流网关设备
在Internet上拥有用户的组织必须确定其用户将如何在专用网络中访问其框架Workload VM。对于这些用例,组织可以为其用户提供公司VPN访问或部署Nutanix帧流网站设备(SGA),这是一个支持框架远程协议(FRP)的安全反向代理。SGA使组织能够在不使用VPN的情况下授予其用户安全访问其虚拟化应用程序和/或台式机。
该指南审查了私人网络中的流媒体网关设备的设计,安装和配置方案。本指南假定客户具有现有的框架客户或组织实体。
考虑因素
Nutanix框架提供了两个部署一个或多个SGA的选项:
- 对于使用框架管理网络在公共云中使用SGA部署模型的专用网络创建帧帐户的客户,帧控制平面可以提供SGA VPC,SGA VM(S),即负载均衡器(如果多个SGA VM指定),安全组/防火墙规则和框架帐户创建的VPC/VNET对等。
- 对于选择客户管理的网络的客户,客户必须手动部署其SGA和负载平衡器(如果需要多个SGA VM)并配置其网络/防火墙规则。
管理员应审查以下注意事项,以确定哪种部署方法适合其要求:
| 手动SGA部署 | 自动SGA部署 | |
|---|---|---|
| 基础设施 | 基于AHV的帐户需要 公共云帐户的可选 |
适用于公共云基础架构中的框架帐户 |
| 联网 | SGA的手动部署允许用于框架帐户 | 每个框架帐户最多四(4)个SGA VM 加载平衡器自动提供两个或多个SGA VM 为每个新帧帐户创建SGA VM |
| 其他考虑因素 | 使用SGA配置使用负载平衡器的客户可以大大减少或消除SGA升级的停机时间。 利用框架灾难恢复(DR)的客户早期访问功能可能需要使用自己的SGA配置DR群集,具体取决于设置。 |
SGA升级需要SGA VM的终止和娱乐。需要预定的停机时间。 |
网络要求
部署SGA VM时,客户的网络必须允许Internet流量到达SGA VM,从SGA VM到包含框架管理的工作负载的网络(例如,沙箱,测试/生产池,实用程序服务器)。作为最佳实践,我们建议将SGA VM或VM(如果需要高可用性)部署在DMZ(例如VPC,VNET或VLAN)中,将其与工作负载VM网络分开。
咨询带有私人网络和SGA的公共云要么Nutanix AHV带有私人网络和SGA为了确保在继续安装和配置之前满足网络路由要求。
高可用性
- FRP7
- FRP8
对于希望实施高可用性SGA解决方案的客户,需要第三方负载平衡器。负载平衡器放置在一个或多个SGA VM的前面。这些SGA VM将充当SGA VM(“ SGA VM池”)的池,该池将处理最终用户和Frame Workload VM之间的FRP7会话流量。
环境将需要以下内容:
- 通配符DNS记录,可以通过
*.sga.company.com通配符FQDN到防火墙上的公共IP地址(“ SGA Farm虚拟公共IP地址”) - 负载平衡器上的一个私人IP地址(“ SGA Farm虚拟私有IP地址”,上图中的“ LBVIP”指出)
- SGA Farm虚拟公共IP地址网络地址(NAT)转换为负载平衡器上的SGA Farm虚拟私人IP地址(LBVIP)。
- 负载平衡器配置为:
- 分配入站
TCP/443(HTTPS,WSS)请求SGA VM池中的特定SGA VM。 - 终止分配的SGA VM上的TLS连接,而不是负载平衡器(SSL PassThrough)。
- 使用SSL持久性(SSL会话ID)在特定的SGA VM上持久持续HTTPS/WSS框架会话。
- 分配入站
客户必须防止负载平衡器将用户的安全Websocket连接(使用FRP7时)从一个SGA VM切换到另一个SGA VM。在用户在FRP7会话中时,Secure WebSocket连接的切换可能会导致会话断开(并可能关闭),并要求最终用户恢复其会话(或开始新的会话)。
典型的FRP7工作流程
框架用户登录到帧平台,并直接使用其启动板。当用户在其启动板中单击桌面或应用程序图标时,Frax Platform将用户的浏览器定向基于SGA子域的FQDN,该框架由Nutanix Frame Support配置为框架帐户。
例如,如果子域是sga.company.comWorkload VM具有一个私人IP地址10.2.1.3,工作量FQDN将是10-2-1-3.sga.company.com。此工作负载FQDN从客户的公共DNS服务器解析到客户的防火墙上的公共IP地址。防火墙执行NAT并将请求发送到虚拟SGA IP地址(LBVIP)。其中一个负载平衡器接收到HTTPS请求,并将请求转发给SGA VM之一。然后,SGA VM将HTTPS请求转发到Workload VM上的用户分配的帧工作负载VM和框架代理,验证了会话开始请求,并切换到安全的Websocket连接以开始框架Session Session/Audio流。
负载平衡器配置为保持最终用户和分配的SGA VM之间的HTTPS/Secure Websocket连接。
对于希望实施高可用性SGA解决方案的客户,需要第三方负载平衡器。负载平衡器放置在一个或多个SGA VM的前面。这些SGA VM将充当SGA VM(“ SGA VM池”)的池,该池将处理最终用户和Frame Workload VM之间的FRP8会话流量。
环境将需要以下内容:
- 通配符DNS记录,可以通过
*.sga.company.com通配符FQDN到防火墙上的公共IP地址(“ SGA Farm虚拟公共IP地址”) - 负载平衡器上的一个私人IP地址(“ SGA Farm虚拟私有IP地址”,上图中的“ LBVIP”指出)
- SGA Farm虚拟公共IP地址网络地址(NAT)转换为负载平衡器上的SGA Farm虚拟私人IP地址(LBVIP)。
- 负载平衡器配置为:
- 分配入站
TCP/443(HTTPS,WSS)请求SGA VM池中的特定SGA VM。 - 终止分配的SGA VM上的TLS连接,而不是负载平衡器(SSL PassThrough)。
- 使用SSL持久性(SSL会话ID)在特定的SGA VM上持久持续HTTPS/WSS框架会话。
- 分配入站
- 每个SGA VM都有它自己的公共IP地址映射到SGA VM的私有IP地址(目标网络地址转换-DNAT)。加载平衡器将SGA VM分配给最终用户以启动其frp8会话,frp8
UDP/3478和TCP/3478(可选的)从最终用户的设备到特定SGA VM(反之亦然)的流量不会通过负载平衡器。 - 对于每个SGA VM,进入SGA VM的入口流量的目标公共IP地址与从SGA VM到Internet的出口流量的源IP地址相同。每个SGA VM的出口流量都不能被源网络地址(SNAT)转换为不同的公共IP地址。
- 每个SGA VM将使用FRP8流量转发到用户的分配帧工作负载VM
UDP/4503-4509。
客户必须确保载荷平衡器仅在入口上负载余额TCP/443(HTTPS)流量。负载平衡器不得加载余额入口UDP/3478要么TCP/3478FRP8流量从最终用户的设备到负载平衡器分配的SGA VM。
典型的FRP8工作流程
框架用户登录到帧平台,并直接使用其启动板。当用户在其启动板中单击桌面或应用程序图标时,Frax Platform将用户的浏览器定向基于SGA子域的FQDN,该框架由Nutanix Frame Support配置为框架帐户。
例如,如果子域是sga.company.comWorkload VM具有一个私人IP地址10.2.1.3,工作量FQDN将是10-2-1-3.sga.company.com。此工作负载FQDN从客户的公共DNS服务器解析到客户的防火墙上的公共IP地址。防火墙执行NAT并将请求发送到虚拟SGA IP地址(LBVIP)。其中一个负载平衡器接收到HTTPS请求,并将请求转发给SGA VM之一。
