info@webmeeting.video, +421 905 750 642
mar 12
Polycom RealConnect ilustration pic

Polycom RealConnect – Brána medzi tradičnou videokonferenciou a Microsoft UC svetom

Polycom predstavil niekoľko “Cloud video interop” služieb prevádzkovaných v Microsoft Azure Cloude, ktoré riešia vzájomnú komunikáciu so službami Microsoft Skype for Business (SfB) a MS Teams. Pri využívaní týchto služieb nemusí byť celkom jasné, kde presne sa nachádzajú a ako najlepšie postupovať pre efektívne a bezpečné pripojenie sa k nim. V tomto článku sú uvedené súvisiace služby, kde sa nachádzajú a všeobecné pokyny pre firewall pravidlá.

Prehľad služieb

“Video interoperability” služby majú jednoduchý, jedinečný účel: prijímať prichádzajúce hovory cez signalizačné protokoly SIP alebo H.323 z ľubovoľného štandardného videokonferenčného systému (VTC – Video Teleconferencing), ktorý je schopný komunikovať s Microsoft Azure dátovými centrami a následne tieto hovory prepojiť do SfB, alebo MS Teams konferenčného bridge-u (MCU). 

Služba pozostáva z niekoľkých blokov, ktoré majú na starosti rôzne úlohy, avšak primárnym konceptom sú load balancery na perimetri, ktoré spracúvaju prichádzajúce hovory a a komunikuju s viacerými transkóding bránami, ktoré reálne spracúvavajú videohovory.

V súčasnosti služba RealConnect pozostáva z dvoch paralélne bežiacích riešení, ktoré sú v podstate totožné z pohľadu designu aj celkovej prevádzky. Z dôvodu obrovského rozdielu v SfB a Microsoft Teams platformách nie je možné použiť rovnaké zdroje v cloude na poskytnutie video interoperability pre oba typy stretnutí. Preto sú v rámci tej istej RealConnect služby poskytované dve samostatné riešenia: jedno zabezpečuje interoperabilitu so Skype meetingami, ktoré sú hostované na SfB Online, alebo Skype for Business Serveroch a druhé na zabezpečenie interoperability v Microsoft Teams meetingoch.

Základná architektúra

Nasledujúce diagramy zobrazujú zjednodušenú reprezentáciu služieb, keďže sú určené len na zdôraznenie niekoľkých jednoduchých konceptov: smerovanie komunikácie a presmerovanie hovorov. Služba RealConnect odpovedá iba na hovory z endpointov pomocou signalizačných protokolov založených na štandardoch. SIP a H.323 vyjednávajú média reláciu cez štandardné media kodéky, ako napríklad H.264 (AVC – Advanced Video Coding) a H.239 alebo BFCP (Binary Floor Control Protocol) pre zdieľanie obsahu.

SfB používa vlastných natívnych klientov a zariadenia, ktoré podporujú Microsoft SIP signalizáciu (MS-SIP) a vedia spracovať Microsoft média kodeky, ako je H.264 SVC (X-H264UC), RealTime Video (RTV), Remote Desktop Protocol (RDP) a Video-based screen sharing (VBSS).

Komunikácia medzi bránami služby RealConnect a službou Skype for Business Online prebieha v sieti dátového centra Microsoft Azure.

Takto vyzera komunikácia medzi bránami RealConnect služby a SfB Online, ktoré sú hostované v MS Azure data centrách.

Polycom RealConnect

Komunikácia medzi bránami služby RealConnect a SfB On-premise Serverom prebieha medzi dátovými centrami MS Azure a lokalitou SfB Front End servera s použitím SfB Edge serverov.

Polycom RealConnect SfB On-premise

Platforma Microsoft Teams spracuváva jednoduchší zoznam natívnych klientov, zariadení a protokolov. Zatiaľ čo bol SIP protokol nahradený protokolom MNP24 ako primárnym signalizačným protokolom, niektoré z média kodekov boli vypožičané zo služby Skype for Business ako SVC pre video a VBSS pre zdieľanie obsahu a aplikácií.

Polycom RealConnect MS Teams video interop

Geograficky vyvážené IP adresy slúžia ako vstupy pre hovory. Brány majú na starosti väčšinu ťažkej práce prekladaním a transkódingom medzi rôznymi štandardnými VTC zariadeniami a SfB, alebo MS Teams systémami.

  1. Počiatočný hovor z VTC endpointu je najprv smerovaný na Load Balancer logicky najbližšieho dátového centra, ktorý sa určí na základe merania latencie v čase hovoru.
  2. Load Balancer okamžite reaguje na prichádzajúci hovor presmerovaním VTC endpointu na dostupnú bránu v tom istom dátovom centre, ak je k dispozícii. Ak MS zdroje v tom istom dátovom centre nie sú schopné spracovať tento hovor (napríklad sú v režime off-line alebo už nemajú dostatočnú kapacitu na spracovanie hovoru), potom bude poskytnutý dostupny MS zdroj v najbližšom dátovom centre.
  3. Po vytvorení hovoru na dedikovanej bráne v Azure táto brána následne komunikuje so Skype alebo Teams platformou, aby pripojila endpoint k stretnutiu a vykonávala preklad a transkóding signalizácie a médií.

Aby bola služba dostupná pre VTC endpointy, ktoré sa zvyčajne nachádzajú v rámci podnikovej siete za jedným alebo viacerými firewallmi, musí sa povoliť odchádzajúci dátový tok cez špecifické porty, aby sa endpointy spojili s load balancermi a bránami nasadenými po celom svete. 

Vzhľadom na túto prirodzenú úroveň dostupnosti a odolnosti služby je dôležité povoliť odchádzajúci dátovy tok na všetky miesta. Ak je povolený dátovy tok len ku geograficky najbližšiemu dátovemu centru, potom v prípade dočasného výpadku služby môže byť hovor blokovaný na iné dátové centrum.

Miesta

V čase písania tohto článku existujú štyri celosvetové Azure regióny, ktoré hostujú službu Polycom RealConnect. Existujú oddelené skupiny Load Balancerov a brán, špecifických pre pripojenie do SfB meetingov ako aj na pripojenie do Microsoft Teams meetingov, ale obe skupiny zariadení sú nasadené paralélne vedľa seba v rovnakých Azure dátových centrách.

  1. Južné centrálné US dátové centrum, tiež nazývané ako ussouth, sa nachádza v Texase.
  2. Západné US2 dátové centrum, tiež nazývané uswest2, sa nachádza vo Washingtone.
  3. Západoeurópske dátové centrum, tiež označované ako europewest, sa nachádza v Holandsku.
  4. Austrálske data centrum pre oblasť juhovýchodu, označované tiež ako australiasoutheast,so sídlom vo Victorii.

Ako už bolo spomenuté vyššie, počiatočné pripojenie do Polycom RealConnect služby bude smerované na najlepší dostupný zdroj v danom čase. Toto určenie sa vykoná meraním oneskorenia a následným poskytnutím DNS odpovede smerujúcej k príslušnému Load Balancer-u. Stránka Azure Speed ​​Test môže byť použitá ako užitočný nástroj pre zobrazenie štatistiky oneskorenia v sieti zo špecifického miesta na ktoromkoľvek z týchto dátových centier.

Konektivita

Ako už bolo uvedené, služba RealConnect sa v súčasnosti poskytuje ako dve paralélne riešenia na podporu hovorov do SfB alebo MS Teams meetingov. Nedochádza k žiadnému mixovaniu týchto konferenčných platforiem a každá je riadená jedinečnými pozvánkami v Outlooku. Takže to, čo je v podstate jedna služba, zahŕňa samostatné vstupné body pre účely Skype a MS Teams.

Toto možno demonštrovať vykonaním jednoduchého nslookup príkazu na troch rôznych doménových menách (FQDN), ktoré sa používajú dnes: v.plcm.vch.plcm.vct.plcm.vc.

  • Nslookup príkaz proti FQDN, ktorý sa používa na meetingy hostované SfB Online službou: v.plcm.vc
nslookup v.plcm.vc
  • Nslookup príkaz proti FQDN, ktorý sa používa na meetingy hostované SfB službou: h.plcm.vc
nslookup h.plcm.vc
  • Nslookup príkaz proti FQDN, ktorý sa používa na pripojenie do MS Teams meetingov : t.plcm.vc
nslookup t.plcm.vc

Tieto výsledky poukazujú na to, že platformy Skype for Business (online a on-premise server) používajú rovnakú cieľovú IP adresu, zatiaľ čo MS Teams používa inú IP adresu. Tým sa potvrdzujú dve samostatné technické riešenia v tej istej službe: jedno pre Skype meetingy a druhé pre MS Teams meetingy.

Upozorňujeme, že poskytnuté IP adresy sa nemusia vo vašom prípade zhodovať s tými, ktoré sú uvedené vyššie, pretože tieto vyhľadávania boli vykonané v centrálnej európe. Testy zistenia IP adries týchto FQDN v iných častiach sveta pravdepodobne prinesú rôzne výsledky, čo naznačuje globálnu dostupnosť služieb.

Sieťová komunikácia

V prostredí nakonfigurovanom tak, že umožní požadovaný odchádzajúci dátovy tok do ľubovoľného cieľa na internete, bude táto služba fungovať tak, ako bola navrhnutá bez akejkoľvek dodatočnej konfigurácie. Dostupnosť a odolnosť sú automatické. 

V mnohých podnikových sieťach však nemusia byť otvorené niektoré alebo všetky požadované porty brány firewall, a teda je nutné pochopiť, kam môže tiecť určitý druh dátového toku, čo môže pomôcť pri konfigurácii FW pravidiel.

Porty a protokoly

Požiadavky uvedené v nasledujúcej tabuľke sú z dokumentácie RealConnect služby, ale boli preformátované a označené tak, aby jasne ukázali, ktoré rozsahy portov sú potrebné, ak potrebujete povoliť iba odchádzajúce hovory určitého signalizačného protokolu. Ak chcete podporovať hovory na obidvoch signalizačných protokoloch, jednoducho sa musí povoliť odchádzajúcí dátový tok na všetky nasledujúce cieľové porty.

RealConnect IP Port usage

Destinácie

Teraz, keď sú známe typy dátového toku a cieľových portov, ďalším zrejmým krokom je to, kam povoliť tento dátovy tok ? Jednoduchou možnosťou je umožniť tento odchod z ľubovoľnej dôveryhodnej siete do verejného internetu (any). Týmto sa umožní hovorom, aby vždy dosiahli RealConnect službu bez ohľadu na rozpoznanú IP adresu. Vo väčšine prípadov ale podnikové siete nie sú otvorené a vyžadujú definovať konkrétne podsiete alebo malé rozsahy IP adries, ktoré sa nakonfigurujú na firewall-e.

V prípade, že odchádzajúcí dátový tok nemožno povoliť z podnikovej siete do hociktorého cieľa na internete, Polycom poskytol jednoduchý spôsob, ako vyhľadávať aktívne IP adresy využívané RealConnect službou. Namiesto pridávania niekoľkých stoviek rôznych podsietí používaných v globálnej sieti Azure dátových centier je možné nakonfigurovať zoznam približne 20 IP adries

Uistite sa, že ste skutočne vykonali nslookup príkaz podľa pokynov a použili výsledky v reálnom čase. Nepoužívajte skutočný zoznam adries IP zobrazených v tomto článku, pretože niektoré sa pravdepodobne zmenia a nové adresy sa môžu pridať podľa toho ako služba narastá. Nižšie uvedené príklady nebudú aktualizované, aby odzrkadľovali budúce zmeny.

Ak bude služba RealConnect použitá na pripojenie SfB a MS Teams meetingov, potom všetky IP adresy pre obe technické riešenia v službe by mali byť nakonfigurované ako povolené ciele na firewall-e. Ak chcete nájsť IP adresy vo všetkých regiónoch, ktoré sa používajú pre riešenia SfB a Microsoft Teams, jednoducho vykonajte nslookup príkaz oproti adrese edge-global.plcm.vc.

nslookup edge-global.plcm.vc
nslookup edge-global.plcm.vc_2

Vyššie uvedená odpoveď je v podstate zreťazený zoznam používaných IP adries pre obidve technické riešenia. Alternatívne môžu byť firewall access listy nastavené tak, aby umožňovali odchádzajúci dátovy tok iba na IP adresy priradené k požadovanej konferenčnej platforme. Ak budú podporované iba SfB meetingy, použite iba podmnožinu IP adries vrátených pre stránku edge-sfb.plcm.vc.

nslookup edge-sfb.plcm.vc

Ak budú podporované iba MS Teams meetingy, použite iba podmnožinu IP adries vrátených pre stránku edge-teams.plcm.vc.

nslookup edge-teams.plcm.vc

Akékoľvek firewall pravidlá vytvorené na riadenie dátového toku na základe cieľovej adresy nemôžu používať žiadne FQDN uvedené v tomto článku, môžu sa použiť iba aktuálne IP adresy (alebo ich podsiete). 

Sú na to dva rôzne dôvody:

  • FQDN, ktoré sa používajú na uskutočňovanie hovorov (napr. *. Plcm.vc), sa v počiatočnom hovore využívajú len na kontaktovanie regionálneho Load Balancer-a. Ako bolo už bolo spomenuté, proces presmerovania hovorov sa pokúsi o pripojenie k referenčnej IP adrese, ktorá by sa nezhodovala s FW pravidlom nakonfigurovaným len pre názov domény. Brány v RealConnect službe nemajú dokonca ani definované FQDN.
  • FQDN, ktoré sa používajú na zistenie zoznamu IP adries (napríklad edge- *. Plcm.vc), slúžia iba ako referencia a nie sú cez ních robené žiadne volania. Pridanie týchto FQDN do firewall pravidiel by teda nemalo žiadny funkčný účel.

Okrem toho je bežnou praxou, aby konfigurácie firewall-u neumožňovali používanie domén pre odchádzajúci smer. Súvisí to hlavne s neistotou, ktorá je súčasťou DNS, kde môže byť proces rozpoznania názvu ľahko falšovateľny.

Zdroj: Jeff Schertz blog

Páčil sa Vám tento článok ? Ak si myslíte, že informácie v ňom obsiahnuté by mohli niekomu pomôcť, neváhajte mu tento článok vyzdieľat pomocou ikoniek príslušných služieb na spodku článku.

Riešite aktuálne otázku video interoperability medzi Vašou existujúcou videokonferenčnou sieťou a MS UC prostredím (Skype for Business Online prip. MS Teams) ? AK potrebujete poradit, sme tu pre Vás. Neváhajte nás kontaktovat…

KONTAKTUJTE NÁS

Naše posledné články:

Súbory cookie.
S cieľom zabezpečiť riadne fungovanie tejto webovej lokality ukladáme niekedy na vašom zariadení malé dátové súbory, tzv. cookie. Je to bežná prax väčšiny veľkých webových lokalít.