Projet

Général

Profil

Tâche #10862

Scénario #10057: Sur AmonEcole, je veux pouvoir accéder aux consoles vnc par EOP

EOP : permettre l'accès aux consoles vnc sur AmonEcole

Ajouté par Lionel Morin il y a environ 9 ans. Mis à jour il y a environ 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Lionel Morin
Version cible:
Distribution EOLE - sprint 2015 11-13
Début:
09/03/2015
Echéance:
% réalisé:

100%

Temps estimé:
12.00 h
Temps passé:
18.00 h
Restant à faire (heures):
0.0

Demandes liées

Lié à ERA - Evolution #4339: Inclusion statique et Importation de modèle Fermé

Révisions associées

Révision 2ce8e338 (diff)
Ajouté par Lionel Morin il y a environ 9 ans

Redirection de websockify sur le modèle 2zones-amonecole (ref #10862 @12h)

Révision 486f48e4 (diff)
Ajouté par Lionel Morin il y a environ 9 ans

Ajout du port SSL 6080 pour websokify (ref #10862)

Révision 7b14d88e (diff)
Ajouté par Lionel Morin il y a environ 9 ans

Prise en compte de la balise include lors de la génération des modèles

Ref #10862 @6h

Historique

#1 Mis à jour par Lionel Morin il y a environ 9 ans

Description

  1. Toutes les requêtes http depuis eth1 vers web_url passent par le proxy
  2. noVNC fait des connexions sur http://web_url:6080
  3. les requêtes doivent arriver sur le conteneur fichier

Proposition de solution

  1. Le client utilise un path dédié aux connexions websocket (/eoleapps/eop/vnc/connect)
    1. Modifier EOP pour transmettre le paramètre path à la lib noVNC
    2. Mettre en place un reverse proxy pour rediriger path vers le conteneur fichier sur le port 6080 (avec nginx sur le maître ou apache dans le conteneur web)
  2. Le client se connecte directement sur le conteneur fichier (adresse_ip_fichier)
    1. Ne pas passer par le proxy pour les requêtes vers web_url depuis eth1
    2. Autoriser les connexions depuis eth1 sur adresse_ip_fichier port 6080
    3. Modifier EOP pour utiliser adresse_ip_fichier en paramètre des connexions websocket
  3. Le client se connecte à travers le proxy sur web_url:6080
    1. Rediriger les paquets à la sortie du proxy à destination de web_url:6080 vers le conteneur fichier port 6080

Sur eole 2.4, seule la solution 3 est fonctionnelle.

Pour la mettre en œuvre la solution 3, il faut :
  1. déclarer le port 6080 en tant que SSL_ports dans common-squid1.conf (#FIXME)
  2. ajouter les règles iptables suivantes sur le maître
    iptables -t nat -I PREROUTING 1 -p tcp --dport 6080 -j DNAT --to-destination 192.0.2.52
iptables -I FORWARD 1 -p tcp --dport 6080 -j ACCEPT
  3. vérifier que le service websockify est bien fonctionnel dans le conteneur fichier (écoute sur 6080) : normalement résolu par eop:9e93a5bb

#2 Mis à jour par Lionel Morin il y a environ 9 ans

  • Assigné à mis à Lionel Morin

#3 Mis à jour par Lionel Morin il y a environ 9 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Lionel Morin il y a environ 9 ans

  • Statut changé de En cours à Résolu

#5 Mis à jour par Lionel Morin il y a environ 9 ans

  • Restant à faire (heures) changé de 12.0 à 1.0

#6 Mis à jour par Klaas TJEBBES il y a environ 9 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 1.0 à 0.0
root@amonecole:~/tests# iptables-save |grep 6080
-A PREROUTING -p tcp -m tcp --dport 6080 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.52:6080

La règle de FORWARD est inutile.

#7 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • % réalisé changé de 0 à 100

Formats disponibles : Atom PDF