SGA VM响应用户的HTTPS请求,并使用HTTPS响应指定了公共IP地址用户的浏览器或框架应用程序必须使用以继续FRP8会话。SGA VM公共IP地址是由SGA VM通过WEBRTC Stun请求(UDP/3478)获得的,以控制平面端点stun.console.nutanix.com。
用户的浏览器或帧应用程序使用提供的公共IP地址直接与特定的SGA VM通信UDP/3478(要么TCP/3478如果由管理员配置)。然后,SGA VM将FRP8流量转发到用户分配的帧工作负载VMUDP/4503-4509。Workload VM上的帧代理验证了会话开始请求,并开始“框架”会话视频/音频流。
SGA VM尺寸
对于手动部署SGA VM(客户管理的网络)的客户,客户应从每个SGA VM的配置开始:
- 2 VCPU
- 4 GB RAM
此配置可确保VM可以支持左右远程协议数据的〜1 Gbps带宽。Nutanix建议每2 VCPU的尺寸目标为500 Mbps,以使用户可以破坏其带宽消耗。
每2个VCPU预算的500 Mbps带宽的并发用户总数取决于框架会话的带宽。可以根据用户工作负载配置文件估算带宽消耗:
- 办公生产率应用程序,仅CPU的VM,30 fps,2K或更少的监视器的每个框架1 Mbps会话
- 每架CAD应用程序,GPU支持的VM,最多60 fps,2K或更少的监视器
- 每帧或更高的每个框架会话,用于视频编辑/动画/持续播放,GPU支持的VM,最多60 fps,2k或更少的监视器
例如,在办公生产率用例中,例如,仅使用CPU的VM与标准的1920 x 1080显示器一起使用,默认值(2 VCPU,4 GB RAM)VM配置可以支持500个并发用户。对于1,000名并发用户,同一组织将需要至少利用4个VCPU,8 GB RAM VM。8个VCPU,16 GB RAM VM可以为此用例支持2,000个并发用户。
在负载均衡器后面部署SGA VM的客户可以逐步添加SGA VM,因为它们的框架带宽消耗量增加。
内部访问SGA启用工作负载
框架管理员可能希望其专用网络中的最终用户在Internet上的用户在同一帧帐户中访问工作负载的同时访问启用SGA框架帐户的工作负载。当将帧帐户配置为依赖SGA时,帧控制平面为SGA FQDN提供了使用帧帐户中使用Workload VM的所有最终用户。
要使您的专用网络上的最终用户使用启用SGA的框架帐户,请确定内部网络上的最终用户是否能够转到与SGA的通配符FQDN关联的公共IP地址。如果您的内部最终用户无法到达SGA的通配符FQDN的公共IP地址,请配置您的内部DNS服务器以返回SGA VM的私有IP地址(或负载均衡器上SGA的虚拟私有IP地址)对于SGA子域。只需将SGA子域作为通配符DNS在私人DNS服务器中的记录,就像您在公共DNS服务器中一样。
根据您的网络安全策略,您可能需要更新防火墙规则,以便您的专用网络上的最终用户可以到达SGA VM。请参阅网络配置要求带有私人网络和SGA的公共云, 要么Nutanix AHV带有私人网络和SGA,对于必须允许到SGA VM或负载平衡器的特定协议和端口(如果超过一个SGA VM)的“最终用户到SGA”。最终用户端点的源IP地址将是私有IP地址,而不是公共IP地址。
多帧帐户支持
可以将手动部署的SGA配置为多个帧帐户的反向代理。
在SGA工具箱中提供帧工作负载时,指定涵盖单个帧帐户CIDR的CIDR值。例如,如果帧帐户#1使用10.0.0.0/24和框架帐户#2用户10.0.1.0/24,则为SGA指定10.0.0.0/23的CIDR。