Project

General

Profile

Tâche #10862

Scénario #10057: Sur AmonEcole, je veux pouvoir accéder aux consoles vnc par EOP

EOP : permettre l'accès aux consoles vnc sur AmonEcole

Added by Lionel Morin about 6 years ago. Updated about 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/09/2015
Due date:
% Done:

100%

Estimated time:
12.00 h
Spent time:
Remaining (hours):
0.0

Related issues

Related to ERA - Evolution #4339: Inclusion statique et Importation de modèle Fermé

Associated revisions

Revision 2ce8e338 (diff)
Added by Lionel Morin about 6 years ago

Redirection de websockify sur le modèle 2zones-amonecole (ref #10862 @12h)

Revision 486f48e4 (diff)
Added by Lionel Morin about 6 years ago

Ajout du port SSL 6080 pour websokify (ref #10862)

Revision 7b14d88e (diff)
Added by Lionel Morin about 6 years ago

Prise en compte de la balise include lors de la génération des modèles

Ref #10862 @6h

History

#1 Updated by Lionel Morin about 6 years ago

Description

  1. Toutes les requêtes http depuis eth1 vers web_url passent par le proxy
  2. noVNC fait des connexions sur http://web_url:6080
  3. les requêtes doivent arriver sur le conteneur fichier

Proposition de solution

  1. Le client utilise un path dédié aux connexions websocket (/eoleapps/eop/vnc/connect)
    1. Modifier EOP pour transmettre le paramètre path à la lib noVNC
    2. Mettre en place un reverse proxy pour rediriger path vers le conteneur fichier sur le port 6080 (avec nginx sur le maître ou apache dans le conteneur web)
  2. Le client se connecte directement sur le conteneur fichier (adresse_ip_fichier)
    1. Ne pas passer par le proxy pour les requêtes vers web_url depuis eth1
    2. Autoriser les connexions depuis eth1 sur adresse_ip_fichier port 6080
    3. Modifier EOP pour utiliser adresse_ip_fichier en paramètre des connexions websocket
  3. Le client se connecte à travers le proxy sur web_url:6080
    1. Rediriger les paquets à la sortie du proxy à destination de web_url:6080 vers le conteneur fichier port 6080

Sur eole 2.4, seule la solution 3 est fonctionnelle.

Pour la mettre en œuvre la solution 3, il faut :
  1. déclarer le port 6080 en tant que SSL_ports dans common-squid1.conf (#FIXME)
  2. ajouter les règles iptables suivantes sur le maître
    iptables -t nat -I PREROUTING 1 -p tcp --dport 6080 -j DNAT --to-destination 192.0.2.52
    iptables -I FORWARD 1 -p tcp --dport 6080 -j ACCEPT
    
  3. vérifier que le service websockify est bien fonctionnel dans le conteneur fichier (écoute sur 6080) : normalement résolu par eop:9e93a5bb

#2 Updated by Lionel Morin about 6 years ago

  • Assigned To set to Lionel Morin

#3 Updated by Lionel Morin about 6 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Lionel Morin about 6 years ago

  • Status changed from En cours to Résolu

#5 Updated by Lionel Morin about 6 years ago

  • Remaining (hours) changed from 12.0 to 1.0

#6 Updated by Klaas TJEBBES about 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 1.0 to 0.0
root@amonecole:~/tests# iptables-save |grep 6080
-A PREROUTING -p tcp -m tcp --dport 6080 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.52:6080

La règle de FORWARD est inutile.

#7 Updated by Joël Cuissinat about 6 years ago

  • % Done changed from 0 to 100

Also available in: Atom PDF