Amazon DCV Connection Gateway との統合

Amazon DCV Connection Gateway は、ユーザーが LAN または VPC への単一のアクセスポイントを通じて Amazon DCV サーバーフリートにアクセスできるようにする、インストール可能なソフトウェアパッケージです。

インフラストラクチャに Amazon DCV Connection Gateway 経由でアクセス可能な Amazon DCV サーバーが含まれている場合は、Amazon DCV Connection Gateway を統合するようにセッションマネージャーを構成できます。以下のセクションで説明する手順を実行すると、ブローカーは接続ゲートウェイのセッションリゾルバーとして機能します。つまり、ブローカーは追加の HTTP エンドポイントを公開します。Connection Gateway はエンドポイントに対して API コールを行い、ブローカーが選択したホストに Amazon DCV 接続をルーティングするために必要な情報を取得します。

トピック

• セッションマネージャーブローカーを Amazon DCV Connection Gateway のセッションリゾルバーとして設定

• オプション - TLS クライアント認証の有効化

• Amazon DCV サーバー - DNS マッピングリファレンス

セッションマネージャーブローカーを Amazon DCV Connection Gateway のセッションリゾルバーとして設定

セッションマネージャーブローカー側

1. 任意のテキストエディタを使用して /etc/dcv-session-manager-broker/session-manager-broker.properties を開き、以下の変更を適用します。

   • enable-gateway = true を設定する

   • gateway-to-broker-connector-https-port を空いている TCP ポートに設定する (デフォルトは 8447)

   • gateway-to-broker-connector-bind-host を Amazon DCV Connection Gateway の接続のためにブローカーによりバインドされるホストの IP アドレスに設定する (デフォルトは 0.0.0.0)

2. 次に、以下のコマンドを実行して Broker を停止し、再起動します。

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

3. ブローカーの自己署名証明書のコピーを取得し、ユーザーディレクトリに入れます。

   sudo cp /var/lib/dcvsmbroker/security/dcvsmbroker_ca.pem $HOME

   これは、次のステップで Amazon DCV Connection Gateway をインストールするときに必要になります。

Amazon DCV Connection Gateway 側

• Amazon DCV Connection Gateway のドキュメントのセクションに従ってください。

  Amazon DCV Connection Gateway はブローカーに対して HTTP API コールを行うため、ブローカーが自己署名証明書を使用している場合はブローカーの証明書を Amazon DCV Connection Gateway のホスト (前のステップで取得) にコピーし、Amazon DCV Connection Gateway 構成の [resolver] セクションでパラメータを ca-file に設定する必要があります。

オプション - TLS クライアント認証の有効化

前のステップを完了すると、セッションマネージャーと接続ゲートウェイは安全なチャネルを介して通信できるようになり、接続ゲートウェイはセッションマネージャブローカーの識別情報を確認できます。安全なチャネルを確立する前にセッションマネージャブローカーにも接続ゲートウェイの識別情報を確認させる必要がある場合は、次のセクションの手順に従って TLS クライアント認証機能を有効にする必要があります。

注記

セッションマネージャーがロードバランサーの背後にある場合、Application Load Balancer (ALB) やゲートウェイロードバランサー (GLB) などの TLS 接続終了機能のあるロードバランサーでは TLS クライアント認証を有効にできません。サポートされるのは、ネットワークロードバランサー (NLB) などの TLS 終了機能を搭載していないロードバランサーのみです。ALB または GLB を使用する場合は、特定のセキュリティグループのみがロードバランサーに接続できるように設定して、セキュリティレベルを高めることができます。セキュリティグループの詳細については、「VPC のセキュリティグループ」をご覧ください。

セッションマネージャーブローカー側

1. セッションマネージャーブローカーと Amazon DCV Connection Gateway 間の通信で TLS クライアント認証を有効にするには、次の手順に従ってください。

2. 以下のコマンドを実行して、必要なキーと証明書を生成します。コマンドの出力には、認証情報が生成されたフォルダと、TrustStore ファイルの作成に使用されたパスワードが表示されます。

   sudo /usr/share/dcv-session-manager-broker/bin/gen-gateway-certificates.sh

3. Amazon DCV Connection Gateway のプライベートキーと自己署名証明書のコピーをユーザーディレクトリに入れます。これは、次のステップで、Amazon DCV Connection Gateway で TLS クライアント認証を有効にするときに必要になります。

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_key.pem $HOME 

   sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_cert.pem $HOME

4. 次に、任意のテキストエディタを使用して /etc/dcv-session-manager-broker/session-manager-broker.properties を開き、以下を実行します。

   • enable-tls-client-auth-gateway を true に設定します。

   • gateway-to-broker-connector-trust-store-file を前のステップで作成した TrustStore ファイルのパスに設定します

   • gateway-to-broker-connector-trust-store-pass を前のステップで TrustStore ファイルの作成に使用したパスワードに設定します。

5. 次に、以下のコマンドを実行して Broker を停止し、再起動します。

   sudo systemctl stop dcv-session-manager-broker

   sudo systemctl start dcv-session-manager-broker

Amazon DCV Connection Gateway 側

• Amazon DCV Connection Gateway のドキュメントのセクションに従ってください。

  • [resolver] セクションで cert-file パラメータを設定するときは、前のステップでコピーした証明書ファイルのフルパスを使用します

  • [resolver] セクションで cert-key-file パラメーターを設定するときは、前のステップでコピーしたキーファイルのフルパスを使用します