Upravit

Připojení samostatných serverů pomocí síťového adaptéru Azure

Azure Bastion
Azure Virtual Network
Azure VPN Gateway
Windows Server
Azure Virtual Machines

Tato referenční architektura ukazuje, jak připojit místní samostatný server k virtuálním sítím Microsoft Azure pomocí síťového adaptéru Azure, který nasadíte přes Windows Správa Center (WAC). Síťový adaptér Azure vytvoří zabezpečené virtuální připojení přes internet, které rozšiřuje vaši místní síť do Azure.

Architektura

Azure VPN slouží k připojení samostatného serveru k virtuální síti Azure nasazením síťového adaptéru Azure pomocí centra Windows Správa Center. Virtuální počítače Azure pak můžete spravovat ze samostatného serveru pomocí privátní IP adresy virtuálních počítačů.

Nasaďte síťový adaptér Azure pomocí centra Windows Správa Center a připojte samostatný server přes Azure VPN k virtuální síti Azure, pobočce nebo síti jiného poskytovatele cloudu. Pak můžete použít samostatný server ke správě virtuálních počítačů Azure prostřednictvím jejich privátních IP adres z libovolného umístění.

Stáhněte si soubor Visia těchto architektur.

Workflow

Architektura se skládá z:

  • Místní síť: Tato komponenta je privátní místní síť (LAN) organizace.
  • Pobočka. Tato komponenta je privátní síť LAN ve vzdálené pobočce, která se připojuje přes podnikovou síť WAN (Wide Area Network).
  • Jiný poskytovatel cloudu. Tato komponenta je privátní virtuální síť, kterou nabízí poskytovatel cloudu. Připojuje se přes virtuální privátní síť (VPN).
  • Windows Server s nainstalovaným centrem Windows Správa Center Server, který používáte k nasazení síťového adaptéru Azure.
  • Windows Server (samostatný). Server, na kterém je nainstalovaný síťový adaptér Azure. Tento server může být v síti pobočky nebo v síti jiného poskytovatele cloudu.
  • Virtuální síť Azure. Virtuální servery a další služby a komponenty pro službu Azure VPN Gateway, které jsou ve stejné virtuální síti v Azure.
  • Azure VPN Gateway. Služba VPN Gateway, která umožňuje připojit virtuální síť k místní síti nebo samostatným serverům prostřednictvím zařízení VPN nebo síťových adaptérů Azure. Další informace najdete v článku o připojení místní sítě k virtuální síti Microsoft Azure. Pro brány VPN je k dispozici několik cenových úrovní nebo skladových jednotek (SKU). Každá skladová položka podporuje různé požadavky na základě typů úloh, propustnosti, funkcí a smluv o úrovni služeb (SLA). Brána VPN obsahuje následující komponenty:
    • Brána virtuální sítě (aktivní) Tento prostředek Azure poskytuje virtuální zařízení VPN pro virtuální síť a zodpovídá za směrování provozu mezi místní sítí a virtuální sítí.
    • Brána virtuální sítě (pasivní) Tento prostředek Azure poskytuje virtuální zařízení VPN pro virtuální síť a jedná se o pohotovostní instanci aktivní služby Azure VPN Gateway. Další informace najdete v tématu o redundanci služby Azure VPN Gateway.
    • Podsíť brány. Brána virtuální sítě se uchovává ve vlastní podsíti, která podléhá různým požadavkům, které podrobně popisuje následující část Doporučení.
    • Připojení: Připojení má vlastnosti, které určují typ připojení. Mezi tyto vlastnosti patří zabezpečení protokolu IPsec (Internet Protocol Security) a klíč sdílený s místním zařízením VPN pro šifrování provozu.
  • Cloudová aplikace. Tato komponenta je aplikace hostovaná v Azure. Může obsahovat mnoho vrstev s více podsítěmi, které se připojují prostřednictvím nástrojů pro vyrovnávání zatížení Azure. Další informace o infrastruktuře aplikací najdete v článcích Spouštění úloh virtuálních počítačů s Windows a Spouštění úloh virtuálních počítačů s Linuxem.
  • Interní nástroj pro vyrovnávání zatížení. Síťový provoz z brány VPN se směruje do cloudové aplikace prostřednictvím interního nástroje pro vyrovnávání zatížení, který je v produkční podsíti aplikace.
  • Azure Bastion. Azure Bastion umožňuje přihlásit se k virtuálním počítačům ve virtuální síti Azure, aniž byste virtuální počítače zpřístupnili přímo na internet. Používá protokol RDP (Secure Shell) nebo RDP (Secure Shell). Pokud ztratíte připojení VPN, můžete ke správě virtuálních počítačů ve virtuální síti Azure použít Azure Bastion. Správa místních serverů prostřednictvím služby Azure Bastion se ale nepodporuje.

