BYON ind i den offentlige sky med Azure Virtual Networks

Microsoft giver dig mulighed for at bringe dit eget netværk (BYON) ind i Windows Azure. Du kan forbinde dit lokale netværk (LAN) til Azure, og et ubegrænset antal computere på dine virksomhedsnetværk kan problemfrit kommunikere med VM'er i Azure. Du kan specificere private netværksrum (såsom 192.168.xx og 10.xxx) i ethvert interval, størrelse og startnummer, der passer til din eksisterende netværkstopologi. Bare klik på en rute til Azure sammen med din anden filial, fjernkontor, DR-sted og partner IPSEC-tunnelforbindelser.

Hvis du allerede bruger IPSEC-tunneler til at oprette forbindelse via internettet, er dette velkendt teknologi. Det, der er utroligt, er, hvor let det er at konfigurere, når du har forstået Azure Virtual Network-koncepterne. Let konfiguration og levering af det virtuelle netværk (på Azure-siden) var en hurtig og behagelig oplevelse, ligesom levering af Azure IaaS VM. To vigtige tests blev bestået: (1) På et understøttet VPN-hardwareendepunkt fungerede Azure Virtual Network lige ved første forsøg, og (2) Azure IaaS VM var i stand til straks at tilslutte sig det lokale Active Directory-domæne.

Azure Virtual Network passer i den offentlige sky

Tidligere artikler dækkede implementering af en Azure IaaS (Infrastructure as a Service) klasse Virtual Machine (VM) på mindre end 15 minutter, og Metro-UI-oplevelsen med at overvåge den nye IaaS VM fra Azure management portal. Microsofts offentlige skyplatform, Windows Azure, har to eksisterende netværksfunktioner: Windows Azure Connect og Traffic Manager. Traffic Manager indlæser balance mellem indkommende trafik på tværs af flere hostede Windows Azure-tjenester; Windows Azure Connect er en point-VPN-løsning, der forbinder en maskine til en Azure-maskine.

Denne artikel dækker den nye virtuelle netværkstjeneste, (se figur A ), som giver dig mulighed for at levere og administrere virtuelle private netværk (VPN'er) i Windows Azure samt sikkert forbinde disse med den lokale IT-infrastruktur. Med Virtual Network udvider du lokale netværk til skyen med kontrol over netværkstopologi, inklusive konfiguration af DNS- og IP-adresseintervaller for VM'er. Dette handler om at skalere dit netværk til Azure eller flytte infrastrukturroller til Azure, da det giver mening.

Figur A

Azure Virtual Network Dashboard i Azure management portal. (Klik for at forstørre billeder.)

Den spændende nyhed er, at du med Azure Virtual Network kan bruge velkendt VPN-tunnelteknologi fra stedet til stedet for sikkert at udvide din lokale eller private cloud-datacenterkapacitet ud i den offentlige sky. Så mange maskiner, som du vil bag VPN-gatewayen, kan derefter kommunikere med computere i Azure. Hybride skyscenarier aktiveres øjeblikkeligt og rent uden at installere nogen software i dit miljø og bruge private netværksnumre, du tildeler for at arbejde i harmoni med dit eksisterende LAN-, WAN- og VPN-netværk.

Azur-virtuelt netværksarkitektur

Opsætning af det virtuelle netværk i Azure-styringsportalen var en leg, når det underliggende routingskema (dvs. netværket og undernettene) blev forstået. Figur B opsummerer, hvordan du skal vælge og undernette dit Azure Virtual Network. Til venstre i figur B er dit eksisterende LAN. På din forudsætning har du et understøttet hardware IPSEC VPN-endepunkt. IPSEC-tunnellen afsluttes ved Azure-firewall i et Gateway-undernet, som er et undernet af det Azure Virtual Network, du valgte.

Figur B

Azure virtuelle netværkskoncepter inkluderer en gateway og et serverundernet.

Med andre ord, når du opretter dit virtuelle Azure-netværk, vælger du et større netværksinterval i Azure, end du har brug for dine IaaS VM'er, og derefter udskiller et subnet til brug som 'Gateway Subnet'. Azure distribuerer dine VM'er til en yderligere undernet, du specificerer for servere. IaaS VMs modtager adresser via DHCP i det 'Server Subnet' -område, du har angivet.

Et andet nøglekoncept er, at du definerer et virtuelt netværk i Azure og derefter distribuerer VM'er i det - det er sådan, VM's får den rigtige adressering - du kan ikke ændre netværksindstillinger med VM'er, der er implementeret til netværket. Hvis du vil ændre det virtuelle netværk (bortset fra at tilføje undernet), skal du rive VM'erne ned og omfordele dem til det nye virtuelle netværk.

BYON okay, men BYOND begrænsede sig til et par modeller

Azure giver dig kun mulighed for at medbringe din egen netværksenhed (BYOND), hvis den findes på en kort liste over understøttede hardwareendepunkter. Figur C viser en Cisco ISR-router ovenfor og en Juniper-universalruter nedenfor. Kun specifikke modeller af enheder fra disse to leverandører understøttes i Azure Virtual Network-prøveversionen. Microsoft leverer detaljeret konfigurationsvejledning om disse modeller og ingen hjælp til nogen anden leverandørs IPSEC-endpoint, ikke engang Microsofts egne TMG / ISA-firewallprodukter.

Fig

Specifikke hardwareenheder fra Cisco og Juniper kræves for at få adgang til Azure VPN.

Jeg forsøgte først at få Azure Virtual Network til at arbejde ved hjælp af Microsofts egen software firewall, Threat Management Gateway (TMG 2010). Anbringender til Azure-supportforum blev ignoreret, fordi Azure-managementportalen ikke giver nogen feedback om, hvorfor din IPSEC-tunnel muligvis ikke fungerer på Azure-slutningen. Det forbinder enten eller ikke, enkelt. I et andet forsøg var skift til en ikke-understøttet hardware firewall fra en anden leverandør også uden resultat. Endelig blev der hurtig succes efter at have anskaffet en understøttet Cisco ISR-serie router (øverst i figur C) og konfigureret den som instrueret på Azure-portalen.

Ved at trykke på knappen Download nederst i figur A får du adgang til en tekstfil med konfigurationskommandoer, der er specifikke for din enhedsmodel. Ved at trykke på knappen Vis nøgle kan du klippe og indsætte den foruddelte adgangskode. Mellem konfigurationskommandoer og den foruddelte nøgle var dette alt hvad jeg havde brug for for at konfigurere Cisco ISR-routeren til at forbinde Azure Virtual Network til mit lokale netværk.

IaaS VM'er, der er implementeret til dit virtuelle netværk, bruger DNS-servere, du vælger, selv dine lokale Active Directory DNS-servere. Dette lader Azure IaaS VMs slutte sig til dit lokale AD-domæne og administreres med eksisterende overvågnings- og styringsværktøjer - som om de var på stedet. Du vil glemme, hvilke af dine domæneservere der er i Windows Azure og tilsluttet af Azure Virtual Network, indtil du får den månedlige regning!

© Copyright 2020 | mobilegn.com