Redigera

Ansluta fristående servrar med hjälp av Azure-nätverkskort

Azure Bastion
Azure Virtual Network
Azure VPN Gateway
Windows Server
Azure Virtual Machines

Den här referensarkitekturen visar hur du ansluter en lokal fristående server till virtuella Microsoft Azure-nätverk med hjälp av azure-nätverkskortet som du distribuerar via Windows Admin Center (WAC). Azure Network Adapter skapar en säker virtuell anslutning via Internet, vilket utökar ditt lokala nätverk till Azure.

Arkitektur

Använd Azure VPN för att ansluta en fristående server till ett virtuellt Azure-nätverk genom att distribuera ett Azure-nätverkskort med hjälp av Windows Administrationscenter. Sedan kan du hantera de virtuella Azure-datorerna (VM) från den fristående servern med hjälp av de virtuella datorernas privata IP-adress.

Distribuera ett Azure-nätverkskort med Hjälp av Windows Administrationscenter för att ansluta en fristående server via Azure VPN till ett företagsnätverks virtuella Azure-nätverk, ett avdelningskontor eller en annan molnleverantörs nätverk. Sedan kan du använda den fristående servern för att hantera de virtuella Azure-datorerna via deras privata IP-adresser, från valfri plats.

Ladda ned en Visio-fil med dessa arkitekturer.

Arbetsflöde

Arkitekturen består av:

  • Lokalt nätverk. Den här komponenten är en organisations privata lokala nätverk (LAN).
  • Avdelningskontor. Den här komponenten är ett privat LAN på ett fjärrkontor som ansluter via ett wan-nätverk (Corporate Wide Area Network).
  • Annan molnleverantör. Den här komponenten är ett privat virtuellt nätverk som en molnleverantör erbjuder. Den ansluter via ett virtuellt privat nätverk (VPN).
  • Windows Server med Windows Admin Center installerat. Den server som du använder för att distribuera Azure-nätverkskortet.
  • Windows Server (fristående). Servern där Azure-nätverkskortet är installerat. Den här servern kan finnas i ett avdelningskontorsnätverk eller i en annan molnleverantörs nätverk.
  • Azure Virtual Network (VNet). De virtuella servrarna och andra tjänster och komponenter för Azure VPN Gateway som finns i samma virtuella nätverk i Azure.
  • Azure VPN Gateway. VPN Gateway-tjänsten som gör att du kan ansluta det virtuella nätverket till det lokala nätverket eller fristående servrar via en VPN-installation eller Azure-nätverkskort. Mer information finns i Connect an on-premises network to Microsoft Azure virtual network (Ansluta ett lokalt nätverk till virtuellt Microsoft Azure-nätverk). Det finns flera prisnivåer, eller lagerhållningsenheter (SKU:er), tillgängliga för VPN-gatewayer. Varje SKU stöder olika krav baserat på typerna av arbetsbelastningar, dataflöde, funktioner och serviceavtal (SLA). VPN-gatewayen innehåller följande komponenter:
    • Virtuell nätverksgateway (aktiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket och ansvarar för att dirigera trafik fram och tillbaka mellan det lokala nätverket och det virtuella nätverket.
    • Virtuell nätverksgateway (passiv). Den här Azure-resursen tillhandahåller en virtuell VPN-installation för det virtuella nätverket, och det är väntelägesinstansen för den aktiva Azure VPN Gateway. Mer information finns i Om redundans för Azure VPN Gateway.
    • Gateway-undernät. Den virtuella nätverksgatewayen finns i ett eget undernät, som omfattas av olika krav som följande Rekommendationer avsnittsinformation.
    • Anslutning. Anslutningen har egenskaper som anger anslutningstyp. Dessa egenskaper omfattar IPsec (Internet Protocol Security) och nyckeln som delas med den lokala VPN-installationen för att kryptera trafik.
  • Molnprogram. Den här komponenten är det program som finns i Azure. Den kan innehålla många nivåer med flera undernät som ansluter via Azure-lastbalanserare. Mer information om programinfrastrukturen finns i Köra arbetsbelastningar på virtuella Windows-datorer och Köra virtuella arbetsbelastningar på virtuella Linux-datorer.
  • Interna lastbalanserare. Nätverkstrafik från VPN-gatewayen dirigeras till molnprogrammet via en intern lastbalanserare, som finns i programmets produktionsundernät.
  • Azure Bastion. Med Azure Bastion kan du logga in på virtuella datorer i det virtuella Azure-nätverket utan att exponera de virtuella datorerna direkt på Internet. Den använder Secure Shell (SSH) eller Remote Desktop Protocol (RDP). Om du förlorar VPN-anslutningen kan du fortfarande använda Azure Bastion för att hantera dina virtuella datorer i det virtuella Azure-nätverket. Hantering av lokala servrar via Azure Bastion stöds dock inte.

