BIG-IP APM ネットワークアクセスかんたんセットアップガイド (v 対応 ) View Proxy 編 F5 Networks Japan V1.1

BIG-IP APM

ネットワークアクセス

かんたんセットアップガイド

(v11.5.1 対応)

View Proxy 編

目次

1. はじめに ... 3

1.1. APM View Proxy アクセス動作概要 ... 3

2. スタンドアローン ... 4 2.1. スタンドアローンイメージ ... 4 2.2. スタンドアローンのネットワークサンプル ... 5 3. 初期設定 ... 6 3.1.1. 管理ポートへの GUI アクセス ... 6 4. ネットワーク設定 ... 11 4.1. VLAN の作成 ... 11 4.2. Self IP の設定 ... 12 4.3. ルーティングの設定 ... 14 4.3.1. デフォルトゲートウェイの設定 ... 14 5. View Proxy 向け設定編 ... 15 5.1. Pool の作成 ... 15 5.2. Access Policy の作成 ... 16 5.2.1. Remote Desktop ... 16 5.2.2. Webtops ... 17 5.2.3. AAA Servers ... 18 5.2.4. Access Profile ... 19 5.2.5. Connectivity Profile ... 21 5.2.6. SSL Server Profile... 22 5.2.7. SSL Sever Profile ... 22 5.3. HTTPS Virtual Server ... 23

5.4. PCoIP Virtual Server の作成 ... 24

5.5. View Client を用いたアクセス時のポリシー作成 ... 25 5.5.1. Client type の制限 ... 25 5.5.2. Login 画面の追加 ... 27 5.5.3. AD 認証の追加 ... 28 5.5.4. VMware View アクセス提供の設定の追加... 29 5.5.5. フロー最後の Ending 設定を変更 ... 30 5.6. ブラウザを用いたアクセス時のポリシー作成 ... 31 5.6.1. Login 画面の追加 ... 31 5.6.2. AD 認証の追加 ... 33 5.6.3. VMware View アクセス提供の設定の追加... 34 5.6.4. フロー最後の Ending 設定を変更 ... 35

6. <参考> Horizon View Connection Server 側の設定 ... 36

6.1. View Connection Server の設定を変更します。 ... 36

7. Client からのアクセス編 ... 37

7.1. VMware Horizon Client を用いて VDI 環境へアクセス ... 37

7.2. ブラウザを用いて VDI 環境へアクセス ... 37

1. はじめに

本セットアップガイドにて BIG-IP Access Policy Manager（以下、APM）の Vmware Horizon View（以下、View）と の連携設定方法についてご案内します。 BIG-IP APM は、SSL-VPN トンネルによるリモートアクセス(これをネットワークアクセスと呼びます)をはじめとして、 高度な認証機能(例：クレデンシャルキャッシング方式シングルサインオン，SAML シングルサインオン等)も兼ね備え ています。そちらについては別途「APM 簡単セットアップガイド」をご参照下さい。 また、本セットアップガイド内に記載されるアドレス、ホスト名は弊社ハンズオン環境で利用される値となります。 本書内では参考値として捉えて頂けますよう宜しくお願い致します。

1.1. APM View Proxy アクセス動作概要

APM View Proxy アクセスは以下のような流れで動作します。

① クライアントが Web ブラウザに、URL：https://vdi.xyz.com を入力。

② クライアント PC は、vdi.xyz.com の IP アドレスを解決するために、DNS クエリを送信。 ③ DNS サーバから vdi.xyz.com の IP アドレスを得る。

2. スタンドアローン

2.1. スタンドアローンイメージ

上図①～⑨の IP アドレスが必要になりますので、あらかじめご用意ください。 なお、①管理 IP は工場出荷時に 192.168.1.245/24 がプリセットされています。 項目 名前(サンプル) 値 - ホスト名 BigXXX.f5jp.local ① 管理 IP --- ② External インタフェース external ③ Internal インタフェース internal ④ デフォルトゲートウェイ default-GW ⑤ バーチャルサーバアドレス(PCoIP) viewproxy-pcoip_vs ⑥ バーチャルサーバアドレス(Blast) viewproxy-https_vs ⑦ 認証サーバ (Active Directory) view_aaa_srvr ⑧ DNS サーバ (Active Directory) view_aaa_srvr

2.2. スタンドアローンのネットワークサンプル

冗長化しない状態を想定して、1 台のみ設定していきます。

3. 初期設定

3.1.1. 管理ポートへの GUI アクセス

管理用 PC から、設定した BIG-IP の管理 IP アドレスへ、HTTPS でアクセスします。 デフォルトの証明書は正式に取得した証明書ではないため、以下のような画面が現れますが、 「このサイトの閲覧を続行する」を選択してください。

(1)

ログイン画面が現れますので、以下のデフォルトの ID と Password でログインしてください。 ID：admin Password：admin

(2)

「Next」ボタンを押します。

(3)

ライセンス画面が出ます。「Next」ボタンを押します。

(4)

プロビジョニング画面がでますので、「APM」にチェックを入れいます。

(6)

ホスト名、タイムゾーン、Root/Admin それぞれのパスワードを設定します。「Next」ボタンを押します。

設定したパスワードでログインを試みるよう、ログアウト→ログインするように指示があります。「OK」ボタンを押します。

【※注※】ホスト名を FQDN で指定。 タイムゾーンを指定。

(7)

Username ＝ admin と、設定したパスワードで再度ログインします。

(8)

この後、Standard Network Configuration の「Next」を押すことでウィザード形式にて冗長化も含めた設定が可 能ですが、ここではスタンドアローン構成にするため、Advanced Network Configuration の「Finished」ボタンを 押します。

4. ネットワーク設定

VLAN や VLAN インタフェースへの IP 設定 (Self-IP 設定) およびルーティング設定を行います。

4.1. VLAN の作成

まず、VLAN を作成します。 「Network」 → 「VLAN」で表示された画面の右上にある「Create」ボタンを押します。

(1)

External VLAN の設定

(2)

Internal VLAN の設定 名前(任意)を指定。 ポートを選択。 名前(任意)を指定。 ポートを選択。

4.2. Self IP の設定

BIG-IP に設定した VLAN それぞれに対して、IP アドレスを設定していきます。 BIG-IP 自身に設定する IP アドレスを、Self IP と呼びます。

「Network」 → 「Self IPs」で表示された画面の右上にある「Create」ボタンを押します。

(1)

External VLAN の IP 設定

(2)

Internal VLAN の IP 設定 名前(任意)、 【※注※】IP アドレス、 サブネットマスク、VLAN を設定。 このアドレス上でのサービス(SSH/GUI アクセス等)を許可。 名前(任意)、 【※注※】IP アドレス、 サブネットマスク、VLAN を設定。 このアドレス上でのサービス(SSH/GUI アクセス等)を拒否。

4.3. ルーティングの設定

4.3.1. デフォルトゲートウェイの設定

「Network」 → 「Routes」で表示された画面の右上にある「Add」ボタンを押します。 以下の通り入力し、「Finished」を押します。 任意の名称を入力。 左記の通りに入力。 ゲートウェイのアドレスを入力。

5. View Proxy 向け設定編

5.1. Pool の作成

(1)

「Local Traffic」 → 「Pools」で、「Create…」をクリックします。

(2)

「New Pool」作成画面にて各種情報を入力します。

Pool 名を入力します

5.2. Access Policy の作成

5.2.1. Remote Desktop

(1)

「Access Policy」 → 「Application Access」 → 「Remote Desktops」で、「Create…」をクリックします。

(2)

「New Resource …」作成画面にて各種情報を入力します。

Name を入力します

Connection Server の Pool を指定します VMware View を選択します

Connection Server との認証連携を 自動化するため、Enable にします Connection Server との間での SSL の為、有効します

5.2.2. Webtops

(1)

「Access Policy」 → 「Webtops」で、「Create…」をクリックします。

(2)

「New Webtop …」作成画面にて各種情報を入力します。

「Name」を入力し、「Type」にて Full を選択します

5.2.3. AAA Servers

(1)

「Access Policy」 → 「AAA Servers」 → 「Active Directory」で、「Create…」をクリックします。

(2)

「New Webtop …」作成画面にて各種情報を入力します。

「Name」を入力します

Domain 名を入力します 「Direct」にチェックを入力します Active Directory サーバのアドレスを入力します

5.2.4. Access Profile

(2)

「New Profile …」作成画面にて各種情報を入力します。

「Name」を入力します 「All」を選択します

アクセス時の言語を指定します

5.2.5. Connectivity Profile

(1)

「Access Policy」 → 「Secure Connectivity」 から、「Add…」をクリックします。

(2)

必要情報を入力し「OK」をクリックします。

「Profile Name」を入力します ベースとする設定ファイルを指定 デフォルト設定の Connectivity を選択

5.2.6. SSL Server Profile

(1)

「Local Traffic」 → 「Profiles」 → 「SSL」 → 「Server」 から、「Create…」をクリックします。

5.2.7. SSL Sever Profile

画面下方にある「Finished」ボタンをクリックします。 「Name」を入力します 「Advance」を選択します Server Name の右にチェックを入れ編集可能とし、 ”pcoip-default-sni”と入力します

5.3. HTTPS Virtual Server

(1)

「Local Traffic」 → 「Virtual Server」 から、「Create…」をクリックし、必要な情報を入力します。

Virtual Server 名を入力します

Virtual Server の待ちうけ IP（VIP）とポート番号を入力します

HTTP を選択します BIG-IP と Client 間の SSL 通信の プロファイルを指定 BIG-IP とコネクションサーバ間の SSL 通信のため、作成した SSL プロファイルを指定 Auto Map を選択します

作成した Access Profile, Connectivity Profile を選択します チェックを入れます。

5.4. PCoIP Virtual Server の作成

(1)

「Local Traffic」 → 「Virtual Server」 から、「Create…」をクリックし、必要な情報を入力します。

Virtual Server 名を入力します

Virtual Server の待ちうけ IP（VIP）とポート番号を入力します

UDP を選択します

Auto Map を選択します

チェックを入れます。

「Finished」をクリックします

5.5. View Client を用いたアクセス時のポリシー作成

(1)

「Access Policy」 → 「Access Profiles」で、作成した Access Profile の Policy の「Edit」クリックします。

(2)

「Visual Policy Editor」（以下、VPE）が表示されます。

5.5.1. Client type の制限

(1)

Client Type を追加します。

(+)ボタンをクリックし、Client Type を検索し、”Add Item”で追加します。

(2)

Client Type オブジェクトの「Name」を入力します 「Save」ボタンをクリックします。

(3)

VPE 内に Client Type が追加されます。

Name を入力します

5.5.2. Login 画面の追加

(1)

VMware View の分岐の(+)ボタンより Login 画面を追加します。

(2)

「Logon」タブより「VMware View Logon Page」を選択して追加します。

(3)

「VMware View Logon Page」の設定画面にて必要な情報を入力します。

「VMware View Logon Page」を選択し、「Add Item」をクリックします

「Name」を入力します

Domain 名を入力します

5.5.3. AD 認証の追加

(1)

「VMware View Logon Page」の分岐の(+)ボタンより AD 認証を追加します。

(2)

「Authentication」タブより「AD Auth」を選択して追加します。

(3)

「AD Auth」の設定画面にて必要な情報を入力します。

「AD Auth」を選択し、「Add Item」をクリックします

「Name」を入力します

5.5.4. VMware View アクセス提供の設定の追加

(1)

「AD Auth」の Successful 後の分岐の (+)ボタンより VMware View アクセス提供の設定を追加します。

(2)

「Assignment」タブより「Advanced Resource Assign」を選択して追加します。

(3)

「Advanced Resource Assign」の設定画面にて必要な情報を入力します。

「Advanced Resource Assign」を選択し、 「Add Item」をクリックします

「Name」を入力します 「Add new entry」をクリックします

「Add/Delete」をクリックします

5.5.5. フロー最後の Ending 設定を変更

(1)

「Advanced Resource Assign」の Fallback 後の「Deny」をクリックします。

(2)

VMware View Desktop へのアクセス許可とするため、「Ending」の設定画面にて「Allow」を選択します。

(3)

下図のようなフローが作成されます。

(4)

「Access Policy」を有効化します。

以上で View Client を用いたアクセス時のポリシー作成は完了となります。 引き続き次ページからのブラウザを用いたアクセス時のポリシー作成に入ります。

「Allow」を選択し、「Save」をクリックします

5.6. ブラウザを用いたアクセス時のポリシー作成

(1)

「Access Policy」 → 「Access Profiles」で、作成した Access Profile の Policy の「Edit」クリックします。

(2)

「Visual Policy Editor」（以下、VPE）が表示されます。

5.6.1. Login 画面の追加

(1)

Full or Mobile Browser の分岐の(+)ボタンより Login 画面を追加します。

(3)

「Logon Page」の設定画面にて必要な情報を入力します。

「Name」を入力します

5.6.2. AD 認証の追加

(1)

