Windows Azure 虚拟网络配置(Point to Site)
说明:本文以Azure国际版为例,中国版在网络位置会存在一定差异。
1. 场景
虚拟网络为我们提供了在Windows Azure云计算环境上构建网络定义的能力,通过虚拟网络,我们可以方便地将Windows Azure中的虚拟机等资源按照不同的角色、用户进行网络规划。同时也可以和我们本地IT沟建“混和云”的环境,假设我们在Azure云上建立了一个客户会员积分的Web应用,但客户信息是保存在公司内网的私有服务器上,或是在其他的云服务平台中。因此需要通过虚拟网络来实现连接各服务,同时要能保证连接的安全性。
因此,强烈建议在使用Windows Azure中建立虚拟机应用之前建立和规划虚拟网络设置。
不过虚拟网络也有其局限性,以下是比较关键的几点需要注意:
- 同一个虚拟机无法同时加入多个虚拟网络
- 虚拟机加入虚拟网络后无法更改
- 不支持广播、多播
- 虚拟机只能指定子网,不能指定IP
- 虚拟网络间的通讯是通过互联网
2. Azure虚拟网络配置
1). 登录到Azure管理门户
国际版:https://manage.windowsazure.com
国内版:https://manage.windowsazure.cn
在管理门户导航中选择网络,在右侧选择“创建虚拟网络”。
第一步:填写名称及选择位置
填写适当的名称和选择合适的网络接入位置后点击后续按钮
第二步:配置DNS及VPN类型
填写DNS服务器地址,如果为空,则使用Azure默认的DNS服务器;
选择VPN类型:如需要连接到本地网络,则需选择“站点到站点的连接”,我们这里以“点到站点连接”为例。
第三步:设置客户端IP地址空间
如图:为客户端设置了172.16.0.0的地址段和27的子段。
第四步:设置Azure虚拟网络地址空间
这里我们添加了两个子网和网关子网,用于分配给Web服务器和其他服务器。
点击“完成”结束虚拟网络的创建。
第五步:创建网关
点击进入刚刚创建的虚拟网络,进入“仪表板”,并点击“创建网关”
等待完成后,网关即创建完毕。
第六步:创建证书并完成连接
可以通过几下几个途径来获得证书:
- 企业内的证书服务器,如AD证书服务
- 使用Visual Studio 开发工具附带的SDK中的makecert命令来生成(如未安装Visual Studio可从附件中下载makecert.exe
这里将使用企业内的证书服务器(通常地址为http://<server>/certsrv),将根证书下载到本地。
点击“证书”,将根证书上载至Azure。
在证书服务中申请一个新的用户证书,与根证书一同安装在连接VPN的本地计算上。
在客户端证书安装完毕后回到Azure虚拟网络仪表板中,下载并安装虚拟网络客户端安装程序
在本地计算机安装完成后进行连接,直至连接成功。
此步骤如失败,出现“未找到合适的证书”,请检查用户证书和根证书是否安装成功。
使用ipconfig命令查看连接状态:
查看虚拟网络“CorpNet”仪表板可以看到当前有一个客户端连接
第七步:部署虚拟机到虚拟网络中
新建虚拟机,命名为"CorpNetWeb01",选择使用Windows Server 2008 R2 SP1为虚拟机模板。
选择“CorpNet”虚拟网络和子网,Azure将自动为该虚拟机分配我们指定网段中的IP地址。
通过向导完成虚拟机创建后,我们使用远程桌面连接到新创建的虚拟机CorpNetWeb01,同样使用ipconfig命令来查看网络连接信息
在本地计算机中连接CorpNet VPN后,使用ping命令测试网络连通性(为了测试效果,关闭了虚拟机CorpNetWeb01的防火墙,实际生产环境中不推荐这样做)。
通过虚拟网络,即可实现本地计算机与Azure中的虚拟机的互连互通。
返回虚拟网络"CorpNet"的仪表板中,我们可以在资源中看到刚刚创建的虚拟机CorpNetWeb01,其IP地址为10.8.8.4
至此,我们完成了Azure虚拟网络Point to Site方式的连接,下一篇我们将介绍Site to Site方式的连接。