虚拟桌面网络隔离方案
Posted VMware中国
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了虚拟桌面网络隔离方案相关的知识,希望对你有一定的参考价值。
在传统的桌面方案中,在网络隔离方面大多使用物理隔离(如隔离卡方案、双PC模式)以及逻辑隔离(如基于ACL/VLAN的网络规则和策略)来实现网络的隔离。
此外,也可以借此如网络准入操作(简称NAC)的方式来实现强制的客户端接入网络时自动隔离,NAC的方式支持多种模式:
目前,桌面虚拟化技术路线上主要包括集中式的VDI模式以及分布式的桌面模式(如Horizon Flex,可以理解为VDI@PC模式)。这两种技术其实都可以实现桌面的网络隔离。
在集中式的VDI中,用户设备通过远程桌面协议(如Blast,PCoIP,RDP,ICA等)访问到数据中心端的虚拟桌面,本身在网络协议层面上就已经实现了隔离。很多单用户多桌面的环境里,一个用户可能需要同时访问如办公、开发、互联网等多个网络的桌面,那么在数据中心后端实现网络的隔离就可以满足网络安全的要求。目前的数据中心端的网络隔离方案主要包括物理隔离(主要在政府、金融等有强制的法规要求的行业,即部署多套网络、多套网络设备等),以及通过逻辑网络隔离( 同一套物理网络,但是基于交换机的VLAN/ACL,或者网络虚拟化技术如VMware NSX来逻辑隔离网络)。
在分布式的VDI@PC模式中,本地虚拟桌面的运算方式与集中式的VDI有很大的不同,在VDI@PC模式中,所有的计算均在用户PC端完成(与VMware Workstation技术类似),得益于近年来笔记本性能的提升,特别是SSD的普及,在用户端的笔记本上运行虚拟机已经不是问题。如笔者使用的笔记本为Apple Macbook Air,CPU为Intel i5 1.4GHz,内存为8G,SSD为128G,在这样的笔记本上,可以同时运行多个虚拟机而不影响我的操作体验。
在分布式的VDI@PC模式中,因为所有的计算、存储都在本地设备上实现。网络连接上也是如此,Horizon Flex可以实现数据的安全策略管理(如USB禁用、复制粘贴板禁用等),其实在网络上除了大家熟悉的桥接、NAT、Host模式之外,也可以借助VPN的功能来实现网络的隔离。
通过数据安全策略、虚拟机加密、网络隔离策略三方面的配合使用,VDI@PC模式在安全性可以满足大部分客户的需求(当然,我也发现一些已经用了VDI,而且已经稳定使用多年的客户,对于VDI@PC模式存在偏见和质疑的,不过我相信时间可以解决这个问题)。
关于更多关于虚拟桌面网络隔离技术的详细介绍,大家可以点击下方“阅读原文”进行下载35页的PPT了解更多内容。
VMware中国
VMware中国研发中心
-
VMware招聘
乐生活与爱IT(love_life_and_IT)
软件定义存储与虚拟化
叶毓睿 VMware存储架构师
亨利笔记(henglibiji)
容器和云原生应用
张海宁,研发中心首席架构师
最终用户计算(CHINAEUC)
桌面与应用虚拟化
吴孔辉,VMware架构师
疯云时代(crazycloudtime)
基础架构和应用服务
臧铁军,VMware架构师
IT那些事儿(IT-Review)
尤贵贤,资深技术顾问
以上是关于虚拟桌面网络隔离方案的主要内容,如果未能解决你的问题,请参考以下文章