Zelfstandige servers verbinden met de Azure-netwerkadapter

Bastion

Virtual Network

VPN Gateway

Windows Server

Virtual Machines

Deze referentiearchitectuur laat zien hoe u een on-premises zelfstandige server verbindt met Microsoft Azure virtuele netwerken met behulp van de Azure-netwerkadapter die u implementeert via Windows Admin Center (WAC). Azure-netwerkadapter maakt een beveiligde virtuele verbinding via internet, waardoor uw on-premises netwerk wordt uitgebreid naar Azure.

Gebruik Azure VPN om een zelfstandige server te verbinden met een virtueel Azure-netwerk door een Azure-netwerkadapter te implementeren met behulp van Windows-beheercentrum. Vervolgens kunt u de virtuele Azure-machines (VM's) beheren vanaf de zelfstandige server met behulp van het privé-IP-adres van de virtuele machines.

Implementeer een Azure-netwerkadapter met behulp van Windows-beheercentrum om een zelfstandige server via Azure VPN te verbinden met het virtuele Azure-netwerk van een bedrijfsnetwerk, een filiaal of het netwerk van een andere cloudprovider. Vervolgens kunt u de zelfstandige server gebruiken om de Azure-VM's te beheren via hun privé-IP-adressen, vanaf elke locatie.

Download een Visio van deze architecturen.

Architectuur

De architectuur bestaat uit de volgende onderdelen:

On-premises netwerk. Dit onderdeel is het particuliere LAN (Local Area Network) van een organisatie.
Filiaal. Dit onderdeel is een particulier LAN in een extern filiaal dat verbinding maakt via een WAN (Corporate Wide Area Network).
Andere cloudprovider. Dit onderdeel is een particulier virtueel netwerk dat een cloudprovider aanbiedt. Het maakt verbinding via een virtueel particulier netwerk (VPN).
Windows Server met Windows-beheercentrum geïnstalleerd. De server die u gebruikt om de Azure-netwerkadapter te implementeren.
Windows Server (zelfstandig). De server waarop de Azure-netwerkadapter is geïnstalleerd. Deze server kan zich in een filiaalnetwerk of in het netwerk van een andere cloudprovider.
Azure Virtual Network (VNet). De virtuele servers en andere services en onderdelen voor de Azure-VPN Gateway die zich in hetzelfde virtuele netwerk in Azure.
Azure VPN Gateway. De VPN Gateway waarmee u het virtuele netwerk kunt verbinden met het on-premises netwerk of zelfstandige servers via een VPN-apparaat of Azure-netwerkadapters. Zie Connect an on-premises network to a Microsoft Azure virtual network (On-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk) voor meer informatie. Er zijn verschillende prijslagen, of stock keeping units (SKU's), beschikbaar voor VPN-gateways. Elke SKU ondersteunt verschillende vereisten op basis van de typen workloads, doorvoer, functies en sla's (Service Level Agreements). De VPN-gateway bevat de volgende onderdelen:
- Virtuele netwerkgateway (actief). Deze Azure-resource biedt een virtueel VPN-apparaat voor het virtuele netwerk en is verantwoordelijk voor het routeren van verkeer tussen het on-premises netwerk en het virtuele netwerk.
- Virtuele netwerkgateway (passief). Deze Azure-resource biedt een virtueel VPN-apparaat voor het virtuele netwerk en is het stand-by-exemplaar van de actieve Azure VPN Gateway. Zie About Azure VPN gateway redundancy (Over Azure VPN-gateway-redundantie) voor meer informatie.
- Gatewaysubnet. De virtuele netwerkgateway wordt in een eigen subnet gehouden. Dit is onderhevig aan verschillende vereisten die in de volgende sectie Aanbevelingen worden bedeeld.
- Verbinding. De verbinding heeft eigenschappen die het verbindingstype opgeven. Deze eigenschappen omvatten Internet Protocol beveiliging (IPsec) en de sleutel die wordt gedeeld met het on-premises VPN-apparaat om verkeer te versleutelen.
Cloudtoepassing. Dit onderdeel is de toepassing die wordt gehost in Azure. Het kan veel lagen bevatten met meerdere subnetten die verbinding maken via Azure Load Balancers. Zie Windows VM-workloads uitvoeren en Linux VM-workloads uitvoeren voor meer informatie over de infrastructuur van de toepassing.
Interne load balancer. Netwerkverkeer van de VPN-gateway wordt doorgeleid naar de cloudtoepassing via een interne load balancer, die zich in het productiesubnet van de toepassing.
Azure Bastion. Azure Bastion kunt u zich aanmelden bij VM's in het virtuele Azure-netwerk zonder dat de VM's rechtstreeks beschikbaar worden op internet. Er wordt gebruikgemaakt van Secure Shell (SSH) of Remote Desktop Protocol (RDP). Als u de VPN-verbinding verliest, kunt u nog steeds Azure Bastion virtuele machines in het virtuele Azure-netwerk te beheren. Het beheer van on-premises servers via Azure Bastion wordt echter niet ondersteund.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Verbinding maken zelfstandige server maken

Als u een zelfstandige server via de WAC wilt verbinden, moet u de server toevoegen aan de lijst met beheerde servers in dedicated server WAC-installatie van de dedicated server. Nadat u de server aan die lijst hebt toegevoegd, kunt u de server selecteren waarvoor u de Azure-netwerkadapter wilt installeren en vervolgens Netwerk selecteren in de hulpprogramma's gevolgd door de optie +Azure-netwerkadapter toevoegen (preview)) in het deelvenster Netwerk.

Tip

Als u de optie +Azure-netwerkadapter toevoegen (preview) niet ziet in het browservenster, moet u mogelijk uw venster vergroten of ziet u mogelijk een knop Actie met een vervolgkeuzepreview. Selecteer de vervolgkeuzeoptie caret voor toegang tot de optie en voeg de Azure-netwerkadapter toe.

Wanneer u de optie + Azure-netwerkadapter toevoegen (preview) selecteert, wordt de blade Configuratie van Azure-netwerkadapter toevoegen geopend in een browservenster. Er zijn verschillende opties die u op deze blade kunt configureren.

Notitie

Als u zich nog niet eerder hebt geverifieerd vanuit de WAC voor de Azure-tenant die u wilt gebruiken, wordt er een verificatiedialoogvenster weergegeven. Geef de verificatiegegevens van uw tenant op om door te gaan. De gebruikersreferenties die u gebruikt om te verifiëren, moeten voldoende machtigingen hebben om de Azure-resources te maken die u tijdens de volgende stappen configureert.

De volgende informatie is nodig:

Veld	Waarde	Aanvullende informatie
Abonnement	Selecteer in de vervolgkeuzekeuze	Dit veld bevat alleen abonnementen die zijn toegewezen aan uw tenant.
Locatie	Selecteer in de vervolgkeuzekeuze	Selecteer een Azure-regio voor uw implementatie.
Virtual Network	Selecteer een optie in de vervolgkeuze of gebruik de opgegeven hyperlink om een nieuw Virtual Network maken in Azure Portal	Afhankelijk van uw selectie varieert de inhoud van het veld. Als de Virtual Network bestaat, ziet u een hyperlink die u kunt volgen om de Virtual Network in de Azure Portal. Als het geselecteerde VNet al een VNet Gateway, wordt er een hyperlink naar die Azure-resource verstrekt.
Gatewaysubnet	Subnet-voorvoegsel, zoals 10.0.1.0/24	Afhankelijk van de geselecteerde Virtual Network, varieert dit veld. Als het geselecteerde VNet geen subnet met het label GatewaySubnet bevat, wordt het veld vooraf ingevuld met een subnet-voorvoegsel dat het adresbereik en subnetmasker bevat. Als het geselecteerde VNet al een VNet Gateway, wordt er een hyperlink naar die Azure-resource verstrekt.
Gateway-SKU	Selecteer in de vervolgkeuzekeuze	Zie gateway-SKU's voor meer informatie.
Clientadresruimte	Subnet-voorvoegsel, zoals 192.168.1.0/24	Het veld wordt vooraf ingevuld met een subnet-voorvoegsel dat het adresbereik en subnetmasker bevat. Het is het netwerk dat wordt gebruikt tussen de server waaraan u de Azure-netwerkadapter en de Azure-VPN Gateway. Het moet een adresbereik hebben dat niet overlapt met een van de adresbereiken die on-premises of in een van de verbonden virtuele Azure-netwerken worden gebruikt.
Verificatiecertificaat	Selecteer een van de opties	De optie Automatisch gegenereerd Zelf-ondertekend basis- en clientcertificaat is vooraf geselecteerd en werkt in de meeste scenario's het beste. Wanneer u de optie Eigen basis- en clientcertificaat gebruiken selecteert, moet u twee bestanden opgeven: een basiscertificaat (.cer) en een clientcertificaat (.pfx) en vervolgens het wachtwoord voor het clientcertificaat.

Zodra u alle benodigde velden hebt voltooid, wordt de knop Maken actief en moet u deze selecteren om de implementatie van uw Azure-netwerkadapter op de geselecteerde server te starten.

Het implementatieproces bestaat uit twee hoofdonderdelen, waarvan de implementatie en selectie van de Azure-VPN Gateway. Als u uw Azure-VPN Gateway moet implementeren, duurt het 25 tot 45 minuten voordat de implementatie is voltooid. (Sommige configuraties kunnen zo lang duren om te implementeren.) De WAC geeft informatie over de voortgang van de implementatie. Het tweede deel is de daadwerkelijke installatie van de Azure-netwerkadapter, die 10 minuten kan duren. De WAC informeert u ook over de voortgang van de installatie.

Zodra de implementatie begint, kunt u de focus van de WAC wijzigen door andere hulpprogramma's of servers te selecteren. Het implementatieproces wordt op de achtergrond voortgezet.

Als u de optie Automatisch gegenereerd zelf-ondertekend basis- en clientcertificaat selecteert, worden de twee vereiste certificaten automatisch voor u gemaakt en opgeslagen in het certificaatopslag van de geselecteerde server. U kunt het hulpprogramma Certificaten in de WAC gebruiken om deze te vinden. Vervolgens kunt u een basiscertificaat zoeken in de lokale computer/hoofdcontainer. De naam van het certificaat begint met Windows Admin Center-Created-vpngw en bevat de P2SRoot-tekenreeks. De staart van de tekenreeks bevat een tijdstempel die is gecodeerd met de aanmaakdatum van het certificaat. Dit certificaat wordt ook opgeslagen in de lokale machine/CA-container. Het tweede certificaat wordt opgeslagen in de lokale computer/mijn container. De naam van dit certificaat begint met Windows Admin Center-Created-vpngw en bevat de P2SClient-tekenreeks. De staart van de tekenreeks bevat een tijdstempel die is gecodeerd met de aanmaakdatum van het certificaat.

Nadat de implementatie is beëindigd, wordt het hulpprogramma Netwerken van de geselecteerde server bijgewerkt met de nieuwe Azure-netwerkadapter, die automatisch wordt gestart nadat de implementatie is beëindigd en een actieve status aangeeft. U kunt de adapter selecteren om de vervolgkeuzelijst Meer te activeren, die u kunt selecteren om de verbinding met de adapter te verbreken of te verwijderen. Op de werkelijke server wordt de Azure-netwerkadapter geïnstalleerd als een VPN-verbinding. De naam van de adapter begint met Windows Admin CenterVPN, gevolgd door een willekeurig getal van drie cijfers.

Wanneer de Azure-netwerkadapter is geïnstalleerd en verbonden, kunt u deze nieuwe netwerkverbinding gebruiken om rechtstreeks verbinding te maken met de Azure VNets en hun systemen. Dit type verbinding wordt doorgaans gebruikt om een extern bureaublad-sessie tot stand te brengen via het interne IP-adres van een Azure-VM, in plaats van het openbare IP-adres van de VM te gebruiken.

Een toegewezen WAC-server gebruiken

Voor gecentraliseerd beheer wordt u aangeraden een toegewezen Windows-installatie van de beheerserver te gebruiken, van waaruit u andere servers kunt toevoegen. Deze aanpak betekent dat er geen beheerde servers extra software nodig hebben. Zie Microsoft Docsvoor meer informatie over WAC.

Een toegewezen VNet voorbereiden

De installatie-interface van de Azure-netwerkadapter voldoet mogelijk niet aan uw naamconventie of prijscategoriebehoeften. Om dit conflict te voorkomen, kunt u de vereiste Azure-resources maken voordat u de adapter implementeert. Tijdens de implementatie selecteert u de bestaande resources in plaats van ze te maken via de installatie-interface.

Notitie

Zorg ervoor dat u de juiste VPN Gateway SKU selecteert, omdat deze niet allemaal ondersteuning bieden voor de VPN-verbinding die bij de Azure-netwerkadapter wordt geleverd. Het installatiedialoogvenster biedt u VpnGw1, VpnGw2 en VpnGw3. Op dit moment biedt de adapter geen ondersteuning voor de zone-redundante versies van de VPN Gateway.

Schaalbaarheidsoverwegingen

VPN Gateway SKU:
- De VPN Gateway SKU die u selecteert, bepaalt hoeveel verbindingen deze parallel kan nemen en de bandbreedte die beschikbaar is voor al deze verbindingen. Het aantal gelijktijdige verbindingen varieert van 250 tot 1000 wanneer u de optie P2S IKEv2/OpenVPN gebruikt. IKE verwijst naar IPsec Key Exchange. Het is raadzaam om te beginnen met VpnGw1 en later uit te schalen als u meer verbindingen nodig hebt. Als u wilt overschakelen naar VPN Gateway generatie, moet u een nieuwe gateway installeren en een nieuwe Azure-netwerkadapter implementeren om er verbinding mee te maken.
Verbinding maken meerdere zelfstandige servers:
- U kunt de WAC gebruiken om de Azure-netwerkadapter te implementeren op zoveel servers als u nodig hebt. U kunt ook veel Azure-netwerkadapters toevoegen aan één server om verbinding te maken met verschillende Azure VNets. Zodra de eerste implementatie van de VPN Gateway voltooid, kunt u extra servers configureren voor het gebruik van dezelfde gateway door de bestaande gateway te selecteren in de installatie-interface.
- Zelfstandige servers kunnen zich in hetzelfde netwerk, in een filiaalnetwerk of in een ander cloudnetwerk bevinden. U kunt de netwerkverbinding die u tot stand hebt gebracht, zoals uw bedrijfs-WAN of een toegewezen VPN voor een andere cloudprovider, gebruiken als de vereiste netwerkpoorten beschikbaar zijn via deze verbindingen. Zie de sectie Beveiligingsoverwegingen in dit artikel voor meer informatie.
Site-naar-site-verbinding van Azure:
- De Azure-netwerkadapter is één installatie op één server. Als u verbinding wilt maken met verschillende servers, kan dit een aanzienlijke administratieve inspanning met zich mee brengen. U kunt dit echter voorkomen door uw on-premises systemen te verbinden met behulp van de methode Azure Site-2-Site Connection (S2S), die een bestaand on-premises netwerk verbindt met een Azure VNet en de subnetten ervan. De kern van deze verbinding is een Azure-VPN Gateway waarmee u een lokale, on-premises VPN-gateway kunt verbinden met de externe Azure VPN Gateway. Dankzij deze beveiligde verbinding kunnen de twee netwerksegmenten transparant met elkaar communiceren.

Beschikbaarheidsoverwegingen

De Azure-netwerkadapter ondersteunt alleen een actief-passief-configuratie van de Azure VPN Gateway. Tijdens de configuratie van de adapter kunt u naar een bestaande actief-actief Azure VPN-gateway wijzen. Tijdens de installatie wordt de gateway opnieuw geconfigureerd voor de actief-passief-configuratie. Een handmatige gatewayconfiguratie naar de status actief-actief is mogelijk, maar de Azure-netwerkadapter maakt geen verbinding met deze gateway.

Waarschuwing

Als u een Azure-netwerkadapter configureert op basis van een bestaande Azure-VPN Gateway met een actief-actief-configuratie, wordt de gateway opnieuw geconfigureerd in actief-passief. Dit is van invloed op alle bestaande VPN-verbindingen met deze gateway. Als u de configuratie van actief/actief in actief-stand-by configureren verandert, wordt een van de twee IPsec VPN-tunnels voor elke verbinding niet meer gebruikt. Ga niet verder zonder uw algemene verbindingsvereisten te evalueren en overleg met uw netwerkbeheerders.

Beheerbaarheidsoverwegingen

Beheerdersaccount:
- De WAC is het belangrijkste hulpprogramma dat u gebruikt om de Azure-netwerkadapter te implementeren en accountverwerking te configureren. Zie Opties voor gebruikerstoegang met Windows-beheercentrumvoor meer informatie over de beschikbare opties. U kunt een afzonderlijk account per serververbinding configureren.
  
  Notitie
  
  In het dialoogvenster waarin u het beheerdersaccount per server configureert, worden uw referenties gevalideerd wanneer u Doorgaan selecteert. Als u het dialoogvenster wilt openen, selecteert u in de WAC de rij met de toepasselijke servernaam en selecteert u vervolgens Beheren als. Selecteer niet de hyperlink die de server vertegenwoordigt, omdat u hiermee onmiddellijk verbinding maakt met die server.
- Daarnaast moet u een gebruikersaccount configureren voor de Azure-verbinding door het dialoogvenster Instellingen openen in de WAC en het accountgedeelte te wijzigen. U kunt ook van gebruiker wisselen of u afmelden bij de sessie van een gebruiker in Instellingen dialoogvenster.
Azure Recovery Vault-integratie:
- Wanneer u Azure-netwerkadapter op een zelfstandige server installeert, kunt u die server beschouwen als een poort voor uw bedrijfscontinuïteit. U kunt die server integreren in uw procedures voor back-up en herstel na noodherstel met behulp van Azure Recovery Vault-services die u configureert door Azure Backup te selecteren in de sectie Hulpprogramma's van de WAC. Azure Backup kunt u uw Windows-server beschermen tegen beschadigingen, aanvallen of rampen door rechtstreeks een back-up te maken van uw server Microsoft Azure.

