在我以前的博客中,我概述了Frame™如何在Amazon Web Services(AWS)中携带您自己的(BYO)网络功能,可以用来以允许框架管理的工作负载VM连接到一个框架帐户现有的专用网络。最近添加帧远程协议(FRP)8已调整了用于工作负载连接的一些端口和协议。在此博客中,我将更新框架流网水设备(SGA)与新的FRP8网络环境的交互方式。
框架远程协议(FRP)8
FRP8是最终用户浏览器如何连接到帧Workload VM的新流程协议。该协议利用WEBRTC标准和UDP协议提供增强的连接性以及其他功能和功能。在撰写本文时,FRP8正在尽早访问,并记录了增强功能和功能这里。由于FRP8是从WebSockets(TCP)到WEBRTC(默认情况下)的一个很大的转换,因此它具有一些网络含义,我们将在下面概述。
流门户设备(SGA)
Streaming Gateway设备(SGA)是基于NGINX®软件的反向代理,客户可以部署以允许基于Internet的用户连接到专用网络中的Work Workload Virtual Machines(VM)。为了支持新的FRP8协议,SGA从SGA 2.X升级到SGA 3.x。此处突出显示了两个SGA版本中的一些差异。
对于此博客,我将使用一个功能(框架网络,与SGA的专用网络),该功能自动化SGA的部署,以探索创建的资源集。如下所示,创建的内容的广义体系结构如下所示。
创建框架帐户
要创建一个基于SGA的私人帐户,帧管理员需要在帐户创建页面上选择“帧托管网络”和“带有SGA”的“私人网络”广播按钮。输入其他信息,例如云提供商,数据中心和网络信息,以创建与企业网络其余部分一致的私人环境。
在下面的示例中,我选择了:
- AWS蒙特利尔用于我的演示环境
- 两个SGA显示负载平衡将如何工作
- 我的工作站网络的CIDR块,它不会与我的其余专用网络重叠(10.100.0.0/18)
- 我的SGA网络(10.254.254.0/24)的一个较小的非重叠的CIDR块,因为该VPC中的机器数量会小得多。
启用FRP8
由于FRP8是一个早期访问功能,因此默认情况下未在新帧帐户上启用它。要启用FRP8,请转到帐户仪表板>“设置”>“会话设置”并启用FRP8。
可以通过在沙箱中启动会话并启用“会话统计”来验证成功的FRP8启用,该会话应显示UDP和FRP8正在使用。
引擎盖下面是什么
现在,我已经创建了一个运行FRP8的框架管理的SGA/专用网络帐户,我们可以探索我的AWS帐户中创建的内容。
VPC
创建的第一件事是带有请求的网络CIDR块的几个虚拟私有云(VPC)。
Workload VPC使用帧供应商ID命名(在这种情况下为48082),该ID是帧平台内的唯一ID,SGA VPC命名为SGA ID(在这种情况下为1906年),该ID标识了SGA实现在帧内部平台。这两个VPC在AWS中凝视着,以允许它们之间的私人网络流量自由流动。
子网
接下来,框架在VPC中创建子网。在这种情况下,框架每VPC创建三个子网,以提供VPC内的灵活性和可用性。
NAT和负载平衡器
这两个VPC都需要互联网访问:
- SGA将需要帧最终用户的入站流量。
- 工作负载VPC需要到帧平台的出站连接。
因此,Internet网关都附加到VPC上,并且将附加到工作负载VPC上的NAT GW。
对于SGA,提供了AWS负载平衡器来创建高可用性SGA服务。
路由
最后的步骤是适当地路由流量,并将安全组分配给SGA和Workload VM。
在Workload VPC中,工作负载VM位于“专用网络”上,出站Internet流量通过NAT网关路由,而到SGA VMS的流量通过对等连接进行。
NAT网关子网将直接进入Internet网关。
SGA子网将通过NAT网关通往Internet,并通过对等连接在Workload VPC中的工作负载路线。
安全组
安全组设置在工作负载VM上,以允许使用SGA子网的特定TCP和UDP端口进行所有流量。
SGA安全组允许来自特定帧平台IP地址的TCP端口8888流量;Workload VPC子网的所有流量;以及来自Internet的特定TCP和UDP端口。
结论
使用FRP8自动化SGA的部署使框架管理员能够根据行业标准的流媒体协作协议WEBRTC快速建立对利用FRP8的私人IP地址空间的访问。只要使用非重叠的IP空间,就可以通过安装传统的VPN/私人路由表快速集成到公司专用网络中。