Komponenter

  • Virtuellt nätverk. Azure Virtual Network (virtuellt nätverk) utgör grunden för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Virtuella Azure-datorer (VM), kommunicera säkert med varandra, Internet och lokala nätverk.

  • Azure Bastion. Azure Bastion är en fullständigt hanterad tjänst som ger säkrare och smidigare åtkomst, via Remote Desktop Protocol (RDP) och Secure Shell Protocol (SSH), till virtuella datorer utan exponering via offentliga IP-adresser.

  • VPN Gateway. VPN Gateway skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda VPN Gateway för att skicka krypterad trafik mellan virtuella Azure-nätverk via Microsoft-nätverket. En VPN-gateway är en specifik typ av virtuell nätverksgateway.

  • Administrationscenter för Windows. Windows Admin Center är en lokalt distribuerad, webbläsarbaserad app för hantering av Windows-servrar, kluster, hyperkonvergerad infrastruktur samt Windows 10-datorer. Det är en kostnadsfri produkt och är redo att användas i produktion.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Anslut en fristående server

Om du vill ansluta en fristående server via WAC måste du lägga till servern i listan över hanterade servrar i den dedikerade serverns WAC-installation. När du har lagt till servern i listan kan du välja den server som du vill installera Azure-nätverkskortet för och sedan välja Nätverk från verktygen följt av alternativet "+ Lägg till Azure-nätverkskort (förhandsversion)" i fönstret Nätverk .

Dricks

Om du inte ser alternativet "+ Lägg till Azure-nätverkskort (förhandsversion)" i webbläsarfönstret kan du behöva förstora fönstret, eller så kan du se en åtgärdsknapp med en listruta. Välj listrutan caret för att komma åt alternativet och lägg till Azure-nätverkskortet.

När du väljer alternativet + Lägg till Azure-nätverkskort (förhandsversion) öppnas bladet Lägg till Azure-nätverkskortkonfiguration i ett webbläsarfönster. Det finns flera alternativ som du kan konfigurera på det här bladet.

Kommentar

Om du inte tidigare har autentiserats från WAC mot den Azure-klientorganisation som du vill använda visas en autentiseringsdialogruta. Ange klientorganisationens autentiseringsinformation för att fortsätta. De användarautentiseringsuppgifter som du använder för att autentisera måste ha tillräcklig behörighet för att skapa de Azure-resurser som du konfigurerar under efterföljande steg.

Följande information är nödvändig:

