BIG-IP APM ネットワークアクセスかんたんセットアップガイド (v11.5.1 対応 ) View Proxy 編 F5 Networks Japan V1.1
目次 1. はじめに... 3 1.1. APM View Proxy アクセス動作概要... 3 2. スタンドアローン... 4 2.1. スタンドアローンイメージ... 4 2.2. スタンドアローンのネットワークサンプル... 5 3. 初期設定... 6 3.1.1. 管理ポートへの GUI アクセス... 6 4. ネットワーク設定... 11 4.1. VLAN の作成... 11 4.2. Self IP の設定... 12 4.3. ルーティングの設定... 14 4.3.1. デフォルトゲートウェイの設定... 14 5. View Proxy 向け設定編... 15 5.1. Pool の作成... 15 5.2. Access Policy の作成... 16 5.2.1. Remote Desktop... 16 5.2.2. Webtops... 17 5.2.3. AAA Servers... 18 5.2.4. Access Profile... 19 5.2.5. Connectivity Profile... 21 5.2.6. SSL Server Profile... 22 5.2.7. SSL Sever Profile... 22 5.3. HTTPS Virtual Server... 23 5.4. PCoIP Virtual Server の作成... 24 5.5. View Client を用いたアクセス時のポリシー作成... 25 5.5.1. Client type の制限... 25 5.5.2. Login 画面の追加... 27 5.5.3. AD 認証の追加... 28 5.5.4. VMware View アクセス提供の設定の追加... 29 5.5.5. フロー最後の Ending 設定を変更... 30 5.6. ブラウザを用いたアクセス時のポリシー作成... 31 5.6.1. Login 画面の追加... 31 5.6.2. AD 認証の追加... 33 5.6.3. VMware View アクセス提供の設定の追加... 34 5.6.4. フロー最後の Ending 設定を変更... 35 6. < 参考 > Horizon View Connection Server 側の設定... 36 6.1. View Connection Server の設定を変更します... 36 7. Client からのアクセス編... 37 7.1. VMware Horizon Client を用いて VDI 環境へアクセス... 37 7.2. ブラウザを用いて VDI 環境へアクセス... 37 8. おわりに... 40 Ⅹ
1. はじめに 本セットアップガイドにて BIG-IP Access Policy Manager( 以下 APM) の Vmware Horizon View( 以下 View) との連携設定方法についてご案内します BIG-IP APM は SSL-VPN トンネルによるリモートアクセス ( これをネットワークアクセスと呼びます ) をはじめとして 高度な認証機能 ( 例 : クレデンシャルキャッシング方式シングルサインオン,SAML シングルサインオン等 ) も兼ね備えています そちらについては別途 APM 簡単セットアップガイド をご参照下さい また 本セットアップガイド内に記載されるアドレス ホスト名は弊社ハンズオン環境で利用される値となります 本書内では参考値として捉えて頂けますよう宜しくお願い致します 1.1. APM View Proxy アクセス動作概要 APM View Proxy アクセスは以下のような流れで動作します 1 クライアントが Web ブラウザに URL:https://vdi.xyz.com を入力 2 クライアント PC は vdi.xyz.com の IP アドレスを解決するために DNS クエリを送信 3 DNS サーバから vdi.xyz.com の IP アドレスを得る 4 Web ブラウザは その IP アドレス ( バーチャルサーバ ) 宛に HTTPS リクエストを送信 5 BIG-IP APM は ログインページを表示 6 クライアントは ユーザ名とパスワードを入力 7 BIG-IP APM は認証サーバに問合せを行い 認証が正しく行われたことのレスポンスを得る 8 View Connection から View Desktop へのアクセス情報を採取 9 PCoIP で BIG-IP 経由のアクセス開始 3 < ベータ版 >
2. スタンドアローン 2.1. スタンドアローンイメージ 上図 1~9 の IP アドレスが必要になりますので あらかじめご用意ください なお 1 管理 IP は工場出荷時に 192.168.1.245/24 がプリセットされています 項目 名前 ( サンプル ) 値 - ホスト名 BigXXX.f5jp.local 1 管理 IP --- 2 External インタフェース external 3 Internal インタフェース internal 4 デフォルトゲートウェイ default-gw 5 バーチャルサーバアドレス (PCoIP) viewproxy-pcoip_vs 6 バーチャルサーバアドレス (Blast) viewproxy-https_vs 7 認証サーバ (Active Directory) view_aaa_srvr 8 DNS サーバ (Active Directory) view_aaa_srvr 9 NTP サーバ --- 10 コネクションサーバ view-cs 11 仮想デスクトップ pool-001 12 サーバが存在するネットワーク --- CLI パスワード ( デフォルト ) --- ID/Password : root/default GUI パスワード ( デフォルト ) --- ID/Password : admin/admin 4
2.2. スタンドアローンのネットワークサンプル 冗長化しない状態を想定して 1 台のみ設定していきます 上図記載のアドレスは弊社環境でトレーニング頂く際のアドレスとなります 5
