Windows Azure 允許你將本地和云端進(jìn)行打通,實(shí)現(xiàn)企業(yè)混合云平臺(tái)的需求,如何打通本地網(wǎng)絡(luò)和云端網(wǎng)絡(luò),這就需要VPN技術(shù)。
而常見的VPN技術(shù)主要有Point-To-Site和Site-To-Site,微軟也采用這種方式讓本地和云端數(shù)據(jù)互通。
Point-To-Site VPN
將本地的一臺(tái)設(shè)備(Point),與云端的網(wǎng)絡(luò)(Site)進(jìn)行互通互聯(lián)。
Point指的就是企業(yè)內(nèi)網(wǎng)的一臺(tái)主機(jī)(VPN客戶端)
Site是指Azure Virtual Network的網(wǎng)絡(luò)
這樣可以實(shí)現(xiàn)將企業(yè)內(nèi)網(wǎng)的一臺(tái)主機(jī)與云端網(wǎng)絡(luò)互通互聯(lián),同時(shí)通過VPN保證網(wǎng)絡(luò)的安全性
Point-To-Site VPN是使用SSTP VPN協(xié)議
Point-To-Site VPN是基于Internet連接的
采用這種方式的企業(yè)內(nèi)網(wǎng)的主機(jī)需要安裝VPN客戶端
客戶端支持以下操作系統(tǒng):
Windows 7 (32位和64位)
Windows 8(32位和64位)
Windows 8.1(32位和64位)
Windows 10(32位和64位)
Windows Server 2008 R2(僅支持64位)
Windows Server 2012(僅支持64位)
Windows Server 2012 R2(64)
Site-To-Site VPN
將本地的網(wǎng)絡(luò)(Site)與云端的Azure虛擬網(wǎng)絡(luò)(Site)進(jìn)行互通互聯(lián)。
Site-To-Site VPN的前提要求:
企業(yè)本地網(wǎng)絡(luò)需要固定的公網(wǎng)IPV4地址
需要微軟認(rèn)證的VPN設(shè)備 或者Windows Server 2012 RRAS(設(shè)備列表請參考:https://msdn.microsoft.com/en-us/library/azure/jj156075.aspx)
VPN設(shè)備必須在NAT設(shè)備的前面
Site-to-Site VPN是使用IPSec VPN協(xié)議
=========================================================================================
這里我先介紹.Point-To-Site VPN如何去配置。
第一步:默認(rèn)你已經(jīng)有Windows Azure 訂閱,進(jìn)入https://manage.windowsazure.com管理界面。
第二步:新建虛擬網(wǎng)絡(luò)
第三步:輸入虛擬網(wǎng)絡(luò)名稱,并選擇數(shù)據(jù)中心位置(建議選擇離你最近的數(shù)據(jù)中心)
第四步:配置DNS服務(wù)器,如果你想本地客戶端和Azure的虛擬機(jī)能夠正常訪問Internet的話可以加上公網(wǎng)DNS服務(wù)器,這里我添加的谷歌的。然后選擇配置點(diǎn)到站點(diǎn)VPN,點(diǎn)擊下一步。
第五步:點(diǎn)到站點(diǎn)連接頁面,這里配置客戶端連接VPN后分配的地址池,注意不要和本地的和地址段一樣。
第六步:虛擬網(wǎng)絡(luò)訪問空間這里的地址池是Azure虛擬網(wǎng)絡(luò)內(nèi)部的地址池,用來分配給虛擬機(jī)的。配置好后,點(diǎn)擊添加網(wǎng)關(guān)子網(wǎng)。然后點(diǎn)擊確定。
第七步:點(diǎn)擊創(chuàng)建網(wǎng)關(guān),這個(gè)步驟執(zhí)行時(shí)間較長,請耐心等待。
第八步:使用makecert.exe在本地客戶端上創(chuàng)建證書(makecert.exe包含在Visual Studio中)
在makecert.exe目錄下執(zhí)行下面命令生成客戶端根證書
makecert -sky exchange -r -n"CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My"RootCertificateName.cer"
該目錄下會(huì)生成RootCertificateName.cer證書文件,并且該命令將在你的計(jì)算上的"個(gè)人"證書存儲(chǔ)區(qū)中創(chuàng)建和安裝根證書。
第九步:將該證書上載到管理門戶。點(diǎn)擊之前創(chuàng)建的虛擬網(wǎng)路demonet,點(diǎn)擊證書,然后點(diǎn)擊上載根證書。
將C:RootCertificateName.cer證書文件上傳。
第十步:再生成一條客戶端證書,使用下面的命令
2makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
另外我們通過MMC打開證書控制臺(tái),可以發(fā)現(xiàn)新增的兩個(gè)證書。
第十一步:下載并安裝VPN客戶端,然后連接到VPN。
點(diǎn)擊連接后,彈出VPN客戶端對話框,然后點(diǎn)擊連接。
看下客戶端的獲得的地址,表明我們已經(jīng)連接上了。