Den här referensarkitekturen visar hur du ansluter en lokal fristående server till virtuella Microsoft Azure-nätverk med hjälp av azure-nätverkskortet som du distribuerar via Windows Admin Center (WAC). Azure Network Adapter skapar en säker virtuell anslutning via Internet, vilket utökar ditt lokala nätverk till Azure.
Arkitektur
Ladda ned en Visio-fil med dessa arkitekturer.
Arbetsflöde
Arkitekturen består av:
- Lokalt nätverk. Den här komponenten är en organisations privata lokala nätverk (LAN).
- Avdelningskontor. Den här komponenten är ett privat LAN på ett fjärrkontor som ansluter via ett wan-nätverk (Corporate Wide Area Network).
- Annan molnleverantör. Den här komponenten är ett privat virtuellt nätverk som en molnleverantör erbjuder. Den ansluter via ett virtuellt privat nätverk (VPN).
- Windows Server med Windows Admin Center installerat. Den server som du använder för att distribuera Azure-nätverkskortet.
- Windows Server (fristående). Servern där Azure-nätverkskortet är installerat. Den här servern kan finnas i ett avdelningskontorsnätverk eller i en annan molnleverantörs nätverk.
- Azure Virtual Network (VNet). De virtuella servrarna och andra tjänster och komponenter för Azure VPN Gateway som finns i samma virtuella nätverk i Azure.
- Azure VPN Gateway. VPN Gateway-tjänsten som gör att du kan ansluta det virtuella nätverket till det lokala nätverket eller fristående servrar via en VPN-installation eller Azure-nätverkskort. Mer information finns i Connect an on-premises network to Microsoft Azure virtual network (Ansluta ett lokalt nätverk till virtuellt Microsoft Azure-nätverk). Det finns flera prisnivåer, eller lagerhållningsenheter (SKU:er), tillgängliga för VPN-gatewayer. Varje SKU stöder olika krav baserat på typerna av arbetsbelastningar, dataflöde, funktioner och serviceavtal (SLA). VPN-gatewayen innehåller följande komponenter:
- Virtuell nätverksgateway (aktiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket och ansvarar för att dirigera trafik fram och tillbaka mellan det lokala nätverket och det virtuella nätverket.
- Virtuell nätverksgateway (passiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket, och det är väntelägesinstansen för den aktiva Azure VPN Gateway. Mer information finns i Om redundans för Azure VPN Gateway.
- Gateway-undernät. Den virtuella nätverksgatewayen finns i ett eget undernät, som omfattas av olika krav som följande Rekommendationer avsnittsinformation.
- Anslutning. Anslutningen har egenskaper som anger anslutningstyp. Dessa egenskaper omfattar IPsec (Internet Protocol Security) och nyckeln som delas med den lokala VPN-installationen för att kryptera trafik.
- Molnprogram. Den här komponenten är det program som finns i Azure. Den kan innehålla många nivåer med flera undernät som ansluter via Azure-lastbalanserare. Mer information om programinfrastrukturen finns i Köra arbetsbelastningar på virtuella Windows-datorer och Köra virtuella arbetsbelastningar på virtuella Linux-datorer.
- Interna lastbalanserare. Nätverkstrafik från VPN-gatewayen dirigeras till molnprogrammet via en intern lastbalanserare, som finns i programmets produktionsundernät.
- Azure Bastion. Med Azure Bastion kan du logga in på virtuella datorer i det virtuella Azure-nätverket utan att exponera de virtuella datorerna direkt på Internet. Den använder Secure Shell (SSH) eller Remote Desktop Protocol (RDP). Om du förlorar VPN-anslutningen kan du fortfarande använda Azure Bastion för att hantera dina virtuella datorer i det virtuella Azure-nätverket. Hantering av lokala servrar via Azure Bastion stöds dock inte.
Komponenter
Virtuellt nätverk. Azure Virtual Network (virtuellt nätverk) utgör grunden för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Virtuella Azure-datorer (VM), kommunicera säkert med varandra, Internet och lokala nätverk.
