{"id":988,"date":"2014-05-21T14:57:00","date_gmt":"2014-05-21T12:57:00","guid":{"rendered":"http:\/\/vm.piszki.pl\/horizon-workspace-fqdn-i-certyfikaty-ssl-przy-dost%c4%99pie-z-internetu"},"modified":"2014-06-04T09:30:58","modified_gmt":"2014-06-04T07:30:58","slug":"horizon-workspace-fqdn-i-certyfikaty-ssl-przy-dost%c4%99pie-z-internetu","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=988","title":{"rendered":"Horizon Workspace: FQDN i certyfikaty SSL przy dost\u0119pie z Internetu."},"content":{"rendered":"

Ten wpis jest rezultatem tygodniowej batalii zwi\u0105zanej z opracowaniem metody, kt\u00f3ra pozwoli zmieni\u0107 FQDN gateway-va, tak aby mo\u017cna by\u0142o si\u0119 dosta\u0107 do Horizon Workspace z Internetu. Dlaczego ta czynno\u015b\u0107 urasta do rangi problemu? Zgodnie zdokumentacj\u0105<\/span><\/a>, wszystkie maszyny wchodz\u0105ce w sk\u0142ad Workspace, musz\u0105 mie\u0107 skonfigurowane prawid\u0142owe rekordy DNS (A\/PTR). Maszyna gateway-va nie musi mie\u0107 na starcie skonfigurowanego FQDN zewn\u0119trznego, ten podaje si\u0119 w trakcie wst\u0119pnej konfiguracji. Niestety jest tak (nawet w ostatniej wersji Horizon Workspace 1.8.1), \u017ce w trakcie pierwszej konfiguracji ca\u0142o\u015bci, ten parametr jest ignorowany i ustawiany jest lokalny adres DNS jako FQDN. Wynika to z tego, \u017ce maszyna configurator-va musi mie\u0107 pe\u0142en dost\u0119p do gateway-va po FQDN (dla niej jest bez znaczenia czy jest to lokalna czy internetowa domena), inaczej nie b\u0119dzie w stanie skonfigurowa\u0107 poprawnie gateway-va. Niestety ze wzgl\u0119du na stopie\u0144 komplikacji sieci (NAT) zmiana FQDN nie jest trywialna (w trakcie zmiany jest wymagany pe\u0142en dost\u0119p i poprawny rekord PTR). Na szcz\u0119\u015bcie, jak to ju\u017c czasami pisa\u0142em, s\u0105 w Internecie ludzie, dzi\u0119ki kt\u00f3rym \u017cycie staje si\u0119 \u0142atwiejsze. Jednym z nich jest Andrea Casini, kt\u00f3ry opracowa\u0142 dobr\u0105\u00a0metod\u0119<\/span><\/a>.<\/span><\/p>\n

Aby uchroni\u0107 si\u0119 przed k\u0142opotami, najlepiej ju\u017c na etapie instalacji, dobrze jest przygotowa\u0107 fa\u0142szywy rekord DNS (ale mo\u017cna to te\u017c zrobi\u0107 przy ju\u017c dzia\u0142aj\u0105cej instalacji). Czyli w lokalnym serwerze DNS (w moim przypadku: pulab.local), tworzymy fa\u0142szyw\u0105 g\u0142\u00f3wn\u0105 stref\u0119 (w moim przypadku: pulab.pl) z adresacj\u0105 lokaln\u0105, zgodn\u0105 z odwrotn\u0105 stref\u0105 domeny pulab.local. Dzi\u0119ki temu, gateway-va zyska FQDN w notyfikacji Internetowej a dost\u0119pny b\u0119dzie w 100% lokalnie. Je\u015bli wykonujemy NAT z adresu internetowego na lokalny to wystarczy stworzenie \u201cfa\u0142szywej\u201d strefy odwr\u00f3conej, tak aby rekord PTR istnia\u0142 i odpowiada\u0142 adresowi z NAT (to przy zmianie na istniej\u0105cej instalacji, przy nowej lepsza jest fa\u0142szywa domena).<\/span><\/p>\n

\"fqdn1\"<\/a><\/p>\n

\"fqdn2\"<\/a><\/p>\n

Po osi\u0105gni\u0119ciu tego sukcesu (i wst\u0119pnej konfiguracji ca\u0142o\u015bci), nale\u017cy post\u0119powa\u0107 zgodnie z drug\u0105 metod\u0105<\/a>. W configurator-va dodajemy certyfikat zgodny z nazw\u0105 domeny. W nast\u0119pnym kroku mo\u017cemy usun\u0105\u0107 fa\u0142szywy rekord DNS (workspace.pulab.pl), a na jego miejsce wprowadzi\u0107 lokalny rekord (ughog1.pulab.local) z prawid\u0142owym PTR (bardzo wa\u017cne!). Nast\u0119pnie restartujemy gateway-va, podczas restartu zmienia si\u0119 nazwa hosta na zgodn\u0105 z rekordem DNS (nie trzeba r\u0119cznie zmieni\u0107 za pomoc\u0105 programu YaST). Po zalogowaniu si\u0119 do configurator-va mo\u017cemy zobaczy\u0107 to (je\u015bli nie widzisz tego, to nale\u017cy zrestartowa\u0107 ca\u0142y vApp):<\/p>\n

\"fqdn3\"<\/a><\/p>\n

Czyli ca\u0142kowity sukces! To dlatego, \u017ce gdy FQDN jest inna ni\u017c nazwa hosta (gateway-va), Horizon Workspace zak\u0142ada, \u017ce jest za Load Balancerem! Je\u015bli planujesz u\u017cywa\u0107 wi\u0119kszej ilo\u015bci gateway-va, to generowanie kolejnych maszyn najlepiej jest rozpocz\u0105\u0107 w tym momencie. Na koniec og\u00f3lna uwaga, Horizont Workspace jest ca\u0142kowicie zale\u017cny od odpowiednich rekord\u00f3w DNS. Brak cho\u0107by jednego PTR powoduj\u0119 awari\u0119 ca\u0142o\u015bci. Analiz\u0119 b\u0142\u0119d\u00f3w Horizon Workspace najlepiej jest zacz\u0105\u0107 od sprawdzenia, czy wszystko z DNS jest OK. W nast\u0119pnym po\u015bcie b\u0119dziemy balansowa\u0107 ruchem mi\u0119dzy dwoma gateway-va u\u017cywaj\u0105c F5 BIG-IP\u00a0\"U\u015bmiech\"<\/p>\n

English<\/a><\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Ten wpis jest rezultatem tygodniowej batalii zwi\u0105zanej z opracowaniem metody, kt\u00f3ra pozwoli zmieni\u0107 FQDN gateway-va, tak aby mo\u017cna by\u0142o si\u0119 dosta\u0107 do Horizon Workspace z Internetu. Dlaczego ta czynno\u015b\u0107 urasta do rangi problemu? Zgodnie zdokumentacj\u0105, wszystkie maszyny wchodz\u0105ce w sk\u0142ad … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1461,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[45],"tags":[5,41],"class_list":["post-988","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-poradniki","tag-horizon-workspace","tag-ssl"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/988"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=988"}],"version-history":[{"count":9,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/988\/revisions"}],"predecessor-version":[{"id":1092,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/988\/revisions\/1092"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1461"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}