桌面虛擬化 之七網路設計

2021-09-04 16:10:02 字數 3296 閱讀 3261

桌面虛擬化的網路設計涉及很多考慮因素,比如從內網訪問還遠端訪問,與loadbalancer的整合,防火牆,虛擬交換機,網路頻寬等很多方面。

例項:

假設乙個客戶需求大致如下:

·滿足使用者隨時隨地訪問虛擬桌面,無論是通過公司內網還是internet

·設計需要符合公司的安全策略,比如保證通過internet訪問的安全性

·高可用性。公司已經使用了f5  load balancer

·盡量實現網路隔離

一     network architecture綜述

針對以上需求,下圖描述了乙個相對完善的vdi網路框架。每個方框代表了從網路角度邏輯劃分的模組,左上角黃色方塊內標註了每個模組的序號。設計這些不同的網路是為了保證安全隔離和效能。

下面分別解釋每個模組。某些模組在小型的vdi專案中可以整合在一起,而無需單獨分開。根據具體專案需求,某些模組不是必要的。

dmz網路

模組1連線此網路。

如果使用者是從internet訪問桌面,為保證安全性,通常有下面幾種個選擇。

一採用***方案來連線到vdi,比如ipsec 或者 ssl ***

二採用 viewsecurity server.  將rdp封裝在https內

三採用以上兩種混合的方式,比如對於某些人員只需要在短期內訪問桌面,使用securityserver. 而對於長期的使用者,採用完善的***方案。

下圖介紹了方案二採用securityserver的情形。securityserver 和loadbalancer置於dmz內。

每個securityserver都有與其對應的connectionserver。

注意在本例中loadbalancer採用ssloffload的方式。這也是通常使用的一種方式。

這意味著ssl會在抵達load balancer後終止,load balancer對view security server發起http請求,而不是https。

這麼設計的原因是,通常在loadbalancer和viewsecurity之間的網路是在資料中心內部,是可以信任。另外這樣可以減輕viewsecurity server用於處理ssl的負荷。

production network  for viewinstance

模組2和模組6連線此網路。

模組2包括view  connection server, composer, 檔案伺服器等

模組6包括view所依賴的一些服務,比如ad,dhcp,dns,ntp等等

production network  for  vdi desktop

模組4連線此網路。

這是為桌面特定設計的專屬網路。有效的與server所處的網路進行隔離。

vdi management network

模組3和5連線此網路

用於vcenter以及esxi主機的management network.

相關設計決定

tunnel mode vs direct mode

tunnel mode:

也稱作proxy mode.   view client需要通過view security/connection server來與虛擬桌面建立連線。一旦view security/connectionserver中斷服務,已經與桌面建立連線立即中斷。同時也無法建立新的連線

tunnel mode是通過把rdp封裝在http/https內來實現的。

好處:

更嚴格的訪問控制

網路優化裝置可以優化http/https,從而節省頻寬。

缺點:

view security/connectionserver增加負荷來處理ssl

因為rdp封裝在http/https內,不容易與其他的http/https通訊區分開來

僅支援rdp,不支援pcoip

direct mode

:view client直接與虛擬桌面建立連線。一旦view security/connectionserver中斷服務,不影響已經建立的連線。但是無法建立新的連線。因為新的連線需要security/connectserver的參與。

優缺點與tunnelmode恰好相反。

latency是影響使用者體驗的乙個重要因素。一般建議適合vdi的網路latency在200 ms以內。某些應用對latency很敏感,需要充分驗證已有網路環境是否滿足。

vmware view planner

pcoip bandwidth calculator

如果你進行前期的proofof concept, 應當檢測vdi占用網路頻寬。主要是pcoip udp占用的。

如果客戶已經有wanoptimization,可以考慮優化vdi占用的頻寬。比如

也可以考慮實施qos。當然要優先企業的關鍵應用和latency sensitive的應用,比如voip.  下圖僅供參考

以下是採用單個vip(virtual ip  address)

還是多個vip的比較。

在採用多個vip的情況下,每個view security/connection server都分別對應各自的vip和external  url

參考:

network considerations and bestpractices

桌面虛擬化 之七網路設計

桌面虛擬化的網路設計涉及很多考慮因素,比如從內網訪問還遠端訪問,與loadbalancer的整合,防火牆,虛擬交換機,網路頻寬等很多方面。例項 假設乙個客戶需求大致如下 滿足使用者隨時隨地訪問虛擬桌面,無論是通過公司內網還是internet 設計需要符合公司的安全策略,比如保證通過internet訪...

桌面虛擬化 之七網路設計

桌面虛擬化的網路設計涉及很多考慮因素,比如從內網訪問還遠端訪問,與loadbalancer的整合,防火牆,虛擬交換機,網路頻寬等很多方面。例項 假設乙個客戶需求大致如下 滿足使用者隨時隨地訪問虛擬桌面,無論是通過公司內網還是internet 設計需要符合公司的安全策略,比如保證通過internet訪...

桌面虛擬化 之四設計方法

桌面虛擬化專案相對涉及的方面較多,遵循合理的設計方法,能讓你考慮到影響方案質量的眾多重要因素,制定適當的專案計畫,並和相關人員展開有效的討論。下面的七個步驟,希望能讓你事半功倍。一深入了解動機和公司戰略 在使用者對桌面虛擬化有興趣的時候,我往往問的第乙個問題就是,是什麼因素促使你對此感興趣?可能回答...