目次 1. はじめに APM PCoIP Proxy アクセス動作概要 スタンドアローン スタンドアローンイメージ スタンドアローンのネットワークサンプル 初期設定 管理ポートへの GUI

BIG-IP APM

ネットワークアクセス

かんたんセットアップガイド

(v12.1 対応)

VMware Horizon 編

目次

1. はじめに ... 3

2. APM PCoIP Proxy アクセス動作概要 ... 4

3. スタンドアローン ... 5 3.1. スタンドアローンイメージ ... 5 3.2. スタンドアローンのネットワークサンプル ... 6 4. 初期設定 ... 7 4.1.1. 管理ポートへの GUI アクセス ... 7 5. ネットワーク設定 ... 12 5.1. VLAN の作成 ... 12 5.2. Self IP の設定 ... 13 5.3. その他設定 ... 15 5.3.1. デフォルトゲートウェイの設定 ... 15 5.3.2. DNS の設定 ... 15 6. View Proxy 向け設定編 ... 16 6.1. Pool の作成 ... 16 6.2. Access Policy の作成 ... 17 6.2.1. Remote Desktop ... 17 6.2.2. Webtops ... 18 6.2.3. AAA Servers ... 19 6.2.4. Access Profile ... 20 6.2.5. Connectivity Profile ... 22 6.2.6. SSL Server Profile... 23 6.3. HTTPS Virtual Server ... 24

6.4. PCoIP Virtual Server の作成 ... 25

6.5. Horizon Client を用いたアクセス時のポリシー作成 ... 26 6.5.1. Client type の制限 ... 26 6.5.2. Login 画面の追加 ... 28 6.5.3. AD 認証の追加 ... 29 6.5.4. VMware View アクセス提供の設定の追加... 30 6.5.5. フロー最後の Ending 設定を変更 ... 31 6.6. ブラウザを用いたアクセス時のポリシー作成 ... 32 6.6.1. Login 画面の追加 ... 32 6.6.2. AD 認証の追加 ... 34 6.6.3. VMware View アクセス提供の設定の追加... 35 6.6.4. フロー最後の Ending 設定を変更 ... 36

7. <参考> View Connection Server 側の設定（USB Redirection / Drive Mapping 無効） ... 37

7.1. View Connection Server の設定を変更します。 ... 37

8. USB Redirection / Drive Mapping に関する設定 ... 38

9. Client からのアクセス編 ... 40

9.1. VMware Horizon Client を用いて VDI 環境へアクセス ... 40

9.2. ブラウザを用いて VDI 環境へアクセス ... 42

1. はじめに

本セットアップガイドにて BIG-IP Access Policy Manager（以下、APM）の VMware Horizon （以下、Horizon）との 連携設定方法についてご案内します。 BIG-IP APM は、SSL-VPN トンネルによるリモートアクセス(これをネットワークアクセスと呼びます)をはじめとして、 高度な認証機能(例：クレデンシャルキャッシング方式シングルサインオン，SAML シングルサインオン等)も兼ね備え ています。そちらについては別途弊社 AskF5 や「APM 簡単セットアップガイド」をご参照願います。 本書で利用するバージョンは以下となります。 - BIG-IP APM v12.1

- View Connection Server v6.2.2

Horizon 環境では名前解決が重要となるため使用環境内には必ず DNS のご用意が必要となります。

本書で設定されているパラメータは実構築環境でも同様とは限りません。動作確認の上、実構築環境に合わせたパ ラメータをご用意願います。

また、本書内で Deployment Guide と記載される部分は、”Deploying F5 with VMware View and Horizon View” を指したものとします。

2. APM PCoIP Proxy アクセス動作概要

APM PCoIP Proxy アクセスは以下のような流れで動作します。

① クライアントが Web ブラウザに、URL：https://vdi.xyz.com を入力。 ② クライアント PC は、vdi.xyz.com の IP アドレスを解決するために、DNS クエリを送信。 ③ DNS サーバから vdi.xyz.com の IP アドレスを得る。 ④ Web ブラウザは、その IP アドレス(バーチャルサーバ)宛に HTTPS リクエストを送信。 ⑤ BIG-IP APM は、ログインページを表示。 ⑥ クライアントは、ユーザ名とパスワードを入力。 ⑦ BIG-IP APM は認証サーバに問合せを行い、認証が正しく行われたことのレスポンスを得る。 ⑧ View Connection から View Desktop へのアクセス情報を採取。

