今天,我们目睹了许多公司建设或将其基础设施转移到公共云上。在我们以前的博客之一中,我的同事大卫·霍瓦斯(David Horvath)解释了如何“带上自己的Azure网络来构架。”借助BYO网络,您指定的MicrosoftAzure®VNET中的Nutanixframe®DAAS解决方案规定框架管理的工作负载。访问该VNET中的工作负载保留在您的专用网络中。
对于希望用户在没有VPN的Internet访问这些工作负载的客户,Nutanix提供了框架流网路设备(SGA),这是一个支持帧远程协议(FRP)7(基于Secure WebSocket)和8的安全反向代理(基于WEBRTC)。SGA允许您安全地授予用户访问无VPN的Azure Private VNET中运行的虚拟化应用程序和/或台式机。
通常,部署SGA的方法有两种:(1)手册创建,客户可以控制通配符子域,SGA公共IP地址,DNS Wildcard A Record和SSL证书生命周期;(2)帧平台负责的自动部署。在此博客中,我将在BYO Azure专用网络的背景下使用Frame Auto-Deploy SGA功能来引导您完成SGA的过程。
下面的图1说明了您在这种情况下将使用的内容的体系结构:
要求
为了使用自己的(BYO)专用网络和使用SGA设置框架帐户,您将需要:
- 在您的Azure订阅中部署网络资源。
- 拥有具有注册Azure订阅的框架客户或组织实体(可以在此处找到用于将Azure订阅附加到框架客户或组织实体的说明)。
- 使用BYO网络创建新的帧帐户。
- 请求Nutanix支持的SGA自动部署。
在您的Azure订阅中部署网络资源
要在现有客户管理的Azure VNET之一中创建一个帧帐户,您将需要设置一个新的资源组(RG),一个或多个子网,网络安全组(NSG)的虚拟网络(VNET),并连接NSG到子网。
RG创建
资源组是一个容器,可为Azure解决方案提供相关资源。在我们的情况下,我们将在西欧创建RG,以持有图2所示的网络资源。
VNET和子网创建
然后,您应该在该资源组中使用一个或多个子网创建一个虚拟网络,具体取决于您想要的框架帐户数量。在下面的图3中,我创建了一个带有A /21的VNET,并在内部放置了一个 /23的子网。
我们建议客户创建一个单独的Azure VNET,以包含帧工作负载。这使客户可以将与框架相关的资源与其他Azure资源分开并隔离,从而使客户可以在框架资源或框架VNET上报告并应用不同的安全策略(如果需要)。
在VNET中为您的框架工作负载创建子网时,请确保子网的CIDR块为 /18或更小(例如, /21, /23, /24等)。
NSG创建和连接NSG与Workload子网
现在是创建网络安全组并将其附加到包含工作负载的子网的时候了。在图4中。我正在创建一个具有默认的内部和外围规则的NSG。在图5中。
创建新的帧帐户
一旦配置了Azure VNET,我就可以继续创建我的帧帐户,该帐户将包含在Azure VNET中。
注意:我已经对我的框架组织实体注册了我的Azure订阅(如先决条件#2所述)。
在“创建帐户对话框”中,我选择了正确的云提供商“ Azure”。对于该地区,我在该地区创建了Azure资源时选择了“西欧”。然后,我选择“ BYO网络”单选按钮,如下所示。
我选择了我创建的虚拟网络和子网,现在我可以选择我的沙盒映像和实例类型,并两次点击“ Next”来创建我的帧帐户。
框架帐户创建最终确定后,您会注意到,在您的订阅中创建了一个名为“ azr-prod-v {vendor_id} -instances- {cremementing_index}的资源组(RG)”。在此RG中,您将根据指定的容量找到沙盒VM和其他Frame Workload VM。
请注意,VMS仅具有私有IP地址,并且只能从内部网络访问。为了使它们可以从Internet访问,您将需要提交SGA的请求。
请求SGA
恭喜!您的技术部分现在已经完成,并且您拥有一个框架帐户,其中指定的VNET/子网中的工作负载。现在,让Nutanix支持发挥其魔力,并在相邻VNET中订阅下创建SGA资源。
要请求一个或多个SGA VM的自动部署,请转到https://my.nutanix.com,使用您的凭据登录,并通过启动支持门户来提交支持请求。
表格将如下图10所示。
在支持请求表中指定以下信息:
产品:Nutanix框架
主题:“在我的框架帐户中添加SGA”
问题:技术问题
云提供商:Azure
优先级:P3正常
订阅:您的订阅
AOS(nos)版本:无关,可以设置为最新版本
问题描述:输入以下详细信息:
- 客户名称:例如,nutanix-demo
- 组织名称:例如,nutanix-demo-org01
- 您要连接到SGA的帐户的名称或帐户:例如Nutanix-Demo-ACC01
- Frame Workload VNET CIDR和子网CIDR(必须为 /18至 /24):例如10.5.0.0/24
- 自动将SGA用于指定VNET/子网中的现有和将来的帧帐户?例如,是:配置所有现有和将来的帐户以使用SGA或否:仅配置此特定帐户以使用SGA
- 要创建的SGA数量(1或更多):例如,1
- SGA VNET CIDR(需要/24或/26):例如,192.168.1.0/24
请确保SGA VNET CIDR与Frame-workloads VNET CIDR没有重叠。默认情况下,帧将用于SGA VNET使用172.16.0.0/24。如果请求多个SGA,则将在SGA VM的前面提供Azure负载平衡器。
Azure Resources提供
完成SGA启用过程后,您将在Azure订阅中看到以下资源组,如图11所示。
如果您在同一VNET中要求一个或多个帧帐户,则SGA VNET和FRAME WORKLOAD VNET之间的凝视是由框架平台自动完成的,如图12所示。
框架将创建和配置您的NSG,只允许强制性入站流量。
如果您希望在不同的VNET中拥有多个帧帐户,请期望我们的支持团队的通知在SGA VNET和剩余的框架Workload VNET之间创建VNET PEER。请注意,剩余的框架工作负载VNET必须具有CIDR,该CIDR属于支持票中指定的框架工作负载VNET CIDR。
结论
在此博客中,我们展示了您如何在Azure中设置一个Byon框架帐户,并使用流网水设备在最终用户和Workload VM之间有安全连接而无需VPN。框架帐户的工作负载仅在您的私人网络上具有私人IP地址;因此,他们继承了您的专用网络上将设置的所有现有网络安全控件。将向用户指示该框架帐户到SGA的公共IP地址(或两个或多个SGA VM的Azure Load Balancer),以达到工作负载VM。