虚拟桌面网络隔离方案

Posted VMware中国

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了虚拟桌面网络隔离方案相关的知识,希望对你有一定的参考价值。


在传统的桌面方案中,在网络隔离方面大多使用物理隔离(如隔离卡方案、双PC模式)以及逻辑隔离(如基于ACL/VLAN的网络规则和策略)来实现网络的隔离。


此外,也可以借此如网络准入操作(简称NAC)的方式来实现强制的客户端接入网络时自动隔离,NAC的方式支持多种模式:

基于802.1x(与网络交换机联动,当发现用户终端不符合安全策略时将用户终端隔离到特定VLAN)。
基于网关模式的NAC(如VPN模式,当NAC设备放在用户需要访问的服务器的前端(如公司内网门户),用户访问后端服务时,客户的流量因为需要经过NAC设备,所以可以强制用户的设备做安全检查)。
基于DHCP的NAC(这种方式比较容易跳过,只要机器不使用DHCP指定IP地址,DHCP 的NAC即不能工作)。


目前,桌面虚拟化技术路线上主要包括集中式的VDI模式以及分布式的桌面模式(如Horizon Flex,可以理解为VDI@PC模式)。这两种技术其实都可以实现桌面的网络隔离。


虚拟桌面网络隔离方案

在集中式的VDI中,用户设备通过远程桌面协议(如Blast,PCoIP,RDP,ICA等)访问到数据中心端的虚拟桌面,本身在网络协议层面上就已经实现了隔离。很多单用户多桌面的环境里,一个用户可能需要同时访问如办公、开发、互联网等多个网络的桌面,那么在数据中心后端实现网络的隔离就可以满足网络安全的要求。目前的数据中心端的网络隔离方案主要包括物理隔离(主要在政府、金融等有强制的法规要求的行业,即部署多套网络、多套网络设备等),以及通过逻辑网络隔离( 同一套物理网络,但是基于交换机的VLAN/ACL,或者网络虚拟化技术如VMware NSX来逻辑隔离网络)。


虚拟桌面网络隔离方案

在分布式的VDI@PC模式中,本地虚拟桌面的运算方式与集中式的VDI有很大的不同,在VDI@PC模式中,所有的计算均在用户PC端完成(与VMware Workstation技术类似),得益于近年来笔记本性能的提升,特别是SSD的普及,在用户端的笔记本上运行虚拟机已经不是问题。如笔者使用的笔记本为Apple Macbook Air,CPU为Intel i5 1.4GHz,内存为8G,SSD为128G,在这样的笔记本上,可以同时运行多个虚拟机而不影响我的操作体验。


在分布式的VDI@PC模式中,因为所有的计算、存储都在本地设备上实现。网络连接上也是如此,Horizon Flex可以实现数据的安全策略管理(如USB禁用、复制粘贴板禁用等),其实在网络上除了大家熟悉的桥接、NAT、Host模式之外,也可以借助VPN的功能来实现网络的隔离。

虚拟桌面网络隔离方案


通过数据安全策略、虚拟机加密、网络隔离策略三方面的配合使用,VDI@PC模式在安全性可以满足大部分客户的需求(当然,我也发现一些已经用了VDI,而且已经稳定使用多年的客户,对于VDI@PC模式存在偏见和质疑的,不过我相信时间可以解决这个问题)。

虚拟桌面网络隔离方案

关于更多关于虚拟桌面网络隔离技术的详细介绍,大家可以点击下方“阅读原文”进行下载35页的PPT了解更多内容。




V记云科技联盟


官方微信
  • VMware中国

  • VMware中国研发中心

  • VMware招聘

联盟成员
  • 乐生活与爱IT(love_life_and_IT)

    软件定义存储与虚拟化

    叶毓睿 VMware存储架构师


  • 亨利笔记(henglibiji)

    容器和云原生应用

    张海宁,研发中心首席架构师

  • 最终用户计算(CHINAEUC)

    桌面与应用虚拟化

    吴孔辉,VMware架构师


  • 疯云时代(crazycloudtime)

    基础架构和应用服务

    臧铁军,VMware架构师


  • IT那些事儿(IT-Review)

    尤贵贤,资深技术顾问

以上是关于虚拟桌面网络隔离方案的主要内容,如果未能解决你的问题,请参考以下文章

桌面虚拟化介绍

vmware虚拟桌面虚拟机所有服务停止

什么是应用虚拟化?

如何实现虚拟化环境下的跨网文件交换?

Citrix 桌面虚拟化解决方案与VMware桌面虚拟化解决方案对比

桌面虚拟化之3D虚拟化解决方案之小结