此参考体系结构演示如何使用通过 Windows Admin Center (WAC) 部署的 Azure 网络适配器将本地独立服务器连接到 Microsoft Azure 虚拟网络。 Azure 网络适配器创建经 Internet 的安全虚拟连接,从而将本地网络扩展到 Azure。
体系结构
下载这些体系结构的 Visio 文件。
工作流
该体系结构包括:
- 本地网络。 此组件是组织的专用局域网 (LAN)。
- 分支机构。 此组件是远程分支机构中通过企业广域网 (WAN) 连接的专用 LAN。
- 其他云提供商。 此组件是云提供商提供的专用虚拟网络。 它通过虚拟专用网络 (VPN) 连接。
- 已安装 Windows Admin Center 的 Windows Server。 用于部署 Azure 网络适配器的服务器。
- Windows Server(独立版)。 安装 Azure 网络适配器的服务器。 这个服务器可以在分支机构的网络中,也可以在其他云提供商的网络中。
- Azure 虚拟网络 (VNet)。 Azure VPN 网关的虚拟服务器,以及其他服务和组件,它们位于 Azure 中的同一虚拟网络中。
- Azure VPN 网关。 VPN 网关服务,允许你通过 VPN 设备或 Azure 网络适配器将虚拟网络连接到本地网络或独立服务器。 有关详细信息,请参阅将本地网络连接到 Microsoft Azure 虚拟网络。 VPN 网关可以使用多个定价层或库存单位 (SKU)。 每个 SKU 根据工作负载、吞吐量、功能和服务级别协议 (SLA) 的类型支持不同的需求。 VPN 网关包括以下组件:
- 虚拟网络网关(主动)。 此 Azure 资源为虚拟网络提供虚拟 VPN 设备,它负责在本地网络和虚拟网络之间来回路由流量。
- 虚拟网络网关(被动)。 此 Azure 资源为虚拟网络提供虚拟 VPN 设备,它是主动 Azure VPN 网关的备用实例。 有关详细信息,请参阅关于 Azure VPN 网关冗余。
- 网关子网。 虚拟网络网关保留在自己的子网中,这受到下面“建议”部分详细说明的各种要求的限制。
- 连接。 连接具有指定连接类型的属性。 这些属性包括 Internet 协议安全性 (IPsec),以及与本地 VPN 设备共享的用于加密流量的密钥。
- 云应用程序。 此组件是托管在 Azure 中的应用程序。 它可以包括多个层,并具有通过 Azure 负载均衡器连接的多个子网。 有关应用程序基础结构的详细信息,请参阅运行 Windows VM 工作负载和运行 Linux VM 工作负载。
- 内部负载均衡器。 来自 VPN 网关的网络流量通过内部负载均衡器路由到云应用程序,负载均衡器位于应用程序的生产子网中。
- Azure Bastion。 使用 Azure Bastion,无需将 VM 直接公开到 Internet,即可登录到 Azure 虚拟网络中的 VM。 它使用安全外壳 (SSH) 或远程桌面协议 (RDP)。 如果丢失 VPN 连接,仍可使用 Azure Bastion 管理 Azure 虚拟网络中的 VM。 但是,不支持通过 Azure Bastion 管理本地服务器。
组件
虚拟网络。 Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基本构建块。 VNet 允许许多类型的 Azure 资源(例如 Azure 虚拟机 (VM))以安全方式彼此通信、与 Internet 通信,以及与本地网络通信。
Azure Bastion。 Azure Bastion 是一项完全托管服务,可针对虚拟机 (VM) 提供更安全且无缝的远程桌面协议 (RDP) 和安全外壳协议 (SSH) 访问权限,且完全不会通过公共 IP 地址曝光。
VPN 网关。 VPN 网关通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 VPN 网关是特定类型的虚拟网络网关。
Windows Admin Center。 Windows Admin Center 是本地部署的基于浏览器的应用,用于管理 Windows 服务器、群集、超融合基础设施和 Windows 10 电脑。 它是免费产品,可供在生产中使用。
建议
以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
连接独立服务器
若要通过 WAC 连接独立服务器,必须在专用服务器的 WAC 安装中将该服务器添加到托管服务器列表。 将该服务器添加到列表后,可以选择要为其安装 Azure 网络适配器的服务器,然后从工具中选择“网络”,随后在“网络”窗格中选择“+ 添加 Azure 网络适配器(预览)”选项。
