Вопросы и ответы
Вопрос: Просьба предоставить информацию о туннелировании между Space Client и шлюзом.
Ответ: Процесс создания туннеля между Space Client и Space Gateway не является классическим туннелем. Вместо этого, это автоматизированный проброс портов из внешней сети до удаленного компьютера или виртуальной машины пользователя. Туннель представляет собой абстракцию на уровне диспетчера. Данная абстракция используется для создания соединения между двумя конечными точками путем установления соединения "точка-точка". В туннеле передаются все данные, включая "видео"-протоколы (Spice, Loudplay, Glint) и трафик аутентификации (HTTPS). Это происходит на четвертом уровне модели OSI. Во время взаимодействия клиента и диспетчера передаются данные HTTPS, а во время подключения к удаленному рабочему столу передается трафик "видео"-протоколов, что и обеспечивает дополнительную функциональность.
Вопрос: Когда в настройках клиента указывать адрес диспетчера, а когда адрес шлюза?
Ответ: Все запросы от Space Client (где указывается адрес из настроек) должны отправляться на адрес шлюза, далее шлюз сам решит, какие запросы будут перенаправлены на диспетчер. Без включенного шлюза все запросы от Space Client (где указывается адрес из настроек приложения) идут на диспетчер.
Вопрос: Каким образом происходит процесс аутентификации пользователя (подробно)?
Ответ: Процесс аутентификации пользователя в диспетчере основан на локальных учетных данных или данных Службы каталогов. Клиент взаимодействует с диспетчером по протоколу HTTPS, в результате чего генерируется токен, позволяющий пользователю обращаться с запросами. Аутентификация пользователя в виртуальной машине или компьютере выполняется с помощью средств гостевой операционной системы: либо под локальными учетными записями, либо через Службу каталогов.
Вопрос: По итогу шлюз является по сути обычным NAT-ом?
Ответ: NAT - это не конкретный протокол, а собирательный термин разных механизмов по подмене адресов, при прохождении пакетов из одной сети в другой, которые отличаются и вариантами подмены и реализацией "под капотом". Так что шлюз можно назвать NATом, исходя из того, что он тоже служит для подмены "белого" адреса их внешней сети на адреса из локальной сети. Если предполагать, что обычный NAT - это SNAT, то это близко. Отличия: созданием и удалением этих туннелей (построением таблицы соответствия адресов и портов) занимается не человек (сетевой администратор), а диспетчер в автоматизированном режиме.
Вопрос: Каким образом и от кого клиент получает данные подключения к ВМ?
Ответ: Получение данных для подключения состоит из двух этапов:
1) Запрос данных клиентом для подключения. На данном шаге клиент общается с диспетчером через шлюз. Т.е. шлюз отвечает за коммуникацию клиента и диспетчера, диспетчер выполняет все шаги, связанные с аутентификацией и авторизацией клиента.
2) Получение клиентом ответа с данными для подключения. Диспетчер внутренними механизмами определяет данные для подключения к ВМ из внутренней сети, затем, зная информацию о всех шлюзах и задействованных ими подключениях, выбирает набор данных, который должен быть задействован шлюзом. Именно этот набор и будет сообщен клиенту для подключения. В итоге при работе через шлюз создаются 2 набора данных для подключения: 1 набор для внутренней сети и 1 набор для внешней. Само назначение набора выполняет диспетчер, до клиента эти данные доносит шлюз. Клиент, в свою очередь, использует данные для подключения в момент установки соединения.