Připojení samostatných serverů pomocí síťového adaptéru Azure

Bastion

Virtual Network

VPN Gateway

Windows Server

Virtual Machines

Tato referenční architektura ukazuje, jak připojit místní samostatný server k virtuálním sítím Microsoft Azure pomocí síťového adaptéru Azure, který nasadíte prostřednictvím centra pro správu Windows (WAC). Síťový adaptér Azure vytvoří zabezpečené virtuální připojení přes internet, které rozšiřuje vaši místní síť do Azure.

Azure VPN slouží k připojení samostatného serveru k virtuální síti Azure nasazením síťového adaptéru Azure pomocí Windows admin Center. Pak můžete spravovat virtuální počítače Azure ze samostatného serveru pomocí privátní IP adresy virtuálních počítačů.

Nasaďte síťový adaptér Azure pomocí centra Windows Admin Center a připojte samostatný server přes Azure VPN k virtuální síti Azure podnikové sítě, firemní pobočce nebo síti jiného poskytovatele cloudu. Potom můžete použít samostatný server ke správě virtuálních počítačů Azure prostřednictvím jejich privátních IP adres z libovolného umístění.

Stáhněte si Visio těchto architektur.

Architektura

Tato architektura se skládá z následujících součástí:

Místní síť. Tato komponenta je privátní místní síť (LAN) organizace.
Pobočka. Tato komponenta je privátní síť LAN na vzdálené pobočce, která se připojuje přes síť WAN (Corporate Wide Area Network).
Jiný poskytovatel cloudu. Tato komponenta je privátní virtuální síť, kterou nabízí poskytovatel cloudu. Připojuje se přes virtuální privátní síť (VPN).
Windows Server s nainstalovaným Windows Admin Center. Server, který používáte k nasazení síťového adaptéru Azure.
Windows Server (samostatný). Server, na kterém je nainstalovaný síťový adaptér Azure. Tento server může být v síti pobočky nebo v síti jiného poskytovatele cloudu.
Azure Virtual Network (virtuální síť). Virtuální servery a další služby a komponenty pro azure VPN Gateway, které jsou ve stejné virtuální síti uvnitř Azure.
Azure VPN Gateway. Služba VPN Gateway, která umožňuje připojit virtuální síť k místní síti nebo samostatným serverům prostřednictvím zařízení VPN nebo síťových adaptérů Azure. Další informace najdete v článku o připojení místní sítě k virtuální síti Microsoft Azure. Pro brány VPN je k dispozici několik cenových úrovní nebo skladových jednotek (SKU). Každá SKU podporuje různé požadavky na základě typů úloh, propustnosti, funkcí a smluv o úrovni služeb (SLA). Brána VPN Gateway zahrnuje následující komponenty:
- Brána virtuální sítě (aktivní). Tento prostředek Azure poskytuje virtuální zařízení VPN pro virtuální síť a zodpovídá za směrování provozu tam a zpět mezi místní sítí a virtuální sítí.
- Brána virtuální sítě (pasivní). Tento prostředek Azure poskytuje virtuální zařízení VPN pro virtuální síť a je to pohotovostní instance aktivní služby Azure VPN Gateway. Další informace najdete v tématu Informace o redundanci služby Azure VPN Gateway.
- Podsíť brány. Brána virtuální sítě se nachází ve vlastní podsíti, která podléhá různým požadavkům, které Recommendations části.
- Připojení: Připojení má vlastnosti, které určují typ připojení. Mezi tyto vlastnosti Internet Protocol zabezpečení sítě (IPsec) a klíč sdílený s místním zařízením VPN pro šifrování provozu.
Cloudová aplikace. Tato komponenta je aplikace hostovaná v Azure. Může zahrnovat mnoho úrovní s několika podsítěmi, které se připojují prostřednictvím nástroje pro vyrovnávání zatížení Azure. Další informace o infrastruktuře aplikací najdete v článcích Spouštění úloh virtuálních počítačů s Windows a Spouštění úloh virtuálních počítačů s Linuxem.
Interní nástroj pro vyrovnávání zatížení. Síťový provoz z brány VPN gateway se směruje do cloudové aplikace prostřednictvím interního nástroje pro vyrovnávání zatížení, který je v produkční podsíti aplikace.
Azure Bastion. Azure Bastion umožňuje přihlásit se k virtuálním počítačům ve virtuální síti Azure, aniž by se virtuální počítače vystavil přímo na internetu. Používá Secure Shell (SSH) nebo protokol RDP (Remote Desktop Protocol) (RDP). Pokud ztratíte připojení VPN, stále můžete použít Azure Bastion ke správě virtuálních počítačů ve virtuální síti Azure. Správa místních serverů prostřednictvím služby Azure Bastion ale není podporována.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Připojení samostatného serveru

Pokud chcete připojit samostatný server přes WAC, musíte ho přidat do seznamu spravovaných serverů v instalaci WAC vyhrazeného serveru. Po přidání serveru do tohoto seznamu můžete vybrat server, pro který chcete nainstalovat síťový adaptér Azure, a pak v nástrojích vybrat Síť a pak v podokně Síť vybrat možnost + Přidat síťový adaptér Azure (Preview).

Tip

Pokud v okně prohlížeče nevidíte možnost + Přidat síťový adaptér Azure (Preview), možná budete muset okno zvětšit nebo se může zobrazit tlačítko Akce s rozevíracím šipkou. Vyberte rozevírací šipku pro přístup k možnosti a přidejte síťový adaptér Azure.

Když vyberete možnost + Přidat síťový adaptér Azure (Preview), otevře se v okně prohlížeče okno Přidat konfiguraci síťového adaptéru Azure. V tomto okně můžete nakonfigurovat několik možností.

Poznámka

Pokud jste se ještě předtím neověřují z WAC pro tenanta Azure, kterého chcete použít, zobrazí se ověřovací dialogové okno. Pokud chcete pokračovat, zadejte ověřovací informace vašeho tenanta. Přihlašovací údaje uživatele, které použijete k ověření, musí mít dostatečná oprávnění k vytvoření prostředků Azure, které nakonfigurujete v dalších krocích.

Jsou nezbytné následující informace:

Pole	Hodnota	Další informace
Předplatné	Výběr z rozevíracího seznamu	Toto pole obsahuje pouze předplatná přiřazená k vašemu tenantovi.
Umístění	Výběr z rozevíracího seznamu	Vyberte oblast Azure pro vaše nasazení.
Virtual Network	Vyberte z rozevíracího seznamu nebo pomocí poskytnutého hypertextového odkazu vytvořte nový Virtual Network v Azure Portal	V závislosti na vašem výběru se obsah pole bude lišit. Pokud Virtual Network existuje, zobrazí se hypertextový odkaz, který můžete použít ke Virtual Network v Azure Portal. Pokud vybraná virtuální síť již obsahuje VNet Gateway, zobrazí se hypertextový odkaz na tento prostředek Azure.
Podsíť brány	Předpona podsítě, například 10.0.1.0/24	V závislosti na vybraném Virtual Network se toto pole bude lišit. Pokud vybraná virtuální síť neobsahuje žádnou podsíť označenou jako GatewaySubnet, v poli se předvyplní předpona podsítě, která obsahuje rozsah adres a masku podsítě. Pokud vybraná virtuální síť již obsahuje VNet Gateway, zobrazí se hypertextový odkaz na tento prostředek Azure.
SKU brány	Výběr z rozevíracího seznamu	Další informace najdete v tématu Skladové skladové části brány.
Adresní prostor klienta	Předpona podsítě, například 192.168.1.0/24	Do pole se předvyplní předpona podsítě, která obsahuje rozsah adres a masku podsítě. Jedná se o síť, která se bude používat mezi serverem, ke kterému přidáte síťový adaptér Azure, a azure VPN Gateway. Musí mít rozsah adres, který se nepřekrývá s žádným z rozsahů adres používaných místně nebo v žádné z připojených virtuálních sítí Azure.
Ověřovací certifikát	Vyberte jednu z možností.	Možnost Automaticky vygenerovaný kořenový certifikát podepsaný svým držitelem a klientský certifikát je předem vybraná a funguje nejlépe ve většině scénářů. Když vyberete možnost Použít vlastní kořenový a klientský certifikát, musíte zadat dva soubory: kořenový certifikát (.cer) a klientský certifikát (.pfx) a pak heslo pro klientský certifikát.

Po dokončení všech potřebných polí se tlačítko Vytvořit stane aktivní a měli byste ho vybrat, aby se nasazení síťového adaptéru Azure začalo na vybraný server.

Proces nasazení má dvě hlavní části, z nichž první je nasazení a výběr služby Azure VPN Gateway. Pokud potřebujete nejprve nasadit azure VPN Gateway, 25 až 45 minut, než se nasazení dokončí. (Nasazení některých konfigurací může trvat tak dlouho.) WAC poskytne informace o průběhu nasazení. Druhou částí je skutečná instalace síťového adaptéru Azure, která může trvat 10 minut. WAC vás upozorní také na průběh instalace.

Po zahájení nasazení můžete fokus WAC změnit tak, že vyberete jiné nástroje nebo servery. Proces nasazení pokračuje na pozadí.

Pokud vyberete možnost automaticky generovaný kořenový certifikát podepsaný svým držitelem a certifikát klienta , Azure vytvoří tyto dva požadované certifikáty automaticky a uloží je do úložiště certifikátů vybraného serveru. K jejich vyhledání můžete použít nástroj certifikáty v WAC a pak můžete najít kořenový certifikát v místním počítači nebo kořenovém kontejneru. název certifikátu začíná na Windows centra pro správu – vytvořeno – vpngw a obsahuje řetězec P2SRoot . Konec řetězce obsahuje časové razítko kódované s datem vytvoření certifikátu. Tento certifikát bude také uložen v kontejneru místní počítač/certifikační autorita. Druhý certifikát je uložený v místním počítači/mém kontejneru. název tohoto certifikátu začíná na Windows centra pro správu – vytvořeno – vpngw a obsahuje P2SClient řetězec. Konec řetězce obsahuje časové razítko kódované s datem vytvoření certifikátu.

Po dokončení nasazení se nástroj sítě vybraného serveru aktualizuje pomocí nového síťového adaptéru Azure, který se automaticky spustí po ukončení nasazení a označuje aktivní stav. Můžete vybrat adaptér pro aktivaci více rozevíracího seznamu, který můžete vybrat k odpojení nebo odstranění adaptéru. Na aktuálním serveru se síťový adaptér Azure nainstaluje jako připojení VPN. název adaptéru začíná na Windows správce CenterVPN – následované náhodným třemi číslicemi.

Když je síťový adaptér Azure nainstalovaný a připojený, můžete toto nové síťové připojení použít k přímému připojení k Azure virtuální sítě a jejich systémům. Tento typ připojení se obvykle používá k navázání relace vzdálené plochy prostřednictvím interní IP adresy virtuálního počítače Azure namísto použití veřejné IP adresy virtuálního počítače.

Použití vyhrazeného serveru WAC

v případě centralizované správy doporučujeme použít vyhrazenou instalaci serveru správce Windows, ze které můžete přidat další servery. Tento přístup znamená, že žádné spravované servery nevyžadují extra software. Další informace o WAC najdete v dokumentaci Microsoftu.

Příprava vyhrazené virtuální sítě

Rozhraní pro instalaci síťového adaptéru Azure nemusí splňovat vaše konvence pojmenování nebo potřeby cenové úrovně. Chcete-li se tomuto konfliktu vyhnout, můžete před nasazením adaptéru vytvořit požadované prostředky Azure. Během nasazení vybíráte již existující prostředky namísto jejich vytváření prostřednictvím instalačního rozhraní.

Poznámka

Ujistěte se, že jste vybrali správnou VPN Gateway SKU, protože ne všechny podporují připojení VPN, které je součástí síťového adaptéru Azure. Dialog instalace nabízí VpnGw1, VpnGw2 a VpnGw3. V současné době adaptér nepodporuje verze VPN Gateway redundantních v zóně.

Aspekty zabezpečení

VPN Gateway SKU:
- VPN Gateway SKU , které vyberete, určuje, kolik připojení může paralelně trvat, a šířku pásma dostupnou pro všechna tato připojení. Počet souběžných připojení se v případě použití možnosti P2S IKEv2/OpenVPN liší od 250 do 1 000. Protokol IKE odkazuje na klíč protokolu IPsec Exchange. Pokud potřebujete víc připojení, je vhodné začít s VpnGw1 a škálovat později. Pokud potřebujete přepnout generaci VPN Gateway, musíte nainstalovat novou bránu a nasadit nový síťový adaptér Azure, abyste se k němu mohli připojit.
Připojení více samostatných serverů:
- K nasazení síťového adaptéru Azure na tolik serverů, kolik potřebujete, můžete použít WAC. Můžete taky přidat spoustu síťových adaptérů Azure na jeden server pro připojení k různým virtuální sítě Azure. Po dokončení počátečního nasazení VPN Gateway můžete nakonfigurovat další servery tak, aby používaly stejnou bránu, a to tak, že v instalačním rozhraní vyberete existující bránu.
- Samostatné servery můžou být umístěné ve stejné síti, v podnikové síti nebo v jiné cloudové síti. Pokud jsou požadované síťové porty k dispozici prostřednictvím těchto připojení, můžete použít síťové připojení, které jste si nastavili, jako je například firemní síť WAN nebo vyhrazená síť VPN k jinému poskytovateli cloudu. Další informace najdete v části "požadavky na zabezpečení" v tomto článku.
Připojení mezi lokalitami Azure:
- Síťový adaptér Azure je jediná instalace na jednom serveru. Pokud se chcete připojit k několika serverům, můžete se setkat s významným administrativním úsilím. Toto úsilí se ale můžete vyhnout připojením k místním systémům pomocí metody Azure Site-2-site Connection (S2S), která připojí existující místní síť k virtuální síti Azure a jejím podsítím. V jádru tohoto připojení je Azure VPN Gateway, přes kterou můžete připojit místní bránu VPN pomocí vzdáleného VPN Gateway Azure. Toto zabezpečené připojení umožňuje vzájemnou komunikaci mezi dvěma segmenty sítě.

Aspekty dostupnosti

Síťový adaptér Azure podporuje jenom konfiguraci s aktivním pasivním prostředím Azure VPN Gateway. Během konfigurace adaptéru můžete odkazovat na stávající aktivní aktivní bránu Azure VPN Gateway. Instalační program překonfiguruje bránu na konfiguraci s aktivním pasivním režimem. Ruční Opětovná konfigurace brány do stavu aktivní-aktivní je možná, ale síťový adaptér Azure se k této bráně nepřipojí.

Upozornění

Konfigurace síťového adaptéru Azure proti stávajícímu VPN Gateway Azure s konfigurací aktivní-aktivní znovu nakonfiguruje bránu na aktivní-pasivní. To bude mít vliv na všechna existující připojení VPN k této bráně. Změna z konfigurace aktivní-aktivní na aktivní v pohotovostním režimu způsobí zrušení jednoho ze dvou tunelových propojení VPN IPsec pro každé připojení. Nepokračujte bez hodnocení celkových požadavků na připojení a konzultací se správci vaší sítě.

Aspekty správy

Účet správce:
- WAC je základní nástroj, který slouží k nasazení síťového adaptéru Azure a ke konfiguraci manipulace s účty. další informace o dostupných možnostech najdete v tématu možnosti přístupu uživatele pomocí centra pro správu Windows. Pro každé připojení k serveru můžete nakonfigurovat jednotlivé účty.
  
  Poznámka
  
  Dialogové okno, ve kterém nakonfigurujete účet pro správu na server, bude ověřovat vaše přihlašovací údaje, když vyberete pokračovat. Chcete-li otevřít dialogové okno, vyberte v WAC řádek s příslušným názvem serveru a pak vyberte Spravovat jako. Nevybírejte hypertextový odkaz, který představuje server, protože vás k tomuto serveru připojí hned.
- kromě toho musíte nakonfigurovat uživatelský účet pro připojení k Azure otevřením dialogového okna Nastavení v části WAC a změnou účtu. můžete také přepnout uživatele nebo odhlásit relaci uživatele v dialogovém okně Nastavení .
Integrace trezoru služby Azure Recovery:
- Když nainstalujete síťový adaptér Azure na samostatný server, můžete zvážit, že se jedná o port pro zajištění kontinuity podnikových serverů. Tento server můžete integrovat do svých postupů zálohování a zotavení po havárii pomocí služeb trezoru služby Azure Recovery, které nakonfigurujete tak, že vyberete Azure Backup v části nástroje v WAC. Azure Backup pomáhá chránit server Windows před poškozením, útoky nebo katastrofami zálohováním serveru přímo do Microsoft Azure.

Důležité informace o zabezpečení

Požadované síťové porty:
- Pokud chcete použít WAC k nasazení síťového adaptéru Azure, musí být síťové porty pro vzdálenou komunikaci prostředí PowerShell otevřené.
- vzdálená komunikace prostředí PowerShell používá Vzdálená správa systému Windows (WinRM). Další informace najdete v tématu věnovaném hlediskům zabezpečení vzdálené komunikace PowerShellu a výchozím nastavením vzdálené komunikace PowerShellu.
- V některých scénářích je nutné použít dodatečné metody ověřování. WAC může použít PowerShell s protokolem CredSSP (Credential Security Support Provider Protocol) pro připojení ke vzdáleným serverům. další informace najdete v tématech vzdálená komunikace a credssp v powershellu a jak Windows centrum pro správu používá CredSSP.
- Vzdálená komunikace PowerShellu (a WinRM) používá následující porty:
  
  Protokol Port
  
  HTTP 5985
  
  HTTPS 5986
- způsob připojení k serveru, na kterém je nainstalováno centrum pro správu Windows (WAC), závisí na typu instalace vaší WAC. výchozí port se liší a může být port 6516 při instalaci do Windows 10 nebo port 443 při instalaci na serveru Windows. další informace najdete v tématu instalace centra pro správu Windows.
Azure Security Center integrace:
- Pro lepší ochranu serveru, na kterém je nainstalovaný síťový adaptér Azure, můžete server integrovat do Azure Security Center tím, že v části nástroje v WAC vyberete Azure Security Center . Během integrace musíte vybrat stávající pracovní prostor Azure Log Analytics nebo vytvořit nový. Budou se vám účtovat samostatně pro každý server, který budete integrovat s Azure Security Center. Další informace najdete v tématu Azure Security Center ceny.

Protokol	Port
HTTP	5985
HTTPS	5986

Důležité informace o DevOps

Azure Automation:
- WAC vám poskytne přístup k kódu prostředí PowerShell, který vytvoří síťový adaptér Azure, a můžete ho zkontrolovat tak, že vyberete síťový nástroj a pak v horní části stránky WAC vyberete ikonu Zobrazit skripty PowerShellu . Název skriptu je úplný – P2SVPNConfiguration a implementuje se jako funkce PowerShellu. Kód je digitálně podepsaný a připravený k jeho použití. Můžete ji integrovat do Azure Automation tím, že nakonfigurujete další služby v rámci Azure Portal.

Důležité informace o nákladech

Cenová Kalkulačka Azure:
- Použití síťového adaptéru Azure ve skutečnosti neplatí cokoli, protože se jedná o komponentu, kterou nasazujete do místního systému. Azure VPN Gateway jako součást řešení vygeneruje dodatečné náklady, protože používá jiné služby, jako je trezor Azure Recovery Services nebo Azure Security Center. Další informace o skutečných nákladech najdete v cenové kalkulačkě Azure. Je důležité si uvědomit, že se skutečné náklady liší podle oblasti Azure a jednotlivé smlouvy. Další informace o cenách vám poskytne prodejní zástupce Microsoftu.
náklady na Egress:
- K odchozím Inter-VNet přenosů dat se účtují další náklady. Tyto náklady jsou závislé na SKU vaší VPN Gateway a skutečném množství dat, která používáte. Další informace najdete v cenové kalkulačkě Azure. Je důležité si uvědomit, že se skutečné náklady liší podle oblasti Azure a jednotlivé smlouvy. Další informace o cenách vám poskytne prodejní zástupce Microsoftu.

Další kroky

Další informace o technologiích komponent:

Prozkoumejte související architektury: