虚拟桌面网络隔离方案

Posted 2021-05-02 VMware中国

在传统的桌面方案中，在网络隔离方面大多使用物理隔离（如隔离卡方案、双PC模式）以及逻辑隔离（如基于ACL/VLAN的网络规则和策略）来实现网络的隔离。

此外，也可以借此如网络准入操作（简称NAC）的方式来实现强制的客户端接入网络时自动隔离，NAC的方式支持多种模式：

基于802.1x(与网络交换机联动，当发现用户终端不符合安全策略时将用户终端隔离到特定VLAN)。

基于网关模式的NAC(如VPN模式，当NAC设备放在用户需要访问的服务器的前端（如公司内网门户），用户访问后端服务时，客户的流量因为需要经过NAC设备，所以可以强制用户的设备做安全检查)。

基于DHCP的NAC（这种方式比较容易跳过，只要机器不使用DHCP指定IP地址，DHCP 的NAC即不能工作）。

目前，桌面虚拟化技术路线上主要包括集中式的VDI模式以及分布式的桌面模式（如Horizon Flex,可以理解为VDI@PC模式）。这两种技术其实都可以实现桌面的网络隔离。

在集中式的VDI中，用户设备通过远程桌面协议（如Blast,PCoIP,RDP,ICA等）访问到数据中心端的虚拟桌面，本身在网络协议层面上就已经实现了隔离。很多单用户多桌面的环境里，一个用户可能需要同时访问如办公、开发、互联网等多个网络的桌面，那么在数据中心后端实现网络的隔离就可以满足网络安全的要求。目前的数据中心端的网络隔离方案主要包括物理隔离（主要在政府、金融等有强制的法规要求的行业，即部署多套网络、多套网络设备等），以及通过逻辑网络隔离（ 同一套物理网络，但是基于交换机的VLAN/ACL，或者网络虚拟化技术如VMware NSX来逻辑隔离网络）。

在分布式的VDI@PC模式中，本地虚拟桌面的运算方式与集中式的VDI有很大的不同，在VDI@PC模式中，所有的计算均在用户PC端完成（与VMware Workstation技术类似），得益于近年来笔记本性能的提升，特别是SSD的普及，在用户端的笔记本上运行虚拟机已经不是问题。如笔者使用的笔记本为Apple Macbook Air，CPU为Intel i5 1.4GHz,内存为8G，SSD为128G，在这样的笔记本上，可以同时运行多个虚拟机而不影响我的操作体验。

在分布式的VDI@PC模式中，因为所有的计算、存储都在本地设备上实现。网络连接上也是如此，Horizon Flex可以实现数据的安全策略管理（如USB禁用、复制粘贴板禁用等），其实在网络上除了大家熟悉的桥接、NAT、Host模式之外，也可以借助VPN的功能来实现网络的隔离。

通过数据安全策略、虚拟机加密、网络隔离策略三方面的配合使用，VDI@PC模式在安全性可以满足大部分客户的需求（当然，我也发现一些已经用了VDI，而且已经稳定使用多年的客户，对于VDI@PC模式存在偏见和质疑的，不过我相信时间可以解决这个问题）。

关于更多关于虚拟桌面网络隔离技术的详细介绍，大家可以点击下方“阅读原文”进行下载35页的PPT了解更多内容。

V记云科技联盟

官方微信

• VMware中国

• VMware中国研发中心

• VMware招聘

联盟成员

• 乐生活与爱IT（love_life_and_IT）

  软件定义存储与虚拟化

  叶毓睿 VMware存储架构师

• 亨利笔记（henglibiji）

  容器和云原生应用

  张海宁，研发中心首席架构师

• 最终用户计算（CHINAEUC）

  桌面与应用虚拟化

  吴孔辉，VMware架构师

  
  

• 疯云时代（crazycloudtime）

  基础架构和应用服务

  臧铁军，VMware架构师

  
  

• IT那些事儿（IT-Review）

  尤贵贤，资深技术顾问