提示
如果在浏览器窗口中没有看到“+ 添加 Azure 网络适配器(预览)”选项,可能需要放大窗口,或者可能会看到带有下拉箭头的“操作”按钮。 选择下拉箭头以访问该选项并添加 Azure 网络适配器。
选择“+ 添加 Azure 网络适配器(预览)”选项时,“添加 Azure 网络适配器”配置边栏选项卡将在浏览器窗口中打开。 在此边栏选项卡中可以配置多个选项。
注意
如果以前未通过 WAC 对要使用的 Azure 租户进行身份验证,则会显示身份验证对话框。 请提供租户的身份验证信息以继续操作。 用于身份验证的用户凭据必须具有足够的权限才能创建在后续步骤中要配置的 Azure 资源。
以下信息是必需的:
| 字段 | 值 | 其他信息 |
|---|---|---|
| 订阅 | 请从下拉列表中选择 | 此字段仅列出分配给租户的订阅。 |
| 位置 | 请从下拉列表中选择 | 为部署选择一个 Azure 区域。 |
| 虚拟网络 | 从下拉列表中选择或使用提供的指向在 Azure 门户中创建新的虚拟网络的超链接 | 根据选择,字段的内容将有所不同。 如果存在虚拟网络,你将看到一个超链接,你可以根据该超链接查看 Azure 门户中的虚拟网络。 如果所选 VNet 已包含 VNet 网关,则会提供指向该 Azure 资源的超链接。 |
| 网关子网 | 子网前缀,例如 10.0.1.0/24 | 根据所选虚拟网络,此字段将有所不同。 如果所选 VNet 不包含标记为 GatewaySubnet 的子网,则字段将预填充包含地址范围和子网掩码的子网前缀。 如果所选 VNet 已包含 VNet 网关,则会提供指向该 Azure 资源的超链接。 |
| 网关 SKU | 请从下拉列表中选择 | 有关详细信息,请参阅网关 SKU。 |
| 客户端地址空间 | 子网前缀,例如 192.168.1.0/24 | 该字段将预填充包含地址范围和子网掩码的子网前缀。 它是将在添加 Azure 网络适配器的服务器和 Azure VPN 网关之间使用的网络。 它的地址范围不得与任何在本地使用的地址范围或在任何连接的 Azure 虚拟网络中使用的地址范围重叠。 |
| 身份验证证书 | 选择一个选项 | “自动生成的自签名根证书和客户端证书”选项已预选,并且适用于大多数情况。 选择“使用自己的根证书和客户端证书”选项时,必须提供两个文件:根证书 (.cer) 和客户端证书 (.pfx),然后提供客户端证书的密码。 |
完成所有必要的字段后,“创建”按钮将变为活动状态,你应选择该按钮来开始将 Azure 网络适配器部署到所选服务器。
部署过程主要分为两部分,第一部分是 Azure VPN 网关的部署和选择。 如果需要先部署 Azure VPN 网关,请留出 25 到 45 分钟的时间来完成部署。 (某些配置可能需要很长时间才能部署。)WAC 将提供有关部署进度的信息。 第二部分是 Azure 网络适配器的实际安装,可能需要 10 分钟。 WAC 也会通知你安装进度。
部署开始后,可以通过选择其他工具或服务器来更改 WAC 的焦点。 部署过程将在后台继续进行。
如果选择“自动生成的自签名根证书和客户端证书”选项,Azure 会自动创建两个必需的证书,并将其存储在所选服务器的证书存储中。 可以使用 WAC 中的“证书”工具来查找它们,然后在本地计算机/根容器中找到根证书。 证书的名称以“Windows Admin Center-Created-vpngw”开头,并包含字符串“P2SRoot”。 字符串的尾部包含使用证书创建日期编码的时间戳。 此证书也将存储在本地计算机/CA 容器中。 第二个证书存储在本地计算机/我的容器中。 此证书的名称以“Windows Admin Center-Created-vpngw”开头,并包含字符串“P2SClient”。 字符串的尾部包含使用证书创建日期编码的时间戳。
部署完成后,所选服务器的“网络”工具会更新为新的 Azure 网络适配器,该适配器会在部署结束后自动启动,并指示活动状态。 可以选择适配器来激活“更多”下拉列表,从中选择断开或删除适配器。 在实际服务器上,Azure 网络适配器安装为 VPN 连接。 适配器的名称以“Windows Admin CenterVPN-”开头,后跟一个随机三位数的数字。
安装并连接 Azure 网络适配器后,可以使用此新网络连接直接连接到 Azure VNet 及其系统。 这种类型的连接通常用于通过 Azure VM 的内部 IP 地址(而不是使用 VM 的公共 IP 地址)建立远程桌面会话。
使用专用 WAC 服务器
对于集中式管理,我们建议使用专用的 Windows 管理员服务器安装,从中可以添加其他服务器。 此方法意味着受管理的服务器不需要额外的软件。 有关详细信息,请参阅 Windows Admin Center。
准备专用的 VNet
Azure 网络适配器的安装界面可能无法满足命名约定或定价层需求。 若要避免此冲突,可以在部署适配器之前创建必要的 Azure 资源。 在部署期间,选择现有的资源,而不是通过安装界面创建它们。
注意
请确保选择正确的 VPN 网关 SKU,因为并非所有 SKU 都支持 Azure 网络适配器附带的 VPN 连接。 安装对话框提供 VpnGw1、VpnGw2 和 VpnGw3。 目前,适配器不支持 VPN 网关的区域冗余版本。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
可伸缩性
- VPN 网关 SKU:
- 你选择的 VPN 网关 SKU 决定了可以并行接收多少连接,以及所有这些连接可用的带宽。 使用“P2S IKEv2/OpenVPN”选项时,并发连接数从 250 到 1,000 不等。 IKE 是指“IPsec 密钥交换”。 建议从 VpnGw1 开始,如果需要更多连接,请稍后横向扩展。 如果需要切换 VPN 网关生成,则需要安装新网关并部署新的 Azure 网络适配器来连接到该网关。
- 连接多个独立服务器:
- 可以使用 WAC 将 Azure 网络适配器部署到所需数量的服务器。 还可以将多个 Azure 网络适配器添加到单个服务器,以连接到不同的 Azure VNet。 完成 VPN 网关的初始部署后,可以通过在安装界面中选择现有网关,将额外服务器配置为使用同一网关。
- 独立服务器可以位于同一网络、分支机构网络或不同的基于云的网络中。 如果通过这些连接可以获取所需的网络端口,则可以使用已建立的网络连接(例如企业 WAN 或专用 VPN)连接到其他云提供商。 有关详细信息,请参阅本文中的“安全注意事项”部分。
- Azure 站点到站点连接:
- Azure 网络适配器是单个服务器上的单个安装。 如果要连接多个服务器,可能会面临大量的管理工作。 但是,可以通过使用 Azure 站点到站点连接 (S2S) 方法连接本地系统来避免这些工作,该方法将现有本地网络连接到 Azure VNet 及其子网。 此连接的核心是 Azure VPN 网关,通过它可以将本地 VPN 网关与远程 Azure VPN 网关连接。 此安全连接允许两个网段以透明方式相互通信。
可用性
- Azure 网络适配器仅支持 Azure VPN 网关的主动-被动配置。 在适配器的配置过程中,可以指向现有的主动-主动 Azure VPN 网关。 安装程序会将网关重新配置为主动-被动配置。 可以手动将网关重新配置为主动-主动状态,但 Azure 网络适配器不会连接到此网关。
警告
使用主动-主动配置对现有 Azure VPN 网关配置 Azure 网络适配器会将网关重新配置为主动-被动状态。 这将影响到此网关的所有现有 VPN 连接。 从主动-主动配置更改为主动-备用配置将导致每个连接的两条 IPsec VPN 隧道之一被删除。 若未评估整体连接要求并咨询网络管理员,请不要继续操作。
可管理性
- 管理帐户:
WAC 是用于部署 Azure 网络适配器和配置帐户处理的核心工具。 有关可用选项的详细信息,请参阅 Windows Admin Center 中的用户访问选项。 可以为每个服务器连接配置单独的帐户。
注意
选择“继续”时,在其中按服务器配置管理帐户的对话框将验证凭据。 若要打开对话框,请在 WAC 中选择具有适用服务器名称的行,然后选择“管理方式”。 请勿选择代表该服务器的超链接,因为它会立即将你连接到该服务器。
此外,必须在 WAC 中打开“设置”对话框并修改帐户部分以配置 Azure 连接的用户帐户。 也可以在“设置”对话框中切换用户或注销用户的会话。
- Azure Recovery Vault 集成:
- 在独立服务器上安装 Azure 网络适配器时,可以考虑使用该服务器作为确保业务连续性的端口。 可以使用 Azure Recovery Vault 服务将该服务器集成到备份和灾难恢复过程中,该服务通过选择 WAC 的“工具”部分中的“Azure 备份”进行配置。 Azure 备份通过直接将服务器备份到 Microsoft Azure 来帮助保护 Windows 服务器免受损坏、攻击或灾难的影响。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
- 所需的网络端口:
如果要使用 WAC 部署 Azure 网络适配器,则必须打开 PowerShell 远程处理的网络端口。
PowerShell 远程处理使用 Windows 远程管理 (WinRM)。 有关详细信息,请参阅 PowerShell 远程处理安全注意事项和 PowerShell 远程处理默认设置。
在某些情况下,需要使用额外的身份验证方法。 WAC 可以使用 PowerShell 和凭据安全支持提供程序(CredSSP) 协议连接到远程服务器。 有关详细信息,请参阅 PowerShell 远程处理和 CredSSP 以及 Windows Admin Center 如何使用 CredSSP。
PowerShell 远程处理(和 WinRM)使用以下端口:
协议 端口 HTTP 5985 HTTPS 5986 连接到已安装 Windows Admin Center (WAC) 的服务器的方式取决于 WAC 的安装类型。 默认端口会有所不同,在 Windows 10 上安装时端口为 6516 ,在 Windows 服务器上安装时端口为 443。 有关详细信息,请参阅安装 Windows Admin Center。
- Microsoft Defender for Cloud 集成:
- 若要帮助保护已安装 Azure 网络适配器的服务器,可以通过从 WAC 的“工具”部分选择“Microsoft Defender for Cloud”来将服务器集成到 Microsoft Defender for Cloud。 在集成期间,必须选择现有的 Azure Log Analytics 工作区或创建新工作区。 你将为与 Microsoft Defender for Cloud 集成的每台服务器单独付费。 有关详细信息,请参阅 Microsoft Defender for Cloud 定价。
DevOps
- Azure 自动化:
- 在 WAC 中可以访问创建 Azure 网络适配器的 PowerShell 代码,你可以通过选择“网络”工具,然后选择 WAC 页面顶部的“查看 PowerShell 脚本”图标来查看这些代码。 该脚本的名称为
Complete-P2SVPNConfiguration,并作为 PowerShell 函数实现。 代码经过数字签名,可以重用。 通过在 Azure 门户内配置更多服务,可以将其集成到 Azure 自动化中。
- 在 WAC 中可以访问创建 Azure 网络适配器的 PowerShell 代码,你可以通过选择“网络”工具,然后选择 WAC 页面顶部的“查看 PowerShell 脚本”图标来查看这些代码。 该脚本的名称为
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述。
- Azure 定价计算器:
- 使用 Azure 网络适配器实际上不需要任何费用,因为它是一个可以部署到本地系统的组件。 解决方案中的 Azure VPN 网关确实会产生额外的费用,就像使用 Azure Recovery Vault 或 Microsoft Defender for Cloud 等其他服务一样。 有关实际费用的详细信息,请参阅 Azure 定价计算器。 请务必注意,实际费用因 Azure 区域和个人合同而异。 有关定价的详细信息,请联系 Microsoft 销售代表。
- 流出费用:
- 出站 Inter-VNet 数据传输存在相关的额外费用。 这些费用取决于 VPN 网关的 SKU 和实际使用的数据量。 有关详细详细,请参阅 Azure 定价计算器。 请务必注意,实际费用因 Azure 区域和个人合同而异。 有关定价的其他信息,请联系 Microsoft 销售代表。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
首席作者:
- Frank Migacz | 应用创新专员
若要查看非公开领英个人资料,请登录领英。
后续步骤
了解有关组件技术的详细信息:
- Windows Server 2019 的十大网络功能:#3 Azure 网络适配器
- 点到站点 VPN
- 在 Microsoft 评估中心尝试 Windows Admin Center
- 什么是 Azure 虚拟网络?
- 什么是 Azure Bastion?
- 什么是 VPN 网关?
- Windows Admin Center 概述
相关资源
探索相关体系结构: