今年春季,微软公司为自家Windows Azure云服务发布多项更新,希望帮助用户及企业简化与微软Azure数据中心的直连流程、也使得本地设备与服务能与Azure并行协作。
为了实现这一点,微软调动了各种类型VPN的力量。为了进一步理解Azure中的新特性,我将带大家整理VPN的全部种类,并通过重点剖析理解其运作机制。顺带一提,Azure目前已经不再使用版本号——由于更新极为频繁,微软中止了以数字标注版本的做法。
新特性:点到站点连接
在过去几个版本中,Windows Azure一直只能创建站点到站点虚拟专用网络,也就是VPN。这意味着用户的企业网络需要先通过专用VPN设备与Azure数据中心内的专用路由器或其它网络设备建立起连接。通常情况下,大型企业用户往往熟悉这种运作机制,但中小型企业则不然,这就限制了VPN功能的整体有效性。
不过今年四月,微软推出了点到站点VPN连接,这意味着个人电脑也可以创建直接与Windows Azure数据中心对接的VPN通道。创建工作完成后,这台计算机将可以访问虚拟机、数据库、网站以及其它与个人计算机处于同一本地网络环境的资源。
这项新举措对哪类用户的吸引力最大?就目前来看,习惯于在本地创建解决方案、再将其部署到Windows Azure的开发人员将获得最显著的实惠。新机制让开发者拥有一套“单一网络”,而不必再为寻址难题、DNS及其它一些始终阻挠着将应用程序或其它资源在不同网络环境中进行托管迁移的麻烦状况。
令终端用户与开发者——可能也包括IT人士——感到高兴的是,新机制不再需要IT部门为其提供支持。大家可以从Azure管理门户中轻松下载一个拨号连接设定档(没错,预设定VPN‘拨号器’的术语表达就是这个)包,并双击文件来创建连接——默认情况下整个流程非常安全。
设备中的VPN客户端能与Windows 7及Windows 8顺利协作,而且整个VPN连接创建过程也不必涉及其它配置工作或者硬件设备。
在开始之前,大家首先要做一些准备工作,其中包括创建新的虚拟网络及动态路由网关。请朋友们执行下列步骤:
1. 登录Windows Azure管理门户。
2. 在“网络”下拉菜单中点击左下方的“新建”按钮,再点选“虚拟网络”。
3. 点击“自定义创建”。
4. 这时系统会显示“虚拟网络详细信息”界面。为自己的网络输入一个合适的名称、虚拟网络运行位置所属的Azure数据中心(请选择离本地位置最近的数据中心,这样性能表现会更好),如果必要、可以选择一个合作组。点击屏幕右侧的箭头进入下一步。
5. 这时出现的是DNS服务器及VPN连接页面,勾选“配置点到站点VPN”复选框,然后指定我们用于连接外部环境的DNS服务器。这些服务器必须已经在大家的账户上注册完毕。如果还没有注册过服务器,大家可以选择“注册新服务器”选项,这样就能将其作为我们个人Azure账户中的资源并加以使用。
6. 现在出现的是点到站点连接页面,大家需要输入用于连接客户端与Azure的VPN连接的专用地址。该地址必须采用符合RFC 1918的标准化非路由字段,包括10.0.0.0/8、172.16.0.0/12或者192.168.0.0/16。我们还要保证这些地址从未在Azure租户账户当中被使用。大家还可以为新的虚拟网络创建子网(但这不是必需步骤),并为其创建网关。所有数据输入完成之后,点击屏幕右侧的检查标记。
7. 管理门户会滚动一阵,并开始创建新的虚拟网络。下一步要做的是创建动态路由网关,因此点击刚刚完成的虚拟网络,然后选择仪表板页面。
8. 在页面下方,点击“创建网关”链接并在接下来的提示中点击“是”以确认操作。
所需证书
接下来就是处理证书。点到站点VPN连接的主要优势在于它无需特定设备作为支撑,也不必劳烦IT部门重新配置防火墙或者针对连接做出其它变更。而这一切得以实现完全归功于安全套接字隧道协议(简称SSTP),属于VPN设计风格的一种。这些SSTP VPN与安全HTTP一样使用端口443,且保证向任何连通网络开放。但为了确保安全性,SSTP协议要求必须使用证书,也就是说用户需要在Azure数据中心端以及每台个人计算机端具备证书,这样才能让点到站点连接保持畅通。
如果大家打算在基于Active Directory的环境下亲手创建点到站点连接,那么基础设施在建立过程中可能已经具备一套公开密钥。大家只需创建一份X.509证书并将其签署至一台服务器中,即可完成基础设施的证书验证工作。
怎样创建证书呢?首先打开微软管理控制台,在终端命令提示符中运行MMC.EXE(需要拥有管理员权限),然后在文件菜单中选择“添加/删除管理单元”。接着选择“证书”、点选“计算机账户”然后点击“继续”,这样屏幕左侧就会显示“证书”项目。点击展开全部内容,选择“受信根证书验证及证书”项。
在列表中找到自己的证书(一般会在名称中包含我们的NetBIOS域名),右键点击然后选择“导出”。在导航中全部采用默认选项,然后为导出的.CER文件选择保存位置,最后完成导航过程。
这就是我们将要上传到Windows Azure当中的证书,我们的客户端也将通过它进行验证。
现在要做的是创建客户端证书。右键点击MMC实例中的“个人”项目,在“所有任务”菜单中选择“申请新证书”。接下来的几步全部按默认略过,但一定要确保选择的是计算机类证书。导航机制结束后,大家会看到新证书已经被安装在MMC内“个人”项目下的“证书”子项中。这就是我们之前导出过的客户端证书,Azure会将上传至Azure中的公共证书与这份保存在本地的客户端证书加以对照,二者的认证机制完全相同,且能够与我们将使用的SSTP VPN连接相匹配。
