Bewerken

Zelfstandige servers verbinden met de Azure-netwerkadapter

Azure Bastion
Azure Virtual Network
Azure VPN Gateway
Windows Server
Azure Virtual Machines

Deze referentiearchitectuur laat zien hoe u een on-premises zelfstandige server verbindt met virtuele Microsoft Azure-netwerken met behulp van de Azure-netwerkadapter die u implementeert via Windows Beheer Center (WAC). Azure Network Adapter maakt een beveiligde virtuele verbinding via internet, waardoor uw on-premises netwerk wordt uitgebreid naar Azure.

Architectuur

Gebruik Azure VPN om een zelfstandige server te verbinden met een virtueel Azure-netwerk door een Azure-netwerkadapter te implementeren met behulp van Windows Beheer Center. Vervolgens kunt u de virtuele Azure-machines (VM's) vanaf de zelfstandige server beheren met behulp van het privé-IP-adres van de VIRTUELE machines.

Implementeer een Azure-netwerkadapter met Behulp van Windows Beheer Center om een zelfstandige server via Azure VPN te verbinden met het virtuele Azure-netwerk van een bedrijfsnetwerk, een filiaal of het netwerk van een andere cloudprovider. Vervolgens kunt u de zelfstandige server gebruiken om de Virtuele Azure-machines te beheren via hun privé-IP-adressen, vanaf elke locatie.

Download een Visio-bestand van deze architecturen.

Workflow

De architectuur bestaat uit:

  • On-premises netwerk. Dit onderdeel is het Private Local Area Network (LAN) van een organisatie.
  • Filiaal. Dit onderdeel is een privé-LAN in een extern filiaal dat verbinding maakt via een WAN (Corporate Wide Area Network).
  • Andere cloudprovider. Dit onderdeel is een particulier virtueel netwerk dat een cloudprovider aanbiedt. Het maakt verbinding via een virtueel particulier netwerk (VPN).
  • Windows Server waarop Windows Beheer Center is geïnstalleerd. De server die u gebruikt om de Azure-netwerkadapter te implementeren.
  • Windows Server (zelfstandig). De server waarop de Azure-netwerkadapter is geïnstalleerd. Deze server kan zich in een filiaalnetwerk of in het netwerk van een andere cloudprovider bevinden.
  • Virtueel Azure-netwerk (VNet). De virtuele servers, en andere services en onderdelen, voor de Azure VPN Gateway die zich in hetzelfde virtuele netwerk in Azure bevinden.
  • Azure VPN Gateway. De VPN Gateway-service waarmee u het virtuele netwerk kunt verbinden met het on-premises netwerk of zelfstandige servers via een VPN-apparaat of Azure-netwerkadapters. Zie Connect an on-premises network to a Microsoft Azure virtual network (On-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk) voor meer informatie. Er zijn verschillende prijscategorieën, of voorraadbeheereenheden (SKU's), beschikbaar voor VPN-gateways. Elke SKU ondersteunt verschillende vereisten op basis van de typen workloads, doorvoer, functies en sla's (Service Level Agreements). De VPN-gateway bevat de volgende onderdelen:
    • Virtuele netwerkgateway (actief). Deze Azure-resource biedt een virtueel VPN-apparaat voor het virtuele netwerk en is verantwoordelijk voor het routeren van verkeer tussen het on-premises netwerk en het virtuele netwerk.
    • Virtuele netwerkgateway (passief). Deze Azure-resource biedt een virtueel VPN-apparaat voor het virtuele netwerk en het is het stand-by-exemplaar van de actieve Azure VPN Gateway. Zie Voor meer informatie over azure VPN-gatewayredundantie.
    • Gatewaysubnet. De gateway van het virtuele netwerk wordt bewaard in een eigen subnet, waarvoor verschillende vereisten gelden die in de volgende Aanbevelingen sectie worden beschreven.
    • Verbinding. De verbinding heeft eigenschappen waarmee het verbindingstype wordt opgegeven. Deze eigenschappen omvatten Internet Protocol-beveiliging (IPsec) en de sleutel die wordt gedeeld met het on-premises VPN-apparaat om verkeer te versleutelen.
  • Cloudtoepassing. Dit onderdeel is de toepassing die wordt gehost in Azure. Het kan veel lagen bevatten met meerdere subnetten die verbinding maken via Azure Load Balancers. Zie Windows VM-workloads uitvoeren en Linux VM-workloads uitvoeren voor meer informatie over de infrastructuur van de toepassing.
  • Interne load balancer. Netwerkverkeer van de VPN-gateway wordt gerouteerd naar de cloudtoepassing via een interne load balancer, die zich in het productiesubnet van de toepassing bevindt.
  • Azure Bastion. Met Azure Bastion kunt u zich aanmelden bij VM's in het virtuele Azure-netwerk zonder de VM's rechtstreeks beschikbaar te maken op internet. Het maakt gebruik van Secure Shell (SSH) of Remote Desktop Protocol (RDP). Als u geen VPN-connectiviteit meer hebt, kunt u Azure Bastion nog steeds gebruiken om uw VM's in het virtuele Azure-netwerk te beheren. Het beheer van on-premises servers via Azure Bastion wordt echter niet ondersteund.

