NutanixFrame®桌面AS-A-Service(DAAS)长期以来一直通过实施来支持私人网络工作负载流门户设备(SGA)。在公共云基础架构上,可以在创建帐户时自动部署此功能。作为此过程的一部分,帧平台创建了网络地址转换(NAT)网关,以确保工作负载有一种方法可以回到Internet上的框架控制平面。部署后,此NAT GW并不能为网络管理员提供控制或限制工作负载的出站网络流量的能力。通过将自动部署的SGA与Amazon®Web服务(AWS)网络防火墙解决方案相结合,网络管理员可以对出站网络流量进行精细的粒度控制,以进行框架管理的工作负载,并且仍然允许他们联系框架控制平面。该博客将演示如何完成。
广义自动部署SGA体系结构
上图描述了自动部署的SGA框架帐户的广义网络体系结构。帧工作负载(在左侧的VPC中)仅具有私人,不可公开的IP地址,并且无法直接访问公共Internet。入站会话流量流过SGA,并锁定以允许框架会话流量通过。出站流量通过NAT通过AWS Internet网关路由。这是工作负载与框架控制平面进行命令和控制信息进行通信所必需的。正是此VPC(帧工作负载VPC),其中添加AWS防火墙可以控制外站流量,可以通过将流量限制为仅批准的DNS域,从而提供额外的安全性。
AWS网络防火墙
有关AWS防火墙的工作方式的详细信息,最好查看文档AWS提供。我们感兴趣的特定用例已记录这里,在这里引用架构图进行讨论。
该体系结构具有“客户子网”和一个“ NAT网关子网”,它在上面的广义体系结构中密切反映了框架工作负载子网和NAT GW。在NAT GW和Internet GW之间插入“防火墙子网”将使我们能够利用AWS防火墙的状态功能。博客的其余部分将通过这些步骤进行此操作。
私人工作负载VPC
首先,我使用自动部位的SGA创建了一个框架帐户。Workload VPC CIDR I选择的是10.100.0.0/18,它创建了一个带有每个可用性区子网(帧默认行为)的VPC,最终以以下设置。(注意:我不包括SGA VPC和PEER来简化图形)。
为了实现如上所述的AWS防火墙,我需要创建一个防火墙子网并更改路由表以在NAT子网和IGW之间放置。创建防火墙子网后的目标体系结构最终将看起来像这样。
创建子网和AWS防火墙端点
必须先创建与NAT相同的可用性区域中的10.100.0.32/21子网(在我的情况下,必须首先创建US-WEST-2D)。
接下来,我们可以创建一个防火墙并将其端点放在该子网中。目前,我离开了策略空白,因此我们可以稍后更新。
##更新路由下一步是更新NAT GW和Internet GW之间的路由和“插入” AWS防火墙(如上所述的AWS FW图所示)。为此,需要更新或创建三个表:
- NAT GW路由表需要将默认路由移至FW。
- FW子网(默认使用主路由表)将需要创建一个新的路由表以将流量转发到Internet GW。
- IGW将必须通过“边缘关联”创建自己的路由表并关联,该“边缘关联”将通过FW发送给NAT子网的流量。
更新NAT路由表
正如帧背板部署的那样,NAT GW子网的路由表将指向默认值0.0.0.0/0,路由到Internet GW。该路线将需要如下所示进行更新。请注意,防火墙端点将显示在“网关负载平衡器端点”中。
创建FW子网路由表
现在,遵循创建路由表工作流,以创建一个路由表,该路由表具有SGA路由(通过对等),本地路由和指向Internet网关的默认路由。
创建FW子网路由表后,使用“子网关联”选项卡将您的新表与防火墙子网相关联。
创建Internet网关路由表
遵循创建路由表工作流,以创建一个路由表,该路由表具有为NAT GW子网(5月份的10.100.24.0/21)设置的路由表。该路由表将将返回流量从Internet网关路由到防火墙。
这次,在创建路由表之后,使用“边缘关联”选项卡将此路由表与Internet网关关联。
配置AWS防火墙
现在设置了路由,现在该将规则组添加到防火墙中,以允许Web流量到帧控制平面域。为此,我首先设置了一个无状态规则,该规则将所有网络流量传递给了状态规则组。然后,我创建一个状态规则组,以允许流量到特定域。
创建一个无状态规则组
在我的示例中,我将容量设置为10,因为这是一个非常简单的规则,然后为HTTPS创建了一个规则。
重要的是要将行动更改为“转向状态规则群体”。
我创建了第二个规则,将所有其他流量转发到将被阻止的状态规则组。
创建一个状态规则组
下一步是为您创建一个状态规则组,指定允许Web流量的域。由于此规则更为复杂,因此我将50个容量分配给了规则组。我还添加了Google.com,以便更容易确认该规则在框架帐户上有效。
设置防火墙政策
最后,我们将将这些规则组附加到创建防火墙时设置的空白策略中。我还将零散数据包的默认操作更改为“转到状态规则组”。
测试
要测试,只需尝试在框架帐户上启动会话即可。会话应正常启动,如果您打开网络浏览器,则应该能够提出www.google.com但是其他领域将行不通。
故障排除
AWS包括一些监视和记录工具,可以帮助确定为什么某些东西可能无法按预期工作。要启用日志记录,请转到防火墙页面中的“防火墙详细信息”表,然后选择“编辑”记录选项。
从那里,您可以选择将警报记录到现有的CloudWatch日志组,也可以使用创建日志组按钮创建新的日志组。
现在可以在AWS CloudWatch中查看防火墙日志,如果由于某种原因拒绝连接,它将显示在防火墙日志中。
此自定义确实限制了帧控制平面自动化某些网络功能的能力,并且客户应假定客户的网络团队将需要进行未来的网络升级。
结论
将框架的私有网络与内置的AWS防火墙相结合可以为组织提供一种灵活的方式,使组织可以限制私人帧工作负载的Internet访问,同时仍允许用户连接到Internet上任何地方的框架会话。