3. 初期設定 3.1.1. 管理ポートへの GUI アクセス 管理用 PC から 設定した BIG-IP の管理 IP アドレスへ HTTPS でアクセスします デフォルトの証明書は正式に取得した証明書ではないため 以下のような画面が現れますが このサイトの閲覧を続行する を選択してください (1) ログイン画面が現れますので 以下のデフォルトの ID と Password でログインしてください ID:admin Password:admin 6
(2) Next ボタンを押します (3) ライセンス画面が出ます Next ボタンを押します ~ 中略 ~ 7
(4) プロビジョニング画面がでますので APM にチェックを入れいます (5) SSL 証明書の確認がなされますが デフォルトのまま Next ボタンを押します 8
(6) ホスト名 タイムゾーン Root/Admin それぞれのパスワードを設定します Next ボタンを押します 注 ホスト名を FQDN で指定 タイムゾーンを指定 Root と Admin ユーザのパスワードを指定 設定したパスワードでログインを試みるよう ログアウト ログインするように指示があります OK ボタンを押します 9
(7) Username = admin と 設定したパスワードで再度ログインします (8) この後 Standard Network Configuration の Next を押すことでウィザード形式にて冗長化も含めた設定が可能ですが ここではスタンドアローン構成にするため Advanced Network Configuration の Finished ボタンを押します Finish ボタンを押す 10
4. ネットワーク設定 VLAN や VLAN インタフェースへの IP 設定 (Self-IP 設定 ) およびルーティング設定を行います 4.1. VLAN の作成 まず VLAN を作成します Network VLAN で表示された画面の右上にある Create ボタンを押します (1) External VLAN の設定 名前 ( 任意 ) を指定 ポートを選択 (2) Internal VLAN の設定 名前 ( 任意 ) を指定 ポートを選択 11
4.2. Self IP の設定 BIG-IP に設定した VLAN それぞれに対して IP アドレスを設定していきます BIG-IP 自身に設定する IP アドレスを Self IP と呼びます Network Self IPs で表示された画面の右上にある Create ボタンを押します (1) External VLAN の IP 設定 名前 ( 任意 ) 注 IP アドレス サブネットマスク VLAN を設定 このアドレス上でのサービス (SSH/GUI アクセス等 ) を拒否 (2) Internal VLAN の IP 設定 名前 ( 任意 ) 注 IP アドレス サブネットマスク VLAN を設定 このアドレス上でのサービス (SSH/GUI アクセス等 ) を許可 12
(3) 一覧では 以下のような状態になります 13
4.3. ルーティングの設定 4.3.1. デフォルトゲートウェイの設定 Network Routes で表示された画面の右上にある Add ボタンを押します 以下の通り入力し Finished を押します 任意の名称を入力 左記の通りに入力 ゲートウェイのアドレスを入力 14
5. View Proxy 向け設定編 5.1. Pool の作成 (1) Local Traffic Pools で Create をクリックします (2) New Pool 作成画面にて各種情報を入力します Pool 名を入力します ヘルスモニタの設定します アドレス ポート番号を入力します Add ボタンをクリックします Finished をクリックし終了します 15
5.2. Access Policy の作成 5.2.1. Remote Desktop (1) Access Policy Application Access Remote Desktops で Create をクリックします (2) New Resource 作成画面にて各種情報を入力します Name を入力します VMware View を選択します Connection Server の Pool を指定します Connection Server との間での SSL の為 有効します Connection Server との認証連携を自動化するため Enable にします Finished をクリックし終了します 16
5.2.2. Webtops (1) Access Policy Webtops で Create をクリックします (2) New Webtop 作成画面にて各種情報を入力します Name を入力し Type にて Full を選択します Finished をクリックし終了します 17
5.2.3. AAA Servers (1) Access Policy AAA Servers Active Directory で Create をクリックします (2) New Webtop 作成画面にて各種情報を入力します Name を入力します Domain 名を入力します Direct にチェックを入力します Active Directory サーバのアドレスを入力します Finished をクリックし終了します 18
5.2.4. Access Profile (1) Access Policy Access Profiles Access Profiles List で Create をクリックします 19
(2) New Profile 作成画面にて各種情報を入力します Name を入力します All を選択します アクセス時の言語を指定します Finished をクリックし終了します 20
5.2.5. Connectivity Profile (1) Access Policy Secure Connectivity から Add をクリックします (2) 必要情報を入力し OK をクリックします Profile Name を入力します ベースとする設定ファイルを指定デフォルト設定の Connectivity を選択 21
5.2.6. SSL Server Profile (1) Local Traffic Profiles SSL Server から Create をクリックします 5.2.7. SSL Sever Profile Name を入力します Advance を選択します 画面下方にある Finished ボタンをクリックします Server Name の右にチェックを入れ編集可能とし pcoip-default-sni と入力します 22