Komponenty

  • Virtuální síť. Azure Virtual Network (VNet) je základní stavební blok pro privátní síť v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

  • Azure Bastion. Azure Bastion je plně spravovaná služba, která poskytuje bezpečnější a bezproblémový přístup k virtuálním počítačům pomocí protokolů RDP (Remote Desktop Protocol) a SSH (Secure Shell Protocol). Nedochází přitom k žádnému vystavení prostřednictvím veřejných IP adres.

  • VPN Gateway. Služba VPN Gateway odesílá šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet. Bránu VPN Gateway můžete použít také k odesílání šifrovaného provozu mezi virtuálními sítěmi Azure přes síť Microsoftu. Brána VPN je konkrétní typ brány virtuální sítě.

  • Windows Správa Center. Windows Správa Center je místně nasazená aplikace založená na prohlížeči pro správu serverů, clusterů, hyperkonvergované infrastruktury a počítačů s Windows 10. Je to bezplatný produkt a je připravený k použití v produkčním prostředí.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Připojení samostatného serveru

Pokud chcete připojit samostatný server přes WAC, musíte server přidat do seznamu spravovaných serverů v instalaci WAC vyhrazeného serveru. Po přidání serveru do seznamu můžete vybrat server, pro který chcete nainstalovat síťový adaptér Azure, a potom v podokně Síť vybrat možnost Síť a pak v podokně Síť vybrat možnost + Přidat síťový adaptér Azure (Preview).

Tip

Pokud v okně prohlížeče nevidíte možnost + Přidat síťový adaptér Azure (Preview), možná budete muset okno zvětšit nebo můžete vidět tlačítko Akce s stříškou rozevíracího seznamu. Pokud chcete získat přístup k možnosti, vyberte stříšku rozevíracího seznamu a přidejte síťový adaptér Azure.

Když vyberete možnost + Přidat síťový adaptér Azure (Preview), otevře se okno Pro přidání síťového adaptéru Azure v okně prohlížeče. V tomto okně můžete nakonfigurovat několik možností.

Poznámka:

Pokud jste se ještě neověřili z WAC vůči tenantovi Azure, kterého chcete použít, zobrazí se dialogové okno ověřování. Pokud chcete pokračovat, zadejte ověřovací informace tenanta. Přihlašovací údaje uživatele, které použijete k ověření, musí mít dostatečná oprávnění k vytvoření prostředků Azure, které nakonfigurujete během dalších kroků.

Je nutné provést následující informace:

Pole Hodnota Další informace
Předplatné Výběr z rozevíracího seznamu Toto pole obsahuje jenom předplatná přiřazená k vašemu tenantovi.
Místo Výběr z rozevíracího seznamu Vyberte oblast Azure pro vaše nasazení.
Virtual Network Vyberte z rozevíracího seznamu nebo pomocí zadaného hypertextového odkazu vytvořte novou virtuální síť na webu Azure Portal. V závislosti na vašem výběru se obsah pole bude lišit. Pokud virtuální síť existuje, uvidíte hypertextový odkaz, podle kterého můžete zkontrolovat virtuální síť na webu Azure Portal. Pokud vybraná virtuální síť již obsahuje bránu virtuální sítě, zobrazí se hypertextový odkaz na tento prostředek Azure.
Podsíť brány Předpona podsítě, například 10.0.1.0/24 V závislosti na vybrané virtuální síti se toto pole bude lišit. Pokud vybraná virtuální síť neobsahuje podsíť s popiskem GatewaySubnet, bude pole předem vyplněno předponou podsítě, která zahrnuje rozsah adres a masku podsítě. Pokud vybraná virtuální síť již obsahuje bránu virtuální sítě, zobrazí se hypertextový odkaz na tento prostředek Azure.
Skladová položka brány Výběr z rozevíracího seznamu Další informace najdete v skladových posílacích brány.
Adresní prostor klienta Předpona podsítě, například 192.168.1.0/24 Pole bude předem vyplněno předponou podsítě, která zahrnuje rozsah adres a masku podsítě. Jedná se o síť, která se použije mezi serverem, do kterého přidáte síťový adaptér Azure a azure VPN Gateway. Musí mít rozsah adres, který se nepřekrývá s žádným z rozsahů adres používaných místně nebo v některé z připojených virtuálních sítí Azure.
Ověřovací certifikát Vyberte jednu z možností. Možnost Automaticky generovaný kořenový a klientský certifikát podepsaný svým držitelem je předem vybraná a ve většině scénářů funguje nejlépe. Když vyberete možnost Použít vlastní kořenový a klientský certifikát, musíte zadat dva soubory: kořenový certifikát (.cer) a klientský certifikát (.pfx) a heslo pro klientský certifikát.