「Logon Page」後の分岐の(+)ボタンより AD 認証を追加します。

(2)

「Authentication」タブより「AD Auth」を選択して追加します。

(3)

「AD Auth」の設定画面にて必要な情報を入力します。

「AD Auth」を選択し、「Add Item」をクリックします

「Name」を入力します

5.6.3. VMware View アクセス提供の設定の追加

(1)

「AD Auth(1)」の Successful 後の分岐の (+)ボタンより VMware View アクセス提供の設定を追加します。

(2)

「Assignment」タブより「Advanced Resource Assign」を選択して追加します。

(3)

「Advanced Resource Assign」の設定画面にて必要な情報を入力します。

「Advanced Resource Assign」を選択し、 「Add Item」をクリックします

「Name」を入力します 「Add new entry」をクリックします

「Add/Delete」をクリックします

「Remote Desktop」タブ内で作成した設定クリックします

5.6.4. フロー最後の Ending 設定を変更

(1)

「Browser Resource Assign」の Fallback 後の「Deny」をクリックします。

(2)

ブラウザを用いたアクセスを許可とするため、「Ending」の設定画面にて「Allow」を選択します。

(3)

下図のようなフローが作成されます。

(4)

「Access Policy」を有効化します。

※注意※

本環境ではクライアントから VDI 環境へのアクセス時に NAT を利用しておりませんが、実環境では NAT を利用して いる環境もあります。NAT 利用の際は前述までの VPE 構成に加え 下記オブジェクトを追加する必要がありますので ご注意下さい。

<Variable Assign>

Custom Variable Unsecure : view.proxy_addr Custom Expression : expr {“<ipaddress>”}

「Allow」を選択し、「Save」をクリックします

6. <参考> Horizon View Connection Server 側の設定

この操作は今回のハンズオントレーニングでは実施致しません。内容確認後次項へ進みます。

6.1. View Connection Server の設定を変更します。

チェックを外します

チェックを外します

7. Client からのアクセス編

7.1. VMware Horizon Client を用いて VDI 環境へアクセス

(1)

デスクトップ上にある VMware Horizon Client を起動します。

(2)

「View 接続サーバ」のアドレスを入力します。

(3)

BIG-IP へ設定したアドレス「https://10.99.1.YYY」を入力します。

(4)

Active Directory「corp.f5jp.local」のドメインユーザとしてログオンします。

(5)

表示される仮想デスクトップへログオンします。 Client をダブルクリックします 「新規サーバ」をクリックします 「接続」をクリックします 「ログオン」をクリックします Corp ドメインユーザ情報を入力します

(2)

BIG-IP へ設定したアドレス「https://10.99.1.YYY」へアクセスします。 デフォルトの証明書は正式に取得した証明書ではないため、以下のような画面が現れますが、 「このサイトの閲覧を続行する」を選択してください。

(3)

Active Directory「corp.f5jp.local」のドメインユーザとしてログオンします。 「Internet Explorer」をクリックします 「このサイトの閲覧を続行する」をクリックします ユーザ情報を入力します。 10.99.1.YYY/

(5)

View Client, HTML5 共にクリックし、利用を確認します。

※Horizon View のプールの設定にて「HTML のアクセス」を有効にしていない場合、上記選択肢は表示されません。

「Pool-001」をクリックします。

8. おわりに

以上で BIG-IP APM と VMware Horizon View との連携に関する基本的なセットアップは終了となります。 より詳細な内容やその他設定は弊社 Deployment Guide をご参照下さい。 BIG-IP シリーズ製品ラインナップにおいては、ソフトウェアモジュールライセンスを追加することで、サーバ負荷分散 はもちろんのこと、広域負荷分散やネットワークファイアウォール機能、Web アプリケーションファイアウォール機能な ど、アプリケーションアクセスを最適化する為の多彩な機能が使用できるようになります。 詳細は各種 WEB サイトにてご確認いただくか、購入元にお問い合わせください。 ＜F5 ネットワークス WEB サイトの紹介＞ F5 ネットワークスジャパン総合サイト https://f5.com/jp F5 Tech Depot：エンジニア向け製品関連情報サイト http://www.f5networks.co.jp/depot/ AskF5：ナレッジベース総合サイト（英語） https://support.f5.com/kb/en-us.html DevCentral：F5 ユーザコミュニティサイト（英語：アカウント登録が必要です） https://devcentral.f5.com/ 以上