Назад | Перейти на главную страницу

Является ли AWS ELB жизнеспособной заменой RDGW?

tl; dr

Является ли Amazon Web Services Elastic Load Balancer жизнеспособной заменой шлюза удаленных рабочих столов?

достаточно короткий; прочитал

В настоящее время мой клиент использует шлюз удаленного рабочего стола примерно с 10 серверами удаленного рабочего стола. Сейчас мы переносим их на AWS. И я хотел бы использовать AWS Elastic Load Balancer из-за меньшей стоимости и улучшенной функциональности. Я успешно создал среду удаленного рабочего стола за ELB, сбалансировав порт 3389.

Несмотря на это, мои знания о RDGW невелики, и, чтобы избежать каких-либо ошибок, я подумал, что было бы неплохо проконсультироваться с сообществом.

Меня беспокоит:

  1. При потере соединения из сеанса сможет ли пользователь снова войти на тот же сервер?
  2. Будет ли пользователь случайным образом переведен на другой сервер?
  3. Я упустил из виду очевидный факт, из-за которого меня уволят, когда мы запустим систему в производство.

Уже два года веду ELB как RDGW ...

Во-первых, работает *

* Оно работает достаточно

  • + Пользователи могут входить в систему через ELB и использовать серверы должным образом
  • + У нас не было внезапной или неожиданной потери связи
  • - Отключенные сеансы не восстанавливаются на тот же сервер

Я знаю, что это довольно старый пост, но я искал балансировка нагрузки удаленного рабочего стола на AWS и наткнулся на это. Лично я предпочитаю НЕ использовать шлюз удаленных рабочих столов и просто придерживаться простого старого брокера сеансов с балансировщиком нагрузки перед ним для обеспечения высокой доступности). Вы всегда можете использовать VPN для дополнительной безопасности.

IMHO, использование AWS Elastic Load Balancer не является жизнеспособной заменой для шлюза удаленных рабочих столов - или просто для обеспечения безопасности инфраструктуры в серверной подсети и предоставления доступа к этой подсети только с учетными данными.

Я понятия не имею, как выглядит ваша среда, но я могу сказать, основываясь на опыте, что использование ELB значительно расширит вашу поверхность атаки. Хотя вы можете заблокировать с помощью группы безопасности, это только одна часть головоломки.

Я предлагаю взглянуть на пару устройств на AWS Marketplace - первое из них: Xceedium (вероятно, избыточный, но все же проверьте это), Sophos UTM (позволяет туннелирование VPN и имеет специальный портал, такой как Xceedium, где вы можете создавать роли, добавлять пользователей этим ролям и назначить этим пользователям доступ к определенным серверам / приложениям.

В качестве бесплатного (и отличного) решения я предлагаю Гуакамоле: http://guac-dev.org/