Azure Bastion. Azure Bastion är en fullständigt hanterad tjänst som ger säkrare och smidigare åtkomst, via Remote Desktop Protocol (RDP) och Secure Shell Protocol (SSH), till virtuella datorer utan exponering via offentliga IP-adresser.
VPN Gateway. VPN Gateway skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda VPN Gateway för att skicka krypterad trafik mellan virtuella Azure-nätverk via Microsoft-nätverket. En VPN-gateway är en specifik typ av virtuell nätverksgateway.
Administrationscenter för Windows. Windows Admin Center är en lokalt distribuerad, webbläsarbaserad app för hantering av Windows-servrar, kluster, hyperkonvergerad infrastruktur samt Windows 10-datorer. Det är en kostnadsfri produkt och är redo att användas i produktion.
Rekommendationer
Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.
Anslut en fristående server
Om du vill ansluta en fristående server via WAC måste du lägga till servern i listan över hanterade servrar i den dedikerade serverns WAC-installation. När du har lagt till servern i listan kan du välja den server som du vill installera Azure-nätverkskortet för och sedan välja Nätverk från verktygen följt av alternativet "+ Lägg till Azure-nätverkskort (förhandsversion)" i fönstret Nätverk .
Dricks
Om du inte ser alternativet "+ Lägg till Azure-nätverkskort (förhandsversion)" i webbläsarfönstret kan du behöva förstora fönstret, eller så kan du se en åtgärdsknapp med en listruta. Välj listrutan caret för att komma åt alternativet och lägg till Azure-nätverkskortet.
När du väljer alternativet + Lägg till Azure-nätverkskort (förhandsversion) öppnas bladet Lägg till Azure-nätverkskortkonfiguration i ett webbläsarfönster. Det finns flera alternativ som du kan konfigurera på det här bladet.
Kommentar
Om du inte tidigare har autentiserats från WAC mot den Azure-klientorganisation som du vill använda visas en autentiseringsdialogruta. Ange klientorganisationens autentiseringsinformation för att fortsätta. De användarautentiseringsuppgifter som du använder för att autentisera måste ha tillräcklig behörighet för att skapa de Azure-resurser som du konfigurerar under efterföljande steg.
Följande information är nödvändig:
Fält | Värde | Ytterligare information |
---|---|---|
Abonnemang | Välj från listrutan | I det här fältet visas endast prenumerationer som tilldelats din klientorganisation. |
Plats | Välj från listrutan | Välj en Azure-region för distributionen. |
Virtual Network | Välj från listrutan eller använd den angivna hyperlänken för att skapa ett nytt virtuellt nätverk i Azure-portalen | Beroende på ditt val varierar fältets innehåll. Om det virtuella nätverket finns ser du en hyperlänk som du kan följa för att granska det virtuella nätverket i Azure-portalen. Om det valda virtuella nätverket redan innehåller en VNet-gateway kommer en hyperlänk till den Azure-resursen att tillhandahållas. |
Gateway-undernät | Undernätsprefix, till exempel 10.0.1.0/24 | Beroende på det valda virtuella nätverket varierar det här fältet. Om det valda virtuella nätverket inte innehåller något undernät med etiketten GatewaySubnet fylls fältet i förväg med ett undernätsprefix som innehåller adressintervallet och nätmasken. Om det valda virtuella nätverket redan innehåller en VNet-gateway kommer en hyperlänk till den Azure-resursen att tillhandahållas. |
Gateway-SKU | Välj från listrutan | Mer information finns i Gateway-SKU:er. |
Klientadressutrymme | Undernätsprefix, till exempel 192.168.1.0/24 | Fältet fylls i med ett undernätsprefix som innehåller adressintervallet och nätmasken. Det är nätverket som ska användas mellan den server där du lägger till Azure-nätverkskortet och Azure VPN Gateway. Det måste ha ett adressintervall som inte överlappar något av adressintervallen som används lokalt eller i något av de anslutna virtuella Azure-nätverken. |
Autentiseringscertifikat | Välj ett av alternativen | Alternativet "Automatiskt genererat självsignerat rot- och klientcertifikat" är förmarkerat och fungerar bäst i de flesta scenarier. När du väljer alternativet "Använd eget rot- och klientcertifikat" måste du ange två filer: ett rotcertifikat (.cer) och ett klientcertifikat (.pfx) och sedan lösenordet för klientcertifikatet. |
När du har slutfört alla nödvändiga fält blir knappen Skapa aktiv och du bör välja den för att påbörja distributionen av Azure-nätverkskortet till den valda servern.
Distributionsprocessen har två huvuddelar, varav den första är distributionen och valet av Azure VPN Gateway. Om du behöver distribuera din Azure VPN Gateway först kan du vänta i 25 till 45 minuter innan distributionen slutförs. (Vissa konfigurationer kan ta så lång tid att distribuera.) WAC tillhandahåller information om distributionens förlopp. Den andra delen är den faktiska installationen av Azure-nätverkskortet, vilket kan ta 10 minuter. WAC meddelar dig även om installationsframstatusen.
När distributionen börjar kan du ändra fokus för WAC genom att välja andra verktyg eller servrar. Distributionsprocessen fortsätter i bakgrunden.
Om du väljer alternativet Automatiskt genererad självsignerad rot och klientcertifikat skapar Azure de två nödvändiga certifikaten åt dig automatiskt och lagrar dem i den valda serverns certifikatarkiv. Du kan använda verktyget Certifikat i WAC för att hitta dem och sedan hitta ett rotcertifikat i containern Lokal dator/Rot. Certifikatets namn börjar med Windows Admin Center-Created-vpngw och innehåller P2SRoot-strängen. Strängens svans innehåller en tidsstämpel som kodas med certifikatets skapandedatum. Det här certifikatet lagras också i containern Lokal dator/CA. Det andra certifikatet lagras i containern Lokal dator/Min. Namnet på det här certifikatet börjar med Windows Admin Center-Created-vpngw och innehåller strängen P2SClient . Strängens svans innehåller en tidsstämpel som kodas med certifikatets skapandedatum.
När distributionen är klar uppdateras den valda serverns nätverksverktyg med det nya Azure-nätverkskortet, som startar automatiskt när distributionen är slut och anger en aktiv status. Du kan välja adaptern för att aktivera listrutan Mer , som du kan välja för att koppla från eller ta bort adaptern. På den faktiska servern installeras Azure-nätverkskortet som en VPN-anslutning. Adapterns namn börjar med Windows Admin CenterVPN följt av ett slumpmässigt tresiffrigt tal.
När Azure-nätverkskortet är installerat och anslutet kan du använda den här nya nätverksanslutningen för att ansluta direkt till de virtuella Azure-nätverken och deras system. Den här typen av anslutning används vanligtvis för att upprätta en fjärrskrivbordssession via en virtuell Azure-dators interna IP-adress i stället för att använda den virtuella datorns offentliga IP-adress.
Använda en dedikerad WAC-server
För en centraliserad administration rekommenderar vi att du använder en dedikerad Windows Admin Server-installation, från vilken du kan lägga till andra servrar. Den här metoden innebär att inga administrerade servrar kräver extra programvara. Mer information finns i Administrationscenter för Windows.
Förbereda ett dedikerat virtuellt nätverk
Installationsgränssnittet för Azure-nätverkskortet kanske inte uppfyller dina behov av namngivningskonventioner eller prisnivåer. För att undvika den här konflikten kan du skapa nödvändiga Azure-resurser innan du distribuerar adaptern. Under distributionen väljer du de redan befintliga resurserna i stället för att skapa dem via installationsgränssnittet.
Kommentar
Se till att du väljer rätt VPN Gateway SKU eftersom inte alla stöder VPN-anslutningen som medföljer Azure-nätverkskortet. Installationsdialogrutan erbjuder VpnGw1, VpnGw2 och VpnGw3. För närvarande stöder inte adaptern zonredundanta versioner av VPN Gateway.
Att tänka på
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Skalbarhet
- VPN Gateway SKU:
- Den VPN Gateway-SKU som du väljer avgör hur många anslutningar som kan ta parallellt och den bandbredd som är tillgänglig för alla dessa anslutningar. Antalet samtidiga anslutningar varierar från 250 till 1 000 när du använder alternativet P2S IKEv2/OpenVPN . IKE refererar till IPsec Key Exchange. Det är lämpligt att börja med VpnGw1 och skala ut senare om du behöver fler anslutningar. Om du behöver byta VPN Gateway-generering måste du installera en ny gateway och distribuera ett nytt Azure-nätverkskort för att ansluta till den.
- Anslut flera fristående servrar:
- Du kan använda WAC för att distribuera Azure-nätverkskortet till så många servrar som du behöver. Du kan också lägga till många Azure-nätverkskort till en enskild server för att ansluta till olika virtuella Azure-nätverk. När den första distributionen av VPN Gateway är klar kan du konfigurera extra servrar för att använda samma gateway genom att välja den befintliga gatewayen i installationsgränssnittet.
- Fristående servrar kan finnas i samma nätverk, i ett avdelningskontorsnätverk eller i ett annat molnbaserat nätverk. Du kan använda den nätverksanslutning som du har upprättat, till exempel företagets WAN eller ett dedikerat VPN till en annan molnleverantör, om de nödvändiga nätverksportarna är tillgängliga via dessa anslutningar. Mer information finns i avsnittet "Säkerhetsöverväganden" i den här artikeln.
- Plats-till-plats-anslutning i Azure:
- Azure-nätverkskortet är en enda installation på en enskild server. Om du vill ansluta flera servrar kan du behöva göra en betydande administrativ insats. Du kan dock undvika den här ansträngningen genom att ansluta dina lokala system med hjälp av metoden Azure Site-2-Site Connection (S2S), som ansluter ett befintligt lokalt nätverk till ett virtuellt Azure-nätverk och dess undernät. I den här anslutningens kärna finns en Azure VPN Gateway genom vilken du kan ansluta en lokal, lokal VPN-gateway med den fjärranslutna Azure VPN Gateway. Med den här säkra anslutningen kan de två nätverkssegmenten kommunicera transparent med varandra.
Tillgänglighet
- Azure-nätverkskortet stöder endast en aktiv-passiv konfiguration av Azure VPN Gateway. Under adapterns konfiguration kan du peka på en befintlig aktiv-aktiv Azure VPN-gateway. Konfigurationen konfigurerar om gatewayen till den aktiva-passiva konfigurationen. Det går att konfigurera om en manuell gateway till aktivt-aktivt tillstånd, men Azure-nätverkskortet ansluter inte till den här gatewayen.
Varning
Om du konfigurerar ett Azure-nätverkskort mot en befintlig Azure VPN Gateway med en aktiv-aktiv konfiguration konfigureras gatewayen om till aktiv-passiv. Detta påverkar alla befintliga VPN-anslutningar till den här gatewayen. Om du ändrar från aktiv-aktiv konfiguration till konfiguration i aktivt vänteläge blir det en droppe av en av de två IPsec VPN-tunnlarna för varje anslutning. Fortsätt inte utan att utvärdera dina övergripande anslutningskrav och kontakta nätverksadministratörerna.
Hanterbarhet
- Administrativt konto:
WAC är det viktigaste verktyget som du använder för att distribuera Azure-nätverkskortet och konfigurera kontohantering. Mer information om tillgängliga alternativ finns i Alternativ för användaråtkomst med Windows Admin Center. Du kan konfigurera ett enskilt konto per serveranslutning.
Kommentar
Dialogrutan där du konfigurerar det administrativa kontot per server verifierar dina autentiseringsuppgifter när du väljer Fortsätt. Öppna dialogrutan genom att i WAC välja raden med det aktuella servernamnet och sedan välja Hantera som. Markera inte hyperlänken som representerar servern eftersom den ansluter dig till servern omedelbart.
Dessutom måste du konfigurera ett användarkonto för Azure-anslutningen genom att öppna dialogrutan Inställningar i WAC och ändra kontoavsnittet. Du kan också växla användare eller logga ut från en användares session i dialogrutan Inställningar.
