Ansluta fristående servrar med hjälp av Azure-nätverkskort

Den här referensarkitekturen visar hur du ansluter en lokal fristående server till Microsoft Azure virtuella nätverk med hjälp av Det Azure-nätverkskort som du distribuerar via Windows Admin Center (WAC). Azure-nätverkskortet skapar en skyddad virtuell anslutning via Internet, som utökar ditt lokala nätverk till Azure.

Ladda ned Visio fil med dessa arkitekturer.

Arkitektur

Arkitekturen består av följande komponenter:

• Lokalt nätverk. Den här komponenten är en organisations privata lokala nätverk (LAN).
• Avdelningskontor. Den här komponenten är ett privat LAN på ett fjärranslutet avdelningskontor som ansluter via ett wan-nätverk (Corporate Wide Area Network).
• Annan molnleverantör. Den här komponenten är ett privat virtuellt nätverk som en molnleverantör erbjuder. Den ansluter via ett virtuellt privat nätverk (VPN).
• Windows Server med Windows Administrationscenter installerat. Den server som du använder för att distribuera Azure-nätverkskortet.
• Windows Server (fristående). Den server där Azure-nätverkskortet är installerat. Den här servern kan finnas på ett avdelningskontor eller i en annan molnleverantörs nätverk.
• Azure Virtual Network (VNet). De virtuella servrarna och andra tjänster och komponenter för Azure-VPN Gateway som finns i samma virtuella nätverk i Azure.
• Azure VPN Gateway. Den VPN Gateway tjänst som gör att du kan ansluta det virtuella nätverket till det lokala nätverket eller fristående servrar via en VPN-installation eller Azure-nätverkskort. Mer information finns i Connect an on-premises network to Microsoft Azure virtual network (Ansluta ett lokalt nätverk till virtuellt Microsoft Azure-nätverk). Det finns flera prisnivåer, eller lagerhållningsenheter (SKU:er), tillgängliga för VPN-gatewayer. Varje SKU stöder olika krav baserat på typer av arbetsbelastningar, dataflöden, funktioner och serviceavtal (SLA). VPN-gatewayen innehåller följande komponenter:
  • Virtuell nätverksgateway (aktiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket och ansvarar för att dirigera trafik fram och tillbaka mellan det lokala nätverket och det virtuella nätverket.
  • Virtuell nätverksgateway (passiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket och är standby-instansen av den aktiva Azure-VPN Gateway. Mer information finns i Om Redundans för Azure VPN-gateway.
  • Gateway-undernät. Den virtuella nätverksgatewayen finns i ett eget undernät, som omfattas av olika krav som följande Rekommendationer avsnitt innehåller.
  • Anslutning. Anslutningen har egenskaper som anger anslutningstypen. Dessa egenskaper omfattar Internet Protocol security (IPsec) och nyckeln som delas med den lokala VPN-installationen för att kryptera trafiken.
• Molnprogram. Den här komponenten är det program som finns i Azure. Den kan innehålla många nivåer med flera undernät som ansluter via Azure-lastbalanserare. Mer information om programinfrastrukturen finns i Köra arbetsbelastningar på virtuella Windows-datorer och Köra virtuella arbetsbelastningar på virtuella Linux-datorer.
• Interna lastbalanserare. Nätverkstrafik från VPN-gatewayen dirigeras till molnprogrammet via en intern lastbalanserare, som finns i programmets produktionsundernät.
• Azure Bastion. Azure Bastion kan du logga in på virtuella datorer i det virtuella Azure-nätverket utan att exponera de virtuella datorerna direkt på Internet. Den använder Secure Shell (SSH) eller Remote Desktop Protocol (RDP). Om du förlorar VPN-anslutningen kan du fortfarande använda Azure Bastion för att hantera dina virtuella datorer i det virtuella Azure-nätverket. Hantering av lokala servrar via en Azure Bastion stöds dock inte.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Anslut en fristående server

Om du vill ansluta en fristående server via WAC måste du lägga till servern i listan över hanterade servrar i den dedikerade serverns WAC-installation. När du har lagt till servern i listan kan du välja den server som du vill installera Azure-nätverkskortet för och sedan välja Nätverk från verktygen följt av alternativet "+ Lägg till Azure-nätverkskort (förhandsversion)" i fönstret Nätverk.

När du väljer alternativet + Lägg till Azure-nätverkskort (förhandsversion) öppnas bladet Lägg till konfiguration av Azure-nätverkskort i ett webbläsarfönster. Det finns flera alternativ som du kan konfigurera på det här bladet.

Följande information är nödvändig:

Fält	Värde	Ytterligare information
Prenumeration	Välj i listrutan	I det här fältet visas endast prenumerationer som har tilldelats din klientorganisation.
Plats	Välj i listrutan	Välj en Azure-region för distributionen.
Virtual Network	Välj från listrutan eller använd den tillhandahållna hyperlänken för att skapa en ny Virtual Network i Azure Portal	Beroende på ditt val varierar fältets innehåll. Om Virtual Network finns ser du en hyperlänk som du kan följa för att granska Virtual Network i Azure Portal. Om det valda virtuella nätverket redan innehåller VNet Gateway en hyperlänk till den Azure-resursen.
Gateway-undernät	Undernätsprefix, till exempel 10.0.1.0/24	Det här fältet varierar beroende Virtual Network valda objekten. Om det valda virtuella nätverket inte innehåller något undernät med etiketten GatewaySubnetfylls fältet i med ett undernätsprefix som innehåller adressintervallet och nätmasken. Om det valda virtuella nätverket redan innehåller VNet Gateway en hyperlänk till den Azure-resursen.
Gateway-SKU	Välj i listrutan	Mer information finns i Gateway-SKU:er.
Klientens adressutrymme	Undernätsprefix, till exempel 192.168.1.0/24	Fältet fylls i med ett undernätsprefix som innehåller adressintervallet och nätmasken. Det är nätverket som ska användas mellan servern där du lägger till Azure-nätverkskortet och Azure-VPN Gateway. Det måste ha ett adressintervall som inte överlappar något av adressintervallen som används lokalt eller i något av de anslutna virtuella Azure-nätverken.
Autentiseringscertifikat	Välj ett av alternativen	Alternativet "Automatiskt genererade själv signerade rot- och klientcertifikat" är förvalt och fungerar bäst i de flesta scenarier. När du väljer alternativet "Använd eget rot- och klientcertifikat" måste du ange två filer: ett rotcertifikat (.cer) och ett klientcertifikat (.pfx) och sedan lösenordet för klientcertifikatet.

När du har slutfört alla nödvändiga fält blir knappen Skapa aktiv och du bör välja den för att påbörja distributionen av Ditt Azure-nätverkskort till den valda servern.

Distributionsprocessen har två huvuddelar, varav den första är distributionen och valet av Azure-VPN Gateway. Om du behöver distribuera azure-VPN Gateway måste du göra det i 25 till 45 minuter innan distributionen är klar. (Vissa konfigurationer kan ta så lång tid att distribuera.) WAC ger information om distributionens förlopp. Den andra delen är den faktiska installationen av Azure-nätverkskortet, vilket kan ta 10 minuter. WAC meddelar dig även om installationsförloppet.

När distributionen börjar kan du ändra wac-serverns fokus genom att välja andra verktyg eller servrar. Distributionsprocessen fortsätter i bakgrunden.

Om du väljer alternativet Automatiskt genererade själv signerade rot- och klientcertifikat skapar Azure de två nödvändiga certifikaten automatiskt och lagrar dem i den valda serverns certifikatarkiv. Du kan använda verktyget Certifikat i WAC för att hitta dem och sedan hitta ett rotcertifikat i den lokala datorn/rotcontainern. Certifikatets namn börjar med namnet Windows Admin Center-Created-vpngw och innehåller strängen P2SRoot. Strängens slut innehåller en tidsstämpel som är kodad med certifikatets skapandedatum. Det här certifikatet lagras också i den lokala datorn/CA-containern. Det andra certifikatet lagras i den lokala datorn/min-containern. Namnet på det här certifikatet börjar Windows Admin Center-Created-vpngw och innehåller strängen P2SClient. Strängens slut innehåller en tidsstämpel som är kodad med certifikatets skapandedatum.

När distributionen är klar uppdateras den valda serverns nätverksverktyg med det nya Azure-nätverkskortet, som startar automatiskt när distributionen har avslutats och anger en aktiv status. Du kan välja kortet för att aktivera listrutan Mer, som du kan välja om du vill koppla från eller ta bort kortet. På den faktiska servern installeras Azure-nätverkskortet som en VPN-anslutning. Kortets namn börjar med Windows Admin CenterVPN följt av ett slumpmässigt tresiffrigt tal.

När Azure-nätverkskortet har installerats och anslutits kan du använda den här nya nätverksanslutningen för att ansluta direkt till de virtuella Azure-nätverken och deras system. Den här typen av anslutning används vanligtvis för att upprätta en fjärrskrivbordssession via en virtuell Azure-dators interna IP-adress, i stället för att använda den virtuella datorns offentliga IP-adress.

