F5 APM针对Vmware view7.3 VDI业务发布测试问题分析

waid

一、问题现象
某用户需要作F5与VMWARE view 7.3的VDI的发布项目测试，用户主要是需要通过F5 APM来替换vmware view架构中的Secure server来作两件事件：
l connection server连接服务器的负载均衡
l 桌面VDI的会话保持及PCoIP协议的proxy代理
但是在测试过程中出现了如下问题：

1、内网测试时通过view client以及brower浏览器portal访问view时，第一次连接总是出现ssl error问题，不过使用纯view client多连接一次是可以规避的，但浏览器不行，因为每次都点

　　击形成一个新的连接。
　　

2、外网NAT映射发布由于用户的TCP 443、UDP 4172端口被占用，F5映射需要更改默认端口进行业务NAT映射发布使用，出现只能使用Blaster协议，但不能使用PCoIP登录，故障现象为登录发布的桌面出现“黑屏”，IPAD及手机出现“远程主机域名无法解析”的问题

二、测试环境介绍
2.1、测试拓扑
　　简要测试场景如下：
　　用户4g上网（通过***连入）----->ISP专网------>firewall(nat)----->客户内网----->F5----->view系统
2.2、端口及IP对应
　　外网端口NAT映射情况
　　TCP 172.16.10.21:14430<------>192.168.20.166:14430  CS连接服务器认证及桌面分配流量
　　UDP 172.16.10.21:14173<------>192.168.20.166:14173  Proxy PCoIP VDI桌面流量
三、解决方案
3.1、ssl error解决方案
内网的PCoIP proxy场景测试出现的ssl error问题，可以通过图片以及以下抓包可以大概看出来，问题不是出在后端，应该在前端！
抓包来看：客户端与F5做SSL协商时出现了RST，原因是SSL握手超时！

　　解决方法：
我们通过去掉IE中的自动检测设置功能！
因为ssl error问题是由于用户VMWARE ESXI虚拟平台的测试虚拟机中IE浏览器设置了代理自动检测功能，导致所有使用IE内核的浏览器如火狐、GOOGLE、360都被影响，导致SSL协商超时报错，现已经解决；经测试portal访问桌面以及view client访问桌面均能够成功访问

3.2、vdi外网发布解决方案
在解决了内网成功发布了VDI桌面实现了PCoIP proxy之后，我们需要解决用户通过专网的防火墙向外部用户进行发布，但出现了PC端PCoIP桌面连接时的黑屏而移动端则是无法解决主机域名的问题！
PC端PCoIP桌面分配后连接时黑屏我们做过view的人基本知道属于Proxy UDP PCoIP流量不通（默认UDP 4172），由于客户防火墙只有1个IP可用，且443与4172端口都被占用，因此测试时都是使用的非默认端口。
　　解决方案：
我们通过使用F5 APM非默认端口修改SOL
　　https://api-u.f5.com/support/kb-articles/K12733890?pdf

四、分析总结
　　    目前F5 V13版本可以与Vmware view 7.3最新版作VDI联合解决方案，目前F5的DG部署文档只说明了7.2，当然了我们测试view 7.2测试发布基本功能也是OK的；通过F5 APM发布view的问题基本上都是一些端口映射以及其它VPE的需求问题为主；同时我们在部署时尽量使用iapp模板部署，如果需要修改可以修改iapp部署参数，如果iapp部署有问题才有必要通过手工方式进行配置，手工配置可以参考F5相关部署指导手册的manual部分！