免責事項: これは英文の記事「VMware Cloud Director VM Web Console fails to connect with "Disconnected" status」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事を参照してください。

VMware Cloud Director (VCD) のテナントポータルにおいて、仮想マシンの Web コンソールを起動すると、接続が確立されず即座に「切断済み」と表示されます。

症状
ブラウザのデベロッパーツールのコンソールログに、以下のようなエラーが記録されます。

• WebSocket connection to 'wss://<VCD_FQDN>/443;cst-...' failed
• wmks-console.js:81 Error occurred jQuery.Event {type: 'wmkserror', ...}

さらに

• 影響を受けるセッションに関連するエントリは、VCD セルのログ (console-proxy.log または request.log) には見つかりません。
• ブラウザで SSL 証明書を検査すると、表示される証明書が VCD セル/ロード バランサで構成された元の証明書と異なります。

VMware Cloud Director 10.x

この問題は、クライアントとVCDセル間のプロキシサーバーまたはセキュリティアプライアンスがSSL/TLSインスペクション（SSL復号化）を実行しているために発生します。

VCDは、Webコンソール（WSS）接続に証明書ピンニングを使用します。VCDによって生成されるコンソール接続URLには、VCD証明書の想定されるSHA-1サムプリントが含まれています。
プロキシがトラフィックを傍受し、復号化のために証明書を自身の証明書に置き換えると、ブラウザが受信するサムプリントはURLで指定されたものと一致しなくなります。
その結果、ブラウザのセキュリティメカニズムは接続を信頼できないものとして識別し、WebSocketセッションを直ちに終了します。

この問題を解決するには、以下のような観点でクライアント端末から VCD セルへの通信を、プロキシおよび SSL 復号の対象から除外してください。

1. プロキシバイパス設定：
   VCDのFQDNをプロキシ設定から除外するように設定します。
2. SSLインスペクションの除外：
   プロキシ、ファイアウォール、IPSなどのネットワークセキュリティデバイスで、VCDの宛先（FQDNおよびポート443）のSSL復号化を無効にします。
3. WebSocket認証：
   WSSプロトコルとそれに関連するヘッダーが、変更されることなくネットワークパスを通過できることを確認します。