博客

带上自己的AWS网络构架

戴维·霍瓦斯(David Horvath)

| 最小

随着企业继续将其IT足迹扩展到公共云中,将现有的私人网络基础结构扩展到云变得更加至关重要。为了解决这需要的灵活性,Nutanix为其带来了您自己的(BYO)网络功能框架®桌面-AS-A-Service(DAAS)解决方案。在此博客中,我会引导您了解如何在AWS®基础架构中设置测试环境,以使帧管理员熟悉此功能的工作原理。集成到实际的专用网络中取决于该网络的特定实现。

当企业想要授予外部或临时访问内部资源时,BYO网络将很有用。通过利用像AWS这样的公共云服务,企业可以“租用”面向公共的计算资源,并授予用户访问世界上任何地方的文件或软件。它也可以用作“激增能力”,以授予更多的完整员工访问他们执行工作所需的工作,但被拒绝访问已部署专用网络的物理位置。

您可以在BYO网络方案中找到有关网络要求的详细信息与私人网络的公共云

BYO网络的要求

框架DAA需要以下信息将BYO网络部署到您的AWS实施:

  1. 带有AWS订阅的框架客户或组织(可以找到将AWS附加到框架的说明这里)。
  2. 您部署到的VPC的虚拟私有云(VPC)ID。
  3. 将部署工作负载的子网ID(这些子网将需要互联网访问)。
  4. 将附加到框架工作负载实例的安全组。

下图说明了我为此博客创建的网络体系结构。

真的

BYO网络VPC

创建一个VPC

第一步是创建VPC。您可以从AWS Web控制台通过VPC服务网页执行此操作,如下图所示。确保您处于正确的区域(在我的测试案例中,俄亥俄州)。

真的

选择AWS地区

然后选择“创建VPC”按钮。给您的VPC一个名字,然后选择一个CIDR。下图显示我选择了10.100.0.0/16,因为我不必担心将此VPC连接到我的专用网络。如果您的目标是最终连接到您的专用网络,则应与网络团队合作,以获取与其他专用网络重叠的CIDR。我们建议至少A /18 CIDR用于VPC。

真的

创建VPC对话框

创建子网

下一步是创建将用于帧工作负载的私人子网。就我而言,我还为“ DMZ”创建了一个公共子网,该子网将我的私人子网连接到互联网。如果您的企业已经具有Internet连接,则可能无需。

要创建一个子网,您需要知道VPC,您将要使用的CIDR范围以及您要使用的可用区域(AZ)。由于俄亥俄州有三个AZ,我决定在A中创建公共子网,并创建两个私人子网(一个在B中,一个在C中)。为简单起见,我将10.100.1.0/24、10.100.2.0/24和10.100.3.0/24分配给了这些子网,如下图所示。

真的

创建子网对话框

公共子网资源

框架工作负载可以在专用网络上,但是他们仍然需要能够与Internet通信到框架平台以报告健康和状态以及访问更新的帧软件。为了在我的AWS网络体系结构中满足这些要求,我需要创建一个“公共子网”。为此,我将Internet网关连接到VPC,然后创建一个可以为公共IP地址分配的NAT网关。为了确认我的框架工作负载正在工作,我在公共子网中创建了一个RDP堡垒主机。这为RDP访问了专用网络。

互联网网关

为了使我在私有子网中的工作负载访问Internet,我需要创建一个Internet网关,并将其连接到以下两个数字中显示的VPC。

真的

创建Internet网关对话框

真的

将互联网网关连接到VPC

创建一个NAT网关

下一步是创建一个NAT网关,并将其放在上面创建的“公共子网”上。

真的

创建NAT网关对话框

分配弹性IP确保即使NAT Gateway实例下降并恢复,NAT Gateway的公共IP也不会改变。

RDP堡垒

为了确认帧工作负载的操作,我需要在专用网络上进行工作站。由于我没有将VPC连接到的私人基础架构,因此我在公共子网上创建了一个Windows实例,并将其分配为弹性IP。在这种情况下,我还设置了安全组,以限制可以将可以连接到Windows实例的公共IP,以作为附加的安全措施。在“普通”的专用网络中,此RDP堡垒是不需要的,因为用户可以使用专用网络上的工作站,并能够通过私人连接从您的私人网络到VPC来访问框架工作负载。

路由表

在我的测试环境中,我需要创建两个路由表:一个路由私有子网网络流量,这些网络通往Internet的私有网络流量到我创建的NAT网关;另一个将公共子网的互联网流量路由到Internet网关。

下面可以看到公共子网路由表。

真的

公共子网路线表

下面可以看到私人子网路由表。

真的

私人子网路由表

在更广泛的专用网络中,可能需要其他路线将流量路由到适当的AWS VPC对等,Transit GW或VPN。

安全组

我们需要做的最后一件事是定义帧平台将分配给框架平台创建的资源的安全组。随着帧访客代理(FGA)8.x的发布,我们不再需要允许端口8112上的入站流量,因此入站安全组变得更加简单。

安全组只需要允许所有将要连接到帧工作负载的机器的入站HTTPS流量即可。在这种情况下,它将是私人子网上的所有机器。为了使其在测试中变得简单,我只允许VPC CIDR中的所有IPS在这两个端口上建立入站连接,如下图所示。

真的

框架工作负载安全组

创建新的帧帐户

AWS专用网络设置已完成,我现在拥有设置我的帧BYO网络帐户所需的所有信息。我已经将AWS订阅注册为我的框架组织实体。如果您需要有关如何向框架客户或组织实体添加AWS订阅的信息,则可以找到这些说明这里

在“创建帐户对话框”中,我选择了正确的云提供商(例如AWS)和区域(例如俄亥俄州),然后选择“ BYO网络”无线电按钮,如下所示。

真的

框架帐户创建

然后,我从下拉列表中选择正确的VPC,子网和安全组,然后点击“ Next”,如下所示。

真的

选择专用网络配置

现在,我可以选择我的沙框图像和实例类型,然后点击下一两次以创建我的帧帐户。

真的

框架沙盒配置

一旦框架在指定的私人子网中提供了我的框架帐户,我将在AWS控制台中看到上面概述的资源:即互联网和NAT GW;为每个帧帐户创建的WCCA,以及私人子网上的一些工作负载。

恭喜,您已经完成了!

这就对了!几分钟后,创建了我的框架帐户并可以使用。只有专用网络上的机器才能连接到框架会话,因此RDP进入堡垒,启动浏览器并登录Nutanix控制台,才能在一个私人子网中的工作负载VM上启动框架会话。如果所有工作负载都有足够的IP地址,则可以添加第二帧帐户。如果不需要使用RDP主机进行远程访问,则可以设置“流网关设备”以提供该访问权限,该访问将在我的下一个博客中介绍。

David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近4年了,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。

©2021 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标以及此处提到的所有Nutanix产品和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。

这篇文章可能包含明确和暗示的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的期望,估计和信念。此类陈述的准确性涉及风险和不确定性,并取决于未来的事件,包括可能无法控制的事件,实际结果可能与此类陈述所预期的或暗示的事件可能存在重大差异。本文所包含的任何前瞻性陈述仅在此期开始,除了法律要求外,我们没有义务更新或修改任何此类前瞻性陈述,以反映后续事件或情况。

Baidu