Шлюз подключений внешних пользователей

Общие сведения

Space Gateway - это решение, позволяющее обеспечить удаленный доступ для пользователей виртуальных рабочих столов.

Space Gateway является компонентом экосистемы Space и одним из элементов Space VDI. Шлюз подключений внешних пользователей предоставляет доступ к внутренним ресурсам через единую точку входа при подключении к удаленным рабочим столам по протоколам RDP, SPICE и GLINT из внешней сети по отношению к внутренней сети инфраструктуры Space VDI.

Шлюз устанавливает соединение между Space Client и ВМ/ФМ, а также выступает посредником в передаче данных между Space Client и Space Disp, обеспечивая дополнительную функциональность и перенаправление портов.

Схема сетевого взаимодействия

Технические требования к ВМ/ФМ для установки

На каждую 1000 подключений через шлюз необходимо обеспечить ВМ/ФМ с установленным шлюзом:

• Оперативная память – не менее 4 Гб.

• Количество ядер процессора – не менее 4.

• Объем дискового пространства - не менее 30 ГБ.

• Сетевой интерфейс – не менее 10 Гбит Ethernet, в количестве не менее одного.

Установка с помощью qcow2

Образ ВМ (в формате qcow2) с установленным шлюзом подключений внешних пользователей и данные для доступа предоставляются по запросу через личный кабинет.

Для установки шлюза подключений внешних пользователей необходимо:

1. Скачать любым удобным способом образ ВМ, предоставленный по запросу в ЛК.

2. Открыть Web-интерфейс SpaceVM и пройти аутентификацию.

3. Перейти в раздел Хранилища - Файлы и нажать
   Загрузить из файловой системы.

4. В открывшемся окне необходимо выбрать файл, пул данных и подтвердить кнопкой ОК.

5. Убедиться, что файл успешно загружен и исправен.

6. Перейти к подробной информации о файле, нажав на его название.

7. Нажать Импортировать.

8. В открывшемся окне настроить импорт файла в диск и подтвердить кнопкой ОК.

9. Убедиться, что файл успешно импортирован в диск и исправен.

10. Создать ВМ, соответствующую требованиям, согласно инструкции.

    На втором шаге создания ВМ (Добавление виртуального диска) необходимо добавить диск, импортированный ранее из файла.

    Установка ОС

    Установка ОС не требуется. Файл (импортированный в диск), полученный в личном кабинете, уже содержит установленную ОС и шлюз подключений внешних пользователей.

11. Убедиться, что ВМ с установленным шлюзом исправна.

12. Проверить и сохранить IP-адрес ВМ с установленным шлюзом для дальнейшей настройки.

    При использовании нескольких интерфейсов необходимо сохранить каждый из адресов.

Установка с помощью deb-пакета

deb-пакет, данные для доступа и инструкция по установке предоставляются по запросу через личный кабинет.

Предварительные условия:

1. На ВМ/ФМ установлена ОС Astra Linux Special Edition (Смоленск) версии 1.7 согласно инструкции производителя.

2. ОС Astra Linux обновлена до версии 1.7.5 или версии 1.7.6.

Обновление

Для обновления шлюза подключений внешних пользователей необходимо:

1. Запросить файл с установленным шлюзом актуальной версии.

   Актуальная версия шлюза подключений внешних пользователей предоставляется по запросу через личный кабинет.

2. В интерфейсе Space Disp отключить использование шлюза внешних подключений.

3. Загрузить файл в SpaceVM, импортировать в диск и подключить к ВМ со шлюзом.

   Диск, подключенный ранее (не актуальная версия), необходимо удалить.

4. В интерфейсе Space Disp включить использование шлюза внешних подключений.

Служебные порты

Для корректной работы шлюза внешних подключений необходимо предоставить доступ к портам, приведенным в таблице.

* - данные порты установлены по умолчанию и являются конфигурируемыми, необходимо открыть доступ для диапазона, который используется Space Disp.

При подключении Space Client к Space Disp через шлюз подключения внешних пользователей необходимо обеспечить каждому соединению 3 порта:

• Для протокола удаленного доступа.

• Для перенаправления USB-устройств (USB-IP).