好了,以上工作就绪之后,大家可以将受信根证书上传到Windows Azure管理门户当中了。
1. 在仪表板页面的右侧选择“上传证书”选项(具体字样取决于前续操作,这部分内容也可能变为‘上传客户端证书’或者‘上传根证书’)。
2. 通过浏览找到导出的.CER文件并进行上传。
在一系列重要准备工作完成之后,现在我们终于可以下载预配置拨号连接设定档软件包(注意,每台客户端计算机都需要进行前面提到的证书操作),并与点到站点连接相连通了。在Windows Azure新版本中,大家下载到的软件支持Windows 7、Windows 8、Windows Server 2008 R2以及Windows Server 2012。另外,下载到的拨号连接设定档也分为32位与64位两个版本。
连接软件包是一个.EXE文件,大家可以双击加以运行,它会自动将设定文件部署至Windows内置的VPN客户端当中。
要进行连接,只需找到VPN连接项并进行双击。第一次双击后,软件会弹出提示、询问我们是否允许创建另一份证书,请大家选择“是”。最后,系统会提示用户为连接选择证书——选择刚刚创建的证书并点击“好”。
现在我们的专用VPN连接就完成了,且能够以类本地访问方式使用由Azure所托管且与自己虚拟网络相连的任何资源。
站点到站点VPN更简单
Azure最新版本的另一大改进在于大大简化Windows Server 2012的安装流程,且能够将其作为专用设备创建指向Azure的站点到站点VPN连接。我们为什么要使用站点到站点VPN?当两台设备由这类通道相连时,连接本身就会具备透明特性——对于用户设备、数据中心、服务器以及虚拟机皆是如此。
换句话来说,这类方案的好处是,Windows Azure数据中心内的所有资源都会像本地网络的一部分那样可以被随时查看。所有关于连接、证书、通道及其它麻烦的处理工作都由设备本身完成。
正如我之前所提到,原先大家必须通过专用硬件设备来实现站点到站点连接。而且要获得完整的功能体验,我们还不得不从有限的几种VPN终端设备中做出选择、或者花上几个小时研究路由器系统代码以创建一套能够被Azure端点所接纳的连接配置文件。
但现在情况不同了,大家可以设置一套Windows Server 2012实例用以运行“路由与远程访问(简称RRAS)”角色,而且这一切在几分钟内就能搞定。
与点到站点VPN相似,我们同样需要进行一系列准备工作——主要内容是通知Azure我们的本地地址空间。首先在Windows Azure管理门户中创建新的本地网络,然后为VPN端点指定IP地址空间及公共IP。换言之,也就是Windows Azure通过VPN与本地网络对接的地址。
下面需要创建另一套虚拟网络,但这时请注意选择创建站点到站点VPN、而非之前的点到站点VPN。大家一定已经发现,这一次流程变得更为简单:我们只需要让Azure创建网关子网即可。接下来,与点到站点VPN一样,在新虚拟网络的仪表板中创建动态路由网关,然后等待几分钟——Azure会建立网关并创建连接脚本。
连接脚本的作用是定义站点到站点VPN将要使用的端口、协议以及通道。大家可以为Windows Server 2012 RRAS指定自己想要使用的脚本,然后再行下载。不过在下载完成后,我们还需要对内容做出小小调整,具体步骤如下:
- 将脚本中的所有实例替代为自己网关的IP地址。在管理门户的网络仪表板页面中,大家会看到这部分内容被以大字体标出。实例位地第75、78、79以及85行。
- 将第75行的实例替代为我们在为站点到站点VPN创建新虚拟网络时所指定的CIDR(即无类型域间选路)。
- 同样是第75行,填入自己网络的实际指标。
- 填入管理门户所生成的密钥。
将内容保存为扩展名为.ps1的文件,这样我们就得到了一个可执行的PowerShell脚本。静待一段时间,让脚本完成“路由与远程访问”角色的安装(如果目标设备中尚未安装)并设置VPN连接。这部分工作完成后,返回Windows Azure管理门户并点击大大的“连接”按钮。几秒钟之后,连接正式启动、我们的链接也就宣告竣工。我们所有的设备都能够在Azure数据中心的虚拟网络中或者本地网络中正常运行,且彼此之间通信无阻。
结语
站点到站点与点到站点两种VPN类型都需要我们进行一系列设置工作,而一旦配置正确并按预期运作之后,它们将彻底打破大家与Azure技术携手合作的一切障碍。这些VPN绝对值得一试,希望大家能在探索中发现它们给日常工作带来的种种便利。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Amazon.com首席技术官Werner Vogels赞扬云计算给企业IT带来 “平等”
亚马逊公司首席技术官Werner Vogels表示,云计算为中小企业和大型企业创建了平等的技术竞争环境,企业的 […]
-
Workday公司继续在亚太地区大举投资
随着亚太地区(APAC)地区越来越多的企业转向云计算来拓展其数字业务,Workday公司跻身为全球发展最快的云 […]
-
云计算可移植性的来龙去脉
目前云计算提供商都是按不同的方式构建其产品,这造成典型的“缺乏标准、以创新为导向以及供应商锁定”的局面。 但供 […]
-
故障注入注定要成为软件专业人士的必备技能
尽管云改善了企业迅速发布高质量、高能力应用的能力,但专家警告说要小心这些应用会变得太复杂,难以进行人工测试。