Nutanix Frame™桌面作为服务(DAAS)解决方案支持多个网络模型。企业最受欢迎的网络模型之一是框架私人网络模型。该模型允许Frame Workload VM在Enterprise专用网络上具有私有IP地址并访问专用网络资源,这是继承现有网络安全流程的最简单方法。
但是,远程用户仍然需要一种连接到这些专用网络的方法。实施此访问的传统方法是部署VPN,但这需要在用户端点设备上实现和维护软件,而VPN连接可以超载防火墙等安全产品。
框架提供流门户设备(SGA)为了满足这一需求,但是一些企业可能希望利用Zscaler,Inc。提供的“安全为服务”模型。DMZ部署。ZSCALER®服务维持许多认证政府机构要求,它符合最清楚的组织所要求的严格标准。
在此博客中,您将了解Zscaler私人访问(ZPA)和框架DAAS如何共同使用,以提供具有简化管理模型的私有云的远程访问解决方案,同时保持高度的安全性。
建筑学
下面是使用流网关设备(SGA)部署的框架专用网络体系结构的示例。
在此体系结构中,所有工作负载子网仅使用专用IP地址。框架DAAS平台通过呼叫云提供商的公共API端点来协调工作负载,并通过仅出站NAT GW(图上的绿线)通过内部启动连接与工作负载进行通信。最终用户用框架(蓝线)进行身份验证,然后将其访问的桌面和应用程序提供。当他们单击图标时,启动了一个会话,并通过SGA设备将用户重定向到工作负载,该设备将会话定为适当的工作负载(红线)。在许多企业中,SGA和NAT GW位于非军事区(DMZ)中,由于需要直接连接到Internet,因此具有很高的安全性和监视功能。
Zscaler架构相似,但不需要企业为SGA部署DMZ。取而代之的是,入站公共连接由ZScaler管理,而专用网络不需要允许任何入站连接,从而简化了安全模型。帧平台仍需要连接到云提供商API,但是这些端点已经公开并由云提供商管理,并且需要某种出站NAT GW来允许工作负载与帧平台交谈。
设置框架专用网络
对于此体系结构的框架部分,您需要设置一个具有专用网络的帧帐户。此设置将使用您现有的云服务来设置用于帧工作负载的专用网络。Zscaler AppConnector设备还需要部署在具有访问权限的VPC或子网中(至少超过TCP端口443),以部署工作负载的私人子网。
Zscaler私人访问设置
设置Zscaler私有访问(ZPA)与帧一起使用的高级步骤是:
定义框架应用程序段
*.portal.sharkdemo.com是本示例中定义的应用程序段 - 与此通配符域相匹配的任何请求都将与Nutanix框架应用程序相关联并由ZPA服务。
为此应用程序段选择了浏览器访问模式,并创建了X.509证书wild-portal.sharkdemo.com并与此应用程序段关联。
浏览器访问模式允许客户端使用通用的Web浏览器访问此框架应用程序,而无需在端点上安装Zscaler客户端连接器。这意味着必须创建公共DNS cname来映射*.portal.sharkdemo.com到Zscaler私人访问云。
接下来,我们将服务器组(用于负载分配和健康监控)和应用程序段组(用于策略)将其关联到本应用程序段。以前创建了AppConnector(本文档范围之外)并与该服务器组关联。
访问政策
创建了访问策略,以允许访问框架应用程序。在这种情况下,创建了一个允许策略,该策略授予对应用程序段组(Zscalerdemo_aws_vpc_services)的访问权限。
现在,如果用户打开Web浏览器并在URL .portal.sharkdemo.com中键入键入,它将解析为ZPA Cloud Service的“出口”组件:
用户门户
为了易于使用,创建了一个用户门户网站,该门户将直接链接到框架DAAS应用程序。用户门户允许实际的帧链接是私有的,并允许提供其他相关的应用程序,可为用户社区提供。
用户门户网站上的框架实例的详细信息如下所示...
从浏览器访问模式下支持框架服务所需的其他配置。(需要由Zscaler支持配置)
post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.samesite_none”,
“ configvalue”:“启用”,
“ configValueInt”:1,
“顾客ID”: ***,
“ targetgid”:***,
“ targetType”:“客户”
}
post:/zpn/api/v1/admin/confimoverrides
请求主体:
{
“ configkey”:“ config.feature.cors_enabled”,
“ configvalue”:“启用”,
“ configvalueint”:1,
“顾客ID”: ,
“ targetgid”:
“ TargetType”:“客户”
}
私人DNS
为了确保连接正确路由,ZScaler AppConnector将需要能够解析框架用于适当的工作负载IP的DNS名称。为此,请在AppConnector虚拟设备上创建一个主机文件,该文件具有指向Workload VM的所有可能的私人IP地址的条目指向10.0.100.50)。
最终确定帧配置
现在,您需要联系框架支持团队,并指出您需要更改框架帐户以支持“自定义基本域名”。您将提供框架帐户名和您在ZPA上使用的DNS域(在此示例中*.portal.sharkdemo.com)。框架支持团队将能够更新您的框架帐户以使用该域。当您的用户启动虚拟化应用程序或桌面时,Frame将使用自定义域将用户引导到工作负载。
最终用户体验
要访问其虚拟化应用程序和/或桌面,最终用户首先连接到Zscaler门户网站https://portal.sharkdemo.com他们需要在哪里使用Zscaler用户名登录。
用户将被重定向ZScaler中配置的第三方身份提供商。
经过身份验证后,您将被重定向到ZPA用户门户
选择Nutanix框架应用程序 -Windows桌面ABC
这将引导用户进入Nutanix框架启动板。Nutanix框架将将用户重定向到为用户身份验证配置的第三方身份提供商。
用户已对身份提供商进行身份验证并返回框架,框架将验证用户已授权访问桌面。
当DAAS实例在后端旋转时,用户会等待(可能需要一分钟)。
用户的桌面作为服务实例将出现...
结论
将Zscaler的“安全性作为服务”产品与框架DAAS相结合,使企业能够利用领先的“服务”产品,以向任何浏览器的用户提供安全,性能,桌面体验。通过使用Zscaler AppConnector服务,它不需要客户设置并维护DMZ或流网站设备,从而减轻整体管理体验。Zscaler还通过确保公司数据从不通过批准的安全流程离开私人网络来提供重要的公司数据资源的额外保护。
作者
