随着企业继续将其IT足迹扩展到公共云中,将现有的私人网络基础架构扩展到公共云变得更加至关重要。为了解决这需要的灵活性,Nutanix已将您自己的(BYO)网络功能添加到其Frame™桌面AS-A-Service(DAAS)解决方案中。在以前的博客中,我浏览了如何在AWS®平台中使用此功能。在此博客中,我将带您了解如何在Azure®云基础架构中设置环境。您的框架管理的工作负载与实际专用网络之间的集成取决于您的专用网络的特定实现。
您可以在BYO网络方案中找到有关网络要求的详细信息与私人网络的公共云。
BYO网络的要求
框架DAA需要以下信息将BYO网络部署到您的Azure实现:
- 带有Azure订阅的框架客户或组织(可以在此处找到用于将Azure订阅附加到框架客户或组织实体的说明)。
- 您部署到的Azure VNET的虚拟网络ID。
- VNET中将部署工作负载的子网的子网ID(这些子网将需要出站Internet访问)。
下面的图1说明了我为此博客创建的网络体系结构。
创建资源组和虚拟网络
Azure资源组是一种方便地分组在Azure中合作的资源的方便方法。就我而言,如图2所示,我在美国中部创建了一个。
然后,您可以在该资源组中创建虚拟网络。在此过程中,您还可以创建框架工作负载所需的子网。在上面的图2中,我有一个A /26的子网,因此我创建了一个带有A /24的VNET,然后将该 /26子网放在VNET中。
出于测试目的,拥有堡垒主机通常很方便,以便您可以访问专用网络。转到“安全”选项卡以启用堡垒主机并填写表格。
网络安全组
下一步是创建一个网络安全组,并将其连接到工作负载将使用的子网。网络安全组应允许所有专用IP地址允许端口443(用于会话流量的TLS)。有关帧网络的详细信息可以在此处找到。
1frame正在过渡到框架来宾代理8.0。当该框架帐户完成此转换时,不再需要端口8112的入站流量。
创建后,可以将网络安全组添加到Workload子网配置中。
添加RDP实例
由于我没有将虚拟网络连接到的专用网络,因此我将在创建的堡垒后面部署一个RDP“跳跃框”,以便一旦在新创建的虚拟网络中提供了帧工作负载的操作。
使用“磁盘”选项卡上的默认值。在“网络”选项卡上,请勿使用公共IP,并将安全性留给默认值。我们稍后将修复它。
创建VM后,转到“网络”选项卡并更改RDP规则,以便它仅允许来自专用网络的流量。
纳特门户
您将需要一个NAT网关,以确保框架工作负载具有出站Internet访问权限。因此,我们将创建一个NAT网关,并将其与私人子网相关联。
创建新的帧帐户
完成Azure专用网络设置后,我现在拥有设置我的帧BYO网络帐户所需的所有信息。我已经对我的框架组织实体注册了Azure订阅(如上所述)。
在“创建帐户对话框”中,我选择了正确的云提供商(例如,Azure)和区域(例如,美国中部),然后选择“ BYO网络”广播按钮,如下所示。
我选择了我创建的虚拟网络和子网,现在可以选择我的沙盒映像和实例类型,然后点击下一步来创建我的帧帐户。
恭喜,您已经完成了!
这就对了!几分钟后,创建了我的框架帐户并可以使用。只有专用网络上的机器才能连接到框架会话,因此需要将RD插入堡垒,启动浏览器,并需要登录Nutanix控制台。
进入堡垒后,您可以在沙箱中启动会话,并按照通常的方式使用框架帐户。
在上面的屏幕截图中,您可以通过Bastion看到RDP主机具有私有IP 10.0.100.132。RDP主机上的Firefox浏览器在同一专用网络上的机器上有一个框架会话10.0.100.134,但与出站NAT GW GW 13.66.22.106相匹配的公共IP。
结论
在此博客中,我们展示了如何在Azure平台中设置自己的网络框架帐户。框架帐户的工作负载将仅在您的专用网络上具有IP地址,因此它们继承了您的专用网络上将设置的所有现有网络安全控件。对于外部用户,通过RDP连接可能不是最有效的连接方法。对于这些用户,您可以通过现有的VPN解决方案或通过框架流网关设备(SGA)连接它们。