跳过主要内容

带有帧远程协议(FRP)8的流网路设备(SGA)8

·6分钟阅读
大卫·霍瓦斯(David Horvath)

在我以前的博客中,我概述了Frame™如何在Amazon Web Services(AWS)中携带您自己的(BYO)网络功能,可以用来以允许框架管理的工作负载VM连接到一个框架帐户现有的专用网络。最近添加帧远程协议(FRP)8已调整了用于工作负载连接的一些端口和协议。在此博客中,我将更新框架流网水设备(SGA)与新的FRP8网络环境的交互方式。

框架远程协议(FRP)8

FRP8是最终用户浏览器如何连接到帧Workload VM的新流程协议。该协议利用WEBRTC标准和UDP协议提供增强的连接性以及其他功能和功能。在撰写本文时,FRP8正在尽早访问,并记录了增强功能和功能这里。由于FRP8是从WebSockets(TCP)到WEBRTC(默认情况下)的一个很大的转换,因此它具有一些网络含义,我们将在下面概述。

流门户设备(SGA)

Streaming Gateway设备(SGA)是基于NGINX®软件的反向代理,客户可以部署以允许基于Internet的用户连接到专用网络中的Work Workload Virtual Machines(VM)。为了支持新的FRP8协议,SGA从SGA 2.X升级到SGA 3.x。此处突出显示了两个SGA版本中的一些差异。

对于此博客,我将使用一个功能(框架网络,与SGA的专用网络),该功能自动化SGA的部署,以探索创建的资源集。如下所示,创建的内容的广义体系结构如下所示。

图1.广义SGA部署体系结构

图1.广义SGA部署体系结构

创建框架帐户

要创建一个基于SGA的私人帐户,帧管理员需要在帐户创建页面上选择“帧托管网络”和“带有SGA”的“私人网络”广播按钮。输入其他信息,例如云提供商,数据中心和网络信息,以创建与企业网络其余部分一致的私人环境。

在下面的示例中,我选择了:

  • AWS蒙特利尔用于我的演示环境
  • 两个SGA显示负载平衡将如何工作
  • 我的工作站网络的CIDR块,它不会与我的其余专用网络重叠(10.100.0.0/18)
  • 我的SGA网络(10.254.254.0/24)的一个较小的非重叠的CIDR块,因为该VPC中的机器数量会小得多。

图2.使用SGA创建框架帐户

图2.使用SGA创建框架帐户

启用FRP8

由于FRP8是一个早期访问功能,因此默认情况下未在新帧帐户上启用它。要启用FRP8,请转到帐户仪表板>“设置”>“会话设置”并启用FRP8。

图3.启用FRP8

图3.启用FRP8

可以通过在沙箱中启动会话并启用“会话统计”来验证成功的FRP8启用,该会话应显示UDP和FRP8正在使用。

图4.在会话统计中验证FRP8

图4.在会话统计中验证FRP8

引擎盖下面是什么

现在,我已经创建了一个运行FRP8的框架管理的SGA/专用网络帐户,我们可以探索我的AWS帐户中创建的内容。

VPC

创建的第一件事是带有请求的网络CIDR块的几个虚拟私有云(VPC)。

图5.创建的VPC

图5.创建的VPC

Workload VPC使用帧供应商ID命名(在这种情况下为48082),该ID是帧平台内的唯一ID,SGA VPC命名为SGA ID(在这种情况下为1906年),该ID标识了SGA实现在帧内部平台。这两个VPC在AWS中凝视着,以允许它们之间的私人网络流量自由流动。

图6.创建的对等连接

图6.创建的对等连接

子网

接下来,框架在VPC中创建子网。在这种情况下,框架每VPC创建三个子网,以提供VPC内的灵活性和可用性。

图7.子网

图7。

NAT和负载平衡器

这两个VPC都需要互联网访问:

  1. SGA将需要帧最终用户的入站流量。
  2. 工作负载VPC需要到帧平台的出站连接。

因此,Internet网关都附加到VPC上,并且将附加到工作负载VPC上的NAT GW。

图8. NAT网关配置

图8. NAT网关配置

对于SGA,提供了AWS负载平衡器来创建高可用性SGA服务。

图9. SGA的AWS负载平衡器

图9. SGA的AWS负载平衡器

路由

最后的步骤是适当地路由流量,并将安全组分配给SGA和Workload VM。

在Workload VPC中,工作负载VM位于“专用网络”上,出站Internet流量通过NAT网关路由,而到SGA VMS的流量通过对等连接进行。

图10.专用网络路由

图10.专用网络路由

NAT网关子网将直接进入Internet网关。

图11. NAT子网路由

图11. NAT子网路由

SGA子网将通过NAT网关通往Internet,并通过对等连接在Workload VPC中的工作负载路线。

图12. SGA子网路由

图12. SGA子网路由

安全组

安全组设置在工作负载VM上,以允许使用SGA子网的特定TCP和UDP端口进行所有流量。

图13.工作负载VPC入站安全组

图13.工作负载VPC入站安全组

SGA安全组允许来自特定帧平台IP地址的TCP端口8888流量;Workload VPC子网的所有流量;以及来自Internet的特定TCP和UDP端口。

图14. SGA VPC入站安全组

图14. SGA VPC入站安全组

结论

使用FRP8自动化SGA的部署使框架管理员能够根据行业标准的流媒体协作协议WEBRTC快速建立对利用FRP8的私人IP地址空间的访问。只要使用非重叠的IP空间,就可以通过安装传统的VPN/私人路由表快速集成到公司专用网络中。

作者

大卫·霍瓦斯(David Horvath)
David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近五年的历史,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,我们对任何信息的充分性,公平性,准确性或完整性都没有任何代表性从第三方来源获得。
Baidu