- Azure Recovery Vault-integrering:
- När du installerar Azure Network Adapter på en fristående server kan du sedan betrakta servern som en port för din affärskontinuitet. Du kan integrera servern i dina säkerhetskopierings- och haveriberedskapsprocedurer med hjälp av Azure Recovery Vault-tjänster som du konfigurerar genom att välja Azure Backup i avsnittet Verktyg i WAC. Azure Backup hjälper till att skydda din Windows-server mot skador, attacker eller katastrofer genom att säkerhetskopiera servern direkt till Microsoft Azure.
Säkerhet
Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.
- Nödvändiga nätverksportar:
Nätverksportar för PowerShell-fjärrkommunikation måste vara öppna om du vill använda WAC för att distribuera Azure-nätverkskortet.
PowerShell-fjärrkommunikation använder Windows Remote Management (WinRM). Mer information finns i Standardinställningar för PowerShell-fjärrkommunikation och Standardinställningar för PowerShell-fjärrkommunikation.
I vissa scenarier måste du använda extra autentiseringsmetoder. WAC kan använda PowerShell med Credential Security Support Provider Protocol (CredSSP) för att ansluta till fjärrservrar. Mer information finns i PowerShell-fjärrkommunikation och CredSSP och hur Windows Admin Center använder CredSSP.
PowerShell-fjärrkommunikation (och WinRM) använder följande portar:
Protokoll Port HTTP 5985 HTTPS 5986 Hur du ansluter till servern där Windows Admin Center (WAC) är installerat beror på wac-installationstypen. Standardporten varierar och kan vara port 6516 när den installeras på Windows 10 eller port 443 när den installeras på Windows Server. Mer information finns i Installera Administrationscenter för Windows.
- Microsoft Defender för molnet integrering:
- För att skydda servern där Azure-nätverkskortet är installerat kan du integrera servern till Microsoft Defender för molnet genom att välja Microsoft Defender för molnet i avsnittet Verktyg i WAC. Under integreringen måste du välja en befintlig Azure Log Analytics-arbetsyta eller skapa en ny. Du debiteras separat för varje server som du integrerar med Microsoft Defender för molnet. Mer information finns i Microsoft Defender för molnet prissättning.
DevOps
- Azure Automation:
- WAC ger dig åtkomst till PowerShell-koden som skapar Azure-nätverkskortet, och du kan granska det genom att välja verktyget Nätverk och sedan välja ikonen Visa PowerShell-skript överst på WAC-sidan. Skriptets namn är
Complete-P2SVPNConfiguration
och implementeras som en PowerShell-funktion. Koden är digitalt signerad och redo att återanvändas. Du kan integrera den i Azure Automation genom att konfigurera fler tjänster i Azure-portalen.
- WAC ger dig åtkomst till PowerShell-koden som skapar Azure-nätverkskortet, och du kan granska det genom att välja verktyget Nätverk och sedan välja ikonen Visa PowerShell-skript överst på WAC-sidan. Skriptets namn är
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.
- Priskalkylator för Azure:
- Att använda Azure-nätverkskortet kostar egentligen ingenting, eftersom det är en komponent som du distribuerar till ett lokalt system. Azure VPN Gateway genererar som en del av lösningen extra kostnader, liksom användningen av andra tjänster, till exempel Azure Recovery Vault eller Microsoft Defender för molnet. Mer information om faktiska kostnader finns i Priskalkylatorn för Azure. Det är viktigt att observera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljare om du vill ha mer information om priser.
- Utgående kostnader:
- Det finns extra kostnader för utgående inter-VNet-dataöverföringar. Dessa kostnader är beroende av vpn-gatewayens SKU och den faktiska mängden data som du använder. Mer information finns i Priskalkylatorn för Azure. Det är viktigt att observera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljare om du vill ha mer information om priser.
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Frank Migacz | Specialist på appinnovation
Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.
Nästa steg
Läs mer om komponentteknikerna:
- De 10 främsta nätverksfunktionerna i Windows Server 2019: #3 Azure-nätverkskort
- Punkt-till-plats-VPN
- Prova Windows Administrationscenter på Microsofts utvärderingscenter
- Vad är Azure Virtual Network?
- Vad är Azure Bastion?
- Vad är VPN Gateway?
- Översikt över Windows Admin Center
Relaterade resurser
Utforska relaterade arkitekturer: