一、问题现象

某用户需要作F5与VMWARE view 7.3的VDI的发布项目测试,用户主要是需要通过F5 APM来替换vmware view架构中的Secure server来作两件事件:

connection server连接服务器的负载均衡

桌面VDI的会话保持及PCoIP协议的proxy代理

但是在测试过程中出现了如下问题:

1、内网测试时通过view client以及brower浏览器portal访问view时,第一次连接总是出现ssl error问题,不过使用纯view client多连接一次是可以规避的,但浏览器不行,因为每次都点

击形成一个新的连接。

blob.png 

 

2、外网NAT映射发布由于用户的TCP 443、UDP 4172端口被占用,F5映射需要更改默认端口进行业务NAT映射发布使用,出现只能使用Blaster协议,但不能使用PCoIP登录,故障现象为登录发布的桌面出现“黑屏”,IPAD及手机出现“远程主机域名无法解析”的问题

blob.png 

二、测试环境介绍

2.1、测试拓扑

简要测试场景如下:

用户4g上网(通过×××连入)----->ISP专网------>firewall(nat)----->客户内网----->F5----->view系统

2.2、端口及IP对应

外网端口NAT映射情况

TCP 172.16.10.21:14430<------>192.168.20.166:14430  CS连接服务器认证及桌面分配流量

UDP 172.16.10.21:14173<------>192.168.20.166:14173  Proxy PCoIP VDI桌面流量

三、解决方案

3.1ssl error解决方案

内网的PCoIP proxy场景测试出现的ssl error问题,可以通过图片以及以下抓包可以大概看出来,问题不是出在后端,应该在前端!

抓包来看:客户端与F5做SSL协商时出现了RST,原因是SSL握手超时!

blob.png 

解决方法:

我们通过去掉IE中的自动检测设置功能!

因为ssl error问题是由于用户VMWARE ESXI虚拟平台的测试虚拟机中IE浏览器设置了代理自动检测功能,导致所有使用IE内核的浏览器如火狐、GOOGLE、360都被影响,导致SSL协商超时报错,现已经解决;经测试portal访问桌面以及view client访问桌面均能够成功访问

blob.png 

3.2vdi外网发布解决方案

在解决了内网成功发布了VDI桌面实现了PCoIP proxy之后,我们需要解决用户通过专网的防火墙向外部用户进行发布,但出现了PC端PCoIP桌面连接时的黑屏而移动端则是无法解决主机域名的问题!

PC端PCoIP桌面分配后连接时黑屏我们做过view的人基本知道属于Proxy UDP PCoIP流量不通(默认UDP 4172),由于客户防火墙只有1个IP可用,且443与4172端口都被占用,因此测试时都是使用的非默认端口。

解决方案:

我们通过使用F5 APM非默认端口修改SOL

blob.png 

四、分析总结

    目前F5 V13版本可以与Vmware view 7.3最新版作VDI联合解决方案,目前F5的DG部署文档只说明了7.2,当然了我们测试view 7.2测试发布基本功能也是OK的;通过F5 APM发布view的问题基本上都是一些端口映射以及其它VPE的需求问题为主;同时我们在部署时尽量使用iapp模板部署,如果需要修改可以修改iapp部署参数,如果iapp部署有问题才有必要通过手工方式进行配置,手工配置可以参考F5相关部署指导手册的manual部分!