Virtuelles Windows Azure-Netzwerk: Jetzt einfacher und kostengünstiger zu verwenden

Letztes Jahr schrieb ich über virtuelle Azure-Netzwerke und erklärte, wie diese Technologie Ihr Unternehmensnetzwerk oder Ihre private Cloud auf Windows Azure erweitert, was ich Bring Your Own Network (BYON) nannte. In den letzten fünfzehn Monaten hat Microsoft den ursprünglichen Vorschaudienst in den Produktionsstatus versetzt und für das virtuelle private Netzwerk (VPN) von Standort zu Standort einen Basispreis von etwas mehr als einem Dollar pro Tag berechnet.

Es wurden auch neue Funktionen veröffentlicht, die die Verwendung von Azure-VPNs einfacher und billiger machen. Sie können den lokalen Azure VPN-Endpunkt jetzt auf einem Windows Server 2012-Computer oder einer virtuellen Maschine (VM) bereitstellen. Bisher wurden nur bestimmte Hardware-Endpunkte unterstützt. Ein neuer Point-to-Site-VPN-Modus hält auch einzelne Computer außerhalb von Windows Azure, einschließlich Roaming-Mitarbeitern, die ebenfalls mit dem virtuellen Azure-Unternehmensnetzwerk verbunden sind.

Windows RRAS als Azure-Gateway

Ein Hindernis für die Verwendung von Azure Virtual Network in der ersten Vorschau-Version bestand darin, dass Microsoft von Ihrem VPN-Endpunkt ein Hardwaregerät (vom Typ Router oder Firewall) von Cisco oder Juniper verlangte. Wenn Sie nicht bereits am Netzwerkrand in diese Hardwareanbieter investiert waren, konnten Sie nicht an der Vorschau des virtuellen Azure-Netzwerks teilnehmen, ohne neue Hardware zu erwerben.

Schließlich hat Microsoft Support- und Konfigurationstools für die eigene Software-Netzwerkplattform bereitgestellt: den in Windows Server integrierten Routing- und RAS-Dienst (RRAS). Mithilfe einer Standard-Windows-Serverplattform können Unternehmen mit sehr geringen oder keinen neuen Infrastrukturkosten auf Windows Azure hochfahren.

Verwenden von RRAS zum Herstellen einer Verbindung mit Windows Azure

Eine sehr kostengünstige Möglichkeit, eine Verbindung zum virtuellen Azure-Netzwerk herzustellen, besteht darin, eine virtuelle Windows Server 2012-Maschine (VM) bereitzustellen, auf der RRAS am Internetrand ausgeführt wird. Abbildung A zeigt, wie Sie eine VM mit dem Internet verbinden können, ohne das Host-Betriebssystem einer direkten Internetverbindung auszusetzen. In Abbildung A befindet sich auf der linken Seite das private Netzwerk, das über Azure S2S VPN mit Windows Azure oben im Diagramm verbunden ist. Beachten Sie, dass der Internet-Switch nur mit dem RRAS-Computer verbunden ist und nicht dem Host oder anderen Gast-VMs präsentiert wird.

Abbildung A.

Stellen Sie eine VM wirtschaftlich als Azure Virtual Network-Endpunkt bereit.

Nachdem Sie Ihr S2S-VPN im Windows Azure-Verwaltungsportal konfiguriert haben, kann ein benutzerdefiniertes PowerShell-Skript direkt heruntergeladen und auf dem Windows-Computer ausgeführt werden, um alle erforderlichen Konfigurationen durchzuführen. Abbildung B zeigt das vollständige Skript, das die RRAS-Rolle bereitstellt und die Azure S2S-Verbindung in nur 10 Codezeilen konfiguriert.

Abbildung B.

Dieses Skript ist angepasst und kann ausgeführt werden. Laden Sie es einfach vom Windows Azure-Kundenportal herunter.

Abbildung C zeigt, wie ein Azure VPN-Endpunkt auf einem Windows Server 2012-Computer ausgeführt wird. Dies ist die RRAS-Konsole und ein Detail der Registerkarte Sicherheit der VPN S2S-Verbindungseigenschaften.

Abbildung C.

Die RRAS-Konsole unter Windows Server ist Ihr Azure Virtual Network-Gateway.

Ein Vorteil der Verwendung von RRAS für Ihren Endpunkt besteht darin, dass Sie den Netzwerkbandbreitenverbrauch in und außerhalb von Windows Azure einfacher im Auge behalten können. Sie zahlen nur Microsoft-Netzwerkgebühren für Downloads von Azure (Ingress oder Uploads zu Azure sind kostenlos). Sie können Windows-Leistungsindikatoren proaktiv auf die von der VPN-Verbindung verwendeten Download-Bytes überwachen. Abbildung D zeigt den Windows-Leistungsmonitor, der für den Zähler für empfangene Bytes auf der S2S-VPN-Verbindung zum virtuellen Windows Azure-Netzwerk in RRAS ausgeführt wird.

Abbildung D.

Behalten Sie die kostenpflichtigen Downloadkosten für Azure Virtual Network mithilfe von Windows Performance Monitor im Auge.

Neues Azure Point to Site-VPN

Wenn Sie ein virtuelles Azure-Netzwerk einrichten, können Sie entweder den zuvor freigegebenen Site-to-Site-Modus (S2S) und / oder den neuen Point-to-Site-Modus (P2S) aktivieren. Wenn Sie zunächst nur eine S2S-Präsenz einrichten, können Sie später auch den P2S-Modus ohne Neukonfiguration aktivieren. Das Aktivieren des P2S-Modus umfasst die folgenden allgemeinen Schritte:

  1. Definieren Sie den Adressblock, der von Azure P2S-Clients verwendet werden soll. Der Standardwert ist 172.16.0.0/16. Wenn Sie dieses Subnetz jedoch bereits in einer lokalen Netzwerkdefinition verwenden, kann das Subnetz 173.0.0.0 als alternatives VPN P2S-Client-Netzwerk verwendet werden.
  2. Erstellen Sie ein dynamisches Routing-Gateway (dies wurde möglicherweise bereits durchgeführt, wenn Sie zuvor den S2S-Modus aktiviert haben).
  3. Generieren Sie mit makecert.exe und Microsoft Visual Studio ein selbstsigniertes Root- und Client-Zertifikat.
  4. Exportieren Sie die Zertifikate, laden Sie das Stammzertifikat in Windows Azure hoch und installieren Sie die Clientzertifikate auf Computern, die über P2S verbunden werden sollen.
  5. Generieren Sie das VPN-Clientpaket und laden Sie es vom Azure-Verwaltungsportal herunter.
  6. Installieren Sie das VPN-Client-Paket auf den zu verbindenden Computern. Für diese Betriebssysteme sind Client-Pakete verfügbar:
  • Windows 7 (32-Bit und 64-Bit)
  • Windows Server 2008 R2 (nur 64-Bit)
  • Windows 8 (32-Bit und 64-Bit)
  • Windows Server 2012 (nur 64-Bit)

Nach dem Ausführen dieser Schritte verfügen die zu verbindenden Computer über VPN-Verbindungsobjekte für Azure P2S VPN. Verbinden Sie das VPN bei Bedarf wie bei einem herkömmlichen Client-VPN. Die Computer haben jetzt gerouteten Netzwerkzugriff auf die VMs im virtuellen Azure-Netzwerk.


© Copyright 2020 | mobilegn.com