中國ID圈7月3日報(bào)道：今年春季，微軟公司為自家Windows Azure云服務(wù)發(fā)布多項(xiàng)更新，希望幫助用戶及企業(yè)簡化與微軟Azure數(shù)據(jù)中心的直連流程、也使得本地設(shè)備與服務(wù)能與Azure并行協(xié)作。

為了實(shí)現(xiàn)這一點(diǎn)，微軟調(diào)動了各種類型VPN的力量。為了進(jìn)一步理解Azure中的新特性，我將帶大家整理VPN的全部種類，并通過重點(diǎn)剖析理解其運(yùn)作機(jī)制。順帶一提，Azure目前已經(jīng)不再使用版本號——由于更新極為頻繁，微軟中止了以數(shù)字標(biāo)注版本的做法。

在過去幾個版本中，Windows Azure一直只能創(chuàng)建站點(diǎn)到站點(diǎn)虛擬專用網(wǎng)絡(luò)，也就是VPN.這意味著用戶的企業(yè)網(wǎng)絡(luò)需要先通過專用VPN設(shè)備與Azure數(shù)據(jù)中心內(nèi)的專用路由器或其它網(wǎng)絡(luò)設(shè)備建立起連接。通常情況下，大型企業(yè)用戶往往熟悉這種運(yùn)作機(jī)制，但中小型企業(yè)則不然，這就限制了VPN功能的整體有效性。

不過今年四月，微軟推出了點(diǎn)到站點(diǎn)VPN連接，這意味著個人電腦也可以創(chuàng)建直接與Windows Azure數(shù)據(jù)中心對接的VPN通道。創(chuàng)建工作完成后，這臺計(jì)算機(jī)將可以訪問虛擬機(jī)、數(shù)據(jù)庫、網(wǎng)站以及其它與個人計(jì)算機(jī)處于同一本地網(wǎng)絡(luò)環(huán)境的資源。

這項(xiàng)新舉措對哪類用戶的吸引力最大？就目前來看，習(xí)慣于在本地創(chuàng)建解決方案、再將其部署到Windows Azure的開發(fā)人員將獲得最顯著的實(shí)惠。新機(jī)制讓開發(fā)者擁有一套“單一網(wǎng)絡(luò)”，而不必再為尋址難題、DNS及其它一些始終阻撓著將應(yīng)用程序或其它資源在不同網(wǎng)絡(luò)環(huán)境中進(jìn)行托管遷移的麻煩狀況。

令終端用戶與開發(fā)者——可能也包括IT人士——感到高興的是，新機(jī)制不再需要IT部門為其提供支持。大家可以從Azure管理門戶中輕松下載一個撥號連接設(shè)定檔（沒錯，預(yù)設(shè)定VPN‘撥號器’的術(shù)語表達(dá)就是這個）包，并雙擊文件來創(chuàng)建連接——默認(rèn)情況下整個流程非常安全。

設(shè)備中的VPN客戶端能與Windows 7及Windows 8順利協(xié)作，而且整個VPN連接創(chuàng)建過程也不必涉及其它配置工作或者硬件設(shè)備。

在開始之前，大家首先要做一些準(zhǔn)備工作，其中包括創(chuàng)建新的虛擬網(wǎng)絡(luò)及動態(tài)路由網(wǎng)關(guān)。請朋友們執(zhí)行下列步驟：

1. 登錄Windows Azure管理門戶。

2. 在“網(wǎng)絡(luò)”下拉菜單中點(diǎn)擊左下方的“新建”按鈕，再點(diǎn)選“虛擬網(wǎng)絡(luò)”。

3. 點(diǎn)擊“自定義創(chuàng)建”。

4. 這時系統(tǒng)會顯示“虛擬網(wǎng)絡(luò)詳細(xì)信息”界面。為自己的網(wǎng)絡(luò)輸入一個合適的名稱、虛擬網(wǎng)絡(luò)運(yùn)行位置所屬的Azure數(shù)據(jù)中心（請選擇離本地位置最近的數(shù)據(jù)中心，這樣性能表現(xiàn)會更好），如果必要、可以選擇一個合作組。點(diǎn)擊屏幕右側(cè)的箭頭進(jìn)入下一步。

5. 這時出現(xiàn)的是DNS服務(wù)器及VPN連接頁面，勾選“配置點(diǎn)到站點(diǎn)VPN”復(fù)選框，然后指定我們用于連接外部環(huán)境的DNS服務(wù)器。這些服務(wù)器必須已經(jīng)在大家的賬戶上注冊完畢。如果還沒有注冊過服務(wù)器，大家可以選擇“注冊新服務(wù)器”選項(xiàng)，這樣就能將其作為我們個人Azure賬戶中的資源并加以使用。

6. 現(xiàn)在出現(xiàn)的是點(diǎn)到站點(diǎn)連接頁面，大家需要輸入用于連接客戶端與Azure的VPN連接的專用地址。該地址必須采用符合RFC 1918的標(biāo)準(zhǔn)化非路由字段，包括10.0.0.0/8、172.16.0.0/12或者192.168.0.0/16.我們還要保證這些地址從未在Azure租戶賬戶當(dāng)中被使用。大家還可以為新的虛擬網(wǎng)絡(luò)創(chuàng)建子網(wǎng)（但這不是必需步驟），并為其創(chuàng)建網(wǎng)關(guān)。所有數(shù)據(jù)輸入完成之后，點(diǎn)擊屏幕右側(cè)的檢查標(biāo)記。

7. 管理門戶會滾動一陣，并開始創(chuàng)建新的虛擬網(wǎng)絡(luò)。下一步要做的是創(chuàng)建動態(tài)路由網(wǎng)關(guān)，因此點(diǎn)擊剛剛完成的虛擬網(wǎng)絡(luò)，然后選擇儀表板頁面。

8. 在頁面下方，點(diǎn)擊“創(chuàng)建網(wǎng)關(guān)”鏈接并在接下來的提示中點(diǎn)擊“是”以確認(rèn)操作。

接下來就是處理證書。點(diǎn)到站點(diǎn)VPN連接的主要優(yōu)勢在于它無需特定設(shè)備作為支撐，也不必勞煩IT部門重新配置防火墻或者針對連接做出其它變更。而這一切得以實(shí)現(xiàn)完全歸功于安全套接字隧道協(xié)議（簡稱SSTP），屬于VPN設(shè)計(jì)風(fēng)格的一種。這些SSTP VPN與安全HTTP一樣使用端口443，且保證向任何連通網(wǎng)絡(luò)開放。但為了確保安全性，SSTP協(xié)議要求必須使用證書，也就是說用戶需要在Azure數(shù)據(jù)中心端以及每臺個人計(jì)算機(jī)端具備證書，這樣才能讓點(diǎn)到站點(diǎn)連接保持暢通。

如果大家打算在基于Active Directory的環(huán)境下親手創(chuàng)建點(diǎn)到站點(diǎn)連接，那么基礎(chǔ)設(shè)施在建立過程中可能已經(jīng)具備一套公開密鑰。大家只需創(chuàng)建一份X.509證書并將其簽署至一臺服務(wù)器中，即可完成基礎(chǔ)設(shè)施的證書驗(yàn)證工作。

怎樣創(chuàng)建證書呢？首先打開微軟管理控制臺，在終端命令提示符中運(yùn)行MMC.EXE（需要擁有管理員權(quán)限），然后在文件菜單中選擇“添加/刪除管理單元”。接著選擇“證書”、點(diǎn)選“計(jì)算機(jī)賬戶”然后點(diǎn)擊“繼續(xù)”，這樣屏幕左側(cè)就會顯示“證書”項(xiàng)目。點(diǎn)擊展開全部內(nèi)容，選擇“受信根證書驗(yàn)證及證書”項(xiàng)。

在列表中找到自己的證書（一般會在名稱中包含我們的NetBIOS域名），右鍵點(diǎn)擊然后選擇“導(dǎo)出”。在導(dǎo)航中全部采用默認(rèn)選項(xiàng)，然后為導(dǎo)出的。CER文件選擇保存位置，最后完成導(dǎo)航過程。

這就是我們將要上傳到Windows Azure當(dāng)中的證書，我們的客戶端也將通過它進(jìn)行驗(yàn)證。

現(xiàn)在要做的是創(chuàng)建客戶端證書。右鍵點(diǎn)擊MMC實(shí)例中的“個人”項(xiàng)目，在“所有任務(wù)”菜單中選擇“申請新證書”。接下來的幾步全部按默認(rèn)略過，但一定要確保選擇的是計(jì)算機(jī)類證書。導(dǎo)航機(jī)制結(jié)束后，大家會看到新證書已經(jīng)被安裝在MMC內(nèi)“個人”項(xiàng)目下的“證書”子項(xiàng)中。這就是我們之前導(dǎo)出過的客戶端證書，Azure會將上傳至Azure中的公共證書與這份保存在本地的客戶端證書加以對照，二者的認(rèn)證機(jī)制完全相同，且能夠與我們將使用的SSTP VPN連接相匹配。

好了，以上工作就緒之后，大家可以將受信根證書上傳到Windows Azure管理門戶當(dāng)中了。

1. 在儀表板頁面的右側(cè)選擇“上傳證書”選項(xiàng)（具體字樣取決于前續(xù)操作，這部分內(nèi)容也可能變?yōu)椤�上傳客戶端證書’或者‘上傳根證書’）。

2. 通過瀏覽找到導(dǎo)出的。CER文件并進(jìn)行上傳。

在一系列重要準(zhǔn)備工作完成之后，現(xiàn)在我們終于可以下載預(yù)配置撥號連接設(shè)定檔軟件包（注意，每臺客戶端計(jì)算機(jī)都需要進(jìn)行前面提到的證書操作），并與點(diǎn)到站點(diǎn)連接相連通了。在Windows Azure新版本中，大家下載到的軟件支持Windows 7、Windows 8、Windows Server 2008 R2以及Windows Server 2012.另外，下載到的撥號連接設(shè)定檔也分為32位與64位兩個版本。

連接軟件包是一個。EXE文件，大家可以雙擊加以運(yùn)行，它會自動將設(shè)定文件部署至Windows內(nèi)置的VPN客戶端當(dāng)中。

要進(jìn)行連接，只需找到VPN連接項(xiàng)并進(jìn)行雙擊。第一次雙擊后，軟件會彈出提示、詢問我們是否允許創(chuàng)建另一份證書，請大家選擇“是”。最后，系統(tǒng)會提示用戶為連接選擇證書——選擇剛剛創(chuàng)建的證書并點(diǎn)擊“好”。

現(xiàn)在我們的專用VPN連接就完成了，且能夠以類本地訪問方式使用由Azure所托管且與自己虛擬網(wǎng)絡(luò)相連的任何資源。

Azure最新版本的另一大改進(jìn)在于大大簡化Windows Server 2012的安裝流程，且能夠?qū)⑵渥鳛閷Ｓ迷O(shè)備創(chuàng)建指向Azure的站點(diǎn)到站點(diǎn)VPN連接。我們?yōu)槭裁匆�使用站點(diǎn)到站點(diǎn)VPN？當(dāng)兩臺設(shè)備由這類通道相連時，連接本身就會具備透明特性——對于用戶設(shè)備、數(shù)據(jù)中心、服務(wù)器以及虛擬機(jī)皆是如此。

換句話來說，這類方案的好處是，Windows Azure數(shù)據(jù)中心內(nèi)的所有資源都會像本地網(wǎng)絡(luò)的一部分那樣可以被隨時查看。所有關(guān)于連接、證書、通道及其它麻煩的處理工作都由設(shè)備本身完成。

正如我之前所提到，原先大家必須通過專用硬件設(shè)備來實(shí)現(xiàn)站點(diǎn)到站點(diǎn)連接。而且要獲得完整的功能體驗(yàn)，我們還不得不從有限的幾種VPN終端設(shè)備中做出選擇、或者花上幾個小時研究路由器系統(tǒng)代碼以創(chuàng)建一套能夠被Azure端點(diǎn)所接納的連接配置文件。

但現(xiàn)在情況不同了，大家可以設(shè)置一套Windows Server 2012實(shí)例用以運(yùn)行“路由與遠(yuǎn)程訪問（簡稱RRAS）”角色，而且這一切在幾分鐘內(nèi)就能搞定。

與點(diǎn)到站點(diǎn)VPN相似，我們同樣需要進(jìn)行一系列準(zhǔn)備工作——主要內(nèi)容是通知Azure我們的本地地址空間。首先在Windows Azure管理門戶中創(chuàng)建新的本地網(wǎng)絡(luò)，然后為VPN端點(diǎn)指定IP地址空間及公共IP.換言之，也就是Windows Azure通過VPN與本地網(wǎng)絡(luò)對接的地址。

下面需要創(chuàng)建另一套虛擬網(wǎng)絡(luò)，但這時請注意選擇創(chuàng)建站點(diǎn)到站點(diǎn)VPN、而非之前的點(diǎn)到站點(diǎn)VPN.大家一定已經(jīng)發(fā)現(xiàn)，這一次流程變得更為簡單：我們只需要讓Azure創(chuàng)建網(wǎng)關(guān)子網(wǎng)即可。接下來，與點(diǎn)到站點(diǎn)VPN一樣，在新虛擬網(wǎng)絡(luò)的儀表板中創(chuàng)建動態(tài)路由網(wǎng)關(guān)，然后等待幾分鐘——Azure會建立網(wǎng)關(guān)并創(chuàng)建連接腳本。

連接腳本的作用是定義站點(diǎn)到站點(diǎn)VPN將要使用的端口、協(xié)議以及通道。大家可以為Windows Server 2012 RRAS指定自己想要使用的腳本，然后再行下載。不過在下載完成后，我們還需要對內(nèi)容做出小小調(diào)整，具體步驟如下：

將腳本中的所有實(shí)例替代為自己網(wǎng)關(guān)的IP地址。在管理門戶的網(wǎng)絡(luò)儀表板頁面中，大家會看到這部分內(nèi)容被以大字體標(biāo)出。實(shí)例位地第75、78、79以及85行。

將第75行的實(shí)例替代為我們在為站點(diǎn)到站點(diǎn)VPN創(chuàng)建新虛擬網(wǎng)絡(luò)時所指定的CIDR（即無類型域間選路）。

同樣是第75行，填入自己網(wǎng)絡(luò)的實(shí)際指標(biāo)。

填入管理門戶所生成的密鑰。

將內(nèi)容保存為擴(kuò)展名為。ps1的文件，這樣我們就得到了一個可執(zhí)行的PowerShell腳本。靜待一段時間，讓腳本完成“路由與遠(yuǎn)程訪問”角色的安裝（如果目標(biāo)設(shè)備中尚未安裝）并設(shè)置VPN連接。這部分工作完成后，返回Windows Azure管理門戶并點(diǎn)擊大大的“連接”按鈕。幾秒鐘之后，連接正式啟動、我們的鏈接也就宣告竣工。我們所有的設(shè)備都能夠在Azure數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)中或者本地網(wǎng)絡(luò)中正常運(yùn)行，且彼此之間通信無阻。

站點(diǎn)到站點(diǎn)與點(diǎn)到站點(diǎn)兩種VPN類型都需要我們進(jìn)行一系列設(shè)置工作，而一旦配置正確并按預(yù)期運(yùn)作之后，它們將徹底打破大家與Azure技術(shù)攜手合作的一切障礙。這些VPN絕對值得一試，希望大家能在探索中發(fā)現(xiàn)它們給日常工作帶來的種種便利。

在不久的將來，云計(jì)算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： dns dns服務(wù) dns服務(wù)器 安全 大數(shù)據(jù) 代碼 防火墻 服務(wù)器 建站 腳本 開發(fā)者 權(quán)限 數(shù)據(jù)庫 通信 網(wǎng)絡(luò) 域名 云服務(wù) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。