5.3. HTTPS Virtual Server (1) Local Traffic Virtual Server から Create をクリックし 必要な情報を入力します Virtual Server 名を入力します 10.99.1.YYY Virtual Server の待ちうけ IP(VIP) とポート番号を入力します HTTP を選択します BIG-IP と Client 間の SSL 通信のプロファイルを指定 BIG-IP とコネクションサーバ間の SSL 通信のため 作成した SSL プロファイルを指定 Auto Map を選択します 作成した Access Profile, Connectivity Profile を選択します チェックを入れます 送信元アドレスベースで Persistence をするための設定をします Finished をクリックします 23
5.4. PCoIP Virtual Server の作成 (1) Local Traffic Virtual Server から Create をクリックし 必要な情報を入力します Virtual Server 名を入力します 10.99.1.YYY Virtual Server の待ちうけ IP(VIP) とポート番号を入力します UDP を選択します Auto Map を選択します チェックを入れます Finished をクリックします 24
5.5. View Client を用いたアクセス時のポリシー作成 (1) Access Policy Access Profiles で 作成した Access Profile の Policy の Edit クリックします (2) Visual Policy Editor ( 以下 VPE) が表示されます 5.5.1. Client type の制限 (1) Client Type を追加します (+) ボタンをクリックし Client Type を検索し Add Item で追加します Client と入力し検索します Client Type のラジオボタンを選択します Add Item をクリックします 25
(2) Client Type オブジェクトの Name を入力します Save ボタンをクリックします Name を入力します Save をクリックします (3) VPE 内に Client Type が追加されます 26
5.5.2. Login 画面の追加 (1) VMware View の分岐の (+) ボタンより Login 画面を追加します (2) Logon タブより VMware View Logon Page を選択して追加します VMware View Logon Page を選択し Add Item をクリックします (3) VMware View Logon Page の設定画面にて必要な情報を入力します Name を入力します Domain 名を入力します Save をクリックします 27
5.5.3. AD 認証の追加 (1) VMware View Logon Page の分岐の (+) ボタンより AD 認証を追加します (2) Authentication タブより AD Auth を選択して追加します AD Auth を選択し Add Item をクリックします (3) AD Auth の設定画面にて必要な情報を入力します Name を入力します AD 認証用の設定を選択し Save ボタンをクリックします 28
5.5.4. VMware View アクセス提供の設定の追加 (1) AD Auth の Successful 後の分岐の (+) ボタンより VMware View アクセス提供の設定を追加します (2) Assignment タブより Advanced Resource Assign を選択して追加します Advanced Resource Assign を選択し Add Item をクリックします (3) Advanced Resource Assign の設定画面にて必要な情報を入力します Name を入力します Add new entry をクリックします Add/Delete をクリックします Remote Desktop タブ内で作成した設定クリックします 上記 2 点の設定を選択後に画面下方の Update ボタンをクリックして Advanced Resource Assign の画面に戻り save ボタンで追加完了します Webtop タブ内で作成した設定クリックします 29
5.5.5. フロー最後の Ending 設定を変更 (1) Advanced Resource Assign の Fallback 後の Deny をクリックします (2) VMware View Desktop へのアクセス許可とするため Ending の設定画面にて Allow を選択します Allow を選択し Save をクリックします (3) 下図のようなフローが作成されます (4) Access Policy を有効化します 画面左上の Apply Access Policy をクリックします 以上で View Client を用いたアクセス時のポリシー作成は完了となります 引き続き次ページからのブラウザを用いたアクセス時のポリシー作成に入ります 30
5.6. ブラウザを用いたアクセス時のポリシー作成 (1) Access Policy Access Profiles で 作成した Access Profile の Policy の Edit クリックします (2) Visual Policy Editor ( 以下 VPE) が表示されます 5.6.1. Login 画面の追加 (1) Full or Mobile Browser の分岐の (+) ボタンより Login 画面を追加します (2) Logon タブより Logon Page を選択して追加します Logon Page を選択し Add Item をクリックします 31
(3) Logon Page の設定画面にて必要な情報を入力します Name を入力します Save をクリックします 32
