Подключение отдельных серверов с помощью сетевого адаптера Azure

Бастион
Виртуальная сеть
VPN-шлюз
Windows Server
Виртуальные машины

В этой эталонной архитектуре показано, как подключить локальный изолированный сервер для Microsoft Azure виртуальных сетей с помощью сетевого адаптера Azure, развертываемого с помощью центра администрирования Windows (ВАК). Сетевой адаптер Azure создает защищенное виртуальное подключение через Интернет, тем самым расширяя локальную сеть в Azure.

Используйте VPN Azure для подключения автономного сервера к виртуальной сети Azure, развернув сетевой адаптер Azure с помощью центра администрирования Windows. Затем можно управлять виртуальными машинами Azure с автономного сервера, используя частный IP-адрес виртуальных машин.

Разверните сетевой адаптер Azure с помощью центра администрирования Windows, чтобы подключить изолированный сервер через VPN-подключение Azure к виртуальной сети Azure, филиалу или сети другого поставщика облачных сетей. Затем можно использовать изолированный сервер для управления виртуальными машинами Azure через их частные IP-адреса из любых расположений.

Скачайте файл Visio с этими архитектурами.

Architecture

Она состоит из следующих компонентов:

  • Локальная сеть. Это частная локальная сеть Организации (LAN).
  • Филиал. Это частная локальная сеть в удаленном филиале, которая подключается через глобальную корпоративную сеть (WAN).
  • Другой поставщик облачных служб. Это частная виртуальная сеть, предлагаемая поставщиком облачных услуг, которая подключается через виртуальную частную сеть (VPN).
  • Windows Server с установленным центром администрирования Windows. Сервер, используемый для развертывания сетевого адаптера Azure.
  • Windows Server (изолированная). Сервер, на котором установлен сетевой адаптер Azure. Этот сервер может находиться в сети филиала или в другой сети поставщика облачных служб.
  • Виртуальная сеть Azure (VNet). Виртуальные серверы и другие службы и компоненты для VPN-шлюза Azure, расположенного в той же виртуальной сети в Azure.
  • VPN-шлюз Azure. Служба VPN-шлюза, позволяющая подключать виртуальную сеть к локальной сети или отдельным серверам через VPN-устройство или сетевые адаптеры Azure. Дополнительные сведения см. в статье подключение локальной сети к Microsoft Azure виртуальной сети. Существует несколько ценовых категорий или единиц учета запасов (SKU), доступных для VPN-шлюзов, и каждый SKU поддерживает различные требования в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания (SLA). VPN-шлюз включает следующие компоненты:
    • Шлюз виртуальной сети (активный). Этот ресурс Azure предоставляет виртуальное VPN-устройство для виртуальной сети и отвечает за маршрутизацию трафика между локальной сетью и виртуальной сетью.
    • Шлюз виртуальной сети (пассивный). Этот ресурс Azure предоставляет виртуальное VPN-устройство для виртуальной сети и является резервным экземпляром активного VPN-шлюза Azure. Дополнительные сведения см. в статье избыточность VPN-шлюза Azure.
    • Подсеть шлюза. Шлюз виртуальной сети хранится в собственной подсети, к которой применяются различные требования, описанные в разделе рекомендации.
    • Подключение. Подключение имеет свойства, указывающие тип подключения, например протокол IPsec, и ключ, совместно используемый с локальным VPN-устройством для шифрования трафика.
  • Облачное приложение. Это приложение, размещенное в Azure, которое может включать несколько уровней с несколькими подсетями, которые подключаются через подсистемы балансировки нагрузки Azure. Дополнительные сведения о инфраструктуре приложений см. в статье выполнение рабочих нагрузок виртуальных машин Windows и Запуск рабочих нагрузок виртуальных машин Linux.
  • Внутренний балансировщик нагрузки. Сетевой трафик от VPN-шлюза направляется в облачное приложение через внутреннюю подсистему балансировки нагрузки, которая находится в рабочей подсети приложения.
  • Azure бастиона. Azure бастиона позволяет выполнять вход в виртуальные машины в виртуальной сети Azure с помощью Secure Shell (SSH) или протокол удаленного рабочего стола (RDP), не предоставляя виртуальным машинам прямой доступ к Интернету. Если вы потеряли VPN-подключение, вы по-прежнему можете использовать Azure бастиона для управления виртуальными машинами в виртуальной сети Azure. Однако Управление локальными серверами через Azure бастиона не поддерживается.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Подключение изолированного сервера

Чтобы подключить изолированный сервер через ВАК, необходимо добавить сервер в список управляемые серверы в установке ВАК выделенного сервера. После добавления сервера в этот список можно выбрать сервер, для которого требуется установить сетевой адаптер Azure, а затем выбрать пункт сеть из списка средств, а затем — команду "добавить сетевой адаптер Azure (Предварительная версия)" в области " сеть ".

Совет

Если вы не видите параметр "+ добавить сетевой адаптер Azure (Предварительная версия)" в окне браузера, может потребоваться увеличить окно или нажать кнопку " действие " с раскрывающимся курсором. Выберите раскрывающийся курсор для доступа к параметру и добавьте сетевой адаптер Azure.

Если выбран параметр + Добавить сетевой адаптер Azure (Предварительная версия) , в окне браузера откроется колонка Добавление конфигурации сетевого адаптера Azure . В этой колонке можно настроить несколько параметров.

Примечание

Если вы ранее не прошли проверку подлинности в ВАК с клиентом Azure, который вы хотите использовать, появится диалоговое окно проверки подлинности. Для продолжения укажите сведения о проверке подлинности клиента. Учетные данные пользователя, используемые для проверки подлинности, должны иметь достаточные разрешения для создания ресурсов Azure, которые будут настроены на последующих этапах.

Требуется следующая информация:

Поле Значение Дополнительные сведения
Подписка Выберите из раскрывающегося списка В этом поле перечислены только подписки, назначенные вашему клиенту.
Расположение Выберите из раскрывающегося списка Выберите регион Azure для развертывания.
Виртуальная сеть Выберите из раскрывающегося списка или используйте предоставленную гиперссылку для создания нового виртуального входящий сетевой трафик портала Azure . В зависимости от выбранного варианта содержимое поля будет меняться. Если виртуальная сеть существует, вы увидите гиперссылку, которую можно использовать для просмотра виртуальной Входящий сетевой трафик портал Azure. Если выбранная виртуальная сеть уже содержит шлюз виртуальной сети, будет предоставлена дополнительная гиперссылка на этот ресурс Azure.
Подсеть шлюза Префикс подсети, например 10.0.1.0/24. В зависимости от выбранной виртуальной сети это поле будет отличаться. Если выбранная виртуальная сеть не содержит подсети с меткой GatewaySubnet, поле будет заполнено префиксом подсети, включающим диапазон адресов и маску подсети. Если выбранная виртуальная сеть уже содержит шлюз виртуальной сети, будет предоставлена дополнительная гиперссылка на этот ресурс Azure.
Gateway SKU Выберите из раскрывающегося списка Дополнительные сведения см. в разделе номера SKU шлюза.
Адресное пространство клиента Префикс подсети, например 192.168.1.0/24. Поле будет заполнено префиксом подсети, включающим диапазон адресов и маску подсети. это сеть, которая будет использоваться между сервером, к которому добавляется сетевой адаптер Azure, и VPN-шлюзом Azure. Он должен иметь диапазон адресов, который не пересекается с диапазонами адресов, которые используются локально или в любой из подключенных виртуальных сетей Azure.
Сертификат проверки подлинности Выберите один из параметров Параметр "автоматически созданный самозаверяющий корневой и клиентский сертификат" предварительно выбран и лучше всего подходит для большинства сценариев. При выборе параметра "использовать собственный корневой сертификат и клиентский сертификаты" необходимо указать два файла: корневой сертификат (CER) и сертификат клиента (PFX), а затем пароль для сертификата клиента.

После заполнения всех необходимых полей кнопка создать станет активной, и вы должны выбрать ее, чтобы начать развертывание сетевого адаптера Azure на выбранном сервере.

Процесс развертывания состоит из двух основных частей, первый из которых является развертыванием и выбором VPN-шлюза Azure. Если необходимо сначала развернуть VPN-шлюз Azure, разрешите развертывание в течение 25 – 45 минут, так как в некоторых конфигурациях может потребоваться выполнить развертывание. ВАК предоставит сведения о ходе развертывания. Вторая часть — это фактическая Установка сетевого адаптера Azure, которая может занять 10 минут. Кроме того, ВАК сообщит о ходе установки.

После начала развертывания можно изменить фокус ВАК, выбрав другие средства или серверы. Процесс развертывания продолжится в фоновом режиме.

Если вы выбрали параметр автоматически созданного самозаверяющего корневого и клиентского сертификата , Azure автоматически создает два необходимых сертификата и сохраняет их в хранилище сертификатов выбранного сервера. Чтобы найти их, можно воспользоваться средством " Сертификаты " в ВАК, а затем найти корневой сертификат в контейнере "локальный компьютер/корневой каталог". Имя сертификата начинается с Windows Admin Center — Created-VPNGW и содержит дополнительную строку P2SRoot . Хвост строки содержит метку времени, закодированную с датой создания сертификата. Этот сертификат также будет храниться в контейнере "локальный компьютер/центр сертификации". Второй сертификат хранится на локальном компьютере или в контейнере. Имя этого сертификата начинается с Windows Admin Center — Created-VPNGW и содержит дополнительную строку P2SClient . Хвост строки содержит метку времени, закодированную с датой создания сертификата.

После завершения развертывания средство " сети " выбранного сервера обновляется новым сетевым адаптером Azure, который автоматически запускается после завершения развертывания и указывает на активное состояние. Вы можете выбрать адаптер для активации раскрывающегося списка больше , который можно выбрать для отключения или удаления адаптера. На фактическом сервере сетевой адаптер Azure устанавливается как VPN-подключение. Имя адаптера начинается с Центервпн администратора Windows , за которым следует случайное число из трех цифр.

После установки и подключения сетевого адаптера Azure вы можете использовать это новое сетевое подключение для непосредственного подключения к Azure виртуальных сетей и системным системам. Этот тип подключения обычно используется для установления сеанса удаленного рабочего стола через внутренний IP-адрес виртуальной машины Azure, а не с помощью общедоступного IP-адреса виртуальной машины.

Использование выделенного сервера ВАК

Для централизованного администрирования рекомендуется использовать выделенную установку сервера администрирования Windows, с помощью которой можно добавить другие серверы. Такой подход означает, что ни один из администрируемых серверов не требует дополнительного программного обеспечения. Дополнительные сведения о ВАК см. в документации Майкрософт.

Подготовка выделенной виртуальной сети

В некоторых сценариях интерфейс установки сетевого адаптера Azure может не соответствовать вашим потребностям в отношении соглашений об именовании или ценовой категории. Чтобы избежать этого конфликта, перед развертыванием адаптера можно создать необходимые ресурсы Azure. Во время развертывания можно выбрать уже существующие ресурсы, а не создавать их с помощью интерфейса установки.

Примечание

Убедитесь, что выбран правильный номер SKU VPN-шлюза, так как не все из них поддерживают VPN-подключение, поставляемое с сетевым адаптером Azure. В диалоговом окне установки вы найдете VpnGw1, VpnGw2 и VpnGw3. В настоящее время адаптер не поддерживает избыточные в зонах версии VPN-шлюза.

Вопросы масштабируемости

  • SKU VPN-шлюза:
    • Выбор SKU VPN-шлюза определяет, сколько подключений оно может выполнять параллельно, а также пропускную способность, доступную для всех этих подключений. Число одновременных подключений варьируется от 250 до 1 000, если используется параметр P2S IKEv2/опенвпн . IKE относится к обмену ключами IPSec. Рекомендуется начинать с VpnGw1 и масштабировать его позже, если требуется больше подключений. Если необходимо переключить создание VPN-шлюза, необходимо установить новый шлюз и развернуть новый сетевой адаптер Azure для подключения к нему.
  • Подключение нескольких изолированных серверов:
    • Вы можете использовать ВАК для развертывания сетевого адаптера Azure на любое количество серверов. Кроме того, можно добавить несколько сетевых адаптеров Azure на один сервер для подключения к разным виртуальных сетей Azure. После завершения первоначального развертывания VPN-шлюза можно настроить последующие серверы для использования того же шлюза, выбрав существующий шлюз в интерфейсе установки.
    • Изолированные серверы могут находиться в одной сети, в сети филиала или в другой облачной сети. Вы можете использовать установленное сетевое подключение, например корпоративную глобальную сеть или выделенный VPN-доступ к другому поставщику облачных служб, если в этих подключениях доступны необходимые сетевые порты. Дополнительные сведения см. в подразделе «вопросы безопасности» этой статьи.
  • Подключение "сеть — сеть" Azure:
    • Сетевой адаптер Azure — это единая установка на одном сервере, но если вы хотите подключить несколько серверов, можно столкнуться с значительными усилиями по администрированию. Однако эту деятельность можно избежать, подключившись к локальным системам с помощью метода подключения " сайт-2-сайт " (S2S) Azure, который подключает существующую локальную сеть к виртуальной сети Azure и ее подсетям. В ядре этого подключения есть VPN-шлюз Azure, с помощью которого можно подключить локальный VPN-шлюз с удаленным VPN-шлюзом Azure. Это безопасное подключение позволяет двум сегментам сети прозрачно взаимодействовать друг с другом.

Вопросы доступности

  • Сетевой адаптер Azure поддерживает только конфигурацию "активный — пассивный" VPN-шлюза Azure. Во время настройки адаптера можно указать существующий Активный VPN-шлюз Azure. Программа установки настроит шлюз в конфигурации "активный — пассивный". Перенастройка ручного шлюза в состояние "активный — активный" возможна, но сетевой адаптер Azure не будет подключаться к этому шлюзу.

    Предупреждение

    Настройка сетевого адаптера Azure для существующего VPN-шлюза Azure с конфигурацией "активный — активный" приведет к перенастройке шлюза в значение "активный — пассивный". Это повлияет на все существующие VPN-подключения к этому шлюзу. Переключение с режима "активный — активный" на конфигурацию "активный — резерв" приведет к удалению одного из двух VPN-туннелей IPsec для каждого подключения. Не Продолжайте работу , не выполняя оценку общих требований к подключению и консультации с сетевыми администраторами.

Вопросы управляемости

  • Учетная запись администратора:
    • ВАК — это основное средство, используемое для развертывания сетевого адаптера Azure и настройки обработки учетных записей. Дополнительные сведения о доступных параметрах см. в разделе параметры доступа пользователей в центре администрирования Windows. Можно настроить отдельную учетную запись для подключения к серверу.

      Примечание

      Диалоговое окно, в котором вы настраиваете учетную запись администратора для каждого сервера, будет проверять ваши учетные данные при нажатии на кнопку продолжить. Чтобы открыть диалоговое окно, в поле ВАК выберите строку с соответствующим именем сервера, а затем выберите Управление как. Не выбирайте гиперссылку, представляющую сервер, так как он немедленно подключится к этому серверу.

    • Кроме того, необходимо настроить учетную запись пользователя для подключения Azure, открыв диалоговое окно Параметры в разделе ВАК и изменив учетную запись. Кроме того, можно переключать пользователей или выходить из сеанса пользователя в диалоговом окне " Параметры ".

  • Интеграция хранилища восстановления Azure:
    • При установке сетевого адаптера Azure на отдельном сервере можно считать, что этот сервер является портом для обеспечения непрерывности бизнес-процессов. Этот сервер можно интегрировать в процедуры резервного копирования и аварийного восстановления с помощью служб хранилища восстановления Azure, которые можно настроить, выбрав Azure Backup в разделе " средства " ВАК. Azure Backup помогает защитить сервер Windows Server от повреждений, атак или аварий путем резервного копирования сервера непосредственно на Microsoft Azure.

Вопросы безопасности

  • Требуемые сетевые порты:
  • Интеграция с центром безопасности Azure:
    • Чтобы обеспечить защиту сервера, на котором установлен сетевой адаптер Azure, можно интегрировать сервер в центр безопасности Azure, выбрав Центр безопасности Azure в разделе " средства " в ВАК. Во время интеграции необходимо выбрать существующую рабочую область Log Analytics Azure или создать новую. Счет будет выставлен отдельно для каждого сервера, который интегрируется с центром безопасности Azure. Дополнительные сведения см. на странице цен на центр безопасности Azure.

Рекомендации для DevOps

  • Служба автоматизации Azure:
    • ВАК предоставляет доступ к коду PowerShell, который создает сетевой адаптер Azure. его можно просмотреть, выбрав средство " сеть ", а затем щелкнув значок просмотреть скрипты PowerShell в верхней части страницы ВАК. Имя скрипта — Complete-P2SVPNConfiguration и реализуется как функция PowerShell. Код имеет цифровую подпись и готов к повторному использованию, и его можно интегрировать в службу автоматизации Azure , настроив дополнительные службы в портал Azure.

Рекомендации по стоимости

  • Калькулятор цен Azure:
    • Использование сетевого адаптера Azure на самом деле не приводит ни к каким затратам, так как это компонент, развертываемый в локальной системе. VPN-шлюз Azure, как часть решения, создает дополнительные затраты, как и использование дополнительных служб, таких как хранилище восстановления Azure или центр безопасности Azure. Дополнительные сведения о фактических затратах см. в калькуляторе цен Azure. Важно отметить, что фактические затраты зависят от региона Azure и вашего индивидуального контракта. Обратитесь к торговому Отделу Майкрософт за дополнительными сведениями о ценах.
  • Стоимость исходящего трафика:
    • Существуют дополнительные затраты, связанные с исходящими Inter-VNet передачей данных, которые зависят от номера SKU VPN-шлюза и фактического объема данных, которые вы используете. Дополнительные сведения см. в калькуляторе цен Azure. Важно отметить, что фактические затраты зависят от региона Azure и вашего индивидуального контракта. Обратитесь к торговому Отделу Майкрософт за дополнительными сведениями о ценах.