与 NICE DCV Connection Gateway 集成 - NICE DCV Session Manager
将 Session Manager Broker 设置为 NICE DCV Connection Gateway 的会话解析器可选 - 启用 TLS 客户端身份验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 NICE DCV Connection Gateway 集成

NICE DCV Connection Gateway 是一个可安装的软件包,使用户能够通过到 LAN 或 VPC 的单个接入点访问一组 NICE DCV 服务器。

如果您的基础设施包括可通过 NICE DCV Connection Gateway 访问的 NICE DCV 服务器,您可以配置 Session Manager 以集成 NICE DCV Connection Gateway。通过执行下一节中概述的步骤,Broker 将充当 Connection Gateway 的会话解析器。换句话说,Broker 将公开一个额外的 HTTP 终端节点。Connection Gateway 对该终端节点进行 API 调用,以检索将 NICE DCV 连接路由到 Broker 选择的主机所需的信息。

将 Session Manager Broker 设置为 NICE DCV Connection Gateway 的会话解析器

Session Manager Broker 端

  1. 使用常用的文本编辑器打开 /etc/dcv-session-manager-broker/session-manager-broker.properties 并应用以下更改:

    • Set enable-gateway = true

    • gateway-to-broker-connector-https-port 设置为空闲 TCP 端口(默认为 8447)

    • gateway-to-broker-connector-bind-host 设置为 Broker 为 NICE DCV Connection Gateway 连接绑定的主机的 IP 地址(默认值为 0.0.0.0)

  2. 然后,运行以下命令以停止并重新启动 Broker:

    sudo systemctl stop dcv-session-manager-broker
    sudo systemctl start dcv-session-manager-broker

  3. 检索 Broker 的自签名证书副本,并将其放置在您的用户目录中。

    sudo cp /var/lib/dcvsmbroker/security/dcvsmbroker_ca.pem $HOME

    在下一步中安装 NICE DCV Connection Gateway 时,您需要使用该证书。

NICE DCV Connection Gateway 端

  • 请按照 NICE DCV Connection Gateway 文档中的相应小节进行操作。

    由于 NICE DCV Connection Gateway 对 Broker 进行 HTTP API 调用,如果 Broker 使用自签名证书,您需要将 Broker 证书复制到 NICE DCV Connection Gateway 主机(在上一步中检索)并在 NICE DCV Connection Gateway 配置的 [resolver] 部分中设置 ca-file 参数。

可选 - 启用 TLS 客户端身份验证

在完成上一步后,Session Manager 和 Connection Gateway 可以通过安全通道进行通信,其中 Connection Gateway 可以验证 Session Manager Broker 的身份。如果您要求 Session Manager Broker 还在建立安全通道之前验证 Connection Gateway 身份,您需要按照下一节中的步骤启用 TLS 客户端身份验证功能。

注意

如果 Session Manager 位于负载均衡器后面,则无法使用具有 TLS 连接终止的负载均衡器(例如 Application Load Balancer (ALB) 或 Gateway Load Balancer (GLB))启用 TLS 客户端身份验证。仅支持没有 TLS 终止的负载均衡器,例如 Network Load Balancer (NLB)。如果您使用 ALB 或 GLB,您可以强制要求仅特定的安全组连接到负载均衡器,从而确保达到额外的安全级别;有关安全组的更多信息,请参阅此处:您的 VPC 的安全组

Session Manager Broker 端

  1. 要为 Session Manager Broker 和 NICE DCV Connection Gateway 之间的通信启用 TLS 客户端身份验证,请按照以下步骤进行操作:

  2. 运行以下命令以生成所需的密钥和证书:该命令的输出指示您生成凭证的文件夹以及用于创建 TrustStore 文件的密码。

    sudo /usr/share/dcv-session-manager-broker/bin/gen-gateway-certificates.sh

  3. 将 NICE DCV Connection Gateway 的私有密钥和自签名证书的副本放置在您的用户目录中。在下一步中在 NICE DCV Connection Gateway 中启用 TLS 客户端身份验证时,您需要使用这些密钥和证书。

    sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_key.pem $HOME 
    sudo cp /etc/dcv-session-manager-broker/resolver-creds/dcv_gateway_cert.pem $HOME

  4. 然后,使用常用的文本编辑器打开 /etc/dcv-session-manager-broker/session-manager-broker.properties,并执行以下操作:

    • enable-tls-client-auth-gateway 设置为 true

    • gateway-to-broker-connector-trust-store-file 设置为上一步中创建的 TrustStore 文件的路径

    • gateway-to-broker-connector-trust-store-pass 设置为用于在上一步中创建 TrustStore 文件的密码

  5. 然后,运行以下命令以停止并重新启动 Broker:

    sudo systemctl stop dcv-session-manager-broker
    sudo systemctl start dcv-session-manager-broker
NICE DCV Connection Gateway 端

  • 请按照 NICE DCV Connection Gateway 文档中的相应小节进行操作。

    • 在设置 [resolver] 部分中的 cert-file 参数时,使用您在上一步中复制的证书文件的完整路径

    • 在设置 [resolver] 部分中的 cert-key-file 参数时,使用您在上一步中复制的密钥文件的完整路径