Hans Laubisch Expert Student Partner Microsoft Student Partners DE e Windows Azure Windows Azure VPN (mit Windows Server) Windows Azure How To Guide November 2012
Grundlagen Windows Azure Netzwerke Cloud Services, Vnets, Gateways, IPsec-Konfiguration von in Windows Azure Konfiguration auf On-Premises-Seite (Windows Server) Routing zwischen Windows Azure Netzen und Lokal Versch. Anwendungsfälle Domäne File-Server Webserver Agenda
Cloud Services stellen einen logischen Container zur Ausführung von VMs dar Befindet sich nur eine VM in diesem, wird er im Azure Portal nicht extra ausgewiesen Cloud Services besitzen jeweils ein eigenes virtuelles Netzwerk Sind von außen via öffentlicher IP erreichbar (VIP) Ports sind zur Laufzeit konfigurierbar Cloud Services können via VPN mit lokalen Netzen verbunden werden (IPsec) Virtual Machines können gemeinsam in einem gemeinsamen Cloud Service gehostet werden Cloud Services
Windows Azure Networks Subnetz C z.B /24 Subnetz B z.B /24 Subnetz A z.B /24 Gateway Subnetz z.B /24 Web-ServerFile-ServerSQL-Server Windows Server Öffentliche IP
IPsec-Konfigurationsparameter Phase I Encryption algorithm: AES128 Integrity algorithm: SHA1 Diffie-Hellman group: Group 2 (1024 bit) Authenticate and generate a new key: seconds Phase II Encryption algorithm: AES128 Integrity algorithm: SHA1 Session key / Generate a new key every: Both enabled Kbytes: Seconds: 3600 Use Perfect Forward Secrecy (PFS): Not selected Diffie-Hellman group: N/A
Zum korrekten Tunnelaufbau wird KB benötigt (Windows Server 2008/R2) Sowohl der Gateway Rechner in Azure, als auch der Rechner welcher lokal als IPsec-Endpunkt dient, haben keine Konnektivität zu den Rechnern auf der anderen Seite des Tunnels IPsec-Tunnel sind nicht kompatibel mit NAT Auch Portweiterleitungen funktionieren nicht öffentliche IP direkt an NIC des Windows Servers wird benötigt IPsec-Tunnel wird Azure-seitig initiiert Besonderheiten bei der Konfiguration
Dieser Host sieht keine Rechner im WA VNET ! Beispielaufbau Lokales Netz / WA VNET / FS FS DB DB Gateway Subnetz /24 File-Server Subnetz /24 DB-Server Subnetz /24 Gate- way
IPsec-Tunnelaushandlung auf Paketebene
Affinitätgruppe 1 Vnet Service 1 Vnet Service 2 Vnet Service 3 Affinitätgruppe 1 Vnets, Affinitätsgruppen, Verfügbarkeitsgruppen Windows Azure Networks im Überblick Vnet Service 1 Vnet Service 2 Vnet Service 3 Innerhalb einer Affinitätsgruppe kann zwischen verschiedenen Vnets geroutet werden Verfügbarkeitsgruppen ermöglichen komplette Redundanz für Vnets / Services / VMs mit wenigen Klicks
Windows Azure Networks biete standkompatible IPsec- Tunnel zwischen VNets aus Cloud Services und On- Premises-Netzen Beispielkonfigurationsskripte für Cisco ASA / ISR / ASR Juniper SSG / ISG Andere IPsec-Endpunktsysteme denkbar Windows Server Linux (Router) Leistungsfähiges Webportal zur Konfiguration von komplexen Netzwerkumgebungen in Windows Azure Zusammenfassung
Web Ressourcen Unter folgenden Einstiegspunkten finden sich alle Ressourcen, die für einen Start in Windows Azure wichtig sind Windows Azure Homepage Kostenloser Demo-Account Windows Azure Development Center Windows Azure SDKs Windows Azure Training Kit Kundenreferenzen Video-Serie zu Windows Azure (10-Minuten-Videos):
I