Piszki Lab

Analiza przypadku w języku przodków…

Horizon Workspace: FQDN i certyfikaty SSL przy dostępie z Internetu.

| 0 comments

Ten wpis jest rezultatem tygodniowej batalii związanej z opracowaniem metody, która pozwoli zmienić FQDN gateway-va, tak aby można było się dostać do Horizon Workspace z Internetu. Dlaczego ta czynność urasta do rangi problemu? Zgodnie zdokumentacją, wszystkie maszyny wchodzące w skład Workspace, muszą mieć skonfigurowane prawidłowe rekordy DNS (A/PTR). Maszyna gateway-va nie musi mieć na starcie skonfigurowanego FQDN zewnętrznego, ten podaje się w trakcie wstępnej konfiguracji. Niestety jest tak (nawet w ostatniej wersji Horizon Workspace 1.8.1), że w trakcie pierwszej konfiguracji całości, ten parametr jest ignorowany i ustawiany jest lokalny adres DNS jako FQDN. Wynika to z tego, że maszyna configurator-va musi mieć pełen dostęp do gateway-va po FQDN (dla niej jest bez znaczenia czy jest to lokalna czy internetowa domena), inaczej nie będzie w stanie skonfigurować poprawnie gateway-va. Niestety ze względu na stopień komplikacji sieci (NAT) zmiana FQDN nie jest trywialna (w trakcie zmiany jest wymagany pełen dostęp i poprawny rekord PTR). Na szczęście, jak to już czasami pisałem, są w Internecie ludzie, dzięki którym życie staje się łatwiejsze. Jednym z nich jest Andrea Casini, który opracował dobrą metodę.

Aby uchronić się przed kłopotami, najlepiej już na etapie instalacji, dobrze jest przygotować fałszywy rekord DNS (ale można to też zrobić przy już działającej instalacji). Czyli w lokalnym serwerze DNS (w moim przypadku: pulab.local), tworzymy fałszywą główną strefę (w moim przypadku: pulab.pl) z adresacją lokalną, zgodną z odwrotną strefą domeny pulab.local. Dzięki temu, gateway-va zyska FQDN w notyfikacji Internetowej a dostępny będzie w 100% lokalnie. Jeśli wykonujemy NAT z adresu internetowego na lokalny to wystarczy stworzenie “fałszywej” strefy odwróconej, tak aby rekord PTR istniał i odpowiadał adresowi z NAT (to przy zmianie na istniejącej instalacji, przy nowej lepsza jest fałszywa domena).

fqdn1

fqdn2

Po osiągnięciu tego sukcesu (i wstępnej konfiguracji całości), należy postępować zgodnie z drugą metodą. W configurator-va dodajemy certyfikat zgodny z nazwą domeny. W następnym kroku możemy usunąć fałszywy rekord DNS (workspace.pulab.pl), a na jego miejsce wprowadzić lokalny rekord (ughog1.pulab.local) z prawidłowym PTR (bardzo ważne!). Następnie restartujemy gateway-va, podczas restartu zmienia się nazwa hosta na zgodną z rekordem DNS (nie trzeba ręcznie zmienić za pomocą programu YaST). Po zalogowaniu się do configurator-va możemy zobaczyć to (jeśli nie widzisz tego, to należy zrestartować cały vApp):

fqdn3

Czyli całkowity sukces! To dlatego, że gdy FQDN jest inna niż nazwa hosta (gateway-va), Horizon Workspace zakłada, że jest za Load Balancerem! Jeśli planujesz używać większej ilości gateway-va, to generowanie kolejnych maszyn najlepiej jest rozpocząć w tym momencie. Na koniec ogólna uwaga, Horizont Workspace jest całkowicie zależny od odpowiednich rekordów DNS. Brak choćby jednego PTR powoduję awarię całości. Analizę błędów Horizon Workspace najlepiej jest zacząć od sprawdzenia, czy wszystko z DNS jest OK. W następnym poście będziemy balansować ruchem między dwoma gateway-va używając F5 BIG-IP Uśmiech

English

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.