BYON in die öffentliche Cloud mit Azure Virtual Networks

Mit Microsoft können Sie Ihr eigenes Netzwerk (BYON) in Windows Azure integrieren. Sie können Ihr lokales Netzwerk (LAN) mit Azure verbinden und eine unbegrenzte Anzahl von Computern in Ihren Unternehmensnetzwerken kann nahtlos mit VMs in Azure kommunizieren. Sie können private Netzwerkbereiche (z. B. 192.168.xx und 10.xxx) in einem beliebigen Bereich, einer beliebigen Größe und einer beliebigen Startnummer angeben, um sie an Ihre vorhandene Netzwerktopologie anzupassen. Erstellen Sie einfach eine Route zu Azure zusammen mit Ihren anderen IPSEC-Tunnelverbindungen für Zweigstellen, Remote-Büros, DR-Standorte und Partner.

Wenn Sie bereits IPSEC-Tunnel verwenden, um eine Verbindung über das Internet herzustellen, ist dies eine bekannte Technologie. Das Erstaunliche ist, wie einfach die Einrichtung ist, wenn Sie die Konzepte des virtuellen Azure-Netzwerks verstanden haben. Die einfache Konfiguration und Bereitstellung des virtuellen Netzwerks (auf der Azure-Seite) war eine schnelle und ansprechende Erfahrung, genau wie die Bereitstellung der Azure IaaS-VM. Zwei wichtige Tests wurden bestanden: (1) Auf einem unterstützten VPN-Hardware-Endpunkt funktionierte Azure Virtual Network beim ersten Versuch und (2) die Azure IaaS-VM konnte sofort der lokalen Active Directory-Domäne beitreten.

Azure Virtual Network passt in die öffentliche Cloud

In früheren Artikeln wurde die Bereitstellung einer virtuellen Maschine der Azure IaaS-Klasse (Infrastructure as a Service) in weniger als 15 Minuten sowie die Erfahrung der Metro-UI bei der Überwachung der neuen IaaS-VM über das Azure-Verwaltungsportal behandelt. Die öffentliche Cloud-Plattform von Microsoft, Windows Azure, verfügt über zwei vorhandene Netzwerkfunktionen: Windows Azure Connect und Traffic Manager. Traffic Manager verteilt den eingehenden Datenverkehr auf mehrere gehostete Windows Azure-Dienste. Windows Azure Connect ist eine Punkt-VPN-Lösung, die einen Computer mit einem Azure-Computer verbindet.

Dieser Artikel behandelt den neuen Dienst für virtuelle Netzwerke (siehe Abbildung A ), mit dem Sie virtuelle private Netzwerke (VPNs) in Windows Azure bereitstellen und verwalten sowie diese sicher mit der lokalen IT-Infrastruktur verknüpfen können. Mit Virtual Network erweitern Sie lokale Netzwerke in die Cloud und steuern die Netzwerktopologie, einschließlich der Konfiguration von DNS- und IP-Adressbereichen für VMs. Hier geht es darum, Ihr Netzwerk in Azure zu skalieren oder Infrastrukturrollen nach Belieben in Azure zu verschieben.

Abbildung A.

Azure Virtual Network Dashboard im Azure-Verwaltungsportal. (Klicken Sie, um die Bilder zu vergrößern.)

Die aufregende Neuigkeit ist, dass Sie mit Azure Virtual Network die vertraute VPN-Tunneltechnologie von Standort zu Standort verwenden können, um die Kapazität Ihres lokalen oder privaten Cloud-Rechenzentrums sicher auf die öffentliche Cloud auszudehnen. Hinter dem VPN-Gateway können dann beliebig viele Computer mit den Computern in Azure kommunizieren. Hybride Cloud-Szenarien werden sofort und sauber aktiviert, ohne dass Software in Ihrer Umgebung bereitgestellt und private Netzwerknummern verwendet werden, die Sie zuweisen, um im Einklang mit Ihren vorhandenen LAN-, WAN- und VPN-Netzwerken zu arbeiten.

Azure Virtual Network-Architektur

Das Einrichten des virtuellen Netzwerks im Azure-Verwaltungsportal war ein Kinderspiel, sobald das zugrunde liegende Routing-Schema (dh das Netzwerk und die Subnetze) verstanden wurde. Abbildung B fasst zusammen, wie Sie Ihr virtuelles Azure-Netzwerk auswählen und subnetzieren müssen. Links in Abbildung B befindet sich Ihr vorhandenes LAN. An Ihrem Standort haben Sie einen unterstützten Hardware-IPSEC-VPN-Endpunkt. Der IPSEC-Tunnel endet an der Azure-Firewall in einem Gateway-Subnetz, das ein Subnetz des von Ihnen ausgewählten virtuellen Azure-Netzwerks ist.

Abbildung B.

Zu den virtuellen Azure-Netzwerkkonzepten gehören ein Gateway und ein Server-Subnetz.

Mit anderen Worten, wenn Sie Ihr virtuelles Azure-Netzwerk einrichten, wählen Sie in Azure einen größeren Netzwerkbereich aus, als Sie für Ihre IaaS-VMs benötigen, und erstellen dann ein Subnetz zur Verwendung als "Gateway-Subnetz". Azure stellt Ihre VMs in einem bereit Zusätzliches Subnetz, das Sie für Server angeben. IaaS-VMs erhalten Adressen über DHCP im von Ihnen angegebenen Bereich "Server-Subnetz".

Ein weiteres Schlüsselkonzept besteht darin, dass Sie ein virtuelles Netzwerk in Azure definieren und dann VMs darin bereitstellen. Auf diese Weise erhalten VMs die richtige Adressierung. Sie können die Netzwerkeinstellungen nicht ändern, wenn VMs im Netzwerk bereitgestellt werden. Um das virtuelle Netzwerk zu ändern (außer um Subnetze hinzuzufügen), müssen Sie die VMs herunterfahren und sie erneut im neuen virtuellen Netzwerk bereitstellen.

BYON okay, aber BYOND beschränkt sich auf ein paar Modelle

Mit Azure können Sie Ihr eigenes Netzwerkgerät (BYOND) nur mitbringen, wenn es sich in einer kurzen Liste der unterstützten Hardware-Endpunkte befindet. Abbildung C zeigt oben einen Cisco ISR-Router und unten einen Juniper-Mehrzweckrouter. In der Azure Virtual Network-Testversion werden nur bestimmte Gerätemodelle dieser beiden Anbieter unterstützt. Microsoft bietet detaillierte Konfigurationsanweisungen für diese Modelle und keine Hilfe für den IPSEC-Endpunkt eines anderen Anbieters, auch nicht für Microsoft-eigene TMG / ISA-Firewall-Produkte.

Abbildung C.

Für den Zugriff auf Azure VPN sind bestimmte Hardwaregeräte von Cisco und Juniper erforderlich.

Ich habe zuerst versucht, Azure Virtual Network mithilfe der Microsoft-eigenen Software-Firewall Threat Management Gateway (TMG 2010) zum Laufen zu bringen. Plädoyers für das Azure-Supportforum wurden ignoriert, da das Azure-Verwaltungsportal kein Feedback dazu bietet, warum Ihr IPSEC-Tunnel auf Azure-Seite möglicherweise nicht funktioniert. Es verbindet sich entweder oder nicht, einfach. In einem zweiten Versuch war der Wechsel zu einer nicht unterstützten Hardware-Firewall eines anderen Anbieters ebenfalls erfolglos. Schließlich gab es einen sofortigen Erfolg, nachdem ein unterstützter Router der Cisco ISR-Serie (oben in Abbildung C) beschafft und gemäß den Anweisungen im Azure-Portal konfiguriert wurde.

Durch Drücken der Download-Schaltfläche unten in Abbildung A wird auf eine Textdatei mit Konfigurationsbefehlen zugegriffen, die für Ihr Gerätemodell spezifisch sind. Durch Drücken der Schaltfläche "Ansichtstaste" können Sie den vorinstallierten Schlüsselpasscode ausschneiden und einfügen. Zwischen den Konfigurationsbefehlen und dem vorinstallierten Schlüssel war dies alles, was ich zum Konfigurieren des Cisco ISR-Routers für die Verbindung des virtuellen Azure-Netzwerks mit meinem lokalen Netzwerk benötigte.

In Ihrem virtuellen Netzwerk bereitgestellte IaaS-VMs verwenden DNS-Server Ihrer Wahl, sogar Ihre lokalen Active Directory-DNS-Server. Auf diese Weise können Azure IaaS-VMs Ihrer lokalen AD-Domäne beitreten und mit vorhandenen Überwachungs- und Verwaltungstools verwaltet werden - als wären sie lokal. Sie werden vergessen, welche Ihrer Domänenserver sich in Windows Azure befinden und über das virtuelle Azure-Netzwerk verbunden sind - bis Sie die monatliche Rechnung erhalten!

© Copyright 2020 | mobilegn.com