Configura Session Manager Broker come risolutore di sessione per Amazon DCV Connection Gateway Facoltativo: abilita l'autenticazione del client TLS

Integrazione con Amazon DCV Connection Gateway

Amazon DCV Connection Gateway è un pacchetto software installabile che consente agli utenti di accedere a una flotta di server Amazon DCV tramite un unico punto di accesso a una LAN o VPC.

Se la tua infrastruttura include server Amazon DCV accessibili tramite Amazon DCV Connection Gateway, puoi configurare Session Manager per integrare Amazon DCV Connection Gateway. Seguendo i passaggi descritti nella sezione seguente, il broker fungerà da Session Resolver per il Connection Gateway. In altre parole, il broker esporrà un endpoint HTTP aggiuntivo. Connection Gateway effettuerà chiamate API all'endpoint per recuperare le informazioni necessarie per instradare le connessioni Amazon DCV all'host selezionato dal broker.

Argomenti

Configura Session Manager Broker come risolutore di sessione per Amazon DCV Connection Gateway
Facoltativo: abilita l'autenticazione del client TLS
Server Amazon DCV: riferimento alla mappatura DNS

Configura Session Manager Broker come risolutore di sessione per Amazon DCV Connection Gateway

Lato Session Manager Broker

Apri /etc/dcv-session-manager-broker/session-manager-broker.properties utilizzando il tuo editor di testo preferito e applica le seguenti modifiche:
- Imposta enable-gateway = true
- Imposta gateway-to-broker-connector-https-port su una porta TCP libera (l'impostazione predefinita è 8447)
- Impostato sull'indirizzo IP dell'host gateway-to-broker-connector-bind-host a cui il Broker si collega per le connessioni Amazon DCV Connection Gateway (l'impostazione predefinita è 0.0.0.0)

Quindi esegui i seguenti comandi per arrestare e riavviare il Broker:


sudo systemctl stop dcv-session-manager-broker


sudo systemctl start dcv-session-manager-broker

Recupera una copia del certificato autofirmato del Broker e inseriscilo nella tua directory utente.
```
sudo cp /var/lib/dcvsmbroker/security/dcvsmbroker_ca.pem $HOME
```
Ne avrai bisogno quando installerai Amazon DCV Connection Gateway nella fase successiva.

Lato gateway di connessione Amazon DCV

Segui la sezione nella documentazione di Amazon DCV Connection Gateway.

Poiché Amazon DCV Connection Gateway effettua chiamate API HTTP al broker, se il broker utilizza un certificato autofirmato, dovrai copiare il certificato del broker sull'host Amazon DCV Connection Gateway (recuperato nel passaggio precedente) e impostare il ca-file parametro nella sezione della configurazione [resolver] di Amazon DCV Connection Gateway.

Facoltativo: abilita l'autenticazione del client TLS

Una volta completato il passaggio precedente, Session Manager e Connection Gateway possono comunicare tramite un canale sicuro, in cui Connection Gateway può verificare l'identità dei Session Manager Brokers. Se si richiede che anche i Session Manager Brokers convalidino l'identità del Connection Gateway prima di stabilire il canale sicuro, è necessario abilitare la funzionalità di autenticazione del client TLS, seguendo i passaggi nella sezione successiva.

Nota

Se il Session Manager utilizza un sistema di bilanciamento del carico, l'autenticazione del client TLS non può essere abilitata con sistemi di bilanciamento del carico con interruzione della connessione TLS, come Application Load Balancers () o Gateway Load Balancers (). ALBs GLBs Possono essere supportati solo i sistemi di bilanciamento del carico senza terminazione TLS, come Network Load Balancers (). NLBs Se utilizzi ALBs or GLBs, puoi imporre che solo gruppi di sicurezza specifici possano contattare i sistemi di bilanciamento del carico, garantendo un ulteriore livello di sicurezza; maggiori informazioni sui gruppi di sicurezza sono disponibili qui: Gruppi di sicurezza per il tuo VPC

Session Manager (lato Broker)

Per abilitare l'autenticazione del client TLS per la comunicazione tra i broker di Session Manager e Amazon DCV Connection Gateway, segui i passaggi seguenti:
Genera le chiavi e i certificati richiesti eseguendo: L'output del comando ti dirà la cartella in cui sono state generate le credenziali e la password utilizzata per creare il file. TrustStore
```
sudo /usr/share/dcv-session-manager-broker/bin/gen-gateway-certificates.sh
```
Inserisci una copia della chiave privata e del certificato autofirmato di Amazon DCV Connection Gateway nella tua directory utente. Ne avrai bisogno quando abiliti l'autenticazione del client TLS in Amazon DCV Connection Gateway nella fase successiva.
```
sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_key.pem $HOME 
```
```
sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_cert.pem $HOME
```
Quindi apri/etc/dcv-session-manager-broker/session-manager-broker.properties utilizzando il tuo editor di testo preferito ed esegui quanto segue:
- Impostato su enable-tls-client-auth-gateway true
- gateway-to-broker-connector-trust-store-fileImposta il percorso del TrustStore file creato nel passaggio precedente
- gateway-to-broker-connector-trust-store-passImposta la password utilizzata per creare il TrustStore file nel passaggio precedente

Quindi esegui il seguente comando per arrestare e riavviare il Broker:


sudo systemctl stop dcv-session-manager-broker


sudo systemctl start dcv-session-manager-broker

Lato gateway di connessione Amazon DCV

Segui la sezione nella documentazione di Amazon DCV Connection Gateway.
- usa il percorso completo del file di certificato che hai copiato nel passaggio precedente per impostare il cert-file parametro nella sezione [resolver]
- usa il percorso completo del file chiave che hai copiato nel passaggio precedente per impostare il cert-key-file parametro nella sezione [resolver]

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione della persistenza del broker

Server Amazon DCV: riferimento alla mappatura DNS