Piszki Lab

Analiza przypadku w języku przodków…

12.06.2014
by Piotr Pisz
0 comments

Veem Suite v8 ze wsparciem EMC Data Domain!

No to jest News na jaki czekałem! Ostatnio siedząc przed konsolą Avamara marudziłem jaki to byłby piękny ten świat gdyby inne firmy wspierały Data Domain. I proszę, Veem Backup & Replication v8 będzie wspierał DD Boost. Pierwszy raz w mojej karierze pobiorę jakiś produkt w dniu premiery i rozpocznę testy z naszym DD640! Uśmiech

veem1

Bardzo jestem ciekaw jak wypadnie porównanie z Avamarem. W tej chwili mamy jeszcze Avamara w wersji 6 ale przymierzamy się do wykonania upgrade do wersji 7, porównanie więc będzie szersze. O wynikach na pewno poinformuję na blogu Uśmiech

04.06.2014
by Piotr Pisz
0 comments

Horizon Workspace: BIG-IP F5 i wiele instancji connector-va.

W tym wpisie opiszę dalszą konfigurację Horizon Workspace 1.8.1 i BIG-IP F5. Przeszliśmy już etap balansowania ruchem do zduplikowanych maszyn gateway-va, teraz zajmiemy się powieleniem maszyn connector-va. Oprócz balansowania ruchem, skonfigurujemy wszystko tak, aby możliwa była autentykacja typu “Windows” z ustawioną opcją “Enable redirect” przy dostępie z Internetu. Dzięki temu, komputer który znajduje się z dala od domeny AD, może nadal wykorzystać autentykację Kerberos przy dostępie do aplikacji typu ThinApp (dostępnych bezpośrednio z portalu Workspace).

conn1

Na podstawie diagramu łatwo jest się domyśleć, że wirtualny adres connector-va musi być w pełni dostępny z Internetu i w lokalnej sieci (skonfigurowany NAT). Musi mieć też skonfigurowany poprawny FQDN (prawidłowy PTR w DNS lokalnym i internetowym) i zaimportowany poprawny certyfikat SSL (dlatego przy Horizon Workspace najlepszym rozwiązaniem jest certyfikat typu wildcard). Certyfikat maszyny connector-va jest generowany każdorazowo za pomocą skryptu wizardssl.hzn, w F5 użyjemy tego samego profilu SSL który stworzyliśmy dla adresu workspace.pulab.pl.

Continue Reading →

29.05.2014
by Piotr Pisz
0 comments

Horizon Workspace: Balansowanie ruchem za pomocą BIG-IP F5

Przygotowanie odpornej na awarie instalacji Horizon Workspace 1.8, wymagało na początku stworzenia klastra bazodanowego, zbudowanego na bazie pgPool i vPostgres. W kolejnym kroku zwielokrotnimy maszyny dostępowe (gateway-va) i zbudujemy odpowiednią konfigurację balansującą ruchem pomiędzy nimi z wykorzystaniem BIG-IP F5. W takim przypadku F5 odpowiada też za całą sferę bezpieczeństwa (opisywane w tym poście rozwiązanie pochodzi z naszego Laba i jest oparte na dwóch BIG-IP F5 VE (czyli całkowicie zwirtualizowane)). Jeśli jednak nie dysponujemy F5 LTM, możemy użyć do balansowania Proxy-HA a bezpieczeństwo przerzucić na inne warstwy (np. Trend Micro Deep Security).

f5-3

Jak widać na schemacie, ruch z Internetu do portalu, jest kierowany poprzez F5 do dwóch bram dostępowych, natomiast przy ruchu z wewnątrz (Intranet), wykonywany jest NAT adresu internetowego bezpośrednio na F5. Rozwiązanie takie działa bez większych problemów (a jego konfiguracja nie nastręcza problemów), jednak zanim przejdziecie do wykonania kolejnych kroków, upewnijcie się, że wasza konfiguracja DNS (w tym FQDN gateway-va) są poprawne.

Continue Reading →

22.05.2014
by Piotr Pisz
0 comments

VMware vForum Warszawa 2014

vm2

Przypominam, 5 czerwca 2014 w Warszawie w Hiltonie (Grzybowska 63) odbędzie się kolejne vForum! Obecność obowiązkowa dla wszystkich którzy maczają ręce w wirtualizacji rodem z VMware Uśmiech W tym roku program jest naprawdę ciekawy, zawsze można spotkać też dawno nie widzianych znajomych z jednego, wirtualnego podwórka. Ja też tam będę, zapraszam! Uśmiech

Continue Reading →

21.05.2014
by Piotr Pisz
0 comments

Horizon Workspace: FQDN i certyfikaty SSL przy dostępie z Internetu.

Ten wpis jest rezultatem tygodniowej batalii związanej z opracowaniem metody, która pozwoli zmienić FQDN gateway-va, tak aby można było się dostać do Horizon Workspace z Internetu. Dlaczego ta czynność urasta do rangi problemu? Zgodnie zdokumentacją, wszystkie maszyny wchodzące w skład Workspace, muszą mieć skonfigurowane prawidłowe rekordy DNS (A/PTR). Maszyna gateway-va nie musi mieć na starcie skonfigurowanego FQDN zewnętrznego, ten podaje się w trakcie wstępnej konfiguracji. Niestety jest tak (nawet w ostatniej wersji Horizon Workspace 1.8.1), że w trakcie pierwszej konfiguracji całości, ten parametr jest ignorowany i ustawiany jest lokalny adres DNS jako FQDN. Wynika to z tego, że maszyna configurator-va musi mieć pełen dostęp do gateway-va po FQDN (dla niej jest bez znaczenia czy jest to lokalna czy internetowa domena), inaczej nie będzie w stanie skonfigurować poprawnie gateway-va. Niestety ze względu na stopień komplikacji sieci (NAT) zmiana FQDN nie jest trywialna (w trakcie zmiany jest wymagany pełen dostęp i poprawny rekord PTR). Na szczęście, jak to już czasami pisałem, są w Internecie ludzie, dzięki którym życie staje się łatwiejsze. Jednym z nich jest Andrea Casini, który opracował dobrą metodę.

Aby uchronić się przed kłopotami, najlepiej już na etapie instalacji, dobrze jest przygotować fałszywy rekord DNS (ale można to też zrobić przy już działającej instalacji). Czyli w lokalnym serwerze DNS (w moim przypadku: pulab.local), tworzymy fałszywą główną strefę (w moim przypadku: pulab.pl) z adresacją lokalną, zgodną z odwrotną strefą domeny pulab.local. Dzięki temu, gateway-va zyska FQDN w notyfikacji Internetowej a dostępny będzie w 100% lokalnie. Jeśli wykonujemy NAT z adresu internetowego na lokalny to wystarczy stworzenie “fałszywej” strefy odwróconej, tak aby rekord PTR istniał i odpowiadał adresowi z NAT (to przy zmianie na istniejącej instalacji, przy nowej lepsza jest fałszywa domena).

fqdn1

Continue Reading →