Fält Värde Ytterligare information
Abonnemang Välj från listrutan I det här fältet visas endast prenumerationer som tilldelats din klientorganisation.
Plats Välj från listrutan Välj en Azure-region för distributionen.
Virtual Network Välj från listrutan eller använd den angivna hyperlänken för att skapa ett nytt virtuellt nätverk i Azure-portalen Beroende på ditt val varierar fältets innehåll. Om det virtuella nätverket finns ser du en hyperlänk som du kan följa för att granska det virtuella nätverket i Azure-portalen. Om det valda virtuella nätverket redan innehåller en VNet-gateway kommer en hyperlänk till den Azure-resursen att tillhandahållas.
Gateway-undernät Undernätsprefix, till exempel 10.0.1.0/24 Beroende på det valda virtuella nätverket varierar det här fältet. Om det valda virtuella nätverket inte innehåller något undernät med etiketten GatewaySubnet fylls fältet i förväg med ett undernätsprefix som innehåller adressintervallet och nätmasken. Om det valda virtuella nätverket redan innehåller en VNet-gateway kommer en hyperlänk till den Azure-resursen att tillhandahållas.
Gateway-SKU Välj från listrutan Mer information finns i Gateway-SKU:er.
Klientadressutrymme Undernätsprefix, till exempel 192.168.1.0/24 Fältet fylls i med ett undernätsprefix som innehåller adressintervallet och nätmasken. Det är nätverket som ska användas mellan den server där du lägger till Azure-nätverkskortet och Azure VPN Gateway. Det måste ha ett adressintervall som inte överlappar något av adressintervallen som används lokalt eller i något av de anslutna virtuella Azure-nätverken.
Autentiseringscertifikat Välj ett av alternativen Alternativet "Automatiskt genererat självsignerat rot- och klientcertifikat" är förmarkerat och fungerar bäst i de flesta scenarier. När du väljer alternativet "Använd eget rot- och klientcertifikat" måste du ange två filer: ett rotcertifikat (.cer) och ett klientcertifikat (.pfx) och sedan lösenordet för klientcertifikatet.

När du har slutfört alla nödvändiga fält blir knappen Skapa aktiv och du bör välja den för att påbörja distributionen av Azure-nätverkskortet till den valda servern.

Distributionsprocessen har två huvuddelar, varav den första är distributionen och valet av Azure VPN Gateway. Om du behöver distribuera din Azure VPN Gateway först kan du vänta i 25 till 45 minuter innan distributionen slutförs. (Vissa konfigurationer kan ta så lång tid att distribuera.) WAC tillhandahåller information om distributionens förlopp. Den andra delen är den faktiska installationen av Azure-nätverkskortet, vilket kan ta 10 minuter. WAC meddelar dig även om installationsframstatusen.

När distributionen börjar kan du ändra fokus för WAC genom att välja andra verktyg eller servrar. Distributionsprocessen fortsätter i bakgrunden.

Om du väljer alternativet Automatiskt genererad självsignerad rot och klientcertifikat skapar Azure de två nödvändiga certifikaten åt dig automatiskt och lagrar dem i den valda serverns certifikatarkiv. Du kan använda verktyget Certifikat i WAC för att hitta dem och sedan hitta ett rotcertifikat i containern Lokal dator/Rot. Certifikatets namn börjar med Windows Admin Center-Created-vpngw och innehåller P2SRoot-strängen. Strängens svans innehåller en tidsstämpel som kodas med certifikatets skapandedatum. Det här certifikatet lagras också i containern Lokal dator/CA. Det andra certifikatet lagras i containern Lokal dator/Min. Namnet på det här certifikatet börjar med Windows Admin Center-Created-vpngw och innehåller strängen P2SClient . Strängens svans innehåller en tidsstämpel som kodas med certifikatets skapandedatum.

När distributionen är klar uppdateras den valda serverns nätverksverktyg med det nya Azure-nätverkskortet, som startar automatiskt när distributionen är slut och anger en aktiv status. Du kan välja adaptern för att aktivera listrutan Mer , som du kan välja för att koppla från eller ta bort adaptern. På den faktiska servern installeras Azure-nätverkskortet som en VPN-anslutning. Adapterns namn börjar med Windows Admin CenterVPN följt av ett slumpmässigt tresiffrigt tal.

När Azure-nätverkskortet är installerat och anslutet kan du använda den här nya nätverksanslutningen för att ansluta direkt till de virtuella Azure-nätverken och deras system. Den här typen av anslutning används vanligtvis för att upprätta en fjärrskrivbordssession via en virtuell Azure-dators interna IP-adress i stället för att använda den virtuella datorns offentliga IP-adress.

Använda en dedikerad WAC-server

För en centraliserad administration rekommenderar vi att du använder en dedikerad Windows Admin Server-installation, från vilken du kan lägga till andra servrar. Den här metoden innebär att inga administrerade servrar kräver extra programvara. Mer information finns i Administrationscenter för Windows.

Förbereda ett dedikerat virtuellt nätverk

Installationsgränssnittet för Azure-nätverkskortet kanske inte uppfyller dina behov av namngivningskonventioner eller prisnivåer. För att undvika den här konflikten kan du skapa nödvändiga Azure-resurser innan du distribuerar adaptern. Under distributionen väljer du de redan befintliga resurserna i stället för att skapa dem via installationsgränssnittet.

Kommentar

Se till att du väljer rätt VPN Gateway SKU eftersom inte alla stöder VPN-anslutningen som medföljer Azure-nätverkskortet. Installationsdialogrutan erbjuder VpnGw1, VpnGw2 och VpnGw3. För närvarande stöder inte adaptern zonredundanta versioner av VPN Gateway.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Skalbarhet

  • VPN Gateway SKU:
    • Den VPN Gateway-SKU som du väljer avgör hur många anslutningar som kan ta parallellt och den bandbredd som är tillgänglig för alla dessa anslutningar. Antalet samtidiga anslutningar varierar från 250 till 1 000 när du använder alternativet P2S IKEv2/OpenVPN . IKE refererar till IPsec Key Exchange. Det är lämpligt att börja med VpnGw1 och skala ut senare om du behöver fler anslutningar. Om du behöver byta VPN Gateway-generering måste du installera en ny gateway och distribuera ett nytt Azure-nätverkskort för att ansluta till den.
  • Anslut flera fristående servrar:
    • Du kan använda WAC för att distribuera Azure-nätverkskortet till så många servrar som du behöver. Du kan också lägga till många Azure-nätverkskort till en enskild server för att ansluta till olika virtuella Azure-nätverk. När den första distributionen av VPN Gateway är klar kan du konfigurera extra servrar för att använda samma gateway genom att välja den befintliga gatewayen i installationsgränssnittet.
    • Fristående servrar kan finnas i samma nätverk, i ett avdelningskontorsnätverk eller i ett annat molnbaserat nätverk. Du kan använda den nätverksanslutning som du har upprättat, till exempel företagets WAN eller ett dedikerat VPN till en annan molnleverantör, om de nödvändiga nätverksportarna är tillgängliga via dessa anslutningar. Mer information finns i avsnittet "Säkerhetsöverväganden" i den här artikeln.
  • Plats-till-plats-anslutning i Azure:
    • Azure-nätverkskortet är en enda installation på en enskild server. Om du vill ansluta flera servrar kan du behöva göra en betydande administrativ insats. Du kan dock undvika den här ansträngningen genom att ansluta dina lokala system med hjälp av metoden Azure Site-2-Site Connection (S2S), som ansluter ett befintligt lokalt nätverk till ett virtuellt Azure-nätverk och dess undernät. I den här anslutningens kärna finns en Azure VPN Gateway genom vilken du kan ansluta en lokal, lokal VPN-gateway med den fjärranslutna Azure VPN Gateway. Med den här säkra anslutningen kan de två nätverkssegmenten kommunicera transparent med varandra.

Tillgänglighet

  • Azure-nätverkskortet stöder endast en aktiv-passiv konfiguration av Azure VPN Gateway. Under adapterns konfiguration kan du peka på en befintlig aktiv-aktiv Azure VPN-gateway. Konfigurationen konfigurerar om gatewayen till den aktiva-passiva konfigurationen. Det går att konfigurera om en manuell gateway till aktivt-aktivt tillstånd, men Azure-nätverkskortet ansluter inte till den här gatewayen.

    Varning

    Om du konfigurerar ett Azure-nätverkskort mot en befintlig Azure VPN Gateway med en aktiv-aktiv konfiguration konfigureras gatewayen om till aktiv-passiv. Detta påverkar alla befintliga VPN-anslutningar till den här gatewayen. Om du ändrar från aktiv-aktiv konfiguration till konfiguration i aktivt vänteläge blir det en droppe av en av de två IPsec VPN-tunnlarna för varje anslutning. Fortsätt inte utan att utvärdera dina övergripande anslutningskrav och kontakta nätverksadministratörerna.

Hanterbarhet

  • Administrativt konto:

    • WAC är det viktigaste verktyget som du använder för att distribuera Azure-nätverkskortet och konfigurera kontohantering. Mer information om tillgängliga alternativ finns i Alternativ för användaråtkomst med Windows Admin Center. Du kan konfigurera ett enskilt konto per serveranslutning.

      Kommentar

      Dialogrutan där du konfigurerar det administrativa kontot per server verifierar dina autentiseringsuppgifter när du väljer Fortsätt. Öppna dialogrutan genom att i WAC välja raden med det aktuella servernamnet och sedan välja Hantera som. Markera inte hyperlänken som representerar servern eftersom den ansluter dig till servern omedelbart.

    • Dessutom måste du konfigurera ett användarkonto för Azure-anslutningen genom att öppna dialogrutan Inställningar i WAC och ändra kontoavsnittet. Du kan också växla användare eller logga ut från en användares session i dialogrutan Inställningar.

  • Azure Recovery Vault-integrering:
    • När du installerar Azure Network Adapter på en fristående server kan du sedan betrakta servern som en port för din affärskontinuitet. Du kan integrera servern i dina säkerhetskopierings- och haveriberedskapsprocedurer med hjälp av Azure Recovery Vault-tjänster som du konfigurerar genom att välja Azure Backup i avsnittet Verktyg i WAC. Azure Backup hjälper till att skydda din Windows-server mot skador, attacker eller katastrofer genom att säkerhetskopiera servern direkt till Microsoft Azure.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

  • Nödvändiga nätverksportar:
  • Microsoft Defender för molnet integrering:
    • För att skydda servern där Azure-nätverkskortet är installerat kan du integrera servern till Microsoft Defender för molnet genom att välja Microsoft Defender för molnet i avsnittet Verktyg i WAC. Under integreringen måste du välja en befintlig Azure Log Analytics-arbetsyta eller skapa en ny. Du debiteras separat för varje server som du integrerar med Microsoft Defender för molnet. Mer information finns i Microsoft Defender för molnet prissättning.

DevOps

  • Azure Automation:
    • WAC ger dig åtkomst till PowerShell-koden som skapar Azure-nätverkskortet, och du kan granska det genom att välja verktyget Nätverk och sedan välja ikonen Visa PowerShell-skript överst på WAC-sidan. Skriptets namn är Complete-P2SVPNConfigurationoch implementeras som en PowerShell-funktion. Koden är digitalt signerad och redo att återanvändas. Du kan integrera den i Azure Automation genom att konfigurera fler tjänster i Azure-portalen.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

  • Priskalkylator för Azure:
    • Att använda Azure-nätverkskortet kostar egentligen ingenting, eftersom det är en komponent som du distribuerar till ett lokalt system. Azure VPN Gateway genererar som en del av lösningen extra kostnader, liksom användningen av andra tjänster, till exempel Azure Recovery Vault eller Microsoft Defender för molnet. Mer information om faktiska kostnader finns i Priskalkylatorn för Azure. Det är viktigt att observera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljare om du vill ha mer information om priser.
  • Utgående kostnader:
    • Det finns extra kostnader för utgående inter-VNet-dataöverföringar. Dessa kostnader är beroende av vpn-gatewayens SKU och den faktiska mängden data som du använder. Mer information finns i Priskalkylatorn för Azure. Det är viktigt att observera att de faktiska kostnaderna varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-säljare om du vill ha mer information om priser.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Läs mer om komponentteknikerna:

Utforska relaterade arkitekturer: