Implementowanie karty sieciowej platformy Azure w scenariuszach rozwiązania Azure Stack HCI
Ze względu na coraz bardziej hybrydowy charakter środowiska firmy Contoso prawdopodobnie będzie konieczne częste ustanawianie bezpośredniej łączności między obciążeniami rozwiązania Azure Stack HCI a maszynami wirtualnymi platformy Azure. Mimo że firma Contoso zainicjowała już aprowizację obwodu usługi ExpressRoute w sieci wirtualnej koncentratora, która hostuje podstawowe składniki infrastruktury platformy Azure, istnieje wiele izolowanych sieci wirtualnych, które nie są bezpośrednio dostępne z lokalnego centrum danych, które hostuje klaster usługi Azure Stack HCI. Przewidujesz również wdrożenie klastrów rozwiązania Azure Stack HCI w lokalizacjach zdalnych, które nie będą mogły korzystać z łączności usługi ExpressRoute. Postanawiasz zapoznać się z funkcjonalnością karty sieciowej platformy Azure, aby określić, czy można jej użyć jako obejścia.
Omówienie karty sieciowej platformy Azure
Karta sieciowa platformy Azure zapewnia wygodną metodę konfigurowania połączenia wirtualnej sieci prywatnej typu punkt-lokacja (P2S) z serwera z systemem Windows do sieci wirtualnej platformy Azure. Ta metoda opiera się na protokole SSTP (Secure Socket Tunneling Protocol) w celu utworzenia zaszyfrowanego tunelu wirtualnego przez Internet do bramy sieci wirtualnej platformy Azure korzystającej z zainstalowanego lokalnie oprogramowania. Karta sieciowa platformy Azure nie wymaga lokalnego urządzenia sieci VPN.
Po nawiązaniu połączenia sieci VPN podstawowy interfejs sieciowy serwera, który hostuje kartę sieciową platformy Azure, otrzymuje przypisany adres IP z zakresu przydzielanego dla klientów sieci VPN typu punkt-lokacja. Jednocześnie oprogramowanie klienckie sieci VPN aktualizuje konfigurację routingu lokalnego, tak aby ruch kierowany do przestrzeni adresów IP sieci wirtualnej platformy Azure był kierowany za pośrednictwem połączenia sieci VPN. W związku z tym serwer skutecznie staje się węzłem w tej sieci wirtualnej i może komunikować się z dowolną połączoną z nią maszyną wirtualną platformy Azure.
Aby skonfigurować zaszyfrowany tunel, sieć VPN typu punkt-lokacja używa uwierzytelniania opartego na certyfikatach. Chociaż w tym celu można używać certyfikatów z podpisem własnym, w środowiskach produkcyjnych należy używać certyfikatów wystawionych przez zewnętrzny lub wewnętrzny urząd certyfikacji, który można zaimplementować za pomocą usług certyfikatów Active Directory (AD CS).
Składniki karty sieciowej platformy Azure
Karta sieciowa platformy Azure używa zainstalowanego lokalnie oprogramowania do łączenia się z bramą sieci wirtualnej platformy Azure, która znajduje się w dedykowanej podsieci bramy docelowej sieci wirtualnej platformy Azure. Nie ma dodatkowej infrastruktury lokalnej. Karta sieciowa platformy Azure korzysta z funkcji sieci VPN wbudowanych w system operacyjny Windows Server.
Obsługa karty sieciowej platformy Azure dla rozwiązania Azure Stack HCI
Kartę sieciową platformy Azure można skonfigurować na dowolnej maszynie wirtualnej z systemem Windows Server uruchomionej w klastrze azure Stack HCI. Wiele serwerów może łączyć się z tą samą bramą sieci wirtualnej platformy Azure; jednak każdy z nich powinien używać własnego certyfikatu klienta.
Implementowanie karty sieciowej platformy Azure w scenariuszach rozwiązania Azure Stack HCI
Następnym krokiem oceny karty sieciowej platformy Azure jest podjęcie decyzji o zaimplementowaniu jej w scenariuszach rozwiązania Azure Stack HCI. Karta sieciowa platformy Azure to funkcja specyficzna dla centrum systemu Windows Administracja. Chociaż istnieje możliwość zaimplementowania łączności sieci VPN typu punkt-lokacja z sieciami wirtualnymi platformy Azure przy użyciu procesu instalacji dostępnego w witrynie Azure Portal i programie Azure PowerShell, program Windows Administracja Center upraszcza proces instalacji. Udostępnia interfejs z monitem o wymagane informacje, w tym subskrypcję platformy Azure i region hostujący docelową sieć wirtualną, nazwę sieci wirtualnej, zakres adresów IP podsieci bramy, jednostkę SKU bramy sieci wirtualnej, zakres adresów IP przydzielony klientom sieci VPN oraz szczegóły certyfikatu uwierzytelniania. W przypadku wybrania opcji z podpisem własnym program Windows Administracja Center automatycznie wygeneruje certyfikaty główne i certyfikaty klienta.
Uwaga
Podobnie jak wszystkie funkcje, które obejmują usługi oparte na platformie Azure, należy najpierw zarejestrować centrum windows Administracja na platformie Azure.
Należy pamiętać, że docelowa sieć wirtualna platformy Azure musi istnieć przed rozpoczęciem konfiguracji opartej na centrum systemu Windows Administracja. Ponadto należy wstępnie aprowizować bramę sieci wirtualnej platformy Azure, jeśli zamierzasz użyć jednostki SKU innej niż ta, która jest dostępna w interfejsie windows Administracja Center.
Uwaga
Aprowizowanie bramy sieci wirtualnej platformy Azure może potrwać około 30 minut.