La configurazione del Kemp Load Balancer in un ambiente VMware Horizon deve riflettere il design dell'infrastruttura e capire come il traffico è segmentato.
In una tipica installazione Horizon ci sono alcuni componenti posizionati nella zona DMZ (UAG) ed altri nella zona LAN (i Connection Servers ad esempio). Per bilanciare i componenti Horizon ed effettuare il routing del traffico, il Kemp LoadMaster deve essere configurato opportunamente.
Blog Serie
Kemp Load Balancer per VMware Horizon installazione - pt.1
Kemp Load Balancer per VMware Horizon configurazione - pt.2
Kemp Load Balancer per VMware Horizon configurazione HA - pt.3
Kemp Load Balancer setup della rete
Accedere alla pagina di login del LoadMaster, inserire le credenziali bal e cliccare su Login.
Poichè l'appliance deve bilanciare entrambi i componenti in DMZ e LAN, la eth1 NIC necessita di essere configurata impostando l'Indirizzo IP in DMZ. Andare nella sezione System Configuration > Network Setup > Interfaces > eth1, inserire l'Interface Address e cliccare su Set Address.
Cliccare OK per confermare l'Indirizzo IP impostato.
Configurata la NIC nella DMZ, posizionarsi nella sezione System Configuration > Host & DNS Configuration per completare la configurazione dei parametri di rete. Inserire l'Hostname e cliccare Set Hostname. Specificare il DNS Search Domain e cliccare su Add.
Come indicato nelle best practice, nella sezione System Configuration > L7 Configuration impostare il valore Yes - Accept Changes nel campo Always Check Persist.
Nella sezione System Configuration > Network Options, abilitare l'opzione Enable Alternate GW Support a Subnet Originating Requests.
La configurazione principale della rete è completa.
Installare i template Horizon
Per bilanciare l'ambiente Horizon, Kemp ha reso disponibili alcuni template per semplificare la configurazione. Dal sito web Kemp, scaricare i due template per Horizon necessari per questa configurazione:
Posizionarsi nella sezione Virtual Services > Manage Templates e cliccare Browse. Selezionare il primo template e cliccare Add New Template.
Cliccare su OK.
Ora cliccare su Browse e selezionare il secondo template. Cliccare su Add New Template.
Cliccare OK.
I template sono stati caricati correttamente.
Configurare la LAN Virtual Service
Caricati i template, posizionarsi nella sezione Virtual Services > Add New per creare il Virtual IP Address (VIP) per il lato LAN. Digitare il Virtual Address e selezionare VMware Connection Server dal menu a tendina Use Template. Cliccare Add the Virtual Service.
Ora bisogna associare i Real Servers al VIP configurato. Nell'esempio, due Connection Server sono presenti nell'infrastruttura Horizon. Per la Port 80 non bisogna configurare nessun Real Server.
Il template fornisce tutti i parametri per configurare correttamente il Kemp Load Balancer. Cliccare su Modify per configurare i Real Servers per la porta 443.
Nuovamente, nella sezione Real Servers cliccare Add New.
La procedura è la stessa vista in precedenza. Inserire il Real Server Address per il primo Connection Server e quindi cliccare su Add The Real Server. Viene ora configurato l'Indirizzo IP per la porta 443.
Aggiungere anche il secondo Connection Server per completare la configurazione lato LAN.
Configurare il Virtual Service in DMZ
Ritornare nella sezione Virtual Services > Add New per creare il Virtual IP Address (VIP) per il lato DMZ. Inserire il Virtual Address e selezionare UAGLB - Source IP Affinity nel campo Use Template. Cliccare Add the Virtual Service.
E' necessario ora associare i Real Servers al VIP in DMZ. Nell'esempio, due UAG sono installati nell'infrastruttura Horizon. Per la Port 80 nessun Real Servers deve essere configurato.
Ora cliccare su Modify per configurare il Real Servers per la porta 443.
Nella sezione Real Servers cliccare su Add New.
Inserire il Real Server Address del primo UAG e cliccare sul bottone Add The Real Server.
Quando lo Status è indicato come Up, proseguire con la porta successiva da configurare. Effettuare le stesse operazioni per i rimanenti parametri da configurare.
Quando tutte le porte sono state correttamente configurate, tutte le porte devono indicare lo Status come Up.
Configurare l'Administration Access
Per incrementare la sicurezza, la gestione dell'appliance Kemp deve essere permessa solo dal lato LAN. Posizionarsi nella sezione Certificates & Security > Remote Access e selezionare eth0: LAN_IPAddress dal menu a tendina per permettere l'accesso solo dal lato LAN.
Cliccare OK per confermare la configurazione.
Specificare l'Admin Default gateway da utilizzare e cliccare successivamente su Set Administrative Access.
Cliccare OK.
La pagina di configurazione del Kemp è ora accessibile solo dal lato LAN.
Modificare il Default Gateway
Il Default Gateway attualmente configurato è valido per effettuare il routing del traffico di rete lato LAN ma non può operare nell'area DMZ.
Poichè la DMZ presenta un Default Gateway differente, è necessario specificare il gateway utilizzato per la subnet associata all'area DMZ. Posizionarsi nella sezione System Configuration > Network Setup >Interface > eth1 ed abilitare l'opzione Use for Default Gateway.
Automaticamente viene visualizzata la pagina di configurazione del Default Gateway. Inserire l'IPv4 Default Gateway Address e cliccare su Set IPv4 Default Gateway.
Cliccare su OK.
Il traffico in DMZ può essere ora gestito.
Configurare gli Static Routes
Poichè il Default Gateway configurato effettua il routing del solo traffico in DMZ, per effettuare il routing del traffico nella zona LAN è necessario aggiungere degli static route per tutte le reti utilizzate nella LAN. Inserire la rete di Destination, specificare il Gateway e cliccare su Add Route.
La static route è stato aggiornato correttamente.
Provando ad accedere all'infrastruttura Horizon dall'esterno, il Kemp è ora in grado di bilanciare e redirigere il traffico opportunamente.
Con una singola appliance Kemp, è possibile gestire sia il traffico in DMZ sia in LAN in una modalità sicura assicurando la continuità del servizio nel caso un componente Horizon (UAG or Connection Server) abbia un malfunzionamento.
Per evitare l'interruzione del servizio, anche il Kemp dovrebbe prevedere l'high availability per garantire la funzionalità nel caso di malfunzionamento del LoadMaster. Nella parte 3 verrà descritta la procedura per configurare il Kemp in modalità HA.
s