跳过主要内容

将AWS防火墙与自动部署SGA一起使用

·8分钟阅读
大卫·霍瓦斯(David Horvath)

NutanixFrame®桌面AS-A-Service(DAAS)长期以来一直通过实施来支持私人网络工作负载流门户设备(SGA)。在公共云基础架构上,可以在创建帐户时自动部署此功能。作为此过程的一部分,帧平台创建了网络地址转换(NAT)网关,以确保工作负载有一种方法可以回到Internet上的框架控制平面。部署后,此NAT GW并不能为网络管理员提供控制或限制工作负载的出站网络流量的能力。通过将自动部署的SGA与Amazon®Web服务(AWS)网络防火墙解决方案相结合,网络管理员可以对出站网络流量进行精细的粒度控制,以进行框架管理的工作负载,并且仍然允许他们联系框架控制平面。该博客将演示如何完成。

广义自动部署SGA体系结构

广义自动部署SGA体系结构

广义自动部署SGA体系结构

上图描述了自动部署的SGA框架帐户的广义网络体系结构。帧工作负载(在左侧的VPC中)仅具有私人,不可公开的IP地址,并且无法直接访问公共Internet。入站会话流量流过SGA,并锁定以允许框架会话流量通过。出站流量通过NAT通过AWS Internet网关路由。这是工作负载与框架控制平面进行命令和控制信息进行通信所必需的。正是此VPC(帧工作负载VPC),其中添加AWS防火墙可以控制外站流量,可以通过将流量限制为仅批准的DNS域,从而提供额外的安全性。

AWS网络防火墙

有关AWS防火墙的工作方式的详细信息,最好查看文档AWS提供。我们感兴趣的特定用例已记录这里,在这里引用架构图进行讨论。

NAT和Internet GW之间的AWS防火墙

NAT和Internet GW之间的AWS防火墙

该体系结构具有“客户子网”和一个“ NAT网关子网”,它在上面的广义体系结构中密切反映了框架工作负载子网和NAT GW。在NAT GW和Internet GW之间插入“防火墙子网”将使我们能够利用AWS防火墙的状态功能。博客的其余部分将通过这些步骤进行此操作。

私人工作负载VPC

首先,我使用自动部位的SGA创建了一个框架帐户。Workload VPC CIDR I选择的是10.100.0.0/18,它创建了一个带有每个可用性区子网(帧默认行为)的VPC,最终以以下设置。(注意:我不包括SGA VPC和PEER来简化图形)。

私人网络工作负载VPC

私人网络工作负载VPC

为了实现如上所述的AWS防火墙,我需要创建一个防火墙子网并更改路由表以在NAT子网和IGW之间放置。创建防火墙子网后的目标体系结构最终将看起来像这样。

与AWS防火墙的私人网络

与AWS防火墙的私人网络

创建子网和AWS防火墙端点

必须先创建与NAT相同的可用性区域中的10.100.0.32/21子网(在我的情况下,必须首先创建US-WEST-2D)。

为防火墙创建子网

为防火墙创建子网

接下来,我们可以创建一个防火墙并将其端点放在该子网中。目前,我离开了策略空白,因此我们可以稍后更新。

为防火墙创建子网

为防火墙创建子网

##更新路由下一步是更新NAT GW和Internet GW之间的路由和“插入” AWS防火墙(如上所述的AWS FW图所示)。为此,需要更新或创建三个表:

  1. NAT GW路由表需要将默认路由移至FW。
  2. FW子网(默认使用主路由表)将需要创建一个新的路由表以将流量转发到Internet GW。
  3. IGW将必须通过“边缘关联”创建自己的路由表并关联,该“边缘关联”将通过FW发送给NAT子网的流量。

更新NAT路由表

正如帧背板部署的那样,NAT GW子网的路由表将指向默认值0.0.0.0/0,路由到Internet GW。该路线将需要如下所示进行更新。请注意,防火墙端点将显示在“网关负载平衡器端点”中。

在网关负载均衡器端点下搜索

在网关负载均衡器端点下搜索

更新了NAT GW路由表

更新了NAT GW路由表

创建FW子网路由表

现在,遵循创建路由表工作流,以创建一个路由表,该路由表具有SGA路由(通过对等),本地路由和指向Internet网关的默认路由。

创建FW子网路由表

创建FW子网路由表

创建FW子网路由表后,使用“子网关联”选项卡将您的新表与防火墙子网相关联。

创建Internet网关路由表

遵循创建路由表工作流,以创建一个路由表,该路由表具有为NAT GW子网(5月份的10.100.24.0/21)设置的路由表。该路由表将将返回流量从Internet网关路由到防火墙。

创建Internet网关路线表

创建Internet网关路线表

这次,在创建路由表之后,使用“边缘关联”选项卡将此路由表与Internet网关关联。

配置AWS防火墙

现在设置了路由,现在该将规则组添加到防火墙中,以允许Web流量到帧控制平面域。为此,我首先设置了一个无状态规则,该规则将所有网络流量传递给了状态规则组。然后,我创建一个状态规则组,以允许流量到特定域。

创建一个无状态规则组

在我的示例中,我将容量设置为10,因为这是一个非常简单的规则,然后为HTTPS创建了一个规则。

HTTPS的规则

HTTPS的规则

重要的是要将行动更改为“转向状态规则群体”。

促进状态规则群体

促进状态规则群体

我创建了第二个规则,将所有其他流量转发到将被阻止的状态规则组。

最终无状态规则组

最终无状态规则组

创建一个状态规则组

下一步是为您创建一个状态规则组,指定允许Web流量的域。由于此规则更为复杂,因此我将50个容量分配给了规则组。我还添加了Google.com,以便更容易确认该规则在框架帐户上有效。

创建状态规则组

创建状态规则组

设置防火墙政策

最后,我们将将这些规则组附加到创建防火墙时设置的空白策略中。我还将零散数据包的默认操作更改为“转到状态规则组”。

防火墙策略配置

防火墙策略配置

测试

要测试,只需尝试在框架帐户上启动会话即可。会话应正常启动,如果您打开网络浏览器,则应该能够提出www.google.com但是其他领域将行不通。

故障排除

AWS包括一些监视和记录工具,可以帮助确定为什么某些东西可能无法按预期工作。要启用日志记录,请转到防火墙页面中的“防火墙详细信息”表,然后选择“编辑”记录选项。

防火墙详细信息

防火墙详细信息

从那里,您可以选择将警报记录到现有的CloudWatch日志组,也可以使用创建日志组按钮创建新的日志组。

防火墙日志配置

防火墙日志配置

现在可以在AWS CloudWatch中查看防火墙日志,如果由于某种原因拒绝连接,它将显示在防火墙日志中。

此自定义确实限制了帧控制平面自动化某些网络功能的能力,并且客户应假定客户的网络团队将需要进行未来的网络升级。

结论

将框架的私有网络与内置的AWS防火墙相结合可以为组织提供一种灵活的方式,使组织可以限制私人帧工作负载的Internet访问,同时仍允许用户连接到Internet上任何地方的框架会话。

作者

大卫·霍瓦斯(David Horvath)
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一部分已有近五年了,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据在本文之日起可靠,但它们尚未独立验证,并且我们对从第三方来源获得的任何信息的适当性,公平性,准确性或完整性都没有任何代表。
Baidu