Jaa


Paikallisen verkon yhdistäminen Microsoft Azure -näennäisverkkoon

Paikalliseen verkkoon on yhdistetty paikallinen Azure-näennäisverkko, joka laajentaa verkkosi koskemaan myös Azure-infrastruktuuripalveluissa isännöityjä aliverkkoja ja näennäiskoneita. Tämän yhteyden avulla paikallisen verkon tietokoneet voivat suoraan käyttää näennäiskoneita Azuressa ja päinvastoin.

Esimerkiksi Azure-näennäiskoneessa suoritettavan hakemiston synkronointipalvelimen on tehtävä kysely paikalliselta toimialueen ohjauskoneelta tilien muutoksista ja synkronoitava muutokset Microsoft 365 -tilauksesi kanssa. Tässä artikkelissa kerrotaan, miten voit määrittää paikallisen Azure-näennäisverkon sivustonvälisen näennäisen yksityisverkon (VPN) yhteyden avulla, joka on valmis isännöimään Azure-näennäiskoneita.

Määritä paikallinen Azure-näennäisverkko

Azuren näennäiskoneita ei tarvitse eristää paikallisesta ympäristöstä. Jos haluat yhdistää Azure-näennäiskoneet paikallisiin verkkoresursseihin, sinun on määritettävä paikallinen Azure-näennäisverkko. Seuraavassa kaaviossa näytetään tarvittavat komponentit, jotta voit ottaa käyttöön paikallisen Azure-näennäisverkon näennäiskoneella Azuressa.

Paikallinen verkko, joka on yhdistetty Microsoft Azureen sivuston ja sivuston välisen VPN-yhteyden avulla.

Kaaviossa on kaksi sivustolta sivustoon -VPN-yhteydellä yhdistettyä verkkoa: paikallinen verkko ja Azure-näennäisverkko. Sivustosta sivustoon -VPN-yhteys on seuraava:

  • Kahden päätepisteen välillä, jotka ovat osoitettavissa ja jotka sijaitsevat julkisessa Internetissä.
  • Vpn-laitteen lopettaminen paikallisessa verkossa ja Azuren VPN-yhdyskäytävä Azure-näennäisverkossa.

Azure-näennäisverkko isännöi näennäiskoneita. Azure-näennäisverkon näennäiskoneista peräisin oleva verkkoliikenne välitetään VPN-yhdyskäytävään, joka sitten välittää liikenteen sivuston ja sivuston VPN-yhteyden kautta paikallisessa verkossa olevaan VPN-laitteeseen. Paikallisen verkon reititysinfrastruktuuri välittää sitten liikenteen kohdesijaintiinsa.

Huomautus

Voit myös käyttää ExpressRoutea, joka on suora yhteys organisaatiosi ja Microsoftin verkon välillä. ExpressRouten kautta kulkeva liikenne ei kulje julkisessa Internetissä. Tässä artikkelissa ei kuvata ExpressRouten käyttöä.

Voit määrittää VPN-yhteyden Azure-näennäisverkon ja paikallisen verkon välille seuraavasti:

  1. Paikallinen: Määritä ja luo paikallinen verkkoreitti Azure-näennäisverkon osoitetilalle, joka osoittaa paikalliseen VPN-laitteeseen.
  2. Microsoft Azure: Luo Azure-näennäisverkko sivuston ja sivuston välisellä VPN-yhteydellä.
  3. Paikallinen: Määritä paikallinen laitteisto tai ohjelmiston VPN-laite lopettamaan VPN-yhteys, joka käyttää IPsec (Internet Protocol Security) -suojausta.

Kun olet muodostanut sivustosta sivustoon -VPN-yhteyden, lisäät Azure-näennäiskoneet näennäisverkon aliverkkoihin.

Azure-näennäisverkon suunnitteleminen

Ennakkovaatimukset

  • Azure-tilaus. Lisätietoja Azure-tilauksista on Azuren ostaminen -sivulla.
  • Käytettävissä oleva yksityinen IPv4-osoitetila näennäisverkolle ja sen aliverkoille, jossa on riittävästi tilaa kasvulle, jotta se mahtuu tarvittavien näennäiskoneiden määrään nyt ja tulevaisuudessa.
  • Paikallisessa verkossa käytettävissä oleva VPN-laite, joka lopettaa sivuston ja sivuston välisen VPN-yhteyden, joka tukee IPsec-vaatimuksia. Lisätietoja on artikkelissa Tietoja VPN-laitteista sivuston ja sivuston välisiä näennäisverkkoyhteyksiä varten.
  • Muuttaa reititysinfrastruktuuria siten, että Azure-näennäisverkon osoitetilaan reititetty liikenne välitetään VPN-laitteeseen, joka isännöi sivuston ja sivuston välistä VPN-yhteyttä.
  • Verkon välityspalvelin, joka antaa tietokoneet, jotka on yhdistetty paikalliseen verkkoon ja Azure-näennäisverkkoyhteys Internetiin.

Ratkaisun arkkitehtuurin suunnitteluoletukset

Seuraavassa luettelossa esitetään suunnitteluvalinnat, jotka on tehty tälle ratkaisuarkkitehtuurille.

  • Tämä ratkaisu käyttää yhtä Azure-näennäisverkkoa, jossa on sivustosta sivustoon -VPN-yhteys. Azure-näennäisverkossa isännöidä yhtä aliverkkoa, joka voi sisältää useita näennäiskoneita.
  • Voit käyttää reititys- ja etäkäyttöpalvelua (RRAS) Windows Server 2016:ssa tai Windows Server 2012:ssa muodostaaksesi IPsec-sivuston ja sivuston välisen VPN-yhteyden paikallisen verkon ja Azure-näennäisverkon välille. Voit käyttää myös muita vaihtoehtoja, kuten Cisco- tai Juniper Networks VPN -laitteita.
  • Paikallisessa verkossa voi edelleen olla verkkopalveluita, kuten Active Directory -toimialueen palvelut (AD DS), toimialueen nimijärjestelmä (DNS) ja välityspalvelimet. Vaatimuksistasi riippuen voi olla hyödyllistä sijoittaa joitakin näistä verkkoresursseista Azure-näennäisverkkoon.

Jos käytössä on olemassa oleva Azure-näennäisverkko, jossa on yksi tai useampi aliverkko, voit tarpeittesi mukaan määrittää, onko lisäaliverkolle jäljellä osoitetilaa tarvittavien näennäiskoneiden isännöintiin. Jos sinulla ei ole jäljellä olevaa osoitetilaa lisäaliverkolle, luo ylimääräinen näennäisverkko, jolla on oma sivustolta sivustoon -VPN-yhteys.

Azure-näennäisverkon reititysinfrastruktuurin muutosten suunnittelu

Sinun on määritettävä paikallinen reititysinfrastruktuuri välittääksesi Azure-näennäisverkon osoitetilaan tarkoitetun liikenteen paikalliseen VPN-laitteeseen, joka isännöi sivuston ja sivuston välistä VPN-yhteyttä.

Reititysinfrastruktuurin tarkka päivitysmenetelmä määräytyy sen mukaan, miten hallitset reititystietoja, mikä voi olla:

  • Reititystaulukko päivittyy manuaalisen määrityksen perusteella.
  • Reititystaulukko päivittyy reititysprotokollien, kuten reititystietoprotokollan (RIP) tai avaa lyhimmän polun ensimmäisen (OSPF) perusteella.

Pyydä reititysasiantuntijaasi varmistamaan, että Azure-näennäisverkkoon tarkoitettu liikenne välitetään paikalliseen VPN-laitteeseen.

Paikallisen VPN-laitteen liikenteen palomuurisääntöjen suunnitteleminen

Jos VPN-laitteesi on eteisverkossa, jossa on palomuuri eteisverkon ja Internetin välillä, sinun on ehkä määritettävä palomuuri seuraaville säännöille sallimaan sivuston ja sivuston VÄLINEN VPN-yhteys.

  • Liikenne VPN-laitteeseen (internetistä saapuva):

    • VPN-laitteen IP-kohdeosoite ja IP-protokolla 50
    • VPN-laitteen ja UDP-kohdeportin 500 kohde-IP-kohdeosoite
    • VPN-laitteen ja UDP-kohdeportin 4500 kohde-IP-kohdeosoite
  • Liikenne VPN-laitteesta (lähtevä Internetiin):

    • VPN-laitteen lähde-IP-osoite ja IP-protokolla 50
    • VPN-laitteen lähde-IP-osoite ja UDP-lähdeportti 500
    • VPN-laitteen ja UDP-lähdeportin 4500 IP-lähdeosoite

Azure-näennäisverkon yksityisen IP-osoitetilan suunnittelu

Azure-näennäisverkon yksityisessä IP-osoitetilassa on oltava osoitteet, joita Azure käyttää näennäisverkon isännöintiin, ja vähintään yksi aliverkko, jossa on riittävästi osoitteita Azure-näennäiskoneillesi.

Jos haluat määrittää aliverkon tarvitsemien osoitteiden määrän, laske tarvittavien näennäiskoneiden määrä, arvioi tuleva kasvu ja määritä sitten aliverkon koko seuraavan taulukon avulla.

Tarvittavien näennäiskoneiden määrä Tarvittavien isäntäbittien määrä Aliverkon koko
1-3
3
/29
4-11
4
/28
12-27
5
/27
28-59
6
/26
60-123
7
/25

Suunnittelet laskentataulukkoa Azure-näennäisverkon määrittämistä varten

Ennen kuin luot Azure-näennäisverkon näennäiskoneiden isännöimiseksi, sinun on määritettävä seuraavissa taulukoissa tarvittavat asetukset.

Täytä näennäisverkon asetukset kohtaan Taulukko V.

Taulukko V: Paikallisen näennäisverkon määritykset

Kohde Määrityselementti Kuvaus Arvo
1.
Näennäisverkon nimi
Nimi, joka määritetään Azure-näennäisverkolle (esimerkki DirSyncNet).
Linja.
2.
Näennäisverkon sijainti
Azure-palvelinkeskus, joka sisältää näennäisverkon (kuten Länsi-Yhdysvallat).
Linja.
3.
VPN-laitteen IP-osoite
VPN-laitteesi internet-käyttöliittymän julkinen IPv4-osoite. Määritä tämä osoite yhdessä IT-osastosi kanssa.
Linja.
4.
Näennäisverkon osoitetila
Näennäisverkon osoitetila (määritetty yksittäisessä yksityisen osoitteen etuliitteessä). Määritä tämä osoitetila yhdessä IT-osastosi kanssa. Osoitetilan on oltava CDR (Classless Interdomain Routing) -muodossa, jota kutsutaan myös verkon etuliitemuodoksi. Esimerkki on 10.24.64.0/20.
Linja.
5.
Jaettu IPsec-avain
32-merkkinen satunnainen aakkosnumeerinen merkkijono, jonka avulla todennetaan sivuston ja sivuston VPN-yhteyden molemmat puolet. Selvitä tämä avainarvo yhdessä IT- tai suojausosastosi kanssa ja tallenna se suojattuun sijaintiin. Vaihtoehtoisesti katso kohta Satunnaisen merkkijonon luominen IPsec-avaimelle, jolle on esijakattu avain.
Linja.

Täytä tämän ratkaisun aliverkot taulukkoon S.

  • Määritä ensimmäiselle aliverkolle 28-bittinen osoitetila (etuliitteen pituus /28) Azure-yhdyskäytävän aliverkolle. Lisätietoja tämän osoitetilan määrittämisestä on kohdassa Azure-näennäisverkkojen yhdyskäytävän aliverkon osoitetilan laskeminen .

  • Määritä toiselle aliverkolle kutsumanimi, näennäisverkon osoitetilaan perustuva yksittäinen IP-osoitetila ja kuvaava tarkoitus.

Määritä nämä osoitevälit näennäisverkon osoitetilasta yhdessä IT-osastosi kanssa. Molempien osoitevälien on oltava CIDR-muodossa.

Taulukko S: Näennäisverkon aliverkot

Kohde Aliverkon nimi Aliverkon osoitetila Käyttötarkoitus
1.
GatewaySubnet
Linja.
Azure-yhdyskäytävän käyttämä aliverkko.
2.
Linja.
Linja.
Linja.

Täytä taulukko D niille paikallisille DNS-palvelimille, joita haluat näennäisverkon näennäiskoneiden käyttävän. Anna jokaiselle DNS-palvelimelle kutsumanimi ja yksi IP-osoite. Tämän kutsumanimen ei tarvitse vastata DNS-palvelimen isäntänimeä tai tietokoneen nimeä. Huomaa, että luettelossa on kaksi tyhjää merkintää, mutta voit lisätä niitä lisää. Määritä tämä luettelo yhdessä IT-osastosi kanssa.

Taulukko D: Paikalliset DNS-palvelimet

Kohde DNS-palvelimen kutsumanimi DNS-palvelimen IP-osoite
1.
Linja.
Linja.
2.
Linja.
Linja.

Jos haluat reitittää paketteja Azure-näennäisverkosta organisaatiosi verkkoon sivuston ja sivuston välisellä VPN-yhteydellä, sinun on määritettävä näennäisverkko, jossa on paikallinen verkko. Tässä paikallisessa verkossa on luettelo osoitetiloista (CIDR-muodossa) kaikissa organisaation paikallisen verkon sijainneissa, joihin näennäisverkon näennäiskoneiden on päästävä. Tämä voi olla kaikki sijainnit paikallisessa verkossa tai alijoukossa. Paikallisen verkon määrittävien osoitevälien luettelon on oltava yksilöllinen, eikä se saa olla päällekkäin tässä näennäisverkossa tai muissa paikallisten näennäisverkkojen osoitetiloissa.

Täytä paikallisen verkon osoitetilajoukolle taulukko L. Huomaa, että luettelossa on kolme tyhjää merkintää, mutta tarvitset yleensä enemmän. Määritä tämä luettelo yhdessä IT-osastosi kanssa.

Taulukko L: Paikallisen verkon osoiteetuliitteet

Kohde Paikallisen verkon osoitetila
1.
Linja.
2.
Linja.
3.
Linja

Käyttöönoton toteutussuunnitelma

Paikallisen näennäisverkon luominen ja näennäiskoneiden lisääminen Azuressa koostuu kolmesta vaiheesta:

  • Vaihe 1: Valmistele paikallinen verkko.
  • Vaihe 2: Luo paikallinen näennäisverkko Azuressa.
  • Vaihe 3 (valinnainen): Lisää näennäiskoneita.

Vaihe 1: Paikallisen verkon valmisteleminen

Sinun on määritettävä paikallinen verkkosi reititys, joka osoittaa näennäisverkon osoitetilaan ja lopulta toimittaa sen liikennettä reitittimeen paikallisen verkon reunalla. Selvitä verkonvalvojalta, miten voit lisätä reitityksen paikallisen verkon reititysinfrastruktuuriin.

Tässä on määrityksesi.

Paikallisessa verkossa on oltava näennäisverkon osoitetilalle reitti, joka osoittaa VPN-laitetta kohti.

Vaihe 2: Paikallisen näennäisverkon luominen Azuressa

Avaa ensin Azure PowerShell -kehote. Jos et ole asentanut Azure PowerShelliä, katso Azure PowerShellin käytön aloittaminen.

Kirjaudu seuraavaksi Azure-tilillesi tällä komennolla.

Connect-AzAccount

Hanki tilauksesi nimi käyttämällä seuraavaa komentoa.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Määritä Azure-tilauksesi näillä komennoilla. Korvaa kaikki lainausmerkeissä olevat tiedot, mukaan lukien - ja > -<merkit, oikealla tilauksen nimellä.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Luo seuraavaksi uusi resurssiryhmä näennäisverkollesi. Jos haluat määrittää yksilöllisen resurssiryhmän nimen, luettele nykyiset resurssiryhmäsi tämän komennon avulla.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Luo uusi resurssiryhmäsi näiden komentojen avulla.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

Seuraavaksi luot Azure-näennäisverkon.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Tässä on määrityksesi.

Näennäisverkkoa ei ole vielä yhdistetty paikalliseen verkkoon.

Luo seuraavaksi näiden komentojen avulla yhdyskäytävät sivustosta sivustoon -VPN-yhteydelle.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Tässä on määrityksesi.

Näennäisverkossa on nyt yhdyskäytävä.

Määritä seuraavaksi paikallinen VPN-laitteesi muodostamaan yhteys Azure VPN -yhdyskäytävään. Lisätietoja on artikkelissa Tietoja VPN-laitteista sivuston ja sivuston välisiä Azure-Näennäisverkko yhteyksiä varten.

VPN-laitteen määrittämiseen tarvitaan seuraavat:

  • Azuren VPN-yhdyskäytävän julkinen IPv4-osoite näennäisverkkoasi varten. Näytä tämä osoite komennolla Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName .
  • Sivuston ja sivuston VÄLISEN VPN-yhteyden IPsec-esijaetun avaimen (Taulukko V- Kohde 5 - Arvo-sarake).

Tässä on määrityksesi.

Näennäisverkko on nyt yhdistetty paikalliseen verkkoon.

Vaihe 3 (valinnainen): Näennäiskoneiden lisääminen

Luo tarvitsemasi näennäiskoneet Azuressa. Lisätietoja on artikkelissa Windows-näennäiskoneen luominen Azure-portaali avulla.

Käytä seuraavia asetuksia:

  • Valitse Perustiedot-välilehdestä sama tilaus ja resurssiryhmä kuin näennäisverkkosi. Tarvitset niitä myöhemmin, jotta voit kirjautua sisään näennäiskoneeseen. Valitse Esiintymän tiedot -osiossa sopiva näennäiskoneen koko. Tallenna järjestelmänvalvojatilin käyttäjänimi ja salasana suojattuun sijaintiin.
  • Valitse Verkkopalvelut-välilehdestä näennäisverkkosi nimi ja näennäiskoneiden isännöinnin aliverkko (ei GatewaySubnet). Jätä kaikki muut asetukset oletusarvoihinsa.

Varmista, että näennäiskoneesi käyttää DNS:ää oikein, tarkistamalla sisäinen DNS varmistaaksesi, että Address (A) -tietueet on lisätty uutta näennäiskonettasi varten. Jotta voit käyttää Internetiä, Azure-näennäiskoneet on määritettävä käyttämään paikallisen verkon välityspalvelinta. Ota yhteyttä verkonvalvojaan, jos haluat lisätietoja palvelimessa suoritettavista määritystoimista.

Tässä on määrityksesi.

Näennäisverkossa on nyt näennäiskoneita, joita voi käyttää paikallisesta verkosta.

Seuraavat vaiheet

Microsoft 365 Directory -synkronoinnin käyttöönotto Microsoft Azuressa