Använda en dedikerad WAC-server

För en centraliserad administration rekommenderar vi att du använder en dedikerad Windows-administratörsserverinstallation som du kan lägga till andra servrar från. Den här metoden innebär att inga administrerade servrar kräver extra programvara. Mer information om WAC finns i Microsoft docs.

Förbereda ett dedikerat VNet

Installationsgränssnittet för Azure-nätverkskortet uppfyller kanske inte din namngivningskonvention eller dina prisnivåbehov. För att undvika den här konflikten kan du skapa nödvändiga Azure-resurser innan du distribuerar kortet. Under distributionen väljer du de redan befintliga resurserna i stället för att skapa dem via installationsgränssnittet.

Skalbarhetsöverväganden

• VPN Gateway SKU:
  • Den VPN Gateway SKU som du väljer avgör hur många anslutningar det kan ta parallellt och den bandbredd som är tillgänglig för alla dessa anslutningar. Antalet samtidiga anslutningar varierar från 250 till 1 000 när du använder alternativet P2S IKEv2/OpenVPN. IKE refererar till IPsec-nyckel Exchange. Vi rekommenderar att du börjar med VpnGw1 och skalar ut senare om du behöver fler anslutningar. Om du behöver växla VPN Gateway generation måste du installera en ny gateway och distribuera ett nytt Azure-nätverkskort för att ansluta till den.
• Anslut flera fristående servrar:
  • Du kan använda WAC för att distribuera Azure-nätverkskortet till så många servrar som du behöver. Du kan också lägga till många Azure-nätverkskort till en enda server för att ansluta till olika virtuella Azure-nätverk. När den första distributionen av VPN Gateway är klar kan du konfigurera extra servrar att använda samma gateway genom att välja den befintliga gatewayen i installationsgränssnittet.
  • Fristående servrar kan finnas i samma nätverk, på ett avdelningskontor eller i ett annat molnbaserat nätverk. Du kan använda den nätverksanslutning som du har upprättat, till exempel ditt företags WAN eller en dedikerad VPN till en annan molnleverantör, om de nödvändiga nätverksportarna är tillgängliga via dessa anslutningar. Mer information finns i avsnittet "Säkerhetsöverväganden" i den här artikeln.
• Plats-till-plats-anslutning i Azure:
  • Azure-nätverkskortet är en enskild installation på en enda server. Om du vill ansluta flera servrar kan du få en betydande administrativ arbetsinsats. Du kan dock undvika detta genom att ansluta dina lokala system med hjälp av metoden Azure Site-2-Site Connection (S2S), som ansluter ett befintligt lokalt nätverk till ett azure-VNet och dess undernät. Kärnan i den här anslutningen är en Azure-VPN Gateway där du kan ansluta en lokal VPN-gateway till den fjärranslutna Azure-VPN Gateway. Den här säkra anslutningen gör att de två nätverkssegmenten kan kommunicera transparent med varandra.

Överväganden för tillgänglighet

• Azure-nätverkskortet stöder endast en aktiv-passiv-konfiguration av Azure-VPN Gateway. Under adapterns konfiguration kan du peka på en befintlig aktiv-aktiv Azure VPN-gateway. Konfigurationen konfigurerar om gatewayen till den aktiva-passiva konfigurationen. Det går att konfigurera om en manuell gateway till tillståndet aktiv-aktiv, men Azure-nätverkskortet ansluter inte till den här gatewayen.

  Varning

  Om du konfigurerar ett Azure-nätverkskort mot en befintlig Azure VPN Gateway med en aktiv-aktiv-konfiguration konfigureras gatewayen om till aktiv-passiv. Detta påverkar alla befintliga VPN-anslutningar till den här gatewayen. Om du ändrar från aktiv-aktiv-konfiguration till aktiv-vänteläge-konfiguration kommer en av de två IPsec VPN-tunnlarna att släppas för varje anslutning. Fortsätt inte utan att utvärdera de övergripande anslutningskraven och kontakta dina nätverksadministratörer.

Överväganden för hantering

• Administratörskonto:

  • WAC är det kärnverktyg som du använder för att distribuera Azure-nätverkskortet och konfigurera kontohantering. Mer information om de tillgängliga alternativen finns i Alternativ för användaråtkomst med Windows Administrationscenter. Du kan konfigurera ett enskilt konto per serveranslutning.

    Anteckning

    Dialogrutan där du konfigurerar administratörskontot per server verifierar dina autentiseringsuppgifter när du väljer Fortsätt. Öppna dialogrutan genom att i WAC markera raden med lämpligt servernamn och sedan välja Hantera som. Välj inte hyperlänken som representerar servern eftersom den ansluter dig till den servern omedelbart.

  • Dessutom måste du konfigurera ett användarkonto för Azure-anslutningen genom att öppna dialogrutan Inställningar i WAC och ändra kontoavsnittet. Du kan också växla användare eller logga ut från en användares session i Inställningar dialogrutan.

• Azure Recovery Vault-integrering:
  • När du installerar Azure-nätverkskortet på en fristående server kan du betrakta den servern som en port för affärskontinubilitet. Du kan integrera den servern i dina procedurer för back-up och haveriberedskap med hjälp av Azure Recovery Vault-tjänster som du konfigurerar genom att välja Azure Backup i avsnittet Verktyg i WAC. Azure Backup hjälper till att Windows din server från skador, attacker eller katastrofer genom att a servern direkt till Microsoft Azure.

Säkerhetsöverväganden

• Nödvändiga nätverksportar:

  • Nätverksportar för PowerShell-fjärrkommunikation måste vara öppna om du vill använda WAC för att distribuera Azure-nätverkskortet.

  • PowerShell-fjärrkommunikation använder Windows Remote Management (WinRM). Mer information finns i Säkerhetsöverväganden för PowerShell-fjärrkommunikation och Standardinställningar för PowerShell-fjärrkommunikation.

  • I vissa fall måste du använda extra autentiseringsmetoder. WAC kan använda PowerShell med CredSSP (CredSSP) för att ansluta till fjärrservrar. Mer information finns i PowerShell-fjärrkommunikation och CredSSP och hur Windows Administrationscenter använder CredSSP.

  • PowerShell-fjärrkommunikation (och WinRM) använder följande portar:

    Protokoll	Port
    HTTP	5985
    HTTPS	5986

  • Hur du ansluter till servern där Windows Admin Center (WAC) är installerat beror på wac-installationstypen. Standardporten varierar och kan vara port 6516 när den installeras på Windows 10 eller port 443 när den installeras på Windows Server. Mer information finns i Installera Windows Administrationscenter.

• Microsoft Defender för molnintegrering:
  • För att skydda servern där Azure-nätverkskortet är installerat kan du integrera servern med Microsoft Defender for Cloud genom att välja Microsoft Defender för moln i avsnittet Verktyg i WAC. Under integreringen måste du välja en befintlig Azure Log Analytics-arbetsyta eller skapa en ny. Du debiteras separat för varje server som du integrerar med Microsoft Defender för molnet. Mer information finns i Prissättning för Microsoft Defender för molnet.

DevOps-överväganden

• Azure Automation:
  • WAC ger dig åtkomst till PowerShell-koden som skapar Azure-nätverkskortet och du kan granska det genom att välja verktyget Nätverk och sedan välja ikonen Visa PowerShell-skript överst på WAC-sidan. Skriptets namn är Complete-P2SVPNConfigurationoch implementeras som en PowerShell-funktion. Koden är digitalt signerad och redo att återanvändas. Du kan integrera den i Azure Automation genom att konfigurera fler tjänster i Azure Portal.

Kostnadsöverväganden

• Priskalkylator för Azure:
  • Att använda Azure-nätverkskortet kostar egentligen inte något, eftersom det är en komponent som du distribuerar till ett lokalt system. Azure VPN Gateway som en del av lösningen genererar extra kostnader, precis som användningen av andra tjänster, till exempel Azure Recovery Vault eller Microsoft Defender för molnet. Mer information om faktiska kostnader finns i Priskalkylatorn för Azure. Det är viktigt att notera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljrepresentant för mer information om priser.
• Egress kostnader:
  • Det finns extra kostnader för utgående Inter-VNet dataöverföringar. Dessa kostnader är beroende VPN Gateway din SKU och den faktiska mängden data som du använder. Mer information finns i Priskalkylatorn för Azure. Det är viktigt att notera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljare om du vill ha mer information om priser.

Nästa steg

Läs mer om komponentteknikerna:

• De 10 främsta nätverksfunktionerna i Windows Server 2019: #3 Azure-nätverkskort
• Punkt-till-plats-VPN
• Prova Windows Administrationscenter på Microsoft Evaluation Center
• Vad är Azure Virtual Network?
• Vad är Azure Bastion?
• Vad är VPN Gateway?
• Windows Administrationscenter – översikt

Utforska relaterade arkitekturer:

• Hantera Azure-hybridarbetsbelastningar med Windows Admin Center
• Nätverkstopologi av typen hub-spoke i Azure
• Utöka ett lokal nätverk med VPN
• Utforma en Domain Name System-hybridlösning med Azure