Intégration à Amazon DCV Connection Gateway

Amazon DCV Connection Gateway est un progiciel installable qui permet aux utilisateurs d'accéder à un parc de DCV serveurs Amazon via un point d'accès unique à un LAN ouVPC.

Si votre infrastructure inclut des DCV serveurs Amazon accessibles via Amazon DCV Connection Gateway, vous pouvez configurer le gestionnaire de session pour intégrer Amazon DCV Connection Gateway. En suivant les étapes décrites dans la section suivante, le courtier agira en tant que résolveur de session pour la passerelle de connexion. En d'autres termes, le courtier exposera un point de HTTP terminaison supplémentaire. La passerelle de connexion API appellera le point de terminaison pour récupérer les informations nécessaires pour acheminer DCV les connexions Amazon vers l'hôte sélectionné par le courtier.

Rubriques

• Configurer le Session Manager Broker en tant que résolveur de session pour Amazon DCV Connection Gateway
• Facultatif - Activez l'authentification TLS du client
• DCVServeur Amazon - référence DNS cartographique

Configurer le Session Manager Broker en tant que résolveur de session pour Amazon DCV Connection Gateway

Gestionnaire de sessions côté courtier

1. Ouvrez /etc/dcv-session-manager-broker/session-manager-broker.properties à l'aide de votre éditeur de texte préféré et appliquez les modifications suivantes :

   • Définir enable-gateway = true

   • Réglé gateway-to-broker-connector-https-port sur un TCP port libre (le port par défaut est 8447)

   • Défini gateway-to-broker-connector-bind-host sur l'adresse IP de l'hôte sur lequel le broker se lie pour les connexions Amazon DCV Connection Gateway (la valeur par défaut est 0.0.0.0)

2. Exécutez ensuite les commandes suivantes pour arrêter et redémarrer le Broker :

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

3. Récupérez une copie du certificat auto-signé du courtier et placez-le dans votre répertoire d'utilisateurs.

   sudo cp /var/lib/dcvsmbroker/security/dcvsmbroker_ca.pem $HOME

   Vous en aurez besoin lors de l'installation d'Amazon DCV Connection Gateway à l'étape suivante.

Côté Amazon DCV Connection Gateway

• Veuillez suivre la section de la documentation Amazon DCV Connection Gateway.

  Étant donné qu'Amazon DCV Connection Gateway passe des HTTP API appels au courtier, si celui-ci utilise un certificat auto-signé, vous devez copier le certificat du courtier sur l'hôte Amazon DCV Connection Gateway (extrait à l'étape précédente) et définir le ca-file paramètre dans la [resolver] section de configuration d'Amazon DCV Connection Gateway.

Facultatif - Activez l'authentification TLS du client

Une fois l'étape précédente terminée, le gestionnaire de session et la passerelle de connexion peuvent communiquer via un canal sécurisé, où la passerelle de connexion peut vérifier l'identité des courtiers du gestionnaire de session. Si vous demandez aux Session Manager Brokers de valider également l'identité de la passerelle de connexion avant d'établir le canal sécurisé, vous devez activer la fonctionnalité d'authentification du TLS client, en suivant les étapes de la section suivante.

Note

Si le gestionnaire de session se trouve derrière un équilibreur de charge, l'authentification TLS du client ne peut pas être activée avec les équilibreurs de charge dont la TLS connexion est interrompue, tels que les équilibreurs de charge d'application (ALBs) ou les équilibreurs de charge de passerelle (). GLBs Seuls les équilibreurs de charge sans TLS terminaison peuvent être pris en charge, tels que les équilibreurs de charge réseau ()NLBs. Si vous utilisez ALBs ouGLBs, vous pouvez faire en sorte que seuls des groupes de sécurité spécifiques puissent contacter les équilibreurs de charge, garantissant ainsi un niveau de sécurité supplémentaire ; plus d'informations sur les groupes de sécurité ici : Groupes de sécurité pour votre VPC

Gestionnaire de sessions côté courtier

1. Pour activer l'authentification du TLS client pour la communication entre les Session Manager Brokers et Amazon DCV Connection Gateway, veuillez suivre les étapes suivantes :

2. Générez les clés et les certificats requis en exécutant : La sortie de la commande vous indiquera le dossier dans lequel les informations d'identification ont été générées et le mot de passe utilisé pour créer le TrustStore fichier.

   sudo /usr/share/dcv-session-manager-broker/bin/gen-gateway-certificates.sh

3. Placez une copie de la clé privée et du certificat auto-signé d'Amazon DCV Connection Gateway dans votre répertoire d'utilisateurs. Vous en aurez besoin lorsque vous activerez l'authentification du TLS client dans Amazon DCV Connection Gateway à l'étape suivante.

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_key.pem $HOME 

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_cert.pem $HOME

4. Ouvrez ensuite /etc/dcv-session-manager-broker/session-manager-broker.properties à l'aide de votre éditeur de texte préféré et procédez comme suit :

   • Réglé enable-tls-client-auth-gateway sur true

   • Définissez gateway-to-broker-connector-trust-store-file le chemin du TrustStore fichier créé à l'étape précédente

   • Définissez gateway-to-broker-connector-trust-store-pass le mot de passe utilisé pour créer le TrustStore fichier à l'étape précédente

5. Exécutez ensuite la commande suivante pour arrêter et redémarrer le Broker :

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

Côté Amazon DCV Connection Gateway

• Veuillez suivre la section de la documentation Amazon DCV Connection Gateway.

  • utilisez le chemin complet du fichier de certificat que vous avez copié à l'étape précédente lors de la définition du cert-file paramètre dans la [resolver] section

  • utilisez le chemin complet du fichier clé que vous avez copié à l'étape précédente lors de la définition du cert-key-file paramètre dans la [resolver] section