HDXプロキシ用Citrix网关サービス

HDX代理用Citrix网关サービスを使用すると,オンプレミスのDMZにCitrix网关を展開したり,ファイアウォールを再構成したりすることなく,Citrix虚拟应用程序和桌面へのセキュアなリモートアクセスをユーザーに提供できます。Citrixは,クラウドでのリモートアクセスの管理に伴うインフラストラクチャのオーバーヘッド全体をホストします。

オンプレミス和云

オンプレミス

Citrix虚拟应用程序和桌面は何十年もの間,企業に優れたサービスを提供していますが,次のようなリモートアクセスを提供するための追加の要件があります。

• 冗長性のための複数のサイトの実装とメンテナンス
• パブリックIPアドレスの実装と保守
• ネットワークデバイスの実装とメンテナンス
• ファイアウォールルールの実装と管理

クラウド

Citrix云およびCitrix网关サービスにより,企業はCitrix虚拟应用程序和桌面へのリモートアクセスを提供できるようになりました。これらの追加要件に加えて,その他のメリットもありません。

• 複数のサイトがCitrixによってグローバルに実装され,維持されている
• パブリックIPアドレスは,Citrixによって実装され,管理されます
• Citrix分析による高度なセキュリティ
• 予測DNSにより優れたユーザーエクスペリエンスを提供
• 虚拟应用程序和桌面環境への変更は不要
• 証明書はCitrixによって実装され,管理されます
• 柔軟な拡張性と高可用性は,Citrixによって提供および管理されます
• 企業は成長に応じて支払いを行い,運用コストを削減
• 新規顧客の迅速なオンボーディング

Citrix云サービス

Citrix工作区

Citrix工作区では,ローカルにインストールされた工作区アプリ(デスクトップおよびモバイル)またはローカルブラウザを使用して,すべてのユーザーリソースを単一のパーソナライズされたインターフェイスに集約します。Citrix工作区では、Citrix Cloud Connectorを介してCitrix仮想アプリおよびデスクトップコントローラーと通信します。

Citrix云连接器

Citrix云连接器はリソースの場所でホストされているWindows Serverインスタンス上で実行され,サイトとCitrix云間のトラフィックをルーティングするためのリバースプロキシを作成します。Citrix云からリソースの場所への接続を提供します。また,Active Directoryへのアクセスと,Citrix工作区とCitrix虚拟应用程序和桌面コントローラー間のコントロールチャネルトラフィックの配信も含まれます。また、云连接器はリソースの場所から最も近いCitrix流行への接続を作成し,初期データチャネルを確立します。

Citrix网关サービス

Citrix网关サービスは,安全なリモートアクセスを提供するために,Citrix云サービスの一部です。それは10年以上にわたって開発されましたが,その間,世界の大企業によって使用されています。クライアントを最も近いグローバルCitrix网关サービス流行に転送するには,Citrix最適ゲートウェイルーティングを使用します。そこから,Citrix工作区クライアントと仮想化リソース間の安全な接続を調整し,レイテンシーを最小限に抑え,可能な限り最高のユーザーエクスペリエンスでセッションを提供します。

ランデブープロトコル

1000年各云连接器は最大の同時セッションをサポートし,コネクタを追加すると容量が増大する一方で,Citrixはより効率的な拡張ソリューションを提供します。ランデブープロトコルでは,云连接器を経由せずに,虚拟投递代理(VDA)からCitrix网关サービスへのセキュアなTLSトランスポートを介して,HDXセッションを直接セットアップできます。Citrix虚拟应用程序和桌面リリース1912年以降で使用でき,Citrixポリシー設定で有効にすることができます。会合プロトコルが有効で,何らかの理由でゲートウェイサービスに到達できない場合,云连接器経由でトラフィックをプロキシするようにフォールバックします。

弾力性

Citrix网关サービスは複数の流行で動作します。何らかの理由で流行が停止したり,しきい値を超えて接続が低下した場合,Citrix优化网关ルーティングは,次に近い流行のパブリックIPアドレスを使用して後続のDNSクエリに応答します。工作区アプリとCitrix虚拟应用程序和桌面控制器はセッション接続とタイマー設定を変更します。

• 各流行は高可用性用に構成されています
• 499年の信頼性
• 20グローバルポップス

展開

初期設定

オンプレミス网关からCitrix网关サービスへのアクセスの移行は,Citrix云環境の作成から始まります。その後,Windows Serverインスタンスから環境にログインし、Citrix Virtual Apps and Desktops コントローラーへのネットワークアクセスが可能です。その後、Citrix云连接器のインストールを実行できCitrix云への接続を提供できます。

初期構成

Citrix云连接器をリソースの場所にインストールして起動すると,Citrix云でCitrix工作区を構成できます。Active Directory(广告)またはAzure Active Directory (AAD)を使用して認証を行うかどうかを指定し,ワークスペースアプリ,ゲートウェイ,およびCitrix虚拟应用程序和桌面オンプレミスサイトへの必要なカスタマイズを実装するには,(サービス統合]で有効にする必要があります。その後,サイトを追加して構成できます。サイト構成には,コントローラがバージョン6.5より前か以前のかの指定,リソースの場所でホストされているコントローラの完全修飾ドメインを指定する,Citrix云连接器のインストールで識別されたドメインの検証,网关サービスを接続に使用することの指定が含まれます。

初期導入

Citrix云でCitrix工作区を構成した後,新しいFQDNをワークスペースアプリに追加できます。ユーザーは,オンプレミスのCitrix网关で使用するのと同じ广告資格情報を使用してログインし,同じアプリとデスクトップを列挙できます。

障害回復についての注意事項

ユーザーが工作区アプリ内でアプリを起動すると,Citrix网关でホストされているFQDNに対するDNSクエリが,エンドポイントのローカルDNSネームサーバーに中継されます。通常,再帰的なクエリを作成するISP DNSネームサーバーにリレーします。権限のあるネームサーバーとして,Citrixは网关服务,再帰クエリを行ったISPネームサーバーのIPアドレスの場所に基づいて,最も近い流行のパブリックIPアドレスを返します。したがって,ネームサーバーはエンドポイントに近接している必要があります。そうでない場合は,セッションでパフォーマンスの問題が発生する可能性があります。

ウェブ/ SSLプロキシ

ゲートウェイサービスFQDNは,DNSフィルタリングおよびトラフィックインスペクションから除外することを推奨します。(*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

プロキシは,次の問題を引き起こす可能性があります。

• DNSソースIPをランダム化します。これにより,ユーザーは最適でない流行に転送されます。
• 間違ったPoP (100 ms +過度のジッタあり)に向けられた接続に遅延を追加する
• TLSインスペクションはTLSインターセプトをサポートしていないため,ゲートウェイサービスを中断します

Zscalerで実装するには:

• ZPAを更新して特定のアプリケーションをバイパスする

• 编辑应用程序段でゲートウェイサービスFQDNのアプリケーションエントリを入力(*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  詳細については,ZPA——バイパス設定の構成を参照してください。

VPN

VPNでは,ゲートウェイサービスドメインのローカルブレークアウトを実装することが推奨されます。(*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

• VPN客户端がVPNトンネルで保護されている内部ネットワーク宛てのトラフィックだけを送信するように,スプリットトンネリングをイネーブルにします。
• Citrix网关服务宛てのトラフィックは,VPNトンネルと内部ネットワーク経由でバックホールされるのではなく,ローカルインターネット経由で直接送信されます

Citrix网关VPNで実装するには,次の変更を行います。

• VPNセッションポリシーの[クライアントエクスペリエンス]タブで[スプリットトンネル]フィールドを[在]に設定して,唾トンネリングを有効にします
• 内部ネットワークのIPアドレス範囲を使用した透過的なイントラネットアプリケーションエントリの構成

• [クライアントエクスペリエンス]タブの[詳細設定]で,[スプリットDNS]が[ローカル]に設定されていることを確認します。また,(トラフィック管理]> [DNS] > [DNSサフィックス]の(DNSサフィックス]一致するクエリはゲートウェイに転送され,他のクエリはローカルDNSに転送されます

  詳細については,Citrix网关での完全VPNセットアップでのスプリットトンネリングの構成を参照してください。

管理性

Citrix网关サービスにより,オンプレミスの虚拟应用程序和桌面へのアクセス要件が簡素化され,必要なインフラストラクチャとその保守に必要な運用オーバーヘッドが削減されます。複数の流行でSSL証明書とパブリックIPを使用してゲートウェイを維持する必要性がなくなります。管理者は,各自の它ビジネスサービスの優先順位の管理に集中できます。

• Citrix云のエキスパートによる24時間365日体制の監視とメンテナンス
• 它既存のスタッフによる統合工作区の迅速な提供
• 専門的な它スキルの必要性を軽減

セッション接続

ユーザーが工作区から仮想アプリまたはデスクトップを選択し,エンドポイントは起動チケットを受け取ります。Citrix网关サービスに接続するように指示され,VDAにアクセスします。ランデブープロトコルを使用するように構成されている場合、VDAは要求元のCitrix GatewayサービスPoPへのTLS接続を直接確立します。そうでない場合は、Cloud Connectorが使用されます。次に、Citrix GatewayサービスによってエンドポイントとVDA間のセッションが確立されます。

• セッションは,クラウドパートナーのWAN間でCitrix网关サービスを介してリンクされます
• VDAとワークスペースエンドポイントは,ユーザーに最も近いCitrix网关サービス流行でランデブー
• 高品質のセッション