix Cloud环境.然后,您从Windows Server实例登录到您的环境,通过网络访问您的Citrix虚拟应用程序和桌面控制器。然后你就可以安装Citrix云连接器提供与思杰云的连接。
初始配置
在资源位置安装并安装Citrix云连接器后,可以在Citrix云中配置Citrix工作空间。在指定是使用活动目录(AD)还是Azure活动目录(AAD)进行身份验证,并实现对工作区应用程序、网关和Citrix虚拟应用程序和本地站点桌面的任何所需自定义之后,必须在服务集成.然后可以添加和配置站点。站点配置包括:指定控制器是6.5版本之前还是6.5版本之后,指定资源位置中托管的控制器的FQDN,验证通过Citrix Cloud Connector安装识别的域,并指定Gateway服务用于连接。
初始部署
在Citrix Cloud中配置了Citrix Workspace后,新的FQDN可以添加到Workspace应用程序中。用户可以使用与On-premises Citrix Gateway相同的AD凭据登录,并枚举相同的应用程序和桌面。
部署注意事项
当用户在Workspace应用程序中启动应用程序时,对托管在Citrix网关上的FQDN的DNS查询将被中继到端点的本地DNS名称服务器。它通常将其中继到ISP DNS名称服务器,该服务器进行递归查询。作为权威名称服务器,Citrix Gateway Service根据进行递归查询的isp名称服务器的IP地址位置返回最近的POP的公共IP地址。因此,名称服务器必须靠近端点。否则会话可能导致性能问题。
Web / SSL代理
建议将“网关服务”fqdn排除在DNS过滤和流量检测之外(*.nssvc.net / *.g.nssvc.net / *. c.c.nssvc.net)
代理可能导致以下问题:
- 随机化DNS源IP,这将导致用户被引导到次优POP
- 为指向错误POP的连接添加延迟(100ms以上,有过度抖动)
- 由于Gateway Service不支持TLS拦截,因此TLS检测会导致网关服务中断
用Zscaler实现:
- 更新您的ZPA以绕过某些应用程序
下
编辑应用段
为网关服务fqdn输入应用程序条目(*.nssvc.net / *.g.nssvc.net / *. c.c.nssvc.net)
有关更多信息,请参阅ZPA -配置旁路设置
VPN
建议vpn对“网关服务”域进行本地断开(*.nssvc.net / *.g.nssvc.net / *. c.c.nssvc.net)
- 启用隧道分裂功能,使VPN Client只发送到受VPN隧道保护的内部网络的流量
- 发送到Citrix Gateway Service的流量将直接通过本地互联网发送,而不是通过VPN隧道和内部网络返回
要使用Citrix Gateway VPN实现它,请进行以下更改:
- 启用VPN会话策略“客户端体验”页签下的“分裂隧道”字段为“ON”。
- 配置包含内网IP地址范围的透明内网应用表项
在“客户端体验”页签的高级设置下,确保“分割DNS”设置为“本地”。下配置DNS后缀列表流量管理> DNS > DNS后缀.匹配的查询将被转发到网关,而其他查询将被转发到本地DNS
有关更多信息,请参阅在Citrix Gateway上配置完整VPN设置中的分割隧道
可管理性
思杰网关服务简化了访问本地虚拟应用程序和桌面的需求,从而减少了所需的基础设施和维护它的操作开销。无需在多个pop中维护使用SSL证书和公共ip的网关。管理员可以将更多精力放在管理自己的IT业务服务优先级上。
- 由思杰云专家提供24x7x365监控和维护
- 使用现有IT人员更快地交付统一的工作空间
- 减少对专业IT技能的需求
会话连接
用户从他们的工作区中选择一个虚拟应用程序或桌面,他们的端点会收到一张启动券。它被定向连接到Citrix Gateway服务,而Citrix Gateway服务又与VDA联系。如果配置为使用集合协议,VDA将直接建立一个TLS连接到请求Citrix Gateway服务POP,否则它将使用云连接器。然后Citrix Gateway服务在端点和VDA之间建立会话。
- 会话通过Citrix Gateway服务跨云合作伙伴的广域网链接
- vda和工作区端点在离用户最近的Citrix Gateway服务POP上集合
- 高质量的会议