Onderdelen

  • Virtueel netwerk. Azure Virtual Network (VNet) is de basisbouwsteen voor uw privénetwerk in Azure. Via VNet kunnen veel soorten Azure-resources, zoals virtuele Azure-machines, veilig communiceren met elkaar, internet en on-premises netwerken.

  • Azure Bastion. Azure Bastion is een volledig beheerde service die veiligere en naadloze toegang tot virtuele machines biedt via RDP (Remote Desktop Protocol) en SSH (Secure Shell Protocol) (VM's) zonder blootstelling via openbare IP-adressen.

  • VPN-gateway. VPN Gateway verzendt versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. U kunt VPN Gateway ook gebruiken om versleuteld verkeer tussen virtuele Azure-netwerken via het Microsoft-netwerk te verzenden. Een VPN-gateway is een specifiek type virtuele netwerkgateway.

  • Windows Beheer Center. Windows Beheer Center is een lokaal geïmplementeerde, browsergebaseerde app voor het beheren van Windows-servers, clusters, hypergeconvergeerde infrastructuur en Windows 10-pc's. Het is een gratis product en is klaar voor gebruik in productie.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

een zelfstandige server Verbinding maken

Als u een zelfstandige server wilt verbinden via de WAC, moet u de server toevoegen aan de lijst met beheerde servers in de WAC-installatie van de toegewezen server. Nadat u de server aan die lijst hebt toegevoegd, kunt u de server selecteren waarvoor u de Azure-netwerkadapter wilt installeren en vervolgens Netwerk selecteren in de hulpprogramma's gevolgd door de optie +Azure-netwerkadapter toevoegen (preview) in het deelvenster Netwerk.

Tip

Als u de optie '+ Azure-netwerkadapter toevoegen (preview)' niet ziet in uw browservenster, moet u mogelijk het venster vergroten of ziet u mogelijk een actieknop met een vervolgkeuzelijst. Selecteer de vervolgkeuzelijst voor toegang tot de optie en voeg de Azure-netwerkadapter toe.

Wanneer u de optie + Azure-netwerkadapter toevoegen (preview) selecteert, wordt de blade Azure Network Adapter-configuratie toevoegen geopend in een browservenster. Er zijn verschillende opties die u op deze blade kunt configureren.

Notitie

Als u nog niet eerder hebt geverifieerd vanuit de WAC voor de Azure-tenant die u wilt gebruiken, wordt er een verificatiedialoogvenster weergegeven. Geef de verificatiegegevens van uw tenant op om door te gaan. De gebruikersreferenties die u gebruikt om te verifiëren, moeten voldoende machtigingen hebben om de Azure-resources te maken die u tijdens de volgende stappen configureert.