Beveiligingsoverwegingen

Vereiste netwerkpoorten:
- Netwerkpoorten voor het buiten gebruik stellen van PowerShell moeten zijn geopend als u de WAC wilt gebruiken om de Azure-netwerkadapter te implementeren.
- Externe toegang van PowerShell maakt gebruik van Windows Remote Management (WinRM). Zie Voor meer informatie PowerShell Remoting Security Considerations (Beveiligingsoverwegingen voor remoting van PowerShell) en PowerShell Remoting Default settings (Standaardinstellingen voor powershell voor remoting).
- In sommige scenario's moet u extra verificatiemethoden gebruiken. WAC kan PowerShell gebruiken met het CredSSP-protocol (Credential Security Support Provider) om verbinding te maken met externe servers. Zie PowerShell Remoting and CredSSP (PowerShell voor remoting en CredSSP) en hoe Windows CredSSPgebruikt voor meer informatie.
- Voor remoting van PowerShell (en WinRM) worden de volgende poorten gebruikt:
  
  Protocol Poort
  
  HTTP 5985
  
  HTTPS 5986
- Hoe u verbinding maakt met de server waarop het Windows Admin Center (WAC) is geïnstalleerd, is afhankelijk van het installatietype van uw WAC. De standaardpoort varieert en kan poort 6516 zijn wanneer deze is geïnstalleerd op Windows 10 of poort 443 wanneer deze is geïnstalleerd op Windows Server. Zie Install Windows Admin Center (Beheercentrum Windows installeren) voor meer informatie.
Azure Security Center integratie:
- Ter bescherming van de server waarop de Azure-netwerkadapter is geïnstalleerd, kunt u de server integreren met Azure Security Center door Azure Security Center selecteren in de sectie Hulpprogramma's in WAC. Tijdens de integratie moet u een bestaande Azure Log Analytics-werkruimte selecteren of een nieuwe maken. U wordt afzonderlijk gefactureerd voor elke server die u integreert met Azure Security Center. Zie prijzen voor Azure Security Center meer informatie.

Protocol	Poort
HTTP	5985
HTTPS	5986

DevOps overwegingen

Azure Automation:
- De WAC geeft u toegang tot de PowerShell-code waarmee de Azure-netwerkadapter wordt gemaakt. U kunt deze controleren door het hulpprogramma Netwerk te selecteren en vervolgens het pictogram PowerShell-scripts weergeven bovenaan de WAC-pagina te selecteren. De naam van het script is Complete-P2SVPNConfiguration en wordt geïmplementeerd als een PowerShell-functie. De code is digitaal ondertekend en kan opnieuw worden gebruikt. U kunt deze integreren in Azure Automation door meer services te configureren in de Azure Portal.

Kostenoverwegingen

Azure-prijscalculator:
- Het gebruik van de Azure-netwerkadapter kost niets, omdat het een onderdeel is dat u op een on-premises systeem implementeert. De Azure VPN Gateway, als onderdeel van de oplossing, genereert extra kosten, net als het gebruik van andere services, zoals Azure Recovery Vault of Azure Security Center. Zie de Azure-prijscalculator voor meer informatie over de werkelijke kosten. Het is belangrijk te weten dat de werkelijke kosten variëren per Azure-regio en uw afzonderlijke contract. Neem contact op met een verkoopmedewerker van Microsoft voor meer informatie over prijzen.
Egress kosten:
- Er zijn extra kosten verbonden aan uitgaande Inter-VNet gegevensoverdracht. Deze kosten zijn afhankelijk van VPN Gateway SKU van uw bedrijf en de werkelijke hoeveelheid gegevens die u gebruikt. Zie de Azure-prijscalculator voor meer informatie. Het is belangrijk te weten dat de werkelijke kosten variëren per Azure-regio en uw afzonderlijke contract. Neem contact op met een verkoopmedewerker van Microsoft voor meer informatie over prijzen.

Volgende stappen

Meer informatie over de onderdeeltechnologieën:

Gerelateerde architecturen verkennen: