此參考架構示範如何使用透過 Windows 管理員 中心 (WAC) 部署的 Azure 網路適配器,將內部部署獨立伺服器連線到 Microsoft Azure 虛擬網路。 Azure 網路適配器會透過因特網建立安全的虛擬連線,以將內部部署網路延伸至 Azure。
架構
工作流程
架構包含:
- 內部部署網路。 此元件是組織的私人局域網路(LAN)。
- 分公司。 此元件是遠端分公司的私人 LAN,可透過公司廣域網 (WAN) 連線。
- 其他雲端提供者。 此元件是雲端提供者提供的專用虛擬網路。 它會透過虛擬專用網連線(VPN)。
- 已安裝 Windows 管理員 Center 的 Windows Server。 您用來部署 Azure 網路適配器的伺服器。
- Windows Server (獨立版) 。 安裝 Azure 網路適配器的伺服器。 此伺服器可以位於分公司網路或不同的雲端提供者網路中。
- Azure 虛擬網絡 (VNet)。 Azure VPN 閘道 位於 Azure 內相同虛擬網路中的虛擬伺服器和其他服務和元件。
- Azure VPN 閘道。 可讓您透過 VPN 裝置或 Azure 網路適配器將虛擬網路連線到內部部署網路或獨立伺服器的 VPN 閘道 服務。 如需詳細資訊,請參閱「將內部部署網路連線至 Microsoft Azure 虛擬網路」。 有數個定價層,或庫存單位(SKU),可供 VPN 閘道使用。 每個 SKU 都根據工作負載、輸送量、功能和服務等級協議的類型(SLA)支援不同的需求。 VPN 閘道包含下列元件:
- 虛擬網路閘道(作用中)。 此 Azure 資源提供虛擬網路的虛擬 VPN 設備,負責在內部部署網路與虛擬網路之間來迴路由傳送流量。
- 虛擬網路閘道(被動)。 此 Azure 資源提供虛擬網路的虛擬 VPN 設備,而它是作用中 Azure VPN 閘道 的待命實例。 如需詳細資訊,請參閱 關於 Azure VPN 閘道備援。
- 閘道子網。 虛擬網路閘道會保留在自己的子網中,其受限於下列 建議 區段詳細數據的各種需求。
- 連線。 連接具有指定連接類型的屬性。 這些屬性包括因特網通訊協定安全性 (IPsec),以及與內部部署 VPN 裝置共用的金鑰,以加密流量。
- 雲端應用程式。 此元件是裝載在 Azure 中的應用程式。 它可以包含多個層,其中包含透過 Azure 負載平衡器連線的多個子網。 如需應用程式基礎結構的詳細資訊,請參閱 執行 Windows VM 工作負載 和執行 Linux VM 工作負載。
- 內部負載平衡器。 來自 VPN 閘道的網路流量會透過位於應用程式生產子網的內部負載平衡器路由傳送至雲端應用程式。
- Azure Bastion。 Azure Bastion 可讓您登入 Azure 虛擬網路中的 VM,而不需將 VM 直接公開至因特網。 它使用安全殼層 (SSH) 或遠端桌面通訊協定 (RDP)。 如果您失去 VPN 連線,您仍然可以使用 Azure Bastion 來管理 Azure 虛擬網路中的 VM。 不過,不支援透過 Azure Bastion 管理內部部署伺服器。
元件
虛擬網絡。 Azure 虛擬網路 (VNet) 是私人網路在 Azure 中的基本建置組塊。 VNet 可讓多種類型的 Azure 資源 (例如 Azure 虛擬機器 (VM)) 安全地彼此通訊,以及與網際網路和內部部署網路通訊。
Azure Bastion。 Azure Bastion 是一項完全受控的服務,可為虛擬機器 (VM) 提供更安全且流暢的遠端桌面通訊協定 (RDP) 和安全殼層通訊協定 (SSH) 存取,而不會透過公用 IP 位址來公開。
VPN 閘道。 VPN 閘道 透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。 您也可以使用 VPN 閘道,透過 Microsoft 網路來傳送 Azure 虛擬網路之間的已加密流量。 VPN 閘道是特定類型的虛擬網路閘道。
Windows 管理員 中心。 Windows Admin Center 是以瀏覽器為基礎在本機部署的應用程式,用於管理 Windows 伺服器、叢集、超融合式基礎結構以及 Windows 10 電腦。 這是免費的產品,而且已準備好在實際執行環境中使用。
建議
下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
連線 獨立伺服器
若要透過 WAC 連接獨立伺服器,您必須將伺服器新增至專用伺服器 WAC 安裝中的受管理伺服器清單。 將伺服器新增至該列表之後,您可以選取您要安裝 Azure 網络適配器的伺服器,然後從工具中選取 [網路],然後在 [網路] 窗格中選取 [+ 新增 Azure 網络適配器 (預覽] 選項。
提示
如果您沒有在瀏覽器視窗中看到 [+ 新增 Azure 網络適配器(預覽)] 選項,您可能需要放大視窗,或者您可能會看到 具有下拉式插入號的 [動作 ] 按鈕。 選取下拉式插入號以存取 選項,並新增 Azure 網路適配器。
當您選取 [ + 新增 Azure 網络適配器 (預覽] 選項時,[ 新增 Azure 網络適配器 組態] 刀鋒視窗會在瀏覽器視窗中開啟。 您可以在此刀鋒視窗中設定數個選項。
注意
如果您先前尚未針對您想要使用的 Azure 租使用者向 WAC 進行驗證,則會出現驗證對話方塊。 提供租用戶的驗證資訊以繼續進行。 您用來驗證的使用者認證必須有足夠的許可權,才能建立您將在後續步驟中設定的 Azure 資源。
需要下列資訊:
| 欄位 | 值 | 其他資訊 |
|---|---|---|
| 訂用帳戶 | 從下拉式清單選取 | 此欄位只會列出指派給您租用戶的訂用帳戶。 |
| 地點 | 從下拉式清單選取 | 選取部署的 Azure 區域。 |
| 虛擬網路 | 從下拉式清單中選取,或使用提供的超連結在 Azure 入口網站 中建立新的 虛擬網絡 | 視您的選取專案而定,欄位的內容會有所不同。 如果 虛擬網絡 存在,您將觀察可追蹤的超連結,以檢閱 Azure 入口網站 中的 虛擬網絡。 如果選取的 VNet 已經包含 VNet 閘道,則會提供該 Azure 資源的超連結。 |
| 閘道子網 | 子網前置詞,例如 10.0.1.0/24 | 視選取的 虛擬網絡 而定,此欄位會有所不同。 如果選取的 VNet 未包含標示為 GatewaySubnet 的子網,欄位將會預先填入包含位址範圍和子網掩碼的子網前置詞。 如果選取的 VNet 已經包含 VNet 閘道,則會提供該 Azure 資源的超連結。 |
| 閘道 SKU | 從下拉式清單選取 | 如需詳細資訊,請參閱 網關 SKU。 |
| 用戶端位址空間 | 子網前置詞,例如 192.168.1.0/24 | 欄位會預先填入包含位址範圍和子網掩碼的子網前置詞。 這是您要新增 Azure 網路適配器和 Azure VPN 閘道 的伺服器之間所使用的網路。 其位址範圍必須與內部部署或任何已連線 Azure 虛擬網絡 中使用的位址範圍重疊。 |
| 驗證憑證 | 選取其中一個選項 | [自動產生的自我簽署跟證書和用戶端憑證] 選項會預先選取,而且在大部分情況下最適合使用。 當您選取 [使用自己的跟證書和用戶端憑證] 選項時,必須提供兩個檔案:跟證書 (.cer) 和用戶端憑證 (.pfx),然後提供用戶端憑證的密碼。 |
完成所有必要的欄位之後,[ 建立] 按鈕就會變成作用中,您應該選取它以開始將 Azure 網路適配器部署至選取的伺服器。
部署程式有兩個主要部分,第一個主要部分是部署和選取 Azure VPN 閘道。 如果您需要先部署 Azure VPN 閘道,請讓部署完成 25 到 45 分鐘。 (有些設定可能需要很長的時間才能部署。WAC 將提供部署進度的相關信息。 第二部分是 Azure 網路適配器的實際安裝,可能需要 10 分鐘的時間。 WAC 也會通知您安裝進度。
部署開始之後,您可以選取其他工具或伺服器來變更 WAC 的焦點。 部署程式會繼續在背景中。
如果您選取 [自動產生的自我簽署跟證書] 和 [用戶端憑證 ] 選項,Azure 會自動為您建立兩個必要的憑證,並將其儲存在所選伺服器的證書存儲中。 您可以使用 WAC 中的憑證 工具來尋找它們,然後在本機電腦/根容器中找到跟證書。 憑證的名稱以 Windows 管理員 Center-Created-vpngw 開頭,並包含 P2SRoot 字串。 字串的尾端包含以憑證建立日期編碼的時間戳。 此憑證也會儲存在本機計算機/CA 容器中。 第二個憑證會儲存在本機計算機/我的容器中。 此憑證的名稱以 Windows 管理員 Center-Created-vpngw 開頭,並包含 P2SClient 字串。 字串的尾端包含以憑證建立日期編碼的時間戳。
部署完成之後,選取的伺服器 網路 工具會更新為新的 Azure 網路適配器,此配接器會在部署結束後自動啟動,並指出作用中狀態。 您可以選取適配卡來啟動 [ 更多 ] 下拉式清單,您可以選取以中斷連線或刪除適配卡。 在實際伺服器上,Azure 網路適配器會安裝為 VPN 連線。 配接器的名稱以 Windows 管理員 CenterVPN 開頭,後面接著隨機的三位數數位。
安裝並連線 Azure 網路適配器時,您可以使用這個新的網路連線直接連線到 Azure VNet 及其系統。 這種類型的連線通常用來透過 Azure VM 的內部 IP 位址建立遠端桌面會話,而不是使用 VM 的公用 IP 位址。
使用專用 WAC 伺服器
針對集中式管理,建議您使用專用的 Windows 管理員 伺服器安裝,您可以從中新增其他伺服器。 這種方法表示沒有受管理的伺服器需要額外的軟體。 如需詳細資訊,請參閱 Windows 管理員 中心。
準備專用 VNet
Azure 網路適配器的安裝介面可能不符合您的命名慣例或定價層需求。 若要避免此衝突,您可以在部署配接器之前建立必要的 Azure 資源。 在部署期間,您可以選取已存在的資源,而不是透過安裝介面加以建立。
注意
請確定您選取正確的 VPN 閘道 SKU,因為並非所有 SKU 都支援 Azure 網路適配器隨附的 VPN 連線。 安裝對話框提供 VpnGw1、VpnGw2 和 VpnGw3。 目前,配接器不支援 VPN 閘道 的區域備援版本。
考量
這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework。
延展性
- VPN 閘道 SKU:
- 您選取的 VPN 閘道 SKU 會決定可以平行使用多少個連線,以及所有連線可用的頻寬。 當您使用 P2S IKEv2/OpenVPN 選項時,並行連線數目會從 250 到 1,000 不等。 IKE 是指 IPsec 金鑰交換。 建議您從 VpnGw1 開始,並在稍後需要更多連線時相應放大。 如果您需要切換 VPN 閘道 世代,您必須安裝新的閘道,並部署新的 Azure 網路適配器以連線到該閘道。
- 連線 多部獨立伺服器:
- 您可以使用 WAC 將 Azure 網路適配器部署至所需的伺服器數量。 您也可以將許多 Azure 網路適配器新增至單一伺服器,以連線到不同的 Azure VNet。 完成 VPN 閘道 的初始部署之後,您可以選取安裝介面中的現有閘道,設定額外的伺服器以使用相同的閘道。
- 獨立伺服器可以位於相同網路、分公司網路,或位於不同的雲端式網路上。 您可以使用您已建立的網路連線,例如公司 WAN 或不同雲端提供者的專用 VPN,如果可透過這些連線取得所需的網路埠。 如需詳細資訊,請參閱本文中的一節。
- Azure 站對站連線:
- Azure 網路適配器是單一伺服器上的單一安裝。 如果您想要連線數部伺服器,可能會面臨大量系統管理工作。 不過,您可以使用 Azure Site-2-Site 連線 (S2S) 方法,將現有的內部部署網路連線到 Azure VNet 及其子網,以避免這種工作。 此連線的核心是 Azure VPN 閘道,您可以透過此 Azure VPN 閘道,將本機、內部部署 VPN 網關聯機至遠端 Azure VPN 閘道。 此安全連線可讓兩個網路區段以透明的方式彼此通訊。
可用性
- Azure 網路適配器僅支援 Azure VPN 閘道 的主動-被動設定。 在適配卡的設定期間,您可以指向現有的 主動-主動 Azure VPN 閘道。 安裝程式會將閘道重新設定為主動-被動組態。 您可以手動將閘道重新設定為主動-主動狀態,但 Azure 網路適配器不會連線到此閘道。
警告
針對具有主動-主動設定的現有 Azure VPN 閘道 設定 Azure 網路適配器,會將閘道重新設定為主動-被動。 這會影響此閘道的所有現有 VPN 連線。 從主動-主動組態變更為主動-待命組態,會導致每個連線的兩個 IPsec VPN 通道之一中斷。 在評估整體連線需求並與網路管理員諮詢的情況下,請勿繼續 。
管理能力
- 管理員 原則帳戶:
WAC 是您用來部署 Azure 網路適配器並設定帳戶處理的核心工具。 如需可用選項的詳細資訊,請參閱 Windows 管理員 中心的使用者存取選項。 您可以為每個伺服器連線設定個別帳戶。
注意
當您選取 [繼續] 時,每個伺服器設定系統管理帳戶的對話框將會驗證您的認證。 若要開啟對話框,請在 WAC 中,選取具有適用伺服器名稱的數據列,然後選取 [ 管理身分]。 請勿 選取代表伺服器的超鏈接,因為它會立即將您連線到該伺服器。
此外,您必須在 WAC 中開啟 [設定] 對話方塊,並修改帳戶區段,以設定 Azure 連線的用戶帳戶。 您也可以在 [設定] 對話框中切換使用者或註銷使用者的會話。
- Azure Recovery Vault 整合:
- 當您在獨立伺服器上安裝 Azure 網路適配器時,您可以考慮該伺服器是商務持續性的埠。 您可以使用您在 WAC 的 [工具] 區段中選取 [Azure 備份] 來設定的 Azure 復原保存庫服務,將該伺服器整合到備份和災害復原程式中。 Azure 備份 將伺服器直接備份至 Microsoft Azure,協助保護您的 Windows 伺服器免於損毀、攻擊或災害。
安全性
安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性要素概觀。
- 必要的網路埠:
如果您想要使用 WAC 來部署 Azure 網路適配器,則必須開啟 PowerShell 遠端的網路埠。
PowerShell 遠端處理使用 Windows 遠端管理 (WinRM)。 如需詳細資訊,請參閱 PowerShell遠端安全性考慮 和 PowerShell遠端預設設定。
在某些情況下,您必須使用額外的驗證方法。 WAC 可以使用 PowerShell 搭配認證安全性支援提供者通訊協定 (CredSSP) 來連線到遠端伺服器。 如需詳細資訊,請參閱 PowerShell 遠端和 CredSSP,以及 Windows 管理員 中心如何使用 CredSSP。
PowerShell 遠端處理 (和 WinRM) 會使用下列埠:
通訊協定 連接埠 HTTP 5985 HTTPS 5986 如何連線到安裝 Windows 管理員 中心 (WAC) 的伺服器,取決於您的 WAC 安裝類型。 默認埠會因 Windows 10 安裝或 Windows Server 上安裝埠 443 而不同,而且可以是埠 6516。 如需詳細資訊,請參閱安裝 Windows 管理員 中心。
- 適用於雲端的 Microsoft Defender 整合:
- 為了協助保護安裝 Azure 網络適配器的伺服器,您可以從 WAC 的 [工具] 區段中選取 [適用於雲端的 Microsoft Defender],將伺服器整合至 適用於雲端的 Microsoft Defender。 在整合期間,您必須選取現有的 Azure Log Analytics 工作區或建立新的工作區。 您將會針對與 適用於雲端的 Microsoft Defender整合的每個伺服器個別計費。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 定價。
DevOps
- Azure 自動化:
- WAC 可讓您存取建立 Azure 網络適配器的 PowerShell 程式代碼,您可以選取 [網路 工具],然後選取 WAC 頁面頂端的 [檢視 PowerShell 腳本 ] 圖示來檢閱它。 腳本的名稱是
Complete-P2SVPNConfiguration,而且會實作為PowerShell函式。 程式代碼會經過數字簽署,並準備好重複使用。 您可以將它整合到 Azure 自動化,方法是在 Azure 入口網站 內設定更多服務。
- WAC 可讓您存取建立 Azure 網络適配器的 PowerShell 程式代碼,您可以選取 [網路 工具],然後選取 WAC 頁面頂端的 [檢視 PowerShell 腳本 ] 圖示來檢閱它。 腳本的名稱是
成本最佳化
成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素概觀。
- Azure 定價計算機:
- 使用 Azure 網路適配器實際上不會花費任何成本,因為它是您部署至內部部署系統的元件。 Azure VPN 閘道 作為解決方案的一部分,會產生額外的成本,就像使用 Azure 復原保存庫或 適用於雲端的 Microsoft Defender 等其他服務一樣。 如需實際成本的詳細資訊,請參閱 Azure 定價計算機。 請務必注意,實際成本會因 Azure 區域和個別合約而有所不同。 如需定價的詳細資訊,請連絡 Microsoft 銷售代表。
- 輸出成本:
- 與輸出 Inter-VNet 資料傳輸相關聯的額外成本。 這些成本取決於您 VPN 閘道的 SKU,以及您使用的實際數據量。 如需詳細資訊,請參閱 Azure 定價計算機。 請務必注意,實際成本會因 Azure 區域和個別合約而有所不同。 如需定價的其他資訊,請連絡 Microsoft 銷售代表。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- Frank Migacz |應用程式創新專家
若要查看非公用LinkedIn配置檔,請登入LinkedIn。
下一步
深入瞭解元件技術:
- Windows Server 2019 中的前 10 個網络功能:#3 Azure 網络適配器
- 點對站 VPN
- 在 Microsoft 評估中心 上試用 Windows 管理員 中心
- 什麼是 Azure 虛擬網路?
- 何謂 Azure Bastion?
- 什麼是 VPN 閘道?
- Windows 管理員 中心概觀
相關資源
探索相關的架構: