仮想デスクトップへのリモートアクセス時に最適なゲートウェイを設定する

仮想デスクトップへのリモートアクセス時に最適なゲートウェイを設定する -

過去二回の記事で（一回目、二回目）、災害対策でクラウドを含めた複数のデータセンターを利用する際の注意点について書きましたが、大規模な仮想デスクトップのコンサルティング案件を実施させていただく中で近年よく含まれる要件が仮想デスクトップへの社外からのリモートアクセスです。

リモートアクセスの要件としては、通常業務でのモバイル利用を行う場合に加えて、最近では、パンデミック時や災害時を想定し自宅から利用させる場合なども増えてきました。後者の場合はDR発動時にも社外からのリモートアクセスが必要となりますので、複数のデータセンターにリモートアクセスのゲートウェイを設けることになり構成に工夫が必要になります。

Storefront の 最近 の バ ー ジ ョ ン か ら は, リ モ ー ト ア ク セ ス に 用 い るNetScaler-Gatewayが複数ある場合に最適なゲートウェイを設定するための機能が追加されています。以下ではこの機能を用いて、複数のデータセンターがある場合のリモートアクセスについてまとめたいと思います。

■ シ ン グ ル 構成

片方のデータセンターのみのシングル構成

データセンターは複数あるが、社外からのリモートアクセスのゲートウェイはどちらかにしかない、という構成です。予算の都合などでよくありがちな構成なのですが、この場合データセンターAが被災した場合にリモートアクセスはできなくなってしまいます。

また、通常の通信も、リモートアクセスのゲートウェイが無いデータセンターへのアクセスはデータセンター間をまたぐ通信となり、データセンター間回線の帯域使用量が増加します。また、ホップ数が増加することに伴う遅延なども想定されます。

■ デ ー タ セ ン タ ー ご と 構成

データセンターごとの構成

データセンターごとに社外からのリモートアクセスのゲートウェイを用意する構成です。この構成では、データセンターBに自分のデスクトップがあることをユーザーがわかっている場合はデータセンター内に閉じた通信とすることができます。

ただし、「大阪のユーザーは関西のデータセンター」のようにわかりやすく決まっておらず、「社員番号が奇数のユーザーは関西のデータセンター」のように機械的に割り振ってユーザーには所属データセンターを通知していないような場合には、ユーザーが選択することができないため、データセンターまたぎの通信となる場合が出てきてしまいます。

こ れ を 防 ぐ た め の 機能 が, storefront の Optimal Routing Gateway (日本語 ド キ ュ メ ン ト で は 「最適 な NetScaler Gateway ル ー テ ィ ン グ」) の 機能 で す.以下 で は 単 に 「Optimal Gateway」 と 表 記 し ま す.

■ デ ー タ セ ン タ ー ご と 構成 + storefront の Optimal Gateway の 構成

Optimal Gateway の 構成

Optimal Gateway の 設定 を 行 う と, 各 XenDesktop サ イ ト ご と に 受 け 持 つ NetScaler Gateway を 設定 で き ま す.例 え ば, こ の 図 の 場合, デ ー タ セ ン タ ー B の XenDesktop サ イ ト で は デ ー タ セ ン タ ー B の NetScaler Gateway を 使 う, と い う 設定 が 可能 で す.デ ー タ セ ン タ ー B の XenDesktop サ イ ト に デ ス ク ト ッ プ が あ る ユ ー ザ ー の 場合, 認証 が ど ち ら の セ ン タ ー の NetScaler Gateway で あ っ て も ICA接 続 に は デ ー タ セ ン タ ー B の ゲ ー ト ウ ェ イ を 使用 し ま す.

仕組みとしては、それほど複雑なことを行っているわけではなく、StoreFrontがICA フ ァ イ ル を 生成 す る 際 に, 接 続 先 のNetScaler-Gatewayの情報を、この設定に応じて変更するという仕組みになっています。これにより、認証先とICA接 続 先 のNetScaler-Gatewayが異なるという構成が可能となり、最適な経路が選択できることになります。

設定 は で storefront PowerShell を 用 い て 行 い ま す.現在 Tech Preview が 公開 さ れ て い る storefront の 次 期 バ ー ジ ョ ン か ら は GUI か ら 設定 が 可能 に な る 予 定 で す .PowerShell の 構 文 に つ い て は 以下 の ド キ ュメ ン ト の 記載 を 参照 く だ さ い.

http://docs.citrix.com/ja-ja/storefront/3/configure-high-availability-for-stores/sf-configure-ha.html#par_anchortitle_dd84

■ Optimal Gateway 応 用 編
こ こ ま で で 述 べ た よ う に, 接 続 す る デ ー タ セ ン タ ー に 応 じ てNetScaler-Gatewayを変える、というのはこの機能の王道なわけですが、この仕組みを用いて他の用途にも応用可能です。

· 認証 は storefront に 対 し て 実 行 し, ICA 接 続 は NetScaler Gateway 経 由 と す る
参考 KB: http://support.citrix.com/article/CTX0129

設定 の 際 に enabledOnDirectAccess = "true" を 指定 す る こ と で, NetScaler-Gatewayで認証しなかったものについてもゲートウェイ経由の接続とすることができます。例えば、社内環境でドメインに参加した端末からの接続で、端末の認証情報を用いて
storefrontにSSO（パススルー認証）したいが、通信経路としては暗号化したい、というような場合に使用可能です。

· 認証 は NetScaler Gateway 経 由 と す る が, ICA 接 続 は 直接 行 う.

設定 の 際 に ゲ ー ト ウ ェ イ を 指定 し な い こ と で 「zero Gateway」 と い う 構成 と な り ま す.こ の 場合, NetScaler-Gatewayで二要素などの高度な認証を行った後で、経路しては仮想デスクトップと直接通信する、という構成が可能です。

例えば、社内からのアクセスでネットワーク経路としてはセキュアだが、持ち込みのPCなどから接続する場合のセキュリティを考慮し、認証は高度にしておく、というような場合に適用できます。

· 認証 す る NetScaler Gateway で は ク ラ イ ア ン ト 証明書 を チ ェ ッ ク し, ICA 接 続 先 で は チ ェ ッ ク し な い
参考 KB: http: // support.citrix.com/article/CTX0193

複数 の ク ラ イ ア ン ト 証明書 を 持 つ よ う な 環境 で は, NetScaler Gateway で の 認証 時 と, Citrix ReceiverでのICA接続時の二回クライアント証明書の選択ダイアログが表示されてしまいます。（Windowsの場合でクライアント証明書が一つの場合は、インターネットオプションで選択ダイアログを表示させないことが可能です）

そ の よ う な 場合, KB の 記載 の よ う に ク ラ イ ア ン ト 証明書 を チ ェ ッ ク し な い NetScaler Gateway を 定義 す る こ と で 認証 時 の み ダ イ アロ グ が 出 る よ う に 設定 可能 で す .KB で は 同 じFQDNで異なるポートを指定していますが、443ではないポートを使うのは社外からのリモートアクセスとしては現実的ではないので、別のFQDNで ク ラ イ ア ン ト 証明書 を チ ェ ッ ク し な い NetScaler Gateway を 立 て, Optimal Gateway の 設定 で ICA 接 続 先 は そ ち ら を 指定 す る, と い う 構成 を 取 るこ と が で き ま す.

長 く な っ て し ま い ま し た が, storefront とNetScaler-Gatewayを組み合わせることで、柔軟かつ効率的な社外からのリモートアクセス環境を構築することが可能です。Citrixコンサルティングの案件でも、新規環境の設計や構築に加えて、既存の仮想デスクトップ環境にリモートアクセスを追加する、といったものも実施していますので、お声かけ頂ければ幸いです。

---

コ ン サ ル テ ィ ン グ サ ー ビ ス の 詳細 は こ ち ら
ト レ ー ニ ン グ や 資格 に 関 す る 詳細 は こ ち ら

Tweet