5.6.2. AD 認証の追加 (1) Logon Page 後の分岐の (+) ボタンより AD 認証を追加します (2) Authentication タブより AD Auth を選択して追加します AD Auth を選択し Add Item をクリックします (3) AD Auth の設定画面にて必要な情報を入力します Name を入力します AD 認証用の設定を選択し Save ボタンをクリックします 33
5.6.3. VMware View アクセス提供の設定の追加 (1) AD Auth(1) の Successful 後の分岐の (+) ボタンより VMware View アクセス提供の設定を追加します (2) Assignment タブより Advanced Resource Assign を選択して追加します Advanced Resource Assign を選択し Add Item をクリックします (3) Advanced Resource Assign の設定画面にて必要な情報を入力します Name を入力します Add new entry をクリックします Add/Delete をクリックします Remote Desktop タブ内で作成した設定クリックします 上記 2 点の設定を選択後に画面下方の Update ボタンをクリックして Browser Resource Assign の画面に戻り save ボタンで追加完了します Webtop タブ内で作成した設定クリックします 34
5.6.4. フロー最後の Ending 設定を変更 (1) Browser Resource Assign の Fallback 後の Deny をクリックします (2) ブラウザを用いたアクセスを許可とするため Ending の設定画面にて Allow を選択します Allow を選択し Save をクリックします (3) 下図のようなフローが作成されます (4) Access Policy を有効化します 画面左上の Apply Access Policy をクリックします 注意 本環境ではクライアントから VDI 環境へのアクセス時に NAT を利用しておりませんが 実環境では NAT を利用している環境もあります NAT 利用の際は前述までの VPE 構成に加え下記オブジェクトを追加する必要がありますのでご注意下さい <Variable Assign> Custom Variable Unsecure : view.proxy_addr Custom Expression : expr { <ipaddress> } 以上でブラウザを利用したアクセス時のポリシー作成は完了となります 35
6. < 参考 > Horizon View Connection Server 側の設定この操作は今回のハンズオントレーニングでは実施致しません 内容確認後次項へ進みます 6.1. View Connection Server の設定を変更します チェックを外します チェックを外します チェックを外します 36
7. Client からのアクセス編 7.1. VMware Horizon Client を用いて VDI 環境へアクセス (1) デスクトップ上にある VMware Horizon Client を起動します Client をダブルクリックします (2) View 接続サーバ のアドレスを入力します 新規サーバ をクリックします (3) BIG-IP へ設定したアドレス https://10.99.1.yyy を入力します 接続 をクリックします (4) Active Directory corp.f5jp.local のドメインユーザとしてログオンします Corp ドメインユーザ情報を入力します ログオン をクリックします (5) 表示される仮想デスクトップへログオンします Pool-001 をクリックします ハンズオン参加者が同時にログオンすることはできません 7.2. ブラウザを用いて VDI 環境へアクセス (1) デスクトップ上にあるブラウザを起動します 37
Internet Explorer をクリックします (2) BIG-IP へ設定したアドレス https://10.99.1.yyy へアクセスします デフォルトの証明書は正式に取得した証明書ではないため 以下のような画面が現れますが このサイトの閲覧を続行する を選択してください 10.99.1.YYY/ このサイトの閲覧を続行する をクリックします (3) Active Directory corp.f5jp.local のドメインユーザとしてログオンします ユーザ情報を入力します ログオン をクリックします (4) 利用する仮想デスクトップをクリックします ハンズオン参加者が同じ仮想デスクトップへ同時にログオンすることはできません 38
Pool-001 をクリックします (5) View Client, HTML5 共にクリックし 利用を確認します HTML5 Client をクリックします Horizon View のプールの設定にて HTML のアクセス を有効にしていない場合 上記選択肢は表示されません 39
8. おわりに 以上で BIG-IP APM と VMware Horizon View との連携に関する基本的なセットアップは終了となります より詳細な内容やその他設定は弊社 Deployment Guide をご参照下さい BIG-IP シリーズ製品ラインナップにおいては ソフトウェアモジュールライセンスを追加することで サーバ負荷分散はもちろんのこと 広域負荷分散やネットワークファイアウォール機能 Web アプリケーションファイアウォール機能など アプリケーションアクセスを最適化する為の多彩な機能が使用できるようになります 詳細は各種 WEB サイトにてご確認いただくか 購入元にお問い合わせください <F5 ネットワークス WEB サイトの紹介 > F5 ネットワークスジャパン総合サイト https://f5.com/jp F5 Tech Depot: エンジニア向け製品関連情報サイト http://www.f5networks.co.jp/depot/ AskF5: ナレッジベース総合サイト ( 英語 ) https://support.f5.com/kb/en-us.html DevCentral:F5 ユーザコミュニティサイト ( 英語 : アカウント登録が必要です ) https://devcentral.f5.com/ 以上 40