Po dokončení všech potřebných polí se tlačítko Vytvořit aktivuje a měli byste ho vybrat, abyste zahájili nasazení síťového adaptéru Azure na vybraný server.

Proces nasazení má dvě hlavní části, z nichž první je nasazení a výběr služby Azure VPN Gateway. Pokud potřebujete nejprve nasadit službu Azure VPN Gateway, počkejte 25 až 45 minut, než se nasazení dokončí. (Nasazení některých konfigurací může trvat dlouho.) WAC poskytne informace o průběhu nasazení. Druhou částí je skutečná instalace síťového adaptéru Azure, což může trvat 10 minut. WAC vás také upozorní na průběh instalace.

Po zahájení nasazení můžete změnit zaměření WAC výběrem jiných nástrojů nebo serverů. Proces nasazení pokračuje na pozadí.

Pokud vyberete možnost Automaticky vygenerovaný kořenový adresář podepsaný svým držitelem a klientský certifikát , Azure pro vás automaticky vytvoří dva požadované certifikáty a uloží je do úložiště certifikátů vybraného serveru. Pomocí nástroje Certifikáty v WAC je můžete najít a pak můžete vyhledat kořenový certifikát v kontejneru Místní počítač nebo kořenový kontejner. Název certifikátu začíná systémem Windows Správa Center-Created-vpngw a obsahuje řetězec P2SRoot. Konec řetězce obsahuje časové razítko kódované s datem vytvoření certifikátu. Tento certifikát bude také uložen v kontejneru místního počítače nebo certifikační autority. Druhý certifikát je uložený v místním počítači nebo kontejneru My. Název tohoto certifikátu začíná systémem Windows Správa Center-Created-vpngw a obsahuje řetězec P2SClient. Konec řetězce obsahuje časové razítko kódované s datem vytvoření certifikátu.

Po dokončení nasazení se nástroj Sítě vybraného serveru aktualizuje novým síťovým adaptérem Azure, který se automaticky spustí po ukončení nasazení a označuje aktivní stav. Pokud chcete aktivovat rozevírací seznam Další , můžete ho vybrat, pokud chcete adaptér odpojit nebo odstranit. Na skutečném serveru se síťový adaptér Azure nainstaluje jako připojení VPN. Název adaptéru začíná systémem Windows Správa CenterVPN následovaným náhodným trojciferným číslem.

Po instalaci a připojení síťového adaptéru Azure můžete toto nové síťové připojení použít k přímému připojení k virtuálním sítím Azure a jejich systémům. Tento typ připojení se obvykle používá k vytvoření relace vzdálené plochy prostřednictvím interní IP adresy virtuálního počítače Azure místo použití veřejné IP adresy virtuálního počítače.

Použití vyhrazeného serveru WAC

Pro centralizovanou správu doporučujeme použít vyhrazenou instalaci Windows Správa Serveru, ze které můžete přidat další servery. Tento přístup znamená, že žádné spravované servery nevyžadují další software. Další informace naleznete v tématu Windows Správa Center.

Příprava vyhrazené virtuální sítě

Instalační rozhraní síťového adaptéru Azure nemusí splňovat vaše požadavky na vytváření názvů nebo cenové úrovně. Abyste se tomuto konfliktu vyhnuli, můžete před nasazením adaptéru vytvořit požadované prostředky Azure. Během nasazení vyberete již existující prostředky, místo abyste je vytvářeli prostřednictvím instalačního rozhraní.

Poznámka:

Ujistěte se, že jste vybrali správnou skladovou položku služby VPN Gateway, protože ne všechny podporují připojení VPN, které je součástí síťového adaptéru Azure. Instalační dialog nabízí VpnGw1, VpnGw2 a VpnGw3. Adaptér v současné době nepodporuje zónově redundantní verze služby VPN Gateway.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

  • Skladová položka služby VPN Gateway:
    • SKU služby VPN Gateway, kterou vybíráte, určuje, kolik připojení může paralelně trvat, a šířku pásma, která je dostupná pro všechna tato připojení. Počet souběžných připojení se liší od 250 do 1 000, když používáte možnost P2S IKEv2/OpenVPN . Protokol IKE odkazuje na výměnu klíčů IPsec. Pokud potřebujete více připojení, doporučujeme začít s VpnGw1 a později škálovat kapacitu. Pokud potřebujete přepnout generaci služby VPN Gateway, musíte nainstalovat novou bránu a nasadit nový síťový adaptér Azure, abyste se k ní mohli připojit.
  • Připojení více samostatných serverů:
    • WaC můžete použít k nasazení síťového adaptéru Azure na libovolný počet serverů. Můžete také přidat mnoho síťových adaptérů Azure na jeden server pro připojení k různým virtuálním sítím Azure. Po dokončení počátečního nasazení služby VPN Gateway můžete nakonfigurovat další servery tak, aby používaly stejnou bránu, a to tak, že vyberete existující bránu v instalačním rozhraní.
    • Samostatné servery se dají nacházet ve stejné síti, v síti poboček nebo v jiné cloudové síti. Můžete použít síťové připojení, které jste vytvořili, například podnikovou síť WAN nebo vyhrazenou síť VPN jinému poskytovateli cloudu, pokud jsou přes tato připojení k dispozici požadované síťové porty. Další informace najdete v části Aspekty zabezpečení v tomto článku.
  • Připojení Azure Site-to-Site:
    • Síťový adaptér Azure je jedna instalace na jednom serveru. Pokud chcete připojit několik serverů, mohli byste čelit značnému administrativnímu úsilí. Této snaze se však můžete vyhnout propojením místních systémů pomocí metody připojení Azure Site-2-Site (S2S), která propojuje existující místní síť s virtuální sítí Azure a jejími podsítěmi. Jádrem tohoto připojení je Azure VPN Gateway, prostřednictvím které můžete připojit místní místní bránu VPN se vzdálenou službou Azure VPN Gateway. Toto zabezpečené připojení umožňuje, aby dva segmenty sítě vzájemně transparentně komunikují.

Dostupnost

  • Síťový adaptér Azure podporuje pouze konfiguraci aktivní-pasivní brány Azure VPN Gateway. Během konfigurace adaptéru můžete odkazovat na existující bránu Azure VPN typu aktivní-aktivní. Nastavení překonfiguruje bránu na konfiguraci aktivní-pasivní. Ruční rekonfigurace brány do stavu aktivní-aktivní je možná, ale síťový adaptér Azure se k této bráně nepřipojí.

    Upozorňující

    Konfigurace síťového adaptéru Azure pro existující službu Azure VPN Gateway s konfigurací aktivní-aktivní překonfiguruje bránu na aktivní-pasivní. To bude mít vliv na všechna existující připojení VPN k této bráně. Změna z konfigurace aktivní-aktivní na konfiguraci aktivní-pohotovostní způsobí pokles jednoho ze dvou tunelů IPsec VPN pro každé připojení. Nepokračujte bez vyhodnocení celkových požadavků na připojení a konzultace se správci sítě.

Možnosti správy

  • Správa istrativní účet:

    • WAC je základní nástroj, který používáte k nasazení síťového adaptéru Azure a konfiguraci zpracování účtů. Další informace o dostupných možnostech najdete v tématu Možnosti přístupu uživatelů pomocí centra Windows Správa Center. Můžete nakonfigurovat jednotlivé účty na připojení k serveru.

      Poznámka:

      Dialogové okno, ve kterém nakonfigurujete účet správce na server, ověří vaše přihlašovací údaje, když vyberete Pokračovat. Dialogové okno otevřete tak, že v WAC vyberete řádek s příslušným názvem serveru a pak vyberete Spravovat jako. Nevybírejte hypertextový odkaz, který představuje server, protože se k němu připojíte okamžitě.

    • Kromě toho musíte nakonfigurovat uživatelský účet pro připojení Azure otevřením dialogového okna Nastavení v WAC a úpravou oddílu účtu. Uživatele můžete také přepnout nebo se odhlásit z relace uživatele v dialogovém okně Nastavení.

  • Integrace služby Azure Recovery Vault:
    • Když nainstalujete síťový adaptér Azure na samostatný server, můžete zvážit, že server je portem pro provozní kontinuitu. Tento server můžete integrovat do postupů zálohování a zotavení po havárii pomocí služeb Azure Recovery Vault, které nakonfigurujete výběrem služby Azure Backup v části Nástroje waC. Azure Backup pomáhá chránit server s Windows před poškozením, útoky nebo haváriemi zálohováním serveru přímo do Microsoft Azure.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

  • Požadované síťové porty:

    • Síťové porty pro vzdálené komunikace PowerShellu musí být otevřené, pokud chcete k nasazení síťového adaptéru Azure použít WAC.

    • Vzdálená komunikace Prostředí PowerShell používá vzdálenou správu systému Windows (WinRM). Další informace najdete v tématu Důležité informace o zabezpečení vzdálené komunikace PowerShellu a výchozí nastavení vzdálené komunikace PowerShellu.

    • V některých scénářích je potřeba použít další metody ověřování. WAC může pro připojení ke vzdáleným serverům použít PowerShell s protokolem CredSSP (Credential Security Support Provider Protocol). Další informace najdete v tématu Vzdálené komunikace PowerShellu a CredSSP a způsob, jakým Windows Správa Center používá CredSSP.

    • Vzdálené komunikace Prostředí PowerShell (a WinRM) používá následující porty:

      Protokol Port
      HTTP 5985
      HTTPS 5986

    • Způsob připojení k serveru, na kterém je nainstalovaný Windows Správa Center (WAC), závisí na typu instalace WAC. Výchozí port se liší a může být port 6516 při instalaci na Windows 10 nebo port 443 při instalaci na Windows Serveru. Další informace naleznete v tématu Instalace centra Windows Správa Center.

  • Integrace Microsoft Defenderu pro cloud:
    • Pokud chcete pomoct chránit server, na kterém je nainstalovaný síťový adaptér Azure, můžete server integrovat do programu Microsoft Defender for Cloud tak, že v části Nástroje v WAC vyberete Microsoft Defender for Cloud. Během integrace musíte vybrat existující pracovní prostor Služby Azure Log Analytics nebo vytvořit nový. Každý server, který integrujete s Programem Microsoft Defender for Cloud, se vám bude účtovat zvlášť. Další informace najdete v programu Microsoft Defender pro ceny cloudu.

DevOps

  • Azure Automation:
    • WAC poskytuje přístup k kódu PowerShellu, který vytvoří síťový adaptér Azure, a můžete ho zkontrolovat výběrem nástroje Síť a následným výběrem ikony Zobrazit skripty PowerShellu v horní části stránky WAC. Název skriptu je Complete-P2SVPNConfigurationa implementuje se jako funkce PowerShellu. Kód je digitálně podepsaný a je připravený k opakovanému použití. Můžete ho integrovat do Služby Azure Automation tak, že nakonfigurujete další služby na webu Azure Portal.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

  • Cenová kalkulačka Azure:
    • Použití síťového adaptéru Azure ve skutečnosti nic nestojí, protože se jedná o komponentu, kterou nasadíte do místního systému. Azure VPN Gateway jako součást řešení generuje další náklady, stejně jako použití jiných služeb, jako je Azure Recovery Vault nebo Microsoft Defender for Cloud. Další informace o skutečných nákladech najdete v cenové kalkulačce Azure. Je důležité si uvědomit, že skutečné náklady se liší podle oblasti Azure a jednotlivých kontraktů. Další informace o cenách získáte od prodejce Microsoftu.
  • Náklady na výchozí přenos dat:
    • Existují další náklady spojené s odchozími přenosy dat mezi virtuálními sítěmi. Tyto náklady závisí na skladové poplatce vaší služby VPN Gateway a na skutečném množství dat, která používáte. Další informace najdete v cenové kalkulačce Azure. Je důležité si uvědomit, že skutečné náklady se liší podle oblasti Azure a jednotlivých kontraktů. Další informace o cenách získáte od prodejce Microsoftu.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o technologiích komponent:

Prozkoumejte související architektury: