公有雲中的 Xi Frame 網路解決方案
介紹:
桌面和應用程序虛擬化不是新技術,但是在過去十年的大部分時間裡,它已成為各種規模企業的重要組成部分。越來越多的客戶看到了虛擬應用程序和桌面的好處-可以點此閱讀更多有關為何選擇使用 VDI 和 DaaS 的消息。
由於安全性要求、網絡要求以及對雲服務的整體不熟悉,過去將虛擬應用程序和桌面環境從本地環境遷移到雲環境一直是挑戰。我們的目標是隱藏複雜性並使最終用戶計算(EUC)盡可能簡單和容易,同時靈活地支持安全性和網路要求。
在此篇文章的結尾,您應該對一些關鍵問題有答案,這些問題將使您開始使用公共雲“桌面即時服務”:
- 安全團隊是否對使用公共IP地址直接在Internet上進行工作負載感到滿意?
- 是否具有要求流量才能通過本地網路運行的網路檢查或安全工具?
網路架構
我們經常從客戶那裡收到問題,例如“我們知道Frame的核心價值和概念,但從網絡角度來看,我們有什麼選擇?” 這些文章將幫助您安排從網絡到應用程序的整個過程,以便您可以安全地配置帳戶、工作負載和網絡體系結構。
根據部署方案的不同,網路架構可能會因環境的複雜性以及每個環境如何連接到現有基礎架構或本地數據中心而大相徑庭。這篇文章描述了一些常用的部署方案,並討論它們對網路安全的影響。為簡單易懂起見,本文引用了AWS,但可以在其他雲提供商[Microsoft Azure和Google Cloud Platform(GCP)]中複製這些方案。
部署方案1:使用公共IP地址的工作負載VM
Frame的構想是充分利用公共雲來交付應用程序和桌面。傳統部署模型是讓Frame透過假定的身份和訪問管理(IAM)角色配置到混合雲基礎結構帳戶中。創建了虛擬私有雲(VPC),將子網放置在所有可用性區域(AZ)中,並創建了Internet網關(IGW),以允許工作負載與Internet對話並與Frame平台對話。
默認情況下,唯一打開的端口是Internet上的443端口,以允許用戶通過TLS 1.2連接到工作負載,並從與我們的網關相對應的三個Frame IP連接到8112。在會話期間,用戶連接的每個工作負載都將獲得一個Amazon公共IP。一旦用戶斷開連接並終止會話,實例將被關閉,IP釋放回亞馬遜的池中。從管理的角度來看,該模型非常簡單且易於管理。但是某些安全團隊,可能不希望將某些工作負載直接暴露給Internet。雖然對工作負載上運行的Frame Guest Agent(FGA)進行了強化,並要求進行身份驗證,但其他客戶安裝的軟體可能未達到相同的強化級別。
更多細節範例,詳見 >>公有雲中的 Xi Frame 網路解決方案(下)