De volgende informatie is nodig:

Veld Waarde Aanvullende informatie
Abonnement Selecteren in vervolgkeuzelijst Dit veld bevat alleen abonnementen die zijn toegewezen aan uw tenant.
Location Selecteren in vervolgkeuzelijst Selecteer een Azure-regio voor uw implementatie.
Virtueel netwerk Selecteer een vervolgkeuzelijst of gebruik de opgegeven hyperlink om een nieuw virtueel netwerk te maken in De Azure-portal Afhankelijk van uw selectie varieert de inhoud van het veld. Als het virtuele netwerk bestaat, ziet u een hyperlink die u kunt volgen om het virtuele netwerk in Azure Portal te bekijken. Als het geselecteerde VNet al een VNet-gateway bevat, wordt er een hyperlink naar die Azure-resource opgegeven.
Gatewaysubnet Subnetvoorvoegsel, zoals 10.0.1.0/24 Afhankelijk van het geselecteerde virtuele netwerk varieert dit veld. Als het geselecteerde VNet geen subnet met het label GatewaySubnet bevat, wordt het veld vooraf gevuld met een subnetvoorvoegsel dat het adresbereik en het subnetmasker bevat. Als het geselecteerde VNet al een VNet-gateway bevat, wordt er een hyperlink naar die Azure-resource opgegeven.
Gateway-SKU Selecteren in vervolgkeuzelijst Zie de gateway-SKU's voor meer informatie.
Clientadresruimte Subnetvoorvoegsel, zoals 192.168.1.0/24 Het veld wordt vooraf ingevuld met een subnetvoorvoegsel dat het adresbereik en het subnetmasker bevat. Het is het netwerk dat wordt gebruikt tussen de server waaraan u de Azure-netwerkadapter en de Azure VPN-gateway toevoegt. Het moet een adresbereik hebben dat niet overlapt met een van de adresbereiken die on-premises of in een van de verbonden virtuele Azure-netwerken worden gebruikt.
Verificatiecertificaat Selecteer een van de opties De optie Automatisch gegenereerd zelfondertekend basis- en clientcertificaat is vooraf geselecteerd en werkt het beste in de meeste scenario's. Wanneer u de optie Eigen basis- en clientcertificaat gebruiken selecteert, moet u twee bestanden opgeven: een basiscertificaat (.cer) en een clientcertificaat (.pfx) en vervolgens het wachtwoord voor het clientcertificaat.

Zodra u alle benodigde velden hebt voltooid, wordt de knop Maken actief en moet u deze selecteren om de implementatie van uw Azure-netwerkadapter op de geselecteerde server te starten.

Het implementatieproces heeft twee belangrijke onderdelen, waarvan de eerste de implementatie en selectie van de Azure VPN Gateway is. Als u uw Azure VPN Gateway eerst moet implementeren, duurt het 25 tot 45 minuten voordat de implementatie is voltooid. (Het kan lang duren voordat sommige configuraties zijn geïmplementeerd.) De WAC geeft informatie over de voortgang van de implementatie. Het tweede deel is de daadwerkelijke installatie van de Azure-netwerkadapter, die 10 minuten kan duren. De WAC informeert u ook over de voortgang van de installatie.

Zodra de implementatie is gestart, kunt u de focus van de WAC wijzigen door andere hulpprogramma's of servers te selecteren. Het implementatieproces wordt op de achtergrond voortgezet.

Als u de automatisch gegenereerde zelfondertekende basis- en clientcertificaatoptie selecteert, worden in Azure automatisch de twee vereiste certificaten voor u gemaakt en opgeslagen in het certificaatarchief van de geselecteerde server. U kunt het hulpprogramma Certificaten in de WAC gebruiken om ze te vinden en vervolgens kunt u een basiscertificaat vinden in de lokale computer/hoofdcontainer. De naam van het certificaat begint met Windows Beheer Center-Created-vpngw en bevat de P2SRoot-tekenreeks. De staart van de tekenreeks bevat een tijdstempel die is gecodeerd met de aanmaakdatum van het certificaat. Dit certificaat wordt ook opgeslagen in de container Lokale machine/CA. Het tweede certificaat wordt opgeslagen in de lokale machine/mijn container. De naam van dit certificaat begint met Windows Beheer Center-Created-vpngw en bevat de P2SClient-tekenreeks. De staart van de tekenreeks bevat een tijdstempel die is gecodeerd met de aanmaakdatum van het certificaat.

Nadat de implementatie is voltooid, wordt het hulpprogramma Netwerken van de geselecteerde server bijgewerkt met de nieuwe Azure-netwerkadapter, die automatisch wordt gestart nadat de implementatie is beëindigd en een actieve status aangeeft. U kunt de adapter selecteren om de vervolgkeuzelijst Meer te activeren, die u kunt selecteren om de verbinding met de adapter te verbreken of te verwijderen. Op de werkelijke server wordt de Azure-netwerkadapter geïnstalleerd als een VPN-verbinding. De naam van de adapter begint met Windows Beheer CenterVPN, gevolgd door een willekeurig getal van drie cijfers.

Wanneer de Azure-netwerkadapter is geïnstalleerd en verbonden, kunt u deze nieuwe netwerkverbinding gebruiken om rechtstreeks verbinding te maken met de Azure-VNets en hun systemen. Dit type verbinding wordt doorgaans gebruikt om een extern bureaubladsessie tot stand te brengen via het interne IP-adres van een Azure-VM, in plaats van het openbare IP-adres van de virtuele machine te gebruiken.

Een toegewezen WAC-server gebruiken

Voor gecentraliseerd beheer raden we u aan een toegewezen Installatie van Windows Beheer Server te gebruiken, waaruit u andere servers kunt toevoegen. Deze aanpak betekent dat er geen beheerde servers extra software nodig hebben. Zie Windows Beheer Center voor meer informatie.

Een toegewezen VNet voorbereiden

De installatie-interface van de Azure-netwerkadapter voldoet mogelijk niet aan uw naamconventie of prijscategorie. Om dit conflict te voorkomen, kunt u de vereiste Azure-resources maken voordat u de adapter implementeert. Tijdens de implementatie selecteert u de al bestaande resources in plaats van ze te maken via de installatie-interface.

Notitie

Zorg ervoor dat u de juiste VPN Gateway-SKU selecteert, omdat ze niet allemaal de VPN-verbinding ondersteunen die bij de Azure-netwerkadapter wordt geleverd. Het installatiedialoogvenster biedt u VpnGw1, VpnGw2 en VpnGw3. Op dit moment biedt de adapter geen ondersteuning voor zone-redundante versies van de VPN Gateway.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Schaalbaarheid

  • VPN Gateway-SKU:
    • De VPN Gateway-SKU die u selecteert, bepaalt hoeveel verbindingen parallel kunnen worden gebruikt en welke bandbreedte beschikbaar is voor al deze verbindingen. Het aantal gelijktijdige verbindingen varieert van 250 tot 1000 wanneer u de optie P2S IKEv2/OpenVPN gebruikt. IKE verwijst naar IPsec-sleuteluitwisseling. Het is raadzaam om te beginnen met VpnGw1 en later uit te schalen als u meer verbindingen nodig hebt. Als u de generatie van de VPN Gateway wilt overschakelen, moet u een nieuwe gateway installeren en een nieuwe Azure-netwerkadapter implementeren om er verbinding mee te maken.
  • Verbinding maken meerdere zelfstandige servers:
    • U kunt de WAC gebruiken om de Azure-netwerkadapter te implementeren op zoveel servers als u nodig hebt. U kunt ook veel Azure-netwerkadapters toevoegen aan één server om verbinding te maken met verschillende Azure-VNets. Zodra de eerste implementatie van de VPN Gateway is voltooid, kunt u extra servers configureren om dezelfde gateway te gebruiken door de bestaande gateway in de installatie-interface te selecteren.
    • Zelfstandige servers kunnen zich in hetzelfde netwerk, in een filiaalnetwerk of in een ander cloudnetwerk bevinden. U kunt de netwerkverbinding gebruiken die u tot stand hebt gebracht, zoals uw zakelijke WAN of een toegewezen VPN voor een andere cloudprovider, als de vereiste netwerkpoorten beschikbaar zijn via deze verbindingen. Zie de sectie Beveiligingsoverwegingen in dit artikel voor meer informatie.
  • Azure Site-to-Site-verbinding:
    • De Azure-netwerkadapter is één installatie op één server. Als u meerdere servers wilt verbinden, kunt u een aanzienlijke administratieve inspanning ondervinden. U kunt dit echter vermijden door uw on-premises systemen te verbinden met behulp van de methode Azure Site-2-Site Connection (S2S), waarmee een bestaand on-premises netwerk wordt verbonden met een Azure-VNet en de bijbehorende subnetten. De kern van deze verbinding is een Azure VPN Gateway waarmee u een lokale on-premises VPN-gateway kunt verbinden met de externe Azure VPN Gateway. Dankzij deze beveiligde verbinding kunnen de twee netwerksegmenten transparant met elkaar communiceren.

Beschikbaarheid

  • De Azure-netwerkadapter ondersteunt alleen een actief-passieve configuratie van de Azure VPN Gateway. Tijdens de configuratie van de adapter kunt u verwijzen naar een bestaande actief-actieve Azure VPN-gateway. Met de installatie wordt de gateway opnieuw geconfigureerd voor de actief-passieve configuratie. Een handmatige herconfiguratie van de gateway naar de actief-actief-status is mogelijk, maar de Azure-netwerkadapter maakt geen verbinding met deze gateway.

    Waarschuwing

    Als u een Azure-netwerkadapter configureert op basis van een bestaande Azure VPN-gateway met een actief-actief-configuratie, wordt de gateway opnieuw geconfigureerd op actief-passief. Dit heeft gevolgen voor alle bestaande VPN-verbindingen met deze gateway. Als u van actief-actief-configuratie wijzigt in actief-stand-byconfiguratie, wordt een van de twee IPsec VPN-tunnels voor elke verbinding verwijderd. Ga niet verder zonder uw algemene verbindingsvereisten te evalueren en overleg met uw netwerkbeheerders.

Beheerbaarheid

  • Beheer istisch account:

    • De WAC is het belangrijkste hulpprogramma dat u gebruikt om de Azure-netwerkadapter te implementeren en accountafhandeling te configureren. Zie Opties voor gebruikerstoegang met Windows Beheer Center voor meer informatie over de beschikbare opties. U kunt per serververbinding een afzonderlijk account configureren.

      Notitie

      In het dialoogvenster waarin u het beheerdersaccount per server configureert, worden uw referenties gevalideerd wanneer u Doorgaan selecteert. Als u het dialoogvenster wilt openen, selecteert u in wac de rij met de toepasselijke servernaam en selecteert u Beheren als. Selecteer niet de hyperlink die de server vertegenwoordigt, omdat deze u onmiddellijk verbindt met die server.

    • Daarnaast moet u een gebruikersaccount voor de Azure-verbinding configureren door het dialoogvenster Instellingen in de WAC te openen en de accountsectie te wijzigen. U kunt ook schakelen tussen gebruikers of afmelden bij de sessie van een gebruiker in het dialoogvenster Instellingen.

  • Integratie van Azure Recovery Vault:
    • Wanneer u Azure Network Adapter op een zelfstandige server installeert, kunt u overwegen dat server een poort voor uw bedrijfscontinuïteit. U kunt die server integreren in uw back-up- en herstelprocedures met behulp van Azure Recovery Vault-services die u configureert door Azure Backup te selecteren in de sectie Hulpprogramma's van wac. Azure Backup helpt uw Windows-server te beschermen tegen beschadigingen, aanvallen of rampen door rechtstreeks een back-up van uw server te maken naar Microsoft Azure.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

  • Vereiste netwerkpoorten:

    • Netwerkpoorten voor externe communicatie met PowerShell moeten geopend zijn als u de WAC wilt gebruiken om de Azure-netwerkadapter te implementeren.

    • Externe communicatie van PowerShell maakt gebruik van Windows Remote Management (WinRM). Zie De standaardinstellingen voor externe communicatie van PowerShell en externe communicatie met PowerShell voor meer informatie.

    • In sommige scenario's moet u extra verificatiemethoden gebruiken. WAC kan PowerShell gebruiken met het Credential Security Support Provider-protocol (CredSSP) om verbinding te maken met externe servers. Zie voor meer informatie PowerShell Remoting en CredSSP en hoe Windows Beheer Center CredSSP gebruikt.

    • Externe communicatie van PowerShell (en WinRM) maakt gebruik van de volgende poorten:

      Protocol Port
      HTTP 5985
      HTTPS 5986

    • Hoe u verbinding maakt met de server waarop het Windows Beheer Center (WAC) is geïnstalleerd, is afhankelijk van het installatietype van uw WAC. De standaardpoort varieert en kan poort 6516 zijn wanneer deze is geïnstalleerd op Windows 10 of poort 443 wanneer deze is geïnstalleerd op Windows Server. Zie Windows Beheer Center installeren voor meer informatie.

  • Microsoft Defender voor Cloud integratie:
    • Als u de server waarop de Azure-netwerkadapter is geïnstalleerd wilt beveiligen, kunt u de server integreren in Microsoft Defender voor Cloud door Microsoft Defender voor Cloud te selecteren in de sectie Extra in WAC. Tijdens de integratie moet u een bestaande Azure Log Analytics-werkruimte selecteren of een nieuwe werkruimte maken. U wordt afzonderlijk gefactureerd voor elke server die u integreert met Microsoft Defender voor Cloud. Zie Microsoft Defender voor Cloud prijzen voor meer informatie.

DevOps

  • Azure Automation:
    • De WAC biedt u toegang tot de PowerShell-code waarmee de Azure-netwerkadapter wordt gemaakt en u kunt deze controleren door het hulpprogramma Netwerk te selecteren en vervolgens het pictogram PowerShell-scripts weergeven boven aan de WAC-pagina te selecteren. De naam van het script is Complete-P2SVPNConfigurationen wordt geïmplementeerd als een PowerShell-functie. De code is digitaal ondertekend en kan opnieuw worden gebruikt. U kunt deze integreren in Azure Automation door meer services in Azure Portal te configureren.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

  • Azure-prijscalculator:
    • Het gebruik van de Azure-netwerkadapter kost niets, omdat het een onderdeel is dat u implementeert in een on-premises systeem. De Azure VPN Gateway, als onderdeel van de oplossing, genereert extra kosten, evenals het gebruik van andere services, zoals Azure Recovery Vault of Microsoft Defender voor Cloud. Zie de Azure-prijscalculator voor meer informatie over de werkelijke kosten. Het is belangrijk om te weten dat de werkelijke kosten per Azure-regio en uw afzonderlijke contract variëren. Neem contact op met een Microsoft-vertegenwoordiger voor meer informatie over prijzen.
  • Kosten voor uitgaand verkeer:
    • Er zijn extra kosten verbonden aan uitgaande inter-VNet-gegevensoverdrachten. Deze kosten zijn afhankelijk van de SKU van uw VPN Gateway en de werkelijke hoeveelheid gegevens die u gebruikt. Zie de Azure-prijscalculator voor meer informatie. Het is belangrijk om te weten dat de werkelijke kosten per Azure-regio en uw afzonderlijke contract variëren. Neem contact op met een Microsoft-vertegenwoordiger voor meer informatie over prijzen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie over de onderdeeltechnologieën:

Gerelateerde architecturen verkennen: