Tâche #10862
Scénario #10057: Sur AmonEcole, je veux pouvoir accéder aux consoles vnc par EOP
EOP : permettre l'accès aux consoles vnc sur AmonEcole
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Demandes liées
Révisions associées
Redirection de websockify sur le modèle 2zones-amonecole (ref #10862 @12h)
Ajout du port SSL 6080 pour websokify (ref #10862)
Prise en compte de la balise include lors de la génération des modèles
Ref #10862 @6h
Historique
#1 Mis à jour par Lionel Morin il y a environ 9 ans
Description¶
- Toutes les requêtes http depuis eth1 vers
web_url
passent par le proxy - noVNC fait des connexions sur
http://web_url:6080
- les requêtes doivent arriver sur le conteneur fichier
Proposition de solution¶
- Le client utilise un
path
dédié aux connexions websocket (/eoleapps/eop/vnc/connect
)- Modifier EOP pour transmettre le paramètre
path
à la lib noVNC - Mettre en place un reverse proxy pour rediriger
path
vers le conteneur fichier sur le port 6080 (avec nginx sur le maître ou apache dans le conteneur web)
- Modifier EOP pour transmettre le paramètre
- Le client se connecte directement sur le conteneur fichier (
adresse_ip_fichier
)- Ne pas passer par le proxy pour les requêtes vers web_url depuis eth1
- Autoriser les connexions depuis eth1 sur
adresse_ip_fichier
port 6080 - Modifier EOP pour utiliser
adresse_ip_fichier
en paramètre des connexions websocket
- Le client se connecte à travers le proxy sur
web_url:6080
- Rediriger les paquets à la sortie du proxy à destination de
web_url:6080
vers le conteneur fichier port 6080
- Rediriger les paquets à la sortie du proxy à destination de
Sur eole 2.4, seule la solution 3 est fonctionnelle.
Pour la mettre en œuvre la solution 3, il faut :- déclarer le port 6080 en tant que SSL_ports dans common-squid1.conf (#FIXME)
- ajouter les règles iptables suivantes sur le maître
iptables -t nat -I PREROUTING 1 -p tcp --dport 6080 -j DNAT --to-destination 192.0.2.52 iptables -I FORWARD 1 -p tcp --dport 6080 -j ACCEPT
- vérifier que le service websockify est bien fonctionnel dans le conteneur fichier (écoute sur 6080) : normalement résolu par eop:9e93a5bb
#2 Mis à jour par Lionel Morin il y a environ 9 ans
- Assigné à mis à Lionel Morin
#3 Mis à jour par Lionel Morin il y a environ 9 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Lionel Morin il y a environ 9 ans
- Statut changé de En cours à Résolu
#5 Mis à jour par Lionel Morin il y a environ 9 ans
- Restant à faire (heures) changé de 12.0 à 1.0
#6 Mis à jour par Klaas TJEBBES il y a environ 9 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 1.0 à 0.0
root@amonecole:~/tests# iptables-save |grep 6080 -A PREROUTING -p tcp -m tcp --dport 6080 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.52:6080
La règle de FORWARD est inutile.
#7 Mis à jour par Joël Cuissinat il y a environ 9 ans
- % réalisé changé de 0 à 100