Implementowanie karty sieciowej platformy Azure w scenariuszach rozwiązania Azure Stack HCI

  • 7 min

Ze względu na coraz bardziej hybrydowy charakter środowiska firmy Contoso prawdopodobnie będzie konieczne częste ustanawianie bezpośredniej łączności między obciążeniami rozwiązania Azure Stack HCI a maszynami wirtualnymi platformy Azure. Mimo że firma Contoso zainicjowała już aprowizację obwodu usługi ExpressRoute w sieci wirtualnej koncentratora, która hostuje podstawowe składniki infrastruktury platformy Azure, istnieje wiele izolowanych sieci wirtualnych, które nie są bezpośrednio dostępne z lokalnego centrum danych, które hostuje klaster usługi Azure Stack HCI. Przewidujesz również wdrożenie klastrów rozwiązania Azure Stack HCI w lokalizacjach zdalnych, które nie będą mogły korzystać z łączności usługi ExpressRoute. Postanawiasz zapoznać się z funkcjonalnością karty sieciowej platformy Azure, aby określić, czy można jej użyć jako obejścia.

Omówienie karty sieciowej platformy Azure

Karta sieciowa platformy Azure zapewnia wygodną metodę konfigurowania połączenia wirtualnej sieci prywatnej typu punkt-lokacja (P2S) z serwera z systemem Windows do sieci wirtualnej platformy Azure. Ta metoda opiera się na protokole SSTP (Secure Socket Tunneling Protocol) w celu utworzenia zaszyfrowanego tunelu wirtualnego przez Internet do bramy sieci wirtualnej platformy Azure korzystającej z zainstalowanego lokalnie oprogramowania. Karta sieciowa platformy Azure nie wymaga lokalnego urządzenia sieci VPN.

Po nawiązaniu połączenia sieci VPN podstawowy interfejs sieciowy serwera, który hostuje kartę sieciową platformy Azure, otrzymuje przypisany adres IP z zakresu przydzielanego dla klientów sieci VPN typu punkt-lokacja. Jednocześnie oprogramowanie klienckie sieci VPN aktualizuje konfigurację routingu lokalnego, tak aby ruch kierowany do przestrzeni adresów IP sieci wirtualnej platformy Azure był kierowany za pośrednictwem połączenia sieci VPN. W związku z tym serwer skutecznie staje się węzłem w tej sieci wirtualnej i może komunikować się z dowolną połączoną z nią maszyną wirtualną platformy Azure.

Aby skonfigurować zaszyfrowany tunel, sieć VPN typu punkt-lokacja używa uwierzytelniania opartego na certyfikatach. Chociaż w tym celu można używać certyfikatów z podpisem własnym, w środowiskach produkcyjnych należy używać certyfikatów wystawionych przez zewnętrzny lub wewnętrzny urząd certyfikacji, który można zaimplementować za pomocą usług certyfikatów Active Directory (AD CS).

Składniki karty sieciowej platformy Azure

Karta sieciowa platformy Azure używa zainstalowanego lokalnie oprogramowania do łączenia się z bramą sieci wirtualnej platformy Azure, która znajduje się w dedykowanej podsieci bramy docelowej sieci wirtualnej platformy Azure. Nie ma dodatkowej infrastruktury lokalnej. Karta sieciowa platformy Azure korzysta z funkcji sieci VPN wbudowanych w system operacyjny Windows Server.

The diagram depicts how Azure Network Adapter uses locally installed software to connect to an Azure virtual network gateway, which resides in the dedicated Gateway subnet of the target Azure virtual network. There is no additional on-premises infrastructure. Azure Network Adapter uses the VPN capabilities built into the Windows Server operating system.

Obsługa karty sieciowej platformy Azure dla rozwiązania Azure Stack HCI

Kartę sieciową platformy Azure można skonfigurować na dowolnej maszynie wirtualnej z systemem Windows Server uruchomionej w klastrze azure Stack HCI. Wiele serwerów może łączyć się z tą samą bramą sieci wirtualnej platformy Azure; jednak każdy z nich powinien używać własnego certyfikatu klienta.

Implementowanie karty sieciowej platformy Azure w scenariuszach rozwiązania Azure Stack HCI

Następnym krokiem oceny karty sieciowej platformy Azure jest podjęcie decyzji o zaimplementowaniu jej w scenariuszach rozwiązania Azure Stack HCI. Karta sieciowa platformy Azure to funkcja specyficzna dla centrum systemu Windows Administracja. Chociaż istnieje możliwość zaimplementowania łączności sieci VPN typu punkt-lokacja z sieciami wirtualnymi platformy Azure przy użyciu procesu instalacji dostępnego w witrynie Azure Portal i programie Azure PowerShell, program Windows Administracja Center upraszcza proces instalacji. Udostępnia interfejs z monitem o wymagane informacje, w tym subskrypcję platformy Azure i region hostujący docelową sieć wirtualną, nazwę sieci wirtualnej, zakres adresów IP podsieci bramy, jednostkę SKU bramy sieci wirtualnej, zakres adresów IP przydzielony klientom sieci VPN oraz szczegóły certyfikatu uwierzytelniania. W przypadku wybrania opcji z podpisem własnym program Windows Administracja Center automatycznie wygeneruje certyfikaty główne i certyfikaty klienta.

The screenshot depicts the Windows Admin Center interface that prompts you for the required information, including the Azure subscription and region hosting the target virtual network, the virtual network name, the IP address range of the Gateway subnet, the virtual network gateway SKU, the IP address range allocated to VPN clients, and the authentication certificate details. If you select the self-signed option, Windows Admin Center will automatically generate the root and client certificates for you.

Uwaga

Podobnie jak wszystkie funkcje, które obejmują usługi oparte na platformie Azure, należy najpierw zarejestrować centrum windows Administracja na platformie Azure.

Należy pamiętać, że docelowa sieć wirtualna platformy Azure musi istnieć przed rozpoczęciem konfiguracji opartej na centrum systemu Windows Administracja. Ponadto należy wstępnie aprowizować bramę sieci wirtualnej platformy Azure, jeśli zamierzasz użyć jednostki SKU innej niż ta, która jest dostępna w interfejsie windows Administracja Center.

Uwaga

Aprowizowanie bramy sieci wirtualnej platformy Azure może potrwać około 30 minut.

Test wiedzy

1.

W ramach oceny funkcji hybrydowych rozwiązania Azure Stack HCI dla firmy Contoso planujesz przetestować konfigurację karty sieciowej platformy Azure na maszynie wirtualnej azure Stack HCI z systemem Windows Server 2019. Jaki powinien być pierwszy krok do przetestowania konfiguracji?