Amazon DCV Connection Gateway との統合

Amazon DCV Connection Gateway は、ユーザーが LANまたは への単一のアクセスポイントを介して Amazon DCVサーバーのフリートにアクセスできるようにするインストール可能なソフトウェアパッケージですVPC。

インフラストラクチャに Amazon DCV Connection Gateway 経由でアクセスできる Amazon DCVサーバーが含まれている場合は、Amazon DCV Connection Gateway を統合するように Session Manager を設定できます。以下のセクションで説明する手順を実行すると、ブローカーは接続ゲートウェイのセッションリゾルバーとして機能します。つまり、ブローカーは追加のHTTPエンドポイントを公開します。Connection Gateway はエンドポイントをAPI呼び出し、ブローカーによって選択されたホストに Amazon DCV接続をルーティングするために必要な情報を取得します。

トピック

• Amazon DCV Connection Gateway のセッションリゾルバーとして Session Manager ブローカーを設定する
• オプション - TLSクライアント認証を有効にする
• Amazon DCVサーバー - DNSマッピングリファレンス

Amazon DCV Connection Gateway のセッションリゾルバーとして Session Manager ブローカーを設定する

セッションマネージャーブローカー側

1. 任意のテキストエディタを使用して /etc/dcv-session-manager-broker/session-manager-broker.properties を開き、以下の変更を適用します。

   • enable-gateway = true を設定する

   • 無料TCPポートgateway-to-broker-connector-https-portに設定する (デフォルトは 8447)

   • Amazon DCV Connection Gateway 接続のためにブローカーがバインドするホストの IP アドレスgateway-to-broker-connector-bind-hostに設定します (デフォルトは 0.0.0.0)。

2. 次に、以下のコマンドを実行して Broker を停止し、再起動します。

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

3. ブローカーの自己署名証明書のコピーを取得し、ユーザーディレクトリに入れます。

   sudo cp /var/lib/dcvsmbroker/security/dcvsmbroker_ca.pem $HOME

   次のステップで Amazon DCV Connection Gateway をインストールするときに必要になります。

Amazon DCV Connection Gateway 側

• Amazon DCV Connection Gateway ドキュメントの セクションに従ってください。

  Amazon DCV Connection Gateway はブローカーをHTTPAPI呼び出すため、ブローカーが自己署名証明書を使用している場合は、ブローカー証明書を Amazon DCV Connection Gateway ホスト (前のステップで取得) にコピーし、Amazon DCV Connection Gateway 設定の [resolver]セクションで ca-fileパラメータを設定する必要があります。

オプション - TLSクライアント認証を有効にする

前のステップを完了すると、セッションマネージャーと接続ゲートウェイは安全なチャネルを介して通信できるようになり、接続ゲートウェイはセッションマネージャブローカーの識別情報を確認できます。セキュアチャネルを確立する前に Session Manager ブローカーが Connection Gateway の ID も検証する必要がある場合は、次のセクションの手順に従ってクライアントTLS認証機能を有効にする必要があります。

注記

Session Manager がロードバランサーの背後にある場合、Application Load Balancer (ALBs) や Gateway Load Balancer () など、TLS接続が終了しているロードバランサーではTLSクライアント認証を有効にすることはできませんGLBs。Network Load Balancer () など、TLS終了のないロードバランサーのみをサポートできますNLBs。ALBs または を使用する場合GLBs、特定のセキュリティグループのみがロードバランサーに連絡できるように強制して、セキュリティレベルを高めることができます。セキュリティグループの詳細については、こちら: の セキュリティグループ VPC

セッションマネージャーブローカー側

1. Session Manager ブローカーと Amazon DCV Connection Gateway 間の通信でTLSクライアント認証を有効にするには、次のステップに従ってください。

2. 実行して必要なキーと証明書を生成する: コマンドの出力は、認証情報が生成されたフォルダと、 TrustStore ファイルの作成に使用されたパスワードを通知します。

   sudo /usr/share/dcv-session-manager-broker/bin/gen-gateway-certificates.sh

3. Amazon DCV Connection Gateway のプライベートキーと自己署名証明書のコピーをユーザーディレクトリに配置します。次のステップで Amazon DCV Connection Gateway でTLSクライアント認証を有効にするときに必要になります。

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_key.pem $HOME 

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_cert.pem $HOME

4. 次に、任意のテキストエディタを使用して /etc/dcv-session-manager-broker/session-manager-broker.properties を開き、以下を実行します。

   • enable-tls-client-auth-gateway を true に設定します。

   • 前のステップで作成した TrustStore ファイルのパスgateway-to-broker-connector-trust-store-fileに設定する

   • 前のステップで TrustStore ファイルの作成に使用したパスワードgateway-to-broker-connector-trust-store-passに設定します。

5. 次に、以下のコマンドを実行して Broker を停止し、再起動します。

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

Amazon DCV Connection Gateway 側

• Amazon DCV Connection Gateway ドキュメントの セクションに従ってください。

  • [resolver] セクションで cert-file パラメータを設定するときは、前のステップでコピーした証明書ファイルのフルパスを使用します

  • [resolver] セクションで cert-key-file パラメーターを設定するときは、前のステップでコピーしたキーファイルのフルパスを使用します