部署 Bring Your Own 到附加 AWS 的 Frame 帳戶
隨著企業持續將 IT 擴展到公共雲中,將現有的私有網路基礎結構擴展到雲中變得越來越重要。為了滿足行動所需的靈活度,Nutanix 已為其 Xi Frame® 桌面即服務(DaaS)解決方案添加了 Bring Your Own(BYO)Networking 功能。在本部落格中,將向您介紹如何在 AWS® 基礎架構中設置測試環境,讓 Xi Frame 管理員熟悉此功能的運作方式,然而整合到實際的私有網路將取決於該網路特定的裝置。
當企業希望授予對內部資源的外部或臨時訪問權限時,BYO Networking 便非常有用。利用像 AWS 這樣的公共雲服務,企業可以「租用」向大眾開放的計算資源,並授予用戶訪問世界任何地方的文件或軟體的權限。它也可以當作「激增能力」,以授予更多全職員工訪問其工作所需的權限,但無法訪問已部署私有網路的實體位置。
有關在 BYO Networking 方案中使用 Frame 的網路要求的詳細資訊,您可以造訪帶有私有網路的公共雲。
BYO Networking 的要求
Frame DaaS 需要以下資訊才能將 BYO Networking 部署到您的 AWS 裝置中:
- 附加 AWS 訂閱的 Frame 客戶或組織(可在此處找到將 AWS 附加到 Frame 的說明)。
- 將要部署的虛擬私有雲(VPC)的 VPC ID。
- 將在其中部署工作負載的子網 ID(這些子網將需要出站網路訪問)。
- 將附加 Frame Workload 實例的安全組。
下圖說明我為本部落格創建的網路體系結構:
創建一個虛擬私有雲(VPC)
第一步是創建一個 VPC。您可以從 VPC 服務網頁的 AWS Web Console 中執行此操作,如下圖所示。請確保您位於正確的區域(例如在我的測試案例中是俄亥俄州)。
然後選擇「創建 VPC」按鈕。請為您的 VPC 命名並選擇一個 CIDR,下圖顯示我選擇了 10.100.0.0/16,因為我不必擔心將此 VPC 連接到我的私有網路。如果您的目標是最終連接到私有網絡,則應與網路團隊合作,以獲取不與其他私有網路重疊的 CIDR。我們建議 VPC 至少使用 /18 CIDR。
創建子網
下一步是創建將用於 Frame 工作負載的私有子網。就我而言,我還為「DMZ」創建了一個公共子網,將我的私有子網連接到網路。如果您的企業已經有網路連接,則可能沒有必要。
要創建子網,您需要了解 VPC、要使用的 CIDR 範圍,以及要使用的可用區(AZ)。由於俄亥俄州擁有三個可用區,因此我決定在 A 中創建我的公共子網,並創建兩個私有子網(一個在 B 中,一個在 C 中)。為簡單起見,我將 10.100.1.0/24、10.100.2.0/24 和 10.100.3.0/24 分配給這些子網,如下圖所示。
公用子網資源
Frame 工作負載可以在私有網路上,但是它們需要能夠用網路和 Frame 平台通訊,以報告運行健康度、狀況,以及訪問更新的 Frame 軟體。為了在我的 AWS 網路架構中滿足這些要求,我需要創建一個「公共子網」。為此,我將一個網際網路閘道連接到 VPC,然後創建一個可以配有公共 IP 位址的 NAT 閘道器,而且為了確認我的 Frame 工作負載能夠正常運行,我在公共子網中創建了 RDP 堡壘主機,使得 RDP 能夠訪問私有網路。
網際網路閘道
為了使私有子網中的工作負載能夠訪問網路,我需要創建一個網際網路閘道,並將其連接到 VPC,如以下兩個圖所示。
創建一個 NAT 閘道器
下一步是創建 NAT 閘道器,並將其放在上述創建的「公共子網」上。
分配彈性 IP 可以確保 NAT 閘道器實例的公共 IP,即使在 NAT 閘道器實例關閉並恢復下也不會更改。
RDP 堡壘
為了確保 Frame 工作負載的運作,我需要私有網路上的工作站。由於我沒有可以連接 VPC 的私有基礎結構,因此我在公共子網中創建了 Windows 實例,並為其分配彈性 IP。在此情況下,我還設置了安全組以限制可以連接到 Windows 實例的公共 IP,作為一項額外的安全措施,在「普通」私有網路中,此 RDP 堡壘是不必要的,因為用戶可以使用私有網路上的工作站,並能夠透過私有連接將您的私有網路發送到 VPC,以訪問 Frame 工作負載。
路由表
在測試環境中,我需要創建兩個路由表:一個將發往網路的私有子網網路流量,發送到我創建的 NAT 閘道器;另一個將公共子網的網路流量,發送到網路閘道器。
公共子網路由表如下所示:
私有子網路由表如下所示:
在更廣泛的私有網路中,可能需要其他路由才能將流量發送到適當的 AWS VPC 對等方、Transit GW 或 VPN。
安全組
我們需要做的最後一件事是定義一個將配有 Frame 平台創建的資源的安全組。Frame 部署的其中一部分是創建一個 Workload Cloud Connector 設備(WCCA),該設備將建立一個到 Frame 後端的出站連接,接著,該設備透過端口 8112 與工作負載建立連接,以產生從 Frame 後端到工作負載的管理流量。
安全組還需要允許來自所有將要連接到 Frame 工作負載的計算機的入站 HTTPS 流量,在這種情況下,將是在私有子網中的所有計算機。為了簡化測試,我允許在 VPC 的 CIDR 中的所有 IP 在這兩個端口上建立入站連接,如下圖所示。
創建新 Frame 帳戶
AWS 私有網路設置已完成,現在我擁有設置 Frame BYO Networking 帳戶所需的所有資訊。我已經向我的 Frame 組織訂閱了 AWS,如果您需要有關如何向您的 Frame 客戶或組織訂閱 AWS 的資訊,請在此處找到這些說明。
在「創建帳戶對話框」中,我選擇正確的雲供應商(例如 AWS)和區域(例如俄亥俄州),然後選擇「BYO Networking」按鈕,如下所示。
然後,從下拉列表中選擇正確的 VPC、子網和安全組,然後點擊「下一步」,如下所示:
現在,我可以選擇我的沙盒圖像和實例類型,然後點擊兩次「下一步」以創建我的 Frame 帳戶。
當 Frame 在指定的私有子網中配置了 Frame 帳戶後,我將在 AWS 控制台中看到上述資源,例如網路和 NAT 閘道器、創建的每個 Frame 帳戶都配有的 WCCA,以及在私有子網上的一些工作負載。
恭喜,您已成功通過!
這就對了!幾分鐘後,我的 Frame 帳戶已創建並可以使用。只有私有網路上的計算機才能連接到 Frame 會議,因此需要 RDP 進入堡壘、啟動瀏覽器,並且登錄 Nutanix Console,才能在其中一個私有子網中的工作負載 VM 上啟動 Frame 會議。如果有足夠的 IP 位址用於所有工作負載,則可以添加第二個 Frame 帳戶。如果不需要使用 RDP 主機進行遠距訪問,則可以設置「流閘道器設備」來提供該訪問權限,這將在我的下一個部落格中介紹。
David Horvath 是 Nutanix Frame 的高級解決方案架構師,他已經成為 Frame 團隊的成員近 4 年,在此之前的 20 年中,他在美國情報界(US Intelligence Community)諮詢了各種資訊技術專案。
