跳过主要内容

带上自己的Azure网络来构架

·6分钟阅读
大卫·霍瓦斯(David Horvath)

随着企业继续将其IT足迹扩展到公共云中,将现有的私人网络基础架构扩展到公共云变得更加至关重要。为了解决这需要的灵活性,Nutanix已将您自己的(BYO)网络功能添加到其Frame™桌面AS-A-Service(DAAS)解决方案中。在以前的博客中,我浏览了如何在AWS®平台中使用此功能。在此博客中,我将带您了解如何在Azure®云基础架构中设置环境。您的框架管理的工作负载与实际专用网络之间的集成取决于您的专用网络的特定实现。

您可以在BYO网络方案中找到有关网络要求的详细信息与私人网络的公共云

BYO网络的要求

框架DAA需要以下信息将BYO网络部署到您的Azure实现:

  1. 带有Azure订阅的框架客户或组织(可以在此处找到用于将Azure订阅附加到框架客户或组织实体的说明)。
  2. 您部署到的Azure VNET的虚拟网络ID。
  3. VNET中将部署工作负载的子网的子网ID(这些子网将需要出站Internet访问)。

下面的图1说明了我为此博客创建的网络体系结构。

图1. BYO网络虚拟网络

图1. BYO网络虚拟网络

创建资源组和虚拟网络

Azure资源组是一种方便地分组在Azure中合作的资源的方便方法。就我而言,如图2所示,我在美国中部创建了一个。

图2.创建一个资源组

图2.创建一个资源组

然后,您可以在该资源组中创建虚拟网络。在此过程中,您还可以创建框架工作负载所需的子网。在上面的图2中,我有一个A /26的子网,因此我创建了一个带有A /24的VNET,然后将该 /26子网放在VNET中。

图3.在虚拟网络中创建子网

图3.在虚拟网络中创建子网

出于测试目的,拥有堡垒主机通常很方便,以便您可以访问专用网络。转到“安全”选项卡以启用堡垒主机并填写表格。

图4.创建堡垒主机

图4.创建堡垒主机

网络安全组

下一步是创建一个网络安全组,并将其连接到工作负载将使用的子网。网络安全组应允许所有专用IP地址允许端口443(用于会话流量的TLS)。有关帧网络的详细信息可以在此处找到。

图5.框架工作负载安全组

图5.框架工作负载安全组

1frame正在过渡到框架来宾代理8.0。当该框架帐户完成此转换时,不再需要端口8112的入站流量。

创建后,可以将网络安全组添加到Workload子网配置中。

图6.将网络安全组添加到子网

图6.将网络安全组添加到子网

添加RDP实例

由于我没有将虚拟网络连接到的专用网络,因此我将在创建的堡垒后面部署一个RDP“跳跃框”,以便一旦在新创建的虚拟网络中提供了帧工作负载的操作。

图7.创建虚拟机对话框

图7.创建虚拟机对话框

使用“磁盘”选项卡上的默认值。在“网络”选项卡上,请勿使用公共IP,并将安全性留给默认值。我们稍后将修复它。

图8.网络对话框

图8.网络对话框

创建VM后,转到“网络”选项卡并更改RDP规则,以便它仅允许来自专用网络的流量。

图9.更新的RDP规则

图9.更新的RDP规则

纳特门户

您将需要一个NAT网关,以确保框架工作负载具有出站Internet访问权限。因此,我们将创建一个NAT网关,并将其与私人子网相关联。

图10. NAT网关对话框

图10. NAT网关对话框

图11. NAT网关的新出站IP

图11. NAT网关的新出站IP

图12.与私人子网相关联

图12.与私人子网相关联

创建新的帧帐户

完成Azure专用网络设置后,我现在拥有设置我的帧BYO网络帐户所需的所有信息。我已经对我的框架组织实体注册了Azure订阅(如上所述)。

在“创建帐户对话框”中,我选择了正确的云提供商(例如,Azure)和区域(例如,美国中部),然后选择“ BYO网络”广播按钮,如下所示。

图13.框架帐户创建

图13.框架帐户创建

我选择了我创建的虚拟网络和子网,现在可以选择我的沙盒映像和实例类型,然后点击下一步来创建我的帧帐户。

图14.框架沙盒配置

图14.框架沙盒配置

恭喜,您已经完成了!

这就对了!几分钟后,创建了我的框架帐户并可以使用。只有专用网络上的机器才能连接到框架会话,因此需要将RD插入堡垒,启动浏览器,并需要登录Nutanix控制台。

图15.通过堡垒连接到RDP主机

图15.通过堡垒连接到RDP主机

进入堡垒后,您可以在沙箱中启动会话,并按照通常的方式使用框架帐户。

图16.在专用网络上运行的框架会话

图16.在专用网络上运行的框架会话

在上面的屏幕截图中,您可以通过Bastion看到RDP主机具有私有IP 10.0.100.132。RDP主机上的Firefox浏览器在同一专用网络上的机器上有一个框架会话10.0.100.134,但与出站NAT GW GW 13.66.22.106相匹配的公共IP。

结论

在此博客中,我们展示了如何在Azure平台中设置自己的网络框架帐户。框架帐户的工作负载将仅在您的专用网络上具有IP地址,因此它们继承了您的专用网络上将设置的所有现有网络安全控件。对于外部用户,通过RDP连接可能不是最有效的连接方法。对于这些用户,您可以通过现有的VPN解决方案或通过框架流网关设备(SGA)连接它们。

作者

大卫·霍瓦斯(David Horvath)
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一部分已有近五年了,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据在本文之日起可靠,但它们尚未独立验证,并且我们对从第三方来源获得的任何信息的适当性,公平性,准确性或完整性都没有任何代表。
Baidu