{"id":1083,"date":"2014-06-04T14:27:00","date_gmt":"2014-06-04T12:27:00","guid":{"rendered":"http:\/\/vm.piszki.pl\/horizon-workspace-big-ip-f5-i-wiele-instancji-connector-va"},"modified":"2014-06-05T08:20:10","modified_gmt":"2014-06-05T06:20:10","slug":"horizon-workspace-big-ip-f5-i-wiele-instancji-connector-va","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=1083","title":{"rendered":"Horizon Workspace: BIG-IP F5 i wiele instancji connector-va."},"content":{"rendered":"

W tym wpisie opisz\u0119 dalsz\u0105 konfiguracj\u0119 Horizon Workspace 1.8.1 i BIG-IP F5. Przeszli\u015bmy ju\u017c etap balansowania<\/a> ruchem do zduplikowanych maszyn gateway-va, teraz zajmiemy si\u0119 powieleniem maszyn connector-va. Opr\u00f3cz balansowania ruchem, skonfigurujemy wszystko tak, aby mo\u017cliwa by\u0142a autentykacja typu \u201cWindows\u201d z ustawion\u0105 opcj\u0105 \u201cEnable redirect\u201d przy dost\u0119pie z Internetu. Dzi\u0119ki temu, komputer kt\u00f3ry znajduje si\u0119 z dala od domeny AD, mo\u017ce nadal wykorzysta\u0107 autentykacj\u0119 Kerberos<\/a> przy dost\u0119pie do aplikacji typu ThinApp (dost\u0119pnych bezpo\u015brednio z portalu Workspace).<\/p>\n

\"conn1\"<\/a><\/p>\n

Na podstawie diagramu \u0142atwo jest si\u0119 domy\u015ble\u0107, \u017ce wirtualny adres connector-va musi by\u0107 w pe\u0142ni dost\u0119pny z Internetu i w lokalnej sieci (skonfigurowany NAT). Musi mie\u0107 te\u017c skonfigurowany poprawny FQDN (prawid\u0142owy PTR w DNS lokalnym i internetowym) i zaimportowany poprawny<\/a> certyfikat SSL (dlatego przy Horizon Workspace najlepszym rozwi\u0105zaniem jest certyfikat typu wildcard). Certyfikat maszyny connector-va jest generowany ka\u017cdorazowo za pomoc\u0105 skryptu wizardssl.hzn<\/a>, w F5 u\u017cyjemy tego samego profilu SSL kt\u00f3ry stworzyli\u015bmy dla adresu workspace.pulab.pl.<\/p>\n

<\/p>\n

Konfiguracj\u0119 ca\u0142o\u015bci rozpoczynamy od przygotowania lokalnego rekordu DNS dla nowej maszyny connector-va. Nast\u0119pnie logujemy si\u0119 do maszyny configurator-va i wydajemy polecenie:<\/p>\n

ughocf1:~ # hznAdminTool addvm –type=CONNECTOR –ip=172.18.30.59 –useGatewayAsIDP=n –directoryPassword=xxx –activateOnly=n –maintenanceMode=n<\/p>\n

\"conn4\"<\/a><\/p>\n

Zgodnie z zasad\u0105, \u017ce ka\u017cda nowa maszyna w Horizon Workspace jest klonem ostatnio wygenerowanej (dotyczy to service-va lub gateway-va) lub klonem migawki powsta\u0142ej w trakcie instalacji (dotyczy to connector-va i data-va (template)), przed generacj\u0105 kolejnej, zawsze poprawnie nale\u017cy skonfigurowa\u0107 poprzedni\u0105. W tym celu logujemy si\u0119 do nowej instancji connector-va (https:\/\/ughocn2.pulab.local:8443\/hc\/admin<\/a>), konfigurujemy pod\u0142\u0105czenie do domeny AD i wykonujemy wszystkie kroki z \u201cSetup Wizard\u201d. Z jednym wyj\u0105tkiem, poza pierwsz\u0105 instancj\u0105, wszystkie kolejne musz\u0105 mie\u0107 wy\u0142\u0105czon\u0105 opcj\u0119 Directory Sync.<\/p>\n

\"conn3\"<\/a><\/p>\n

Opcja ta jest wykorzystywana wtedy, gdy u\u017cywamy wielu domen AD (multiforest). Je\u015bli chcemy z niej skorzysta\u0107, i nowy connector-va zosta\u0142 dodany do innej domeny ni\u017c pierwotny, to przed wykonaniem pierwszej synchronizacji, nale\u017cy w panelu administracyjnym Horizon Workspace w sekcji Setting\u2014>User Stores, doda\u0107 nowy magazyn u\u017cytkownik\u00f3w. Je\u015bli tego nie zrobimy, lub je\u015bli nie wy\u0142\u0105czymy opcji \u201cDirectory Sync\u201d przy jednej domenie AD, pr\u00f3ba synchronizacji u\u017cytkownik\u00f3w zako\u0144czy si\u0119 komunikatem \u201cSync actions cannot be calculated at this time. Please try again later (User store not found for sync client)\u201d.<\/p>\n

\"conn5\"<\/a><\/p>\n

Na tym etapie to wszystko je\u015bli chodzi o konfigurowanie connectora-va, w kolejnym kroku nale\u017cy przygotowa\u0107 zewn\u0119trzny rekord DNS dla wirtualnego adresu F5 (connector.pulab.pl) i prawid\u0142owo skonfigurowa\u0107 lokalny NAT tego adresu. Gdy to ju\u017c zostanie zrobione, mo\u017cemy przej\u015b\u0107 do konfigurowania BIG-IP F5. Zaczynamy od dodania nod\u00f3w i przygotowania puli:<\/p>\n

\"conn6\"<\/a><\/p>\n

Wbrew temu co mo\u017cna znale\u017a\u0107 w Internecie, F5 Monitor https_head_f5 nie nadaje si\u0119 do monitorowania ani gateway-va ani connector-va. Mimo, \u017ce w F5 wszystko \u015bwieci si\u0119 na \u201czielono\u201d to w logach maszyn odk\u0142ada si\u0119 bardzo du\u017co wpis\u00f3w o nie wspieranej metodzie dost\u0119pu do strony. Je\u015bli nikomu to nie przeszkadza to mo\u017cna to zostawi\u0107, ale bezpieczniej jest u\u017cy\u0107 monitora icmp_gateway.<\/p>\n

\"conn7\"<\/a><\/p>\n

Balansowanie ruchem ustawiamy standardowo, priorytet najmniej obci\u0105\u017conego cz\u0142onka puli.<\/p>\n

\"conn8\"<\/a><\/p>\n

Na ko\u0144cu tworzymy wirtualny serwer. Robimy to tak samo jak robili\u015bmy w przypadku gateway-va. Absolutnie nie s\u0105 do tego potrzebne kroki opisane tutaj<\/a> (establish ssl trust), my za\u0142atwiamy to profilem SSL.<\/p>\n

\"conn9\"<\/a><\/p>\n

W przypadku tego wirtualnego serwera u\u017cyjemy tego samego profilu \u201cpersistence\u201d jak w przypadku gateway-va.<\/p>\n

\"conn10\"<\/a><\/p>\n

Jest to tak zwana \u201csticky session\u201d, zgodnie z dokumentacj\u0105 Horizon Workspace, czas wygasania sesji SSL na load balancerze musi by\u0107 wi\u0119kszy od 30 minut.<\/p>\n

\"conn11\"<\/a><\/p>\n

W tym momencie konfiguracja F5 jest zako\u0144czona, mamy prawid\u0142owo skonfigurowany wirtualny serwer z pod\u0142\u0105czonymi dwoma connector-va.<\/p>\n

\"conn12\"<\/a><\/p>\n

Do zrobienia pozosta\u0142y ostatnie dwa kroki, logujemy si\u0119 po kolei do wygenerowanych maszyny i w sekcji \u201cIdentity Provider\u201d zmieniamy nazw\u0119 \u201cIdP Hostname\u201d na zgodn\u0105 z naszym rekordem FQDN (connector.pulab.pl). Dzi\u0119ki temu, \u017ce u\u017cywamy profilu SSL na F5 nie musimy nic zmienia\u0107 w sekcji \u201cSSL Certificate\u201d (czyli lokalnie mamy SSL zgodny z lokalnym CA a zdalnie certyfikat wildcard!) .<\/p>\n

\"conn13\"<\/a><\/p>\n

Logujemy si\u0119 teraz do panelu administracyjnego i w sekcji \u201cSettings\u2014>Identity Providers\u201d zmieniamy kolejno\u015b\u0107 tak, aby jako pierwsze na li\u015bcie by\u0142y maszyny z naszej puli F5.<\/p>\n

\"conn14\"<\/a><\/p>\n

Jak wida\u0107 na rysunku, Application Manager wykry\u0142 zmian\u0119 adresu \u201cIdP Hostname\u201d na prawid\u0142ow\u0105, zgodn\u0105 z naszymi wymaganiami. I to wszystko. Je\u015bli macie wra\u017cenie, \u017ce ca\u0142a instalacja Horizon Workspace dzia\u0142a niestabilnie, to dobrze jest po takich modyfikacjach w \u015brodowisku, zrestartowa\u0107 ca\u0142ego vApp. W naszym labie ta konfiguracja dzia\u0142a bez najmniejszego problemu.<\/p>\n

Na koniec jeszcze jedna uwaga, pami\u0119tajmy aby konto komputera w domenie AD, ka\u017cdego nowo wygenerowanego connector-va, doda\u0107 do uprawnie\u0144 katalogu z kt\u00f3rego s\u0105 udost\u0119pniane aplikacje ThinApp! To, \u017ce \u201cSetup Wizard\u201d ko\u0144czy si\u0119 prawid\u0142owo, w tym z synchronizacj\u0105 aplikacji ThinApp, nie oznacza \u017ce wszystko jest ok. Je\u015bli nie dodamy kont komputera do katalogu, \u017caden b\u0142\u0105d si\u0119 nie wy\u015bwietli ale aplikacje si\u0119 nie zsynchronizuj\u0105. Tym bardziej si\u0119 nie skopiuj\u0105 lokalnie przy w\u0142\u0105czonej opcji \u201cEnable account based access\u201d i Agenci zainstalowani z opcj\u0105 HTTP_DOWNLOAD<\/a> nie b\u0119d\u0105 mogli pobra\u0107 aplikacji.<\/p>\n

\"horr1\"<\/a><\/p>\n

\n

English<\/a><\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

W tym wpisie opisz\u0119 dalsz\u0105 konfiguracj\u0119 Horizon Workspace 1.8.1 i BIG-IP F5. Przeszli\u015bmy ju\u017c etap balansowania ruchem do zduplikowanych maszyn gateway-va, teraz zajmiemy si\u0119 powieleniem maszyn connector-va. Opr\u00f3cz balansowania ruchem, skonfigurujemy wszystko tak, aby mo\u017cliwa by\u0142a autentykacja typu \u201cWindows\u201d z … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1525,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[45],"tags":[33,5],"class_list":["post-1083","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-poradniki","tag-big-ip","tag-horizon-workspace"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1083"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1083"}],"version-history":[{"count":4,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1083\/revisions"}],"predecessor-version":[{"id":1111,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1083\/revisions\/1111"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1525"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}