• Для перенаправления Web-камеры.

Конфигурация

Общие сведения

Шлюз подключений внешних пользователей не подразумевает отдельной конфигурации пользователем. При вводе настроек на диспетчере настройки шлюзов применяются автоматически. Ранее добавленные шлюзы выключаются. Если в процессе конфигурации шлюза допущена ошибка, то он выключается, а ранее добавленный - включается, при этом диспетчер применяет верную конфигурацию.

Продолжительность конфигурации не должна превышать несколько минут.

Отказоустойчивость

Для отказоустойчивости рекомендуется использовать несколько экземпляров шлюза. При недоступности или выходе из строя одного или нескольких экземпляров, при условии, что один экземпляр исправен, система сохранит работоспособность.

Создание и использование более одного экземпляра шлюза внешних подключений пользователя не является обязательным условием, но рекомендуется две ВМ для отказоустойчивости и распределения нагрузки.

Настройка со стороны Space Disp

Для настройки необходимо перейти в основной раздел меню Настройки - Система - Шлюз и нажать Редактировать.

• Переключатель Шлюз.

  Отвечает за состояние шлюза.

• Начало диапазонов портов и Конец диапазонов портов.

  Внимание

  Не допускается использование служебных портов при конфигурации диапазона портов для подключения к ВМ и ФМ.

  Определяют, какой диапазон портов будет использоваться при подключении к ВМ шлюзом для передачи.

  Если диапазон, например, 5900-5901, то будут задействованы только два указанных порта. Другие порты подключения не будут задействованы.

  Диапазон портов рекомендуется рассчитывать на каждое соединение и заведомо задавать больше планируемого к использованию.

• Адрес шлюза.

  Адрес, по которому будет выполняться подключение Space Client. Этот адрес указывается и в настройках клиента для подключения через шлюз.

  Если настроен NAT, то необходимо указывать публичный адрес.

  Если NAT не используется, значения параметров Адрес шлюза и Виртуальный IP должны совпадать.

  Внимание

  При настройке NAT на маршрутизаторе для работы со шлюзом публичный адрес должен транслироваться на виртуальный IP.

• Виртуальный IP.

  Адрес, по которому будет осуществляться взаимодействие с несколькими экземплярами шлюза.

  Виртуальный IP автоматически назначается одному из экземпляров шлюза (этот экземпляр будет выполнять роль балансировщика).

  Если балансировщик недоступен или вышел из строя, виртуальный IP автоматически назначается другому экземпляру шлюза.

• Внутренние адреса.

  Адреса экземпляров шлюза (IP-адреса ВМ с установленным шлюзом).

  Внимание

  При использовании на ВМ со шлюзом нескольких сетевых интерфейсов необходимо, чтобы значение в поле Внутренние адреса совпадало с IP-адресом первого сетевого интерфейса ВМ со шлюзом.

• Адреса диспетчера.

  Адреса узлов Space Disp в роли Leader и Manager.

Для применения настроек необходимо нажать Сохранить изменения.

В журнале событий фиксируются события с общими сведениями, предупреждения и ошибки.

Space CLI

Для шлюза внешних подключений доступен набор команд в Space CLI.

Смена сертификатов

Для изменения сертификатов необходимо выполнить замену ключей vdidefault.crt и vdidefault.key в каталоге /opt/vdi-gateway/app/vdi_ssl/ новыми, сохранив прежние названия.

После изменения сертификатов необходимо перезапустить службу.

Перенаправление устройств

Поддержка USB-IP запланирована на 4Q 2024 года.

Перенаправление USB-устройств и Web-камеры описано в документации Space Client.

Логирование

Для управления логированием шлюза версии 1.6.0 и версии 1.6.1 необходимо:

1. Подключиться к ВМ с установленным шлюзом и авторизоваться учетными данными.

2. Включить системную консоль командой:

   bash
   

3. Выполнить команду:

   sudo journalctl -u vdi-gateway
   

Для просмотра событий в реальном времени выполнить команду:

sudo journalctl -u vdi-gateway --follow

Для сохранения в файл выполнить команду:

sudo journalctl -u vdi-gateway > log.txt