Вопросы и ответы
Туннель между Space Client и Space Gateway
Вопрос: Просьба предоставить информацию о туннелировании между Space Client и шлюзом.
Ответ: Туннель между Space Client и Space Gateway не является классическим туннелем. Процесс создания данного туннеля - это автоматизированный проброс портов из внешней сети до удаленного компьютера или виртуальной машины пользователя. Туннель представляет собой абстракцию на уровне диспетчера. Данная абстракция используется для создания соединения между двумя конечными точками путем установления соединения точка-точка. В туннеле передаются все данные, включая видео-протоколы (Spice, Loudplay, Glint) и трафик аутентификации (HTTPS). Это происходит на четвертом уровне модели OSI. Во время взаимодействия клиента и диспетчера передаются данные HTTPS, а во время подключения к удаленному рабочему столу передается трафик видео-протоколов, что и обеспечивает дополнительную функциональность.
Адрес диспетчера и адрес шлюза
Вопрос: Когда в настройках клиента указывать адрес диспетчера, а когда адрес шлюза?
Ответ: При включенном шлюзе все запросы от Space Client, где указывается адрес из настроек приложения, должны отправляться на адрес шлюза. Далее шлюз определяет, какие из запросов будут перенаправлены диспетчеру. При выключенном шлюзе все запросы от Space Client, где указывается адрес из настроек приложения, идут на диспетчер.
Процесс аутентификации пользователя
Вопрос: Каким образом происходит процесс аутентификации пользователя (подробно)?
Ответ: Процесс аутентификации пользователя в диспетчере основан на локальных учетных данных или данных Службы каталогов. Клиент взаимодействует с диспетчером по протоколу HTTPS, в результате чего генерируется токен, позволяющий пользователю обращаться с запросами. Аутентификация пользователя в виртуальной машине или компьютере выполняется с помощью средств гостевой операционной системы:
- под локальными учетными записями;
- через Службу каталогов.
Шлюз и NAT
Вопрос: Является ли шлюз по сути обычным NAT-ом?
Ответ: NAT - это не конкретный протокол, а собирательный термин разных механизмов по подмене адресов при прохождении пакетов из одной сети в другую, которые отличаются и вариантами подмены, и реализацией внутренних механизмов ("под капотом"). Так что шлюз можно назвать NAT-ом, исходя из того, что он тоже служит для подмены "белого" адреса их внешней сети на адреса из локальной сети. Если предполагать, что обычный NAT - это SNAT, то это подходит.
Отличия: Создание и удаление этих туннелей (построение таблицы соответствия адресов и портов) выполняет не человек (системный администратор), а диспетчер в автоматизированном режиме.
Данные для подключения к ВМ
Вопрос: Каким образом и от кого клиент получает данные подключения к ВМ?
Ответ: Получение данных для подключения состоит из двух этапов:
-
Запрос данных клиентом для подключения. На данном шаге клиент общается с диспетчером через шлюз. Т.е. шлюз отвечает за коммуникацию клиента и диспетчера. Диспетчер выполняет все шаги, связанные с аутентификацией и авторизацией клиента.
-
Получение клиентом ответа с данными для подключения. Диспетчер внутренними механизмами определяет данные для подключения к ВМ из внутренней сети. Затем, зная информацию о всех шлюзах и задействованных ими подключениях, выбирает набор данных, который должен быть задействован шлюзом. Именно этот набор и будет передан клиенту для подключения. В итоге при работе через шлюз создаются 2 набора данных для подключения:
- набор для внутренней сети;
- набор для внешней сети.
Само назначение набора выполняет диспетчер, клиенту эти данные передает шлюз. Клиент, в свою очередь, использует данные для подключения в момент установки соединения.