{"id":1014,"date":"2014-05-29T13:37:00","date_gmt":"2014-05-29T11:37:00","guid":{"rendered":"http:\/\/vm.piszki.pl\/horizon-workspace-balansowanie-ruchem-za-pomoc%c4%85-big-ip-f5"},"modified":"2014-06-04T09:28:36","modified_gmt":"2014-06-04T07:28:36","slug":"horizon-workspace-balansowanie-ruchem-za-pomoc%c4%85-big-ip-f5","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=1014","title":{"rendered":"Horizon Workspace: Balansowanie ruchem za pomoc\u0105 BIG-IP F5"},"content":{"rendered":"

Przygotowanie odpornej na awarie instalacji Horizon Workspace 1.8, wymaga\u0142o na pocz\u0105tku stworzenia klastra bazodanowego, zbudowanego na bazie pgPool i vPostgres<\/a>. W kolejnym kroku zwielokrotnimy maszyny dost\u0119powe (gateway-va) i zbudujemy odpowiedni\u0105 konfiguracj\u0119 balansuj\u0105c\u0105 ruchem pomi\u0119dzy nimi z wykorzystaniem BIG-IP F5. W takim przypadku F5 odpowiada te\u017c za ca\u0142\u0105 sfer\u0119 bezpiecze\u0144stwa (opisywane w tym po\u015bcie rozwi\u0105zanie pochodzi z naszego Laba i jest oparte na dw\u00f3ch BIG-IP F5 VE<\/a> (czyli ca\u0142kowicie zwirtualizowane)). Je\u015bli jednak nie dysponujemy F5 LTM, mo\u017cemy u\u017cy\u0107 do balansowania Proxy-HA<\/a> a bezpiecze\u0144stwo przerzuci\u0107 na inne warstwy (np. Trend Micro Deep Security<\/a>).<\/p>\n

\"f5-3\"<\/a><\/p>\n

Jak wida\u0107 na schemacie, ruch z Internetu do portalu, jest kierowany poprzez F5 do dw\u00f3ch bram dost\u0119powych, natomiast przy ruchu z wewn\u0105trz (Intranet), wykonywany jest NAT adresu internetowego bezpo\u015brednio na F5. Rozwi\u0105zanie takie dzia\u0142a bez wi\u0119kszych problem\u00f3w (a jego konfiguracja nie nastr\u0119cza problem\u00f3w), jednak zanim przejdziecie do wykonania kolejnych krok\u00f3w, upewnijcie si\u0119, \u017ce wasza konfiguracja DNS (w tym FQDN gateway-va) s\u0105 poprawne<\/a>.<\/p>\n

<\/p>\n

Wygenerowanie nowej maszyny gateway-va jest bardzo proste<\/a>, wystarczy zalogowa\u0107 si\u0119 poprzez ssh (jako root) do maszyny configurator-va, i wyda\u0107 polecenie:<\/p>\n

hznAdminTool addvm –type=GATEWAY –ip=172.18.60.144 (IP = adres nowej maszyny na podstawie nowego rekordu DNS)<\/p>\n

\"gate1\"<\/a><\/p>\n

Jak wida\u0107, cz\u0119\u015bci\u0105 procesu jest wygenerowanie certyfikatu SSL dla maszyny. Jest to robione dok\u0142adnie tym samym skryptem<\/a>, kt\u00f3rym mo\u017cemy sami r\u0119cznie manipulowa\u0107 (generowa\u0107 i rozsy\u0142a\u0107 klucze i certyfikaty do maszyn). Ca\u0142o\u015b\u0107 procesu zamyka si\u0119 w kilku minutach (dla dw\u00f3ch nowych maszyn gateway-va). Wraz ze wzrostem obci\u0105\u017cenia mo\u017cemy dodawa\u0107 kolejne maszyny, nowa powstaje zawsze jako klon ostatniej wygenerowanej.<\/p>\n

Musimy te\u017c pami\u0119ta\u0107, \u017ce w przypadku dost\u0119pu z Internetu, Identity Provider (IdP) musi by\u0107 osi\u0105galny te\u017c z Internetu. Co oznacza, \u017ce mamy do wyboru dwie metody. Metod\u0119 tradycyjn\u0105 (domy\u015blna instalacja Horizon Workspace) gdzie gateway-va jest jednocze\u015bnie IdP (wy\u0142\u0105czamy wtedy opcj\u0119 \u201cEnable Redirect\u201d):<\/p>\n

