随着企业继续将其IT足迹扩展到公共云中,将现有的私人网络基础架构扩展到公共云变得更加至关重要。为了解决这需要的灵活性,Nutanix为其带来了您自己的(BYO)网络功能框架™桌面 - AS-A-Service(DAAS)解决方案。在上一个博客中,我浏览了如何在AWS®平台中使用此功能。在此博客中,我将带您了解如何在Azure®云基础架构中设置环境。您的框架管理工作负载与实际专用网络之间的集成取决于您的专用网络的特定实现。
您可以在BYO网络方案中找到有关网络要求的详细信息带有私人网络的公共云。
BYO网络的要求
框架DAA需要以下信息将BYO网络部署到您的Azure实现:
- 带有Azure订阅的框架客户或组织(可以找到将Azure订阅附加到框架客户或组织实体的说明这里)。
- 您部署到的Azure VNET的虚拟网络ID。
- VNET中将部署工作负载的子网的子网ID(这些子网将需要出站Internet访问)。
下面的图1说明了我为此博客创建的网络体系结构。
图1. BYO网络虚拟网络
创建资源组和虚拟网络
Azure资源组是一种方便地分组在Azure中合作的资源的方便方法。就我而言,如图2所示,我在美国中部创建了一个。
图2.创建一个资源组
然后,您可以在该资源组中创建虚拟网络。在此过程中,您还可以创建帧工作负载所需的子网。在上面的图2中,我有一个A /26的子网,因此我创建了一个带有A /24的VNET,然后将该 /26子网放在VNET中。
图3.在虚拟网络中创建子网
出于测试目的,拥有堡垒主机通常很方便,以便您可以访问专用网络。转到“安全”选项卡以启用堡垒主机并填写表格。
图4.创建堡垒主机
网络安全组
下一步是创建一个网络安全组,并将其连接到工作负载将使用的子网。网络安全组应允许所有私人IP地址的端口443(用于会话流量的TLS)。可以找到有关框架网络的详细信息这里。
图5.框架工作负载安全组
1框架正在过渡到框架来宾代理8.0。当此框架帐户完成此转换时,不再需要端口8112上的入站流量。
创建后,可以将网络安全组添加到Workload子网配置中。
图6.将网络安全组添加到子网
添加RDP实例
Since I don’t have a private network to connect my Virtual Network to, I will deploy an RDP “jump box” behind the bastion I created so that I can confirm the operation of Frame workloads once they are provisioned in the newly created virtual network.
图7.创建虚拟机对话框
在“磁盘”选项卡上使用默认值。在“网络”选项卡上,请勿使用公共IP,并保留默认值的安全性。我们稍后将修复。
图8.网络对话框
创建VM后,转到“网络”选项卡并更改RDP规则,以便它仅允许来自专用网络的流量。
图9.更新的RDP规则
纳特门户
您将需要一个NAT网关,以确保帧工作负载具有出站Internet访问权限。因此,我们将创建一个NAT网关,并将其与私人子网相关联。
图10. NAT网关对话框
图11. NAT网关的新出站IP
图12.与私人子网相关联
创建新的帧帐户
完成Azure专用网络设置后,我现在拥有设置我的帧BYO网络帐户所需的所有信息。我已经对我的框架组织实体注册了Azure订阅(如上所述)。
在“创建帐户对话框”中,我选择正确的云提供商(例如,Azure)和区域(例如,美国中部),然后选择“ BYO网络”广播按钮,如下所示。
图13.框架帐户创建
我选择了我创建的虚拟网络和子网,现在可以选择我的沙框图像和实例类型,并点击下一次两次以创建我的帧帐户。
图14.框架沙盒配置
恭喜,您已经完成了!
这就对了!几分钟后,创建了我的框架帐户并可以使用。只有专用网络上的机器才能连接到框架会话,因此需要将RD插入堡垒,启动浏览器,并需要登录Nutanix控制台。
图15.通过Bastion连接到RDP主机
进入堡垒后,您可以在沙箱中启动会话,并按照通常的方式使用框架帐户。
图16.在专用网络上运行的框架会话
在上面的屏幕截图中,您可以通过Bastion看到RDP主机具有私有IP 10.0.100.132。RDP主机上的Firefox浏览器在同一专用网络上的机器上有一个框架会话10.0.100.134,但与出站NAT GW GW 13.66.22.106相匹配的公共IP。
结论
在此博客中,我们展示了如何在Azure平台中设置自己的网络框架帐户。框架帐户的工作负载将仅在您的专用网络上具有IP地址,因此它们继承了您的专用网络上将设置的所有现有网络安全控件。对于外部用户,通过RDP连接可能不是最有效的连接方法。对于那些用户,您可以通过现有VPN解决方案或通过框架连接他们流网关设备(SGA)。
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近4年的历史,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
©2021 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。
这篇文章可能包含明确和暗示的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的期望,估计和信念。此类陈述的准确性涉及风险和不确定性,并取决于未来的事件,包括可能无法控制的事件,实际结果可能与此类陈述所预期或暗示的事件差异。本文所包含的任何前瞻性陈述仅在本文之日起说,除非法律要求,否则我们没有义务更新或以其他方式修改任何此类前瞻性陈述,以反映后续事件或情况。