remote.it を使って IBM Cloud VPC 環境にアクセスする (Ubuntu XRDP 編)

はじめに

投稿者および所属組織は remote.it とは完全に無関係です。
この投稿は remote.it の利用を投稿者および所属組織が推奨するものではありません。
remote.it で IBM Cloud VPC に接続できないかと問い合わせを受けたので検証作業を行っただけのものです。

remote.it は IBM Cloud から認識していないサービスです。remote.it を利用した IBM Cloud への接続について IBM Cloud としては 一切サポートできません。

remote.it の評価や利用の判断は、閲覧者の責任で実施してください。

今回の目的

先日「remote.it を使って IBM Cloud VPC 環境にアクセスする (Ubuntu へ ssh 編)」で、IBM Cloud へ「Floating IP」も「Client to Site VPN」使わずに remote.it を使って ssh 接続を行う方法を検証しました。
対象が、この Ubuntu への ssh接続で済めば良かったのですが「同じ VPC 内に複数のサーバーを立てる・アプリケーションによっては ポート 80/433でサービスするのではない Webサーバーもある・この Ubuntu を踏み台にして、GUI アクセスも可能にしたい」という追加の要求をいただきました。

前回の検証範囲では踏み台に ssh(CUI) 機能しかなく、ブラウザーなど GUI アクセスができません。
この辺りを今回は確認したいと思います。

この記事の前提

「remote.it を使って IBM Cloud VPC 環境にアクセスする (Ubuntu へ ssh 編)」の続編として書いています。「remote.it を使って IBM Cloud VPC 環境にアクセスする (Ubuntu へ ssh 編)」で記述したことは、できるだけ繰り返しません。

Windows の RDP ってどう?

踏み台が Windows であれば、そこに RDP で接続し、踏み台の Windows から 同一」VPC内の各サーバーへ ブラウザーなど GUI アクセスすることが可能です。
Windows 向けの remote.it エージェンドがインスタンスのプロビジョニング時に自動導入できれば目的を達成することができます。

remote.it エージェンドの導入方法を見ましょう。
remote.it のクラインアント・ポータルから Windows デバイスの追加を試みます。

エージェンドのインストラーをダウンロードして、GUIインストーラーを利用して導入しろということのようです。

Windows サーバーのデプロイ時に、自動化して remote.it エージェンドを導入することはできないようです。
繰り返しますが、今回の条件は、「Floating IP」も「Client to Site VPN」も使用しないという事です。
踏み台を Windows にすることはあきらめました。

また、Windows を使えばその分だけ費用がかかりますし、3ユーザー以上が同時に RDP 接続するのであれば追記ライセンス料金がかかります。
その面でも GUI の踏み台が欲しいだけの目的で Windows を選択するメリットはなさそうです。

みなさんが、少なくとも初期構築時に「Floating IP」や「Client to Site VPN」で直接 Windows サーバーに GUI アクセスしていい・Windowsや追加ライセンスの料金を払っていいのなら、Windows を踏み台にしてもいいでしょう。
また、Windows を踏み台にしたほうが RDP 接続のパフォーマンスもいいかもしれません。

VNC ? RDP ?

remote.it のサービスを確認すると VNC や RDP で GUI接続が出来そうです。

VNC 用のパスワードを設定する必要があるなど、ちょっとめんどくさそうな気がしたのでRDPでの接続を試します。
私が Windows ユーザーで RDP になれていることも RDP を選ぶ理由です。
もしかして VNC の方が良い体験になるのかもしれませんが、そこまで比較するのは今回の目的ではないので RDP のみを検証します。

XRDP のためのユーザーデータ

下記を行います。

• デスクトップ環境を導入する
• XRDPを導入して使用可能にする
• ログインのためのユーザーを作成しパスワーを設定する
• 前回と同様に remote.it エージェンドを導入し、コードを適用する。

実は XRDP での接続には、少し困りました。
下記を参考にさせていただき、解決出来ました。

• 【Ubuntu Tips】UbuntuにWindows10からリモートデスクトップで接続する方法 ~ xrdpパッケージ ~
• リモートデスクトップ環境をUbuntu 18.04 LTSで作成する

接続用のユーザーは sudo ができるように、sudo グループに追加してあります。
このあたりは要件次第です。

「snap insyall firefox」を追加して、デフォルトでブラウザーが使えるようにしてもいいでしょう。

#!/bin/bash
apt -y update && apt -y upgrade
apt -y install ubuntu-desktop
apt -y install xrdp && systemctl enable xrdp

# https://tech.nkhn37.net/ubuntu-windows10-xrdp/
gpasswd -a xrdp ssl-cert

# https://qiita.com/ryo-endo/items/00f3ec125917acf4cec7
cat <<EOF | sudo tee /etc/polkit-1/localauthority/50-local.d/xrdp-color-manager.pkla  
[Netowrkmanager]  
Identity=unix-user:*  
Action=org.freedesktop.color-manager.create-device  
ResultAny=no  
ResultInactive=no  
ResultActive=yes  
EOF

systemctl restart xrdp

useradd testuser
echo testuser:P@ssw0rd | /usr/sbin/chpasswd
mkdir /home/testuser
chown testuser:testuser /home/testuser
gpasswd -a testuser sudo

R3_REGISTRATION_CODE="XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX" sh -c "$(curl -L https://downloads.remote.it/remoteit/install_agent.sh)"

デプロイ

remote.it 側で Linux デバイスの追加

remote.it にログインします。

左上の「＋」でデバイスを追加します。Linuxをクリックします。

接続先で実行する登録コードを含んだコマンドを確認し、ユーザー・データに設定します。

IBM Cloud 側でのデプロイ加

デプロイします。

OS は Ubuntu 22.04 を選びます。

ユーザー・データに先ほどのスクリプトを貼り付けます。

パブリック・ゲートウェイに接続されたサブネットを選択します。

上記でデプロイします。

当然、ssh 環境のみの場合よりは時間がかかります。
シリアル・コンソールを開き、進み具合を見てもいいかもしれません。

remote.it クライアント・ポータルからの接続

remote.it クライアント・ポータルの画面が変わりました。
接続準備ができたようです。

「＋」で RDP の SERVICE を追加します。

RDP が追加されました。アクティブになるのを待って CONNECT します。

接続情報を確認します。

確認できた接続情報で RDP から接続します。

設定したユーザー・パスワードでログインします。

接続されました。
初期設定を行い、必要なアプリケーションを導入します。
日本語化してもよいでしょう。
この部分もユーザー・データに含めて自動化するのもいいでしょう。

この Ubuntu を踏み台にして、他の VPC 環境で GUI アクセスが可能になりました。

パフォーマンスのためにProxy 接続から P2P へ

通常の WEB アクセスの場合、サーバーとクライアントでやり取りされるのは、HTML、CSS、JavaScriptといったテキストデータです。
(もちろん、動画配信サービスもありますが)

ここまで試した PROXY 方式での接続には下記のステップが必要で、快適なパフォーマンスとは言えないものでした。

• サーバーとクライアント(今回のUbuntu)でHTML、CSS、JavaScriptなどをやり取する
• localhost(127.0.0.1)で待機している XRDP 起動しているブラウザーが GUI 描画する。
• localhost(127.0.0.1)で待機している XRDP 起動しているブラウザーは、remote.ip に UDP で描画データを送信する。
• remote.ip の Proxy サーバーは、描画データを RDP プロトコルに再加工する。
• クライアントは、RDP プロトコルに基づき画面表示する。

「Remote.It 技術概要」には下記が記載されています。

セキュリティとパフォーマンスの観点からPeer to Peer（P2P）接続が推奨されていますが、様々なユースケースをサポートするために、他の接続タイプも用意されています。

「remote.itの接続方式(P2P接続とProxy接続)について理解する」によれば、P2P 接続は Web Portal では出来ずデスクトップアプリを使う必要があるそうです。

https://ja.remote.it/download-list?products=desktop&platform-list=windows#Download-Resultsから Windows 版のデスクトップアプリをダウンロードして導入します。

導入後、ディレクトリーで作成できないという趣旨のエラーがでていましたが 3 度ほど再駆動を繰り返すと稼働するようになりました。何が問題だったか不明ですが、接続できたのでヨシとします。
(この原因追及は私ではなく remote.it のサポートがカバーすべき範疇ですよね)

画面はポータルのものと同様です。
CONNECT 後のエンドポイントのホスト名は「remote-ip-xrdp-rdp.at.remote.it」になっています。

nslookup すると、Proxy ではなく 127.0.0.1 の localhost にマップされている事が分かります。

C:\Users\User01>nslookup remote-ip-xrdp-rdp.at.remote.it
サーバー:  UnKnown
Address:  192.168.0.1

権限のない回答:
名前:    remote-ip-xrdp-rdp.at.remote.it
Address:  127.0.0.1

実際に接続してみると操作感も改善された気がします。

※ 所属先の法人のポリシーで P2P ソフトの使用が許可されない場合があります。少なくとも私の所属先では許可されていません。今回のテストは自宅の所属先の法人には接続機能が無い環境で行いました。ご利用の責任を一切、私は負いません。

もう一度、注意

投稿者および所属組織は remote.it とは完全に無関係です。
この投稿は remote.it の利用を投稿者および所属組織が推奨するものではありません。
冒頭にも述べましたが remote.it で IBM Cloud VPC に接続できないかと問い合わせを受けたので検証作業を行っただけのものです。

remote.it は IBM Cloud から認識していないサービスです。remote.it を利用した IBM Cloud への接続について IBM Cloud としては 一切サポートできません。

remote.it の評価や利用の判断は、閲覧者の責任で実施してください。