Изменить

Подключение отдельных серверов с помощью сетевого адаптера Azure

Бастион Azure
Виртуальная сеть Azure
VPN-шлюз Azure
Windows Server
Виртуальные машины Azure

В этой эталонной архитектуре показано, как подключить локальный автономный сервер к виртуальным сетям Microsoft Azure с помощью сетевого адаптера Azure, развернутого через Центр Администратор Windows (WAC). Сетевой адаптер Azure создает защищенное виртуальное подключение через Интернет, которое расширяет локальную сеть в Azure.

Архитектура

Используйте VPN Azure для подключения автономного сервера к виртуальной сети Azure путем развертывания сетевого адаптера Azure с помощью Центра Администратор Windows. Затем можно управлять виртуальными машинами Azure с автономного сервера с помощью частного IP-адреса виртуальных машин.

Разверните сетевой адаптер Azure с помощью Центра Администратор Windows для подключения автономного сервера через VPN Azure к виртуальной сети Azure корпоративной сети, филиалу или другой сети поставщика облачных служб. Затем можно использовать автономный сервер для управления виртуальными машинами Azure с помощью частных IP-адресов из любых расположений.

Скачайте файл Visio этих архитектур.

Рабочий процесс

Архитектура состоит из следующих элементов:

  • Локальная сеть. Этот компонент является частной локальной сетью организации (LAN).
  • Филиал. Этот компонент является частной локальной сетью в удаленном филиале, который подключается через корпоративную глобальную сеть (глобальную сеть).
  • Другой поставщик облачных служб. Этот компонент представляет собой частную виртуальную сеть, которую предлагает поставщик облачных услуг. Он подключается через виртуальную частную сеть (VPN).
  • Windows Server с установленным Центром Администратор Windows. Сервер, используемый для развертывания сетевого адаптера Azure.
  • Windows Server (автономный). Сервер, на котором установлен сетевой адаптер Azure. Этот сервер может находиться в сети филиалов или в другой сети поставщика облачных служб.
  • Виртуальная сеть Azure. Виртуальные серверы и другие службы и компоненты azure VPN-шлюз, которые находятся в той же виртуальной сети в Azure.
  • Azure VPN-шлюз. Служба VPN-шлюз, которая позволяет подключать виртуальную сеть к локальной сети или автономным серверам через VPN-(модуль) или сетевые адаптеры Azure. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure. Существует несколько ценовых категорий или единиц хранения акций (SKU), доступных для VPN-шлюзов. Каждый номер SKU поддерживает различные требования на основе типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания (SLA). VPN-шлюз включает следующие компоненты:
    • Шлюз виртуальной сети (активный). Этот ресурс Azure предоставляет виртуальный VPN-(модуль) для виртуальной сети, и он отвечает за маршрутизацию трафика между локальной сетью и виртуальной сетью.
    • Шлюз виртуальной сети (пассивный). Этот ресурс Azure предоставляет виртуальную (модуль) VPN для виртуальной сети, а это резервный экземпляр активной VPN-шлюз Azure. Дополнительные сведения см. в статье о избыточности VPN-шлюза Azure.
    • Подсеть шлюза. Шлюз виртуальной сети хранится в собственной подсети, которая распространяется на различные требования, которые описаны в следующем разделе Рекомендации.
    • Подключение. Подключение имеет свойства, указывающие тип подключения. К этим свойствам относятся безопасность протокола Интернета (IPsec), а ключ, к которым предоставлен общий доступ к локальному VPN-(модуль) для шифрования трафика.
  • Облачное приложение. Этот компонент — это приложение, размещенное в Azure. Он может включать множество уровней с несколькими подсетями, которые подключаются через подсистемы балансировки нагрузки Azure. Дополнительные сведения об инфраструктуре приложений см. в статьях Запуск рабочих нагрузок на виртуальных машинах Windows и Запуск рабочих нагрузок на виртуальной машине Linux.
  • Внутренний балансировщик нагрузки. Сетевой трафик из VPN-шлюза направляется в облачное приложение через внутреннюю подсистему балансировки нагрузки, которая находится в рабочей подсети приложения.
  • Бастион Azure. Бастион Azure позволяет входить в виртуальные машины в виртуальной сети Azure без предоставления виртуальным машинам непосредственно в Интернете. Он использует протокол Secure Shell (SSH) или протокол удаленного рабочего стола (RDP). Если вы теряете VPN-подключение, вы по-прежнему можете использовать Бастион Azure для управления виртуальными машинами в виртуальной сети Azure. Однако управление локальными серверами через Бастион Azure не поддерживается.

Компоненты

  • Виртуальная сеть. Виртуальная сеть (VNet) Azure — это ключевой компонент для построения в Azure вашей частной сети. Виртуальная сеть позволяет ресурсам Azure различных типов (например, виртуальным машинам Azure) обмениваться данными друг с другом через локальные сети и через Интернет.

  • Бастион Azure. Бастион Azure — это полностью управляемая служба, которая обеспечивает более безопасный и удобный доступ к виртуальным машинам по протоколам удаленного рабочего стола (RDP) и протоколам SSH без использования общедоступных IP-адресов.

  • VPN-шлюз. VPN-шлюз передает зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. VPN-шлюз — это особый тип шлюза виртуальной сети.

  • Центр Администратор Windows. Windows Admin Center представляет собой локально развертываемое браузерное приложение для управления серверами, кластерами, гиперконвергентной инфраструктурой Windows, а также ПК с Windows 10. Это бесплатный продукт, готовый к использованию в рабочей среде.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Подключение автономный сервер

Чтобы подключить автономный сервер через WAC, необходимо добавить сервер в список управляемых серверов в установке WAC выделенного сервера. После добавления сервера в этот список можно выбрать сервер, для которого требуется установить сетевой адаптер Azure, а затем выбрать сеть из средств, а затем в области "+ Добавить сетевой адаптер Azure (предварительная версия)".

Совет

Если в окне браузера не отображается параметр "+ Добавить сетевой адаптер Azure (предварительная версия)", может потребоваться увеличить окно или вы можете увидеть кнопку "Действие " с раскрывающимся списком. Выберите раскрывающийся список, чтобы получить доступ к параметру и добавить сетевой адаптер Azure.

При выборе параметра +Добавить сетевой адаптер Azure (предварительная версия) откроется колонка "Добавить сетевой адаптер Azure" в окне браузера. В этой колонке можно настроить несколько вариантов.

Примечание.

Если вы ранее не прошли проверку подлинности из WAC в клиенте Azure, который вы хотите использовать, появится диалоговое окно проверки подлинности. Предоставьте сведения о проверке подлинности клиента для продолжения. Учетные данные пользователя, используемые для проверки подлинности, должны иметь достаточные разрешения для создания ресурсов Azure, которые будут настроены во время последующих шагов.

Необходимы следующие сведения:

Поле значение Дополнительная информация:
Подписка Выберите из раскрывающегося списка В этом поле перечислены только подписки, назначенные клиенту.
Местонахождение Выберите из раскрывающегося списка Выберите регион Azure для развертывания.
Виртуальная сеть Выберите из раскрывающегося списка или используйте предоставленную гиперссылку для создания новой виртуальная сеть в портал Azure В зависимости от выбранного значения содержимое поля будет отличаться. Если виртуальная сеть существует, вы увидите гиперссылку, которую можно следовать, чтобы просмотреть виртуальная сеть в портал Azure. Если выбранная виртуальная сеть уже содержит шлюз виртуальной сети, будет предоставлена гиперссылка на этот ресурс Azure.
Подсеть шлюза Префикс подсети, например 10.0.1.0/24 В зависимости от выбранного виртуальная сеть это поле будет отличаться. Если выбранная виртуальная сеть не содержит подсети с меткой GatewaySubnet, поле будет предварительно заполнено префиксом подсети, включающим диапазон адресов и маску подсети. Если выбранная виртуальная сеть уже содержит шлюз виртуальной сети, будет предоставлена гиперссылка на этот ресурс Azure.
SKU шлюза Выберите из раскрывающегося списка Дополнительные сведения см. в номерах SKU шлюза.
Адресное пространство клиента Префикс подсети, например 192.168.1.0/24 Поле будет предварительно заполнено префиксом подсети, который включает диапазон адресов и маску подсети. Это сеть, которая будет использоваться между сервером, к которому добавляется сетевой адаптер Azure и VPN-шлюз Azure. Он должен иметь диапазон адресов, который не перекрывается ни с какими диапазонами адресов, которые используются локально или в любом подключенном виртуальная сеть Azure.
Сертификат проверки подлинности Выберите один из вариантов Параметр "Автоматически созданный самозаверяющий корневой каталог и сертификат клиента" предварительно выбран и работает лучше всего в большинстве сценариев. При выборе параметра "Использовать собственный корневой и клиентский сертификат" необходимо указать два файла: корневой сертификат (.cer) и сертификат клиента (PFX), а затем пароль для сертификата клиента.

После завершения всех необходимых полей кнопка "Создать " становится активной, и ее следует выбрать, чтобы начать развертывание сетевого адаптера Azure на выбранном сервере.

Процесс развертывания состоит из двух основных частей, первый из которых — развертывание и выбор VPN-шлюз Azure. Если необходимо сначала развернуть VPN-шлюз Azure, укажите 25–45 минут для завершения развертывания. (Некоторые конфигурации могут занять много времени для развертывания.) WAC предоставит сведения о ходе развертывания. Вторая часть — это фактическая установка сетевого адаптера Azure, которая может занять 10 минут. WAC также уведомит вас о ходе установки.

После начала развертывания можно изменить фокус WAC, выбрав другие средства или серверы. Процесс развертывания продолжается в фоновом режиме.

Если выбрать автоматически созданный самозаверяющий корневой каталог и сертификат клиента, Azure создает два необходимых сертификата автоматически и сохраняет их в хранилище сертификатов выбранного сервера. Вы можете использовать средство "Сертификаты " в WAC, чтобы найти их, а затем найти корневой сертификат в локальном контейнере компьютера или корневого компьютера. Имя сертификата начинается с Windows Администратор Center-Created-vpngw и содержит строку P2SRoot. Хвост строки содержит метку времени, закодированную датой создания сертификата. Этот сертификат также будет храниться в контейнере локального компьютера или ЦС. Второй сертификат хранится в локальном компьютере или контейнере My. Имя этого сертификата начинается с Windows Администратор Center-Created-vpngw и содержит строку P2SClient. Хвост строки содержит метку времени, закодированную датой создания сертификата.

После завершения развертывания средство сетей выбранного сервера обновляется с помощью нового сетевого адаптера Azure, который автоматически запускается после завершения развертывания и указывает активное состояние. Вы можете выбрать адаптер, чтобы активировать раскрывающийся список "Дополнительно ", который можно выбрать для отключения или удаления адаптера. На фактическом сервере сетевой адаптер Azure устанавливается в качестве VPN-подключения. Имя адаптера начинается с Windows Администратор CenterVPN, за которым следует случайное трехзначное число.

При установке и подключении сетевого адаптера Azure можно использовать это новое сетевое подключение для подключения непосредственно к виртуальным сетям Azure и их системам. Этот тип подключения обычно используется для установки сеанса удаленного рабочего стола через внутренний IP-адрес виртуальной машины Azure вместо использования общедоступного IP-адреса виртуальной машины.

Использование выделенного сервера WAC

Для централизованного администрирования рекомендуется использовать выделенную установку windows Администратор Server, из которой можно добавить другие серверы. Такой подход означает, что для администрирования серверов не требуется дополнительное программное обеспечение. Дополнительные сведения см. в статье о Windows Admin Center.

Подготовка выделенной виртуальной сети

Интерфейс установки сетевого адаптера Azure может не соответствовать требованиям соглашения об именовании или ценовой категории. Чтобы избежать этого конфликта, перед развертыванием адаптера можно создать необходимые ресурсы Azure. Во время развертывания вы выбираете уже существующие ресурсы, а не создаете их с помощью интерфейса установки.

Примечание.

Убедитесь, что выбран правильный номер SKU VPN-шлюз, так как не все они поддерживают VPN-подключение, которое поставляется с сетевым адаптером Azure. Диалоговое окно установки предлагает vpnGw1, VpnGw2 и VpnGw3. В настоящее время адаптер не поддерживает версии, избыточные между зонами, VPN-шлюз.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Масштабируемость

  • SKU VPN-шлюз:
    • Номер SKU VPN-шлюз, который вы выбираете, определяет количество подключений, которые могут приниматься параллельно, и пропускную способность, доступную для всех этих подключений. Число одновременных подключений зависит от 250 до 1000 при использовании параметра P2S IKEv2/OpenVPN . IKE относится к обмену ключами IPsec. Рекомендуется начать работу с VpnGw1 и увеличить масштаб позже, если требуется больше подключений. Если необходимо переключить поколение VPN-шлюз, необходимо установить новый шлюз и развернуть новый сетевой адаптер Azure для подключения к нему.
  • Подключение нескольких автономных серверов:
    • Вы можете использовать WAC для развертывания сетевого адаптера Azure на столько серверов, сколько вам нужно. Вы также можете добавить множество сетевых адаптеров Azure на один сервер, чтобы подключиться к разным виртуальным сетям Azure. После завершения первоначального развертывания VPN-шлюз можно настроить дополнительные серверы для использования того же шлюза, выбрав существующий шлюз в интерфейсе установки.
    • Автономные серверы могут находиться в одной сети, в сети филиала или в другой облачной сети. Вы можете использовать установленное сетевое подключение, например корпоративную глобальную сеть или выделенный VPN для другого поставщика облачных служб, если необходимые сетевые порты доступны через эти подключения. Дополнительные сведения см. в разделе "Вопросы безопасности" в этой статье.
  • Подключение типа "сеть — сеть" Azure:
    • Сетевой адаптер Azure — это одна установка на одном сервере. Если вы хотите подключить несколько серверов, вы можете столкнуться со значительными административными усилиями. Однако вы можете избежать этих усилий, подключив локальные системы с помощью метода подключения типа "Сеть 2-сайт Azure" (S2S), который подключает существующую локальную сеть к виртуальной сети Azure и ее подсетям. На этом подключении используется VPN-шлюз Azure, с помощью которой можно подключить локальный локальный VPN-шлюз с помощью удаленного VPN-шлюз Azure. Это безопасное подключение позволяет двум сегментам сети прозрачно взаимодействовать друг с другом.

Availability

  • Сетевой адаптер Azure поддерживает только активную-пассивный конфигурацию VPN-шлюз Azure. Во время настройки адаптера можно указать на существующий VPN-шлюз Azure active-active. Программа установки перенастроит шлюз на конфигурацию "активный- пассивный". Возможно перенастройка шлюза вручную на состояние "активный— активный", но сетевой адаптер Azure не будет подключаться к этому шлюзу.

    Предупреждение

    Настройка сетевого адаптера Azure для существующего VPN-шлюз Azure с конфигурацией active-active будет перенастройка шлюза на "активный-пассивный". Это повлияет на все существующие VPN-подключения к этому шлюзу. Переход от конфигурации "активный— активный" к резервной конфигурации приведет к удалению одного из двух VPN-туннелей IPsec для каждого подключения. Не следует оценивать общие требования к подключению и консультируйтесь с администраторами сети.

Управляемость

  • учетная запись Администратор istrative:

    • WAC — это основное средство, которое используется для развертывания сетевого адаптера Azure и настройки обработки учетных записей. Дополнительные сведения о доступных параметрах см. в разделе "Параметры доступа пользователей" в Центре Администратор Windows. Вы можете настроить отдельную учетную запись для подключения к серверу.

      Примечание.

      Диалоговое окно, в котором настраивается учетная запись администратора на сервере, проверяет учетные данные при нажатии кнопки "Продолжить". Чтобы открыть диалоговое окно, в WAC выберите строку с соответствующим именем сервера, а затем нажмите кнопку "Управление как". Не выбирайте гиперссылку, представляющую сервер, так как она будет немедленно подключаться к нему.

    • Кроме того, необходимо настроить учетную запись пользователя для подключения Azure, открыв диалоговое окно Параметры в WAC и изменив раздел учетной записи. Вы также можете переключить пользователей или выйти из сеанса пользователя в диалоговом окне Параметры.

  • Интеграция Azure Recovery Vault:
    • При установке сетевого адаптера Azure на автономном сервере можно рассмотреть этот порт для непрерывности бизнес-процессов. Этот сервер можно интегрировать в процедуры резервного копирования и аварийного восстановления с помощью служб Azure Recovery Vault, настроенных путем выбора Azure Backup в разделе "Сервис " WAC. Azure Backup помогает защитить сервер Windows от повреждений, атак или аварий путем резервного копирования сервера непосредственно в Microsoft Azure.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

  • Обязательные сетевые порты:

    • Чтобы развернуть сетевой адаптер Azure, необходимо открыть сетевые порты для удаленного взаимодействия PowerShell.

    • Удаленное взаимодействие PowerShell использует удаленное управление Windows (WinRM). Дополнительные сведения см. в статье "Вопросы безопасности удаленного взаимодействия PowerShell" и параметры удаленного взаимодействия PowerShell по умолчанию.

    • В некоторых сценариях необходимо использовать дополнительные методы проверки подлинности. WAC может использовать PowerShell с протоколом поставщика поддержки безопасности учетных данных (CredSSP) для подключения к удаленным серверам. Дополнительные сведения см. в статье о удаленном взаимодействии PowerShell и CredSSP и способах использования CredSSP в Центре Администратор Windows.

    • Удаленное взаимодействие PowerShell (и WinRM) использует следующие порты:

      Протокол Порт
      HTTP 5985
      HTTPS 5986

    • Подключение к серверу, на котором устанавливается Центр Администратор Windows (WAC), зависит от типа установки WAC. Порт по умолчанию зависит и может быть портом 6516 при установке в Windows 10 или порте 443 при установке на Windows Server. Дополнительные сведения см. в разделе "Установка Windows Администратор Center".

  • интеграция Microsoft Defender для облака:
    • Чтобы защитить сервер, на котором установлен сетевой адаптер Azure, можно интегрировать сервер в Microsoft Defender для облака, выбрав Microsoft Defender для облака из раздела "Сервис" в WAC. Во время интеграции необходимо выбрать существующую рабочую область Azure Log Analytics или создать новую. Вы будете выставляться отдельно за каждый сервер, который вы интегрируете с Microsoft Defender для облака. Подробнее см. в статье о расширенных функциях безопасности Microsoft Defender для облака.

DevOps

  • служба автоматизации Azure:
    • WAC предоставляет доступ к коду PowerShell, который создает сетевой адаптер Azure, и его можно просмотреть, выбрав средство "Сеть ", а затем щелкните значок "Просмотреть скрипты PowerShell" в верхней части страницы WAC. Имя скрипта — Complete-P2SVPNConfigurationэто имя, и оно реализуется как функция PowerShell. Код имеет цифровую подпись и готов к повторному использованию. Его можно интегрировать в служба автоматизации Azure, настроив дополнительные службы внутри портал Azure.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

  • Калькулятор цен Azure:
    • Использование сетевого адаптера Azure не стоит ничего, так как это компонент, который развертывается в локальной системе. Azure VPN-шлюз в рамках решения создает дополнительные затраты, как и использование других служб, таких как Azure Recovery Vault или Microsoft Defender для облака. Дополнительные сведения о фактических затратах см. в калькуляторе цен Azure. Важно отметить, что фактические затраты зависят от региона Azure и отдельного контракта. Обратитесь к представителю по продажам Майкрософт, чтобы получить дополнительные сведения о ценах.
  • Затраты на исходящий трафик:
    • Существуют дополнительные затраты, связанные с исходящими передачами данных между виртуальными сетями. Эти затраты зависят от номера SKU VPN-шлюз и фактического объема данных, которые вы используете. Дополнительные сведения см. в калькуляторе цен Azure. Важно отметить, что фактические затраты зависят от региона Azure и отдельного контракта. Обратитесь к представителю по продажам Майкрософт, чтобы получить дополнительные сведения о ценах.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о технологиях компонентов:

Сведения о связанных архитектурах: