Windows Azure 允许你将本地和云端进行打通,实现企业混合云平台的需求,如何打通本地网络和云端网络,这就需要VPN技术。
而常见的VPN技术主要有Point-To-Site和Site-To-Site,微软也采用这种方式让本地和云端数据互通。
Point-To-Site VPN
将本地的一台设备(Point),与云端的网络(Site)进行互通互联。
- Point指的就是企业内网的一台主机(VPN客户端)
- Site是指Azure Virtual Network的网络
- 这样可以实现将企业内网的一台主机与云端网络互通互联,同时通过VPN保证网络的安全性
- Point-To-Site VPN是使用SSTP VPN协议
- Point-To-Site VPN是基于Internet连接的
- 采用这种方式的企业内网的主机需要安装VPN客户端
客户端支持以下操作系统:
- Windows 7 (32位和64位)
- Windows 8(32位和64位)
- Windows 8.1(32位和64位)
- Windows 10(32位和64位)
- Windows Server 2008 R2(仅支持64位)
- Windows Server 2012(仅支持64位)
- Windows Server 2012 R2(64)
Site-To-Site VPN
将本地的网络(Site)与云端的Azure虚拟网络(Site)进行互通互联。
Site-To-Site VPN的前提要求:
- 企业本地网络需要固定的公网IPV4地址
- 需要微软认证的VPN设备 或者Windows Server 2012 RRAS(设备列表请参考:https://msdn.microsoft.com/en-us/library/azure/jj156075.aspx)
- VPN设备必须在NAT设备的前面
- Site-to-Site VPN是使用IPSec VPN协议
=========================================================================================
这里我先介绍.Point-To-Site VPN如何去配置。
第一步:默认你已经有Windows Azure 订阅,进入https://manage.windowsazure.com管理界面。
第二步:新建虚拟网络
第三步:输入虚拟网络名称,并选择数据中心位置(建议选择离你最近的数据中心)
第四步:配置DNS服务器,如果你想本地客户端和Azure的虚拟机能够正常访问Internet的话可以加上公网DNS服务器,这里我添加的谷歌的。然后选择配置点到站点VPN,点击下一步。
第五步:点到站点连接页面,这里配置客户端连接VPN后分配的地址池,注意不要和本地的和地址段一样。
第六步:虚拟网络访问空间这里的地址池是Azure虚拟网络内部的地址池,用来分配给虚拟机的。配置好后,点击添加网关子网。然后点击确定。
第七步:点击创建网关,这个步骤执行时间较长,请耐心等待。
第八步:使用makecert.exe在本地客户端上创建证书(makecert.exe包含在Visual Studio中)
在makecert.exe目录下执行下面命令生成客户端根证书
makecert -sky exchange -r -n"CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My"RootCertificateName.cer"
该目录下会生成RootCertificateName.cer证书文件,并且该命令将在你的计算上的"个人"证书存储区中创建和安装根证书。
第九步:将该证书上载到管理门户。点击之前创建的虚拟网路demonet,点击证书,然后点击上载根证书。
将C:\RootCertificateName.cer证书文件上传。
第十步:再生成一条客户端证书,使用下面的命令
makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
另外我们通过MMC打开证书控制台,可以发现新增的两个证书。
第十一步:下载并安装VPN客户端,然后连接到VPN。
点击连接后,弹出VPN客户端对话框,然后点击连接。
看下客户端的获得的地址,表明我们已经连接上了。
