Upload
moritz-solberg
View
235
Download
6
Tags:
Embed Size (px)
Citation preview
Hans LaubischExpert Student PartnerMicrosoft Student Partners DE
Windows Azure
Windows Azure VPN (mit Windows Server)
Windows Azure How To GuideNovember 2012
• Grundlagen Windows Azure Netzwerke• Cloud Services, Vnets, Gateways,
• IPsec-Konfiguration von in Windows Azure• Konfiguration auf On-Premises-Seite (Windows Server)• Routing zwischen Windows Azure Netzen und Lokal• Versch. Anwendungsfälle
• Domäne• File-Server• Webserver
Agenda
• Cloud Services stellen einen logischen Container zur Ausführung von VMs dar
• Befindet sich nur eine VM in diesem, wird er im Azure Portal nicht extra ausgewiesen
• Cloud Services besitzen jeweils ein eigenes virtuelles Netzwerk
• Sind von außen via öffentlicher IP erreichbar (VIP)
• Ports sind zur Laufzeit konfigurierbar• Cloud Services können via VPN mit lokalen
Netzen verbunden werden (IPsec)
Virtual Machines können gemeinsam in einem gemeinsamen Cloud Service gehostet werdenCloud Services
Windows Azure Networks
Subnetz Cz.B.
10.10.5.0/24
Subnetz Bz.B.
10.10.4.0/24
Subnetz Az.B.
10.10.3.0/24Gateway Subnetzz.B. 10.10.1.0/24
Web-Server
File-Server
SQL-Server
Windows Server Öffentliche IP
IPsec-Konfigurationsparameter
Phase IEncryption algorithm: AES128Integrity algorithm: SHA1Diffie-Hellman group: Group 2 (1024 bit)Authenticate and generate a new key: 28800 seconds
Phase IIEncryption algorithm: AES128Integrity algorithm: SHA1Session key / Generate a new key every: Both enabledKbytes: 102400000Seconds: 3600Use Perfect Forward Secrecy (PFS): Not selectedDiffie-Hellman group: N/A
• Zum korrekten Tunnelaufbau wird KB2523881 benötigt (Windows Server 2008/R2)• http://support.microsoft.com/default.aspx?scid=kb;EN-US;2523881
• Sowohl der Gateway Rechner in Azure, als auch der Rechner welcher lokal als IPsec-Endpunkt dient, haben keine Konnektivität zu den Rechnern auf der anderen Seite des Tunnels
• IPsec-Tunnel sind nicht kompatibel mit NAT• Auch Portweiterleitungen funktionieren nicht• öffentliche IP direkt an NIC des Windows Servers wird benötigt
• IPsec-Tunnel wird Azure-seitig initiiert
Besonderheiten bei der Konfiguration
Dieser Host sieht keine
Rechner im WA VNET !
Beispielaufbau
Lokales Netz 192.168.150.0/24192.168.150.30
WA
VNET
192
.168
.0.0
/19
98.78.65.43
192.168.150.10
FS1
192.168.4.5
192.168.1.5
FS2
192.168.4.4
192.168.1.4
DB2
192.168.5.5
DB1
192.168.5.4
Gateway Subnetz 192.168.1.0/24
File-Server Subnetz 192.168.4.0/24
DB-Server Subnetz 192.168.5.0/24
Gate-way
192.168.1.11
169.23.42.23
IPsec-Tunnelaushandlung auf Paketebene
Affinitätgruppe 1
Vnet Service 1
Vnet Service 2
Vnet Service 3
Affinitätgruppe 1
Vnets, Affinitätsgruppen, VerfügbarkeitsgruppenWindows Azure Networks im Überblick
Vnet Service 1
Vnet Service 2
Vnet Service 3
• Innerhalb einer Affinitätsgruppe kann zwischen verschiedenen Vnets geroutet werden
• Verfügbarkeitsgruppen ermöglichen komplette Redundanz für Vnets / Services / VMs mit wenigen Klicks
• Windows Azure Networks biete standkompatible IPsec-Tunnel zwischen VNets aus Cloud Services und On-Premises-Netzen
• Beispielkonfigurationsskripte für• Cisco ASA / ISR / ASR• Juniper SSG / ISG
• Andere IPsec-Endpunktsysteme denkbar • Windows Server• Linux (Router)
• Leistungsfähiges Webportal zur Konfiguration von komplexen Netzwerkumgebungen in Windows Azure
Zusammenfassung
Web RessourcenUnter folgenden Einstiegspunkten finden sich alle Ressourcen, die für einen Start in Windows Azure wichtig sind• Windows Azure Homepage
http://www.azure.com • Kostenloser Demo-Account
http://www.windowsazure.com/en-us/pricing/free-trial/?WT.mc_id=A2DCCE88E• Windows Azure Development Center
http://www.windowsazure.com/en-us/develop/overview/ • Windows Azure SDKs
http://www.windowsazure.com/en-us/develop/downloads/ • Windows Azure Training Kit
http://www.windowsazure.com/en-us/develop/net/other-resources/training-kit/ • Kundenreferenzen
http://www.microsoft.com/de-de/business/kundenreferenzen/default.aspx?product=53 • Video-Serie zu Windows Azure (10-Minuten-Videos):
http://www.youtube.com/watch?v=kLfaa_19yB4&list=PLC71216BDE26EBE8C
I
www.azure.com