跳过主要内容

向您的Azure专用网络添加流网水设备

·8分钟阅读
Stefan Gajic

今天,我们目睹了许多公司建设或将其基础设施转移到公共云上。在我们以前的博客之一中,我的同事大卫·霍瓦斯(David Horvath)解释了如何“带上自己的Azure网络来构架。”借助BYO网络,您指定的MicrosoftAzure®VNET中的Nutanixframe®DAAS解决方案规定框架管理的工作负载。访问该VNET中的工作负载保留在您的专用网络中。

对于希望用户在没有VPN的Internet访问这些工作负载的客户,Nutanix提供了框架流网路设备(SGA),这是一个支持帧远程协议(FRP)7(基于Secure WebSocket)和8的安全反向代理(基于WEBRTC)。SGA允许您安全地授予用户访问无VPN的Azure Private VNET中运行的虚拟化应用程序和/或台式机。

通常,部署SGA的方法有两种:(1)手册创建,客户可以控制通配符子域,SGA公共IP地址,DNS Wildcard A Record和SSL证书生命周期;(2)帧平台负责的自动部署。在此博客中,我将在BYO Azure专用网络的背景下使用Frame Auto-Deploy SGA功能来引导您完成SGA的过程。

下面的图1说明了您在这种情况下将使用的内容的体系结构:

图1.与SGA的私人网络

图1.与SGA的私人网络

要求

为了使用自己的(BYO)专用网络和使用SGA设置框架帐户,您将需要:

  1. 在您的Azure订阅中部署网络资源。
  2. 拥有具有注册Azure订阅的框架客户或组织实体(可以在此处找到用于将Azure订阅附加到框架客户或组织实体的说明)。
  3. 使用BYO网络创建新的帧帐户。
  4. 请求Nutanix支持的SGA自动部署。

在您的Azure订阅中部署网络资源

要在现有客户管理的Azure VNET之一中创建一个帧帐户,您将需要设置一个新的资源组(RG),一个或多个子网,网络安全组(NSG)的虚拟网络(VNET),并连接NSG到子网。

RG创建

资源组是一个容器,可为Azure解决方案提供相关资源。在我们的情况下,我们将在西欧创建RG,以持有图2所示的网络资源。

图2.创建一个资源组

图2.创建一个资源组

VNET和子网创建

然后,您应该在该资源组中使用一个或多个子网创建一个虚拟网络,具体取决于您想要的框架帐户数量。在下面的图3中,我创建了一个带有A /21的VNET,并在内部放置了一个 /23的子网。

重要的

我们建议客户创建一个单独的Azure VNET,以包含帧工作负载。这使客户可以将与框架相关的资源与其他Azure资源分开并隔离,从而使客户可以在框架资源或框架VNET上报告并应用不同的安全策略(如果需要)。

在VNET中为您的框架工作负载创建子网时,请确保子网的CIDR块为 /18或更小(例如, /21, /23, /24等)。

图3.创建VNET和子网

图3.创建VNET和子网

NSG创建和连接NSG与Workload子网

现在是创建网络安全组并将其附加到包含工作负载的子网的时候了。在图4中。我正在创建一个具有默认的内部和外围规则的NSG。在图5中。

图4.创建NSG

图4.创建NSG

图5.将NSG连接到子网

图5.将NSG连接到子网

创建新的帧帐户

一旦配置了Azure VNET,我就可以继续创建我的帧帐户,该帐户将包含在Azure VNET中。

注意:我已经对我的框架组织实体注册了我的Azure订阅(如先决条件#2所述)。

在“创建帐户对话框”中,我选择了正确的云提供商“ Azure”。对于该地区,我在该地区创建了Azure资源时选择了“西欧”。然后,我选择“ BYO网络”单选按钮,如下所示。

我选择了我创建的虚拟网络和子网,现在我可以选择我的沙盒映像和实例类型,并两次点击“ Next”来创建我的帧帐户。

图6.使用BYO网络创建框架帐户

图6.使用BYO网络创建框架帐户

图7.框架沙盒配置

图7.框架沙盒配置

框架帐户创建最终确定后,您会注意到,在您的订阅中创建了一个名为“ azr-prod-v {vendor_id} -instances- {cremementing_index}的资源组(RG)”。在此RG中,您将根据指定的容量找到沙盒VM和其他Frame Workload VM。

图8.框架帐户资源组

图8.框架帐户资源组

请注意,VMS仅具有私有IP地址,并且只能从内部网络访问。为了使它们可以从Internet访问,您将需要提交SGA的请求。

请求SGA

恭喜!您的技术部分现在已经完成,并且您拥有一个框架帐户,其中指定的VNET/子网中的工作负载。现在,让Nutanix支持发挥其魔力,并在相邻VNET中订阅下创建SGA资源。

要请求一个或多个SGA VM的自动部署,请转到https://my.nutanix.com,使用您的凭据登录,并通过启动支持门户来提交支持请求。

图9.支持门户

图9.支持门户

表格将如下图10所示。

图10.支持请求

图10.支持请求

在支持请求表中指定以下信息:

  • 产品:Nutanix框架

  • 主题:“在我的框架帐户中添加SGA”

  • 问题:技术问题

  • 云提供商:Azure

  • 优先级:P3正常

  • 订阅:您的订阅

  • AOS(nos)版本:无关,可以设置为最新版本

  • 问题描述:输入以下详细信息:

    • 客户名称:例如,nutanix-demo
    • 组织名称:例如,nutanix-demo-org01
    • 您要连接到SGA的帐户的名称或帐户:例如Nutanix-Demo-ACC01
    • Frame Workload VNET CIDR和子网CIDR(必须为 /18至 /24):例如10.5.0.0/24
    • 自动将SGA用于指定VNET/子网中的现有和将来的帧帐户?例如,是:配置所有现有和将来的帐户以使用SGA或否:仅配置此特定帐户以使用SGA
    • 要创建的SGA数量(1或更多):例如,1
    • SGA VNET CIDR(需要/24或/26):例如,192.168.1.0/24

请确保SGA VNET CIDR与Frame-workloads VNET CIDR没有重叠。默认情况下,帧将用于SGA VNET使用172.16.0.0/24。如果请求多个SGA,则将在SGA VM的前面提供Azure负载平衡器。

Azure Resources提供

完成SGA启用过程后,您将在Azure订阅中看到以下资源组,如图11所示。

图11. SGA资源组

图11. SGA资源组

如果您在同一VNET中要求一个或多个帧帐户,则SGA VNET和FRAME WORKLOAD VNET之间的凝视是由框架平台自动完成的,如图12所示。

图12. SGA和Workload VNET之间的凝视

图12. SGA和Workload VNET之间的凝视

框架将创建和配置您的NSG,只允许强制性入站流量。

图13. NSG规则

图13. NSG规则

如果您希望在不同的VNET中拥有多个帧帐户,请期望我们的支持团队的通知在SGA VNET和剩余的框架Workload VNET之间创建VNET PEER。请注意,剩余的框架工作负载VNET必须具有CIDR,该CIDR属于支持票中指定的框架工作负载VNET CIDR。

结论

在此博客中,我们展示了您如何在Azure中设置一个Byon框架帐户,并使用流网水设备在最终用户和Workload VM之间有安全连接而无需VPN。框架帐户的工作负载仅在您的私人网络上具有私人IP地址;因此,他们继承了您的专用网络上将设置的所有现有网络安全控件。将向用户指示该框架帐户到SGA的公共IP地址(或两个或多个SGA VM的Azure Load Balancer),以达到工作负载VM。

作者

Stefan Gajic
更多的内容由Stefan Gajic
Stefan Gajic是Nutanix Frame的解决方案架构师,他曾在各种全球企业和IT公司工作,是系统工程师,技术负责人和解决方案架构师,主要针对多云和混合环境提供各种信息技术项目。Stefan还是Microsoft认证的培训师,能够将其Azure专家知识正确提供给他人。
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,并且我们对任何信息的充分性,公平性,准确性或完整性都没有任何陈述从第三方来源获得。
Baidu