3. スタンドアローン

3.1. スタンドアローンイメージ

上図①～⑪の IP アドレスが必要になりますので、あらかじめご用意願います。 なお、①管理 IP は工場出荷時に 192.168.1.245/24 がプリセットされています。 項目 名前(サンプル) 値 - ホスト名 BigXXX.f5jp.local ① 管理 IP --- ② External インタフェース external ③ Internal インタフェース internal ④ デフォルトゲートウェイ default-GW

3.2. スタンドアローンのネットワークサンプル

冗長化しない状態を想定して、1 台のみ設定していきます。

4. 初期設定

4.1.1. 管理ポートへの GUI アクセス

管理用 PC から、設定した BIG-IP の管理 IP アドレスへ、HTTPS でアクセスします。 デフォルトの証明書は正式に取得した証明書ではないため、以下のような画面が現れますが、 「このサイトの閲覧を続行する」を選択してください。

(1)

ログイン画面が現れますので、以下のデフォルトの ID と Password でログインしてください。 ID：admin Password：admin

(2)

「Next」ボタンを押します。

(3)

ライセンス画面が出ます。「Next」ボタンを押します。

(4)

プロビジョニング画面がでますので、「APM」にチェックを入れ進みます。

(6)

ホスト名、タイムゾーン、Root/Admin それぞれのパスワードを設定します。「Next」ボタンを押します。 設定したパスワードでログインを試みるよう、ログアウト→ログインするように指示があります。「OK」ボタンを押します。

(7)

Username ＝ admin と、設定したパスワードで再度ログインします。 【※注※】ホスト名を FQDN で指定。 タイムゾーンを指定。 Root と Admin ユーザのパスワードを指定。 ※デフォルト値と同じ物で実施下さい。

(8)

この後、Standard Network Configuration の「Next」を押すことでウィザード形式にて冗長化も含めた設定が可 能ですが、ここではスタンドアローン構成にするため、Advanced Network Configuration の「Finished」ボタンを 押します。

5. ネットワーク設定

VLAN や VLAN インタフェースへの IP 設定 (Self-IP 設定) およびルーティング設定を行います。

5.1. VLAN の作成

まず、VLAN を作成します。 「Network」 → 「VLAN」で表示された画面の右上にある「Create」ボタンを押します。

(1)

External VLAN の設定

(2)

Internal VLAN の設定 名前(任意)を指定。 ポートを選択。 名前(任意)を指定。 ポートを選択。

5.2. Self IP の設定

BIG-IP に設定した VLAN それぞれに対して、IP アドレスを設定していきます。 BIG-IP 自身に設定する IP アドレスを、Self IP と呼びます。

「Network」 → 「Self IPs」で表示された画面の右上にある「Create」ボタンを押します。

(1)

External VLAN の IP 設定

(2)

Internal VLAN の IP 設定 名前(任意)、 【※注※】IP アドレス、 サブネットマスク、VLAN を設定。 このアドレス上でのサービス(SSH/GUI アクセス等)を許可。 名前(任意)、 【※注※】IP アドレス、 サブネットマスク、VLAN を設定。 このアドレス上でのサービス(SSH/GUI アクセス等)を拒否。

5.3. その他設定

5.3.1. デフォルトゲートウェイの設定

(1)

「Network」 → 「Routes」で表示された画面の右上にある「Add」ボタンを押した後、以下の情報を入力し、 「Finished」を押します。

5.3.2. DNS の設定

(1)

「System」 → 「Configuration」→「Device」→「DNS」で表示された画面にて以下情報を入力した後、 「Add」ボタンを押します。 その後、画面下部にある「Update」をクリックします。 任意の名称を入力。 左記の通りに入力。 ゲートウェイのアドレスを入力。

6. View Proxy 向け設定編

6.1. Pool の作成

(1)

「Local Traffic」 → 「Pools」で、「Create…」をクリックします。

(2)

「New Pool」作成画面にて各種情報を入力します。

Pool 名を入力します ヘルスモニタの設定します

←アドレス、ポート番号を入力します ← 「Add」ボタンをクリックします

6.2. Access Policy の作成

6.2.1. Remote Desktop

(1)

「Access Policy」 → 「Application Access」 → 「Remote Desktops」で、「＋」をクリックします。

(2)

「New Resource …」作成画面にて各種情報を入力します。 Name を入力します Connection Server の Pool を指定します VMware View を選択します Connection Server との間での SSL の為、有効します

6.2.2. Webtops

(1)

「Access Policy」 → 「Webtops」で、「Create…」をクリックします。

(2)

「New Webtop …」作成画面にて各種情報を入力します。

「Name」を入力し、「Type」にて Full を選択します

6.2.3. AAA Servers

(1)

「Access Policy」 → 「AAA Servers」 → 「Active Directory」で、「Create…」をクリックします。

(2)

「New Webtop …」作成画面にて各種情報を入力します。

「Name」を入力します Domain 名を入力します 「Direct」にチェックを入力します Active Directory サーバのアドレスを入力します

6.2.4. Access Profile

(2)

「New Profile …」作成画面にて各種情報を入力します。

「Name」を入力します 「All」を選択します

6.2.5. Connectivity Profile

(1)

「Access Policy」 → 「Secure Connectivity」 から、「Add…」をクリックします。

(2)

必要情報を入力し「OK」をクリックします。

「Profile Name」を入力します ベースとする設定ファイルを指定 デフォルト設定の Connectivity を選択

6.2.6. SSL Server Profile

(1)

「Local Traffic」 → 「Profiles」 → 「SSL」 → 「Server」 から、「Create…」をクリックします。

(2)

下記に記載する各情報を入力、設定した後、画面下方にある「Finished」ボタンをクリックします。 ※v12.0 以降の場合は下に記載する cipher に関しても追加で設定が必要となります。 詳細は Deployment Guide の P.33 をご参照願います。 「Name」を入力します 「Advance」を選択します Server Name の右にチェックを入れ編集可能とし、 ”pcoip-default-sni”と入力します Ciphers の右にチェックを入れ編集可能とし、 ”DEFAULT:!DHE:@STRENGTH”と入力します

6.3. HTTPS Virtual Server

(1)

「Local Traffic」 → 「Virtual Server」 から、「Create…」をクリックし、必要な情報を入力します。

Virtual Server 名を入力します

Virtual Server の待ちうけ IP（VIP）とポート番号を入力します

HTTP を選択します BIG-IP と Client 間の SSL 通信の プロファイルを指定 BIG-IP とコネクションサーバ間の SSL 通信のため、作成した SSL プロファイルを指定 Auto Map を選択します

作成した Access Profile, Connectivity Profile を選択します Default の VDI Profile を選択します ※v11.6 または以降の場合

6.4. PCoIP Virtual Server の作成

(1)

「Local Traffic」 → 「Virtual Server」 から、「Create…」をクリックし、必要な情報を入力します。

Virtual Server 名を入力します

Virtual Server の待ちうけ IP（VIP）とポート番号を入力します

UDP を選択します

Auto Map を選択します

Default の VDI Profile を選択します ※v11.6 または以降の場合

6.5. Horizon Client を用いたアクセス時のポリシー作成

(1)

「Access Policy」 → 「Access Profiles」で、作成した Access Profile の Policy の「Edit」クリックします。

(2)

「Visual Policy Editor」（以下、VPE）が表示されます。

6.5.1. Client type の制限

(1)

Client Type を追加します。

(+)ボタンをクリックし、Client Type を検索し、”Add Item”で追加します。

Client と入力し検索します

(2)

Client Type オブジェクトの「Name」を入力します 「Save」ボタンをクリックします。

(3)

VPE 内に Client Type が追加されます。

Name を入力します

6.5.2. Login 画面の追加

(1)

VMware View の分岐の(+)ボタンより Login 画面を追加します。

(2)

「Logon」タブより「VMware View Logon Page」を選択して追加します。

(3)

「VMware View Logon Page」の設定画面にて必要な情報を入力します。

「VMware View Logon Page」を選択し、「Add Item」をクリックします

「Name」を入力します Domain 名を入力します

6.5.3. AD 認証の追加

(1)

「VMware View Logon Page」の分岐の(+)ボタンより AD 認証を追加します。

(2)

「Authentication」タブより「AD Auth」を選択して追加します。

(3)

「AD Auth」の設定画面にて必要な情報を入力します。

「AD Auth」を選択し、「Add Item」をクリックします

「Name」を入力します AD 認証用の設定を選択し、「Save」ボタンをクリックします

6.5.4. VMware View アクセス提供の設定の追加

(1)

「AD Auth」の Successful 後の分岐の (+)ボタンより VMware View アクセス提供の設定を追加します。

(2)

「Assignment」タブより「Advanced Resource Assign」を選択して追加します。

(3)

「Advanced Resource Assign」の設定画面にて必要な情報を入力します。

上記 2 点の設定を選択後に画面下方の「Update」ボタンをクリックして

「Advanced Resource Assign」の画面に戻り、「save」ボタンで追加完了します。

「Advanced Resource Assign」を選択し、 「Add Item」をクリックします

「Name」を入力します 「Add new entry」をクリックします

「Add/Delete」をクリックします

「Remote Desktop」タブ内で作成した設定クリックします

6.5.5. フロー最後の Ending 設定を変更

(1)

「Advanced Resource Assign」の Fallback 後の「Deny」をクリックします。

(2)

VMware View Desktop へのアクセス許可とするため、「Ending」の設定画面にて「Allow」を選択します。

(3)

下図のようなフローが作成されます。

(4)

「Access Policy」を有効化します。

以上で View Client を用いたアクセス時のポリシー作成は完了となります。 引き続き次ページからのブラウザを用いたアクセス時のポリシー作成に入ります。

「Allow」を選択し、「Save」をクリックします

6.6. ブラウザを用いたアクセス時のポリシー作成

(1)

「Access Policy」 → 「Access Profiles」で、作成した Access Profile の Policy の「Edit」クリックします。

(2)

「Visual Policy Editor」（以下、VPE）が表示されます。

6.6.1. Login 画面の追加

(1)

Full or Mobile Browser の分岐の(+)ボタンより Login 画面を追加します。

(3)

「Logon Page」の設定画面にて必要な情報を入力します。

「Name」を入力します

6.6.2. AD 認証の追加

(1)

「Logon Page」後の分岐の(+)ボタンより AD 認証を追加します。

(2)

「Authentication」タブより「AD Auth」を選択して追加します。

(3)

「AD Auth」の設定画面にて必要な情報を入力します。

「AD Auth」を選択し、「Add Item」をクリックします

「Name」を入力します AD 認証用の設定を選択し、「Save」ボタンをクリックします

6.6.3. VMware View アクセス提供の設定の追加

(1)

「AD Auth(1)」の Successful 後の分岐の (+)ボタンより VMware View アクセス提供の設定を追加します。

(2)

「Assignment」タブより「Advanced Resource Assign」を選択して追加します。

(3)

「Advanced Resource Assign」の設定画面にて必要な情報を入力します。

「Advanced Resource Assign」を選択し、 「Add Item」をクリックします

「Name」を入力します 「Add new entry」をクリックします

「Add/Delete」をクリックします

6.6.4. フロー最後の Ending 設定を変更

(1)

「Browser Resource Assign」の Fallback 後の「Deny」をクリックします。

(2)

ブラウザを用いたアクセスを許可とするため、「Ending」の設定画面にて「Allow」を選択します。

(3)

下図のようなフローが作成されます。

(4)

「Access Policy」を有効化します。

※注意※

本環境ではクライアントから VDI 環境へのアクセス時に NAT を利用しておりませんが、実環境では NAT を利用して いる環境もあります。NAT 利用の際は前述までの VPE 構成に加え 下記オブジェクトを追加する必要がありますので ご注意下さい。

<Variable Assign>

Custom Variable Unsecure : view.proxy_addr Custom Expression : expr {“<ipaddress>”}

「Allow」を選択し、「Save」をクリックします

7. <参考> View Connection Server 側の設定（USB Redirection / Drive Mapping 無効）

この操作は今回のハンズオントレーニングでは実施致しません。内容確認後次項へ進みます。

7.1. View Connection Server の設定を変更します。

チェックを外します チェックを外します チェックを外します

8. USB Redirection / Drive Mapping に関する設定

この設定は v12.1 以降のバージョンのみ設定が可能となります。

本書では Horizon Client 向けフロー上の「Advanced Resource Assign」の前に「VMware View Policy」を配置 しています。Horizon Client および Browser アクセスそれぞれを利用する場合は VPE 内のそれぞれのフロー上 に配置が必要となります。

※公開当初の Deployment Guide では「AD auth」の前に「VMware View Policy」が配置されていますが、 「Advanced Resource Assign」の前に配置するようにします。

(1)

「AD Auth(1)」の Successful 後の分岐の (+)ボタンより VMware View Policy の設定を追加します。

(2)

「Assignment」タブより「VMware View Policy」を選択して追加します。

(3)

USB Redirection / Drive Mapping を有効化する場合は「USB redirection」にて ”Enabled” 選択します。

APM 側での作業は以上となります。

(4)

VMware View Horizon の仕様にあわせ、「HTTP 安全なトンネル」を有効化します。

(5)

「USB アクセス」を許可とします。

「マシンへの安全なトンネル接続を使用する」にチェックします

9. Client からのアクセス編

9.1. VMware Horizon Client を用いて VDI 環境へアクセス

(1)

デスクトップ上にある VMware Horizon Client を起動します。

(2)

「View 接続サーバ」のアドレスを入力します。

(3)

BIG-IP へ設定したアドレス「https://10.99.1.YYY」を入力します。

(4)

Active Directory「corp.f5jp.local」のドメインユーザとしてログオンします。

(5)

表示される仮想デスクトップへログオンします。 Client をダブルクリックします 「新規サーバ」をクリックします 「接続」をクリックします 「ログオン」をクリックします Corp ドメインユーザ情報を入力します 割り当てられた「テスト用仮想クライアント Pool」をクリックします ※P.6 参照

9.2. ブラウザを用いて VDI 環境へアクセス

(1)

デスクトップ上にあるブラウザを起動します。

(2)

BIG-IP へ設定したアドレス「https://10.99.1.YYY」へアクセスします。 デフォルトの証明書は正式に取得した証明書ではないため、以下のような画面が現れますが、 「このサイトの閲覧を続行する」を選択してください。

(3)

Active Directory「corp.f5jp.local」のドメインユーザとしてログオンします。 「Internet Explorer」をクリックします 「このサイトの閲覧を続行する」をクリックします 10.99.1.YYY/

(4)

割り当てられた「テスト用仮想クライアント Pool」をクリックします。 ※ハンズオン参加者が同じ仮想デスクトップへ同時にログオンすることはできません

(5)

View Client, HTML5 共にクリックし、利用を確認します。 ※Horizon View のプールの設定にて「HTML のアクセス」を有効にしていない場合、上記選択肢は表示されません。 クリックします。 「HTML5 Client」をクリックします。

10. おわりに

以上で BIG-IP APM と VMware Horizon View との連携に関する基本的なセットアップは終了となります。 より詳細な内容やその他設定は弊社 Deployment Guide をご参照下さい。 BIG-IP シリーズ製品ラインナップにおいては、ソフトウェアモジュールライセンスを追加することで、サーバ負荷分散 はもちろんのこと、広域負荷分散やネットワークファイアウォール機能、Web アプリケーションファイアウォール機能な ど、アプリケーションアクセスを最適化する為の多彩な機能が使用できるようになります。 詳細は各種 WEB サイトにてご確認いただくか、購入元にお問い合わせください。 ＜F5 ネットワークス WEB サイトの紹介＞ F5 ネットワークスジャパン総合サイト https://f5.com/jp F5 Tech Depot：エンジニア向け製品関連情報サイト http://www.f5networks.co.jp/depot/ AskF5：ナレッジベース総合サイト（英語） https://support.f5.com/kb/en-us.html DevCentral：F5 ユーザコミュニティサイト（英語：アカウント登録が必要です） https://devcentral.f5.com/ 以上