Nutanix Frame™桌面作为服务(DAAS)解决方案支持多个网络模型。企业最受欢迎的网络模型之一是框架私人网络模型。该模型允许Frame Workload VM在Enterprise专用网络上具有私有IP地址并访问专用网络资源,这是继承现有网络安全流程的最简单方法。
但是,远程用户仍然需要一种连接到这些专用网络的方法。实施此访问的传统方法是部署VPN,但这需要在用户端点设备上实现和维护软件,而VPN连接可以超载防火墙等安全产品。
框架提供流网关设备(SGA)为了满足这一需求,但是一些企业可能希望利用Zscaler,Inc. Inc. ZScaler提供的“安全性作为服务”模型。参与了许多DMZ部署。ZSCALER®服务维持许多认证政府机构要求,它符合最清楚的组织所要求的严格标准。
在此博客中,您将了解Zscaler私人访问(ZPA)和框架DAAS如何共同使用,以提供具有简化管理模型的私有云的远程访问解决方案,同时保持高度的安全性。
建筑学
下面是使用流网关设备(SGA)部署的框架专用网络体系结构的示例。
SGA体系结构的框架
在此体系结构中,所有工作负载子网仅使用专用IP地址。框架DAAS平台通过呼叫云提供商的公共API端点来协调工作负载,并通过仅出站NAT GW(图上的绿线)通过内部启动连接与工作负载进行通信。最终用户用框架(蓝线)进行身份验证,然后将其访问的桌面和应用程序提供。当他们单击图标时,启动了一个会话,并通过SGA设备将用户重定向到工作负载,该设备将会话定为适当的工作负载(红线)。在许多企业中,SGA和NAT GW位于非军事区(DMZ)中,由于需要直接连接到Internet,因此具有很高的安全性和监视功能。
Zscaler架构相似,但不需要企业为SGA部署DMZ。取而代之的是,入站公共连接由ZScaler管理,而专用网络不需要允许任何入站连接,从而简化了安全模型。帧平台仍需要连接到云提供商API,但是这些端点已经公开并由云提供商管理,并且需要某种出站NAT GW来允许工作负载与帧平台交谈。
带有Zscaler体系结构的框架
设置框架专用网络
对于此体系结构的框架部分,您需要设置一个带有的框架帐户私人网络。此设置将使用您现有的云服务来设置用于帧工作负载的专用网络。Zscaler AppConnector设备还需要部署在具有访问权限的VPC或子网中(至少超过TCP端口443),以部署工作负载的私人子网。
Zscaler私人访问设置
设置Zscaler私有访问(ZPA)与帧一起使用的高级步骤是:
定义框架应用程序段
定义应用程序段
*.portal.sharkdemo.com是本示例中定义的应用程序段 - 与此通配符域相匹配的任何请求都将与Nutanix框架应用程序关联并由ZPA服务。
为此应用程序段和X.509证书选择了浏览器访问模式wild-portal.sharkdemo.com是创建并与此应用程序段关联的。
关联证书
浏览器访问模式允许客户端使用通用的Web浏览器访问此框架应用程序,而无需在端点上安装Zscaler客户端连接器。这意味着必须创建一个公共DNS cname,以将 *.portal.sharkdemo.com映射到ZSCALER私人访问云。
通配符记录
接下来,我们将服务器组(用于负载分配和健康监控)和应用程序段组(用于策略)将其关联到本应用程序段。以前创建了AppConnector(本文档范围之外)并与该服务器组关联。
访问政策
创建了访问策略,以允许访问框架应用程序。在这种情况下,创建了一个允许策略,该策略授予对应用程序段组(Zscalerdemo_aws_vpc_services)的访问权限。
访问政策
现在,如果用户打开Web浏览器并在URL .portal.sharkdemo.com中键入键入,它将解析为ZPA云服务的“出口”组件:
验证DNS
用户门户
为了易于使用,创建了一个用户门户网站,该门户将直接链接到框架DAAS应用程序。用户门户允许实际的帧链接是私有的,并允许提供其他相关的应用程序,可为用户社区提供。
定义用户门户
用户门户网站上的框架实例的详细信息如下所示……
定义用户门户
从浏览器访问模式下支持框架服务所需的其他配置。(需要由Zscaler支持配置)
post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.samesite_none”,
“ configvalue”:“启用”,
“ configValueInt”:1,
“客户ID”: ***,
“ targetgid”:***,
“ targetType”:“客户”
}
post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.cors_enabled”,
“ configvalue”:“启用”,
“ configvalueint”:1,
“客户ID”: ,
“ targetgid”:
“ TargetType”:“客户”
}
私人DNS
为了确保连接正确路由,ZScaler AppConnector将需要能够解析框架用于适当的工作负载IP的DNS名称。为此,请在AppConnector虚拟设备上创建一个主机文件,该文件具有指向所有可能的专用IP地址的条目。(例如10-0-100-50.portal.sharkdemo.com需要一个本地主机入门,指向10.0.100.50)
最终确定帧配置
现在,您需要联系框架支持团队,并指出您需要更改框架帐户以支持“自定义基本域名”。您将提供框架帐户名和在ZPA上使用的DNS域(在此示例 *.portal.sharkdemo.com中)。框架支持团队将能够更新您的框架帐户以使用该域。当您的用户启动虚拟化应用程序或桌面时,Frame将使用自定义域将用户引导到工作负载。
最终用户体验
要访问其虚拟化应用程序和/或桌面,最终用户首先连接到Zscaler门户网站https://portal.sharkdemo.com
他们需要与ZScaler用户名登录的地方
门户登录
用户将被重定向ZScaler中配置的第三方身份提供商。
身份提供商登录
经过身份验证后,您将被重定向到ZPA用户门户网站
ZPA用户门户
选择Nutanix框架应用程序 -Windows桌面ABC
这将引导用户进入Nutanix框架启动板。Nutanix框架将将用户重定向到为用户身份验证配置的第三方身份提供商。
连接到框架启动板
使用您的框架凭据登录到DAAS实例。
等待时,DAAS实例在后端旋转(可能需要一分钟)。
加载桌面
您的桌面作为服务实例将出现…
框架会话
结论
将Zscaler的“安全性作为服务”产品与框架DAAS相结合,使企业能够利用“作为服务”产品的领导,以向具有浏览器的任何用户提供安全,性能,桌面体验。通过使用Zscaler AppConnector服务,它不需要客户设置并维护DMZ或流网站设备,从而减轻整体管理体验。Zscaler还通过确保公司数据从不通过批准的安全流程离开私人网络来提供重要的公司数据资源的额外保护。
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近5年的历史,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
Rich Johnson是Zscaler Technology的高级解决方案工程师。在过去的30年中,他在网络和计算机安全行业工作,为美国国防部提供支持。
James Happel是Clearshark的系统工程师。他在Clearshark工作了将近3年,在此之前,他在美国国防部工作了15年。
©2021 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未得到独立验证,并且我们对任何任何内容的充分性,公平性,准确性或完整性都没有代表从第三方来源获得的信息。