\"idp1\"<\/a><\/p>\n

\"idp2\"<\/a><\/p>\n

Lub metod\u0119 drug\u0105, w kt\u00f3rej generujemy dodatkow\u0105 maszyn\u0119 configurator-va, b\u0119d\u0105c\u0105 IdP (w\u0142\u0105czamy \u201cEnable Redirect\u201d) kt\u00f3ra musi mie\u0107 poprawny adres FQDN (internetowy) i by\u0107 dost\u0119pna dla gateway-va poprzez NAT lokalny (nie musi by\u0107 tak naprawd\u0119 wystawiona do Internetu). Jak wida\u0107, dok\u0142adne przemy\u015blenie architektury Horizon Workspace jest kluczowe<\/a> dla p\u00f3\u017aniejszego, prawid\u0142owego dzia\u0142ania ca\u0142o\u015bci.<\/p>\n

W tym momencie mo\u017cemy przej\u015b\u0107 do konfiguracji F5. W pierwszym kroku importujemy (System\u2014>File Management\u2014>SSL Certificate list) klucz i certyfikaty SSL naszej domeny<\/a> (w tym przypadku certyfikat typu wildcard<\/a>) oraz tworzymy nowy profil SSL:<\/p>\n

\"pssl1\"<\/a><\/p>\n

W labie u\u017cywamy F5 w wersji 11.5.1 (build 2.0.121), jest to najnowsza wersja na t\u0119 chwil\u0119, sporo si\u0119 w niej pozmienia\u0142o je\u015bli chodzi o filozofi\u0119 niekt\u00f3rych element\u00f3w. Dlatego tak jak na rysunku powy\u017cej, \u0142a\u0144cuch certyfikat\u00f3w (chain) najlepiej jest zaimportowa\u0107 osobno (w stosunku do certyfikatu). Profil SSL tworzymy w sekcji Local trafic\u2014>Profiles\u2014>SSL:<\/p>\n

\"pssl2\"<\/a><\/p>\n

W sekcji Local trafic\u2014>Polices\u2014>Services\u2014>HTTP tworzymy profil HTTP z w\u0142\u0105czonym X-forwared-For (bardzo wa\u017cne):<\/p>\n

\"pssl3\"<\/a><\/p>\n

W sekcji Local traffic\u2014>Profiles\u2014>Persistence tworzymy profil o nazwie Workspace w kt\u00f3rym wyd\u0142u\u017camy czas oczekiwania sesji SSL:<\/p>\n

\"pssl4\"<\/a><\/p>\n

W sekcji Local Trafic\u2014>Nodes dodajemy po kolei nasze maszyny gateway-va:<\/p>\n

\"pssl5\"<\/a><\/p>\n

W sekcji Local trafic\u2014>Pools tworzymy pul\u0119 z naszymi maszynami:<\/p>\n

\"pssl6\"<\/a><\/p>\n

W ostatnim kroku tworzymy wirtualny serwer z nast\u0119puj\u0105cymi parametrami:<\/p>\n

\"pssl7\"<\/a><\/p>\n

\"pssl8\"<\/a><\/p>\n

W efekcie ko\u0144cowym otrzymamy prawid\u0142owo dzia\u0142aj\u0105cy load balancing dla Horizon Workspace:<\/p>\n

\"pssl9\"<\/a><\/p>\n

W nast\u0119pnym wpisie przedstawi\u0119 balansowanie ruchem do serwer\u00f3w Horizon View Connection Manager i spi\u0119cia ca\u0142o\u015bci z Horizon Workspace (dost\u0119p do maszyny View poprzez protok\u00f3\u0142 BLAST bezpo\u015brednio z portalu Workspace).<\/p>\n

English<\/a><\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Przygotowanie odpornej na awarie instalacji Horizon Workspace 1.8, wymaga\u0142o na pocz\u0105tku stworzenia klastra bazodanowego, zbudowanego na bazie pgPool i vPostgres. W kolejnym kroku zwielokrotnimy maszyny dost\u0119powe (gateway-va) i zbudujemy odpowiedni\u0105 konfiguracj\u0119 balansuj\u0105c\u0105 ruchem pomi\u0119dzy nimi z wykorzystaniem BIG-IP F5. W … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1525,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[45],"tags":[33,5,43],"class_list":["post-1014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-poradniki","tag-big-ip","tag-horizon-workspace","tag-vpostgres"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1014"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1014"}],"version-history":[{"count":5,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1014\/revisions"}],"predecessor-version":[{"id":1091,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1014\/revisions\/1091"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1525"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}