对 Azure 虚拟网络网关的改进

YU-SHUN WANG Azure 网络高级项目经理 在 2014 年欧洲 TechEd 大会上,我们宣布了对Azure 虚拟网络网关的多项改进: 1.  高性能网关 SKU 2.  Azure 虚拟网络网关操作日志 3.  支持 PFS(完美转发保密) 4.  S2S 隧道支持不加密选项 我们将概述每项新功能并提供这些新功能的使用说明。 概述 Azure 虚拟网络网关作为跨云和内部部署的网关,可以将 Azure 虚拟网络中的工作负载连接到内部部署站点。使用 IPsec S2SVPN 隧道或 ExpressRoute 线路连接内部部署站点时, 它是必须的。对于IPsec/IKE VPN 隧道,网关会执行 IKE 握手,然后在内部部署站点之间建立 IPsec S2SVPN 隧道。对于 ExpressRoute,网关会通过对等线路通知虚拟网络中的前缀,也会将数据包从 ExpressRoute 线路转发到虚拟网络内的VM 上。 下图所示为带有多个跨界连接选项的 Azure 虚拟网络网关概念图: 高性能网关 为了给跨云和内部部署的连接提供更高的吞吐量和更多的 S2S VPN 隧道,我们发布了新的Azure 虚拟网络网关 SKU:高性能网关。下表所示为当前网关和高性能网关的初始吞吐量合计值和S2S VPN 隧道规格: 网关 SKU ExpressRoute…

0

基于VPN搭建混合云架构需要考虑的网络因素

 Joy Qiao from MSFT Wed, Jan 21 2015 8:44 AM 很多用户在搭建混合云架构时,会使用到微软Azure虚拟网络中的 VPN功能,来实现Azure中的虚拟网络与用户本地数据中心的网络连接。由于Azure VPN连接是基于公网Internet建立,而公网偶尔丢包的现象普遍存在,比如由于某台交换机繁忙或者物理线路不稳定等各种因素导致丢包。根据很多使用Azure VPN客户的网络监控经验来看,基于互联网的连接,偶尔的网络丢包会造成Azure和用户数据中心两边的服务器可能暂时通讯无响应的现象,比如Ping request timed out ,注意这并不代表VPN链路的中断,且通常也会在最长1-2分钟内自行恢复。 如需要判断VPN链接是否真的中断,则通常需要通过网络抓包及日志的分析,确认在问题发生前后IPSEC是否有进行rekey,在IPSEC日志中确认是否有VPN re-negotiation的动作。如果问题发生前后SPI ID 没有变化这代表着VPN使用的是同一Session。而如果VPN的IPSEC发生过中断,那么SPI ID是一定会有变化的。 由于网络丢包偶尔会造成VPN两端服务器暂时通讯无响应的现象,我们对基于VPN的混合云在应用层面的架构有以下几点建议: 1. 应用架构中对于数据传输或交互的实时性、响应速度、带宽、延时等因素要求很高的组件,比如一个典型交易系统的web 应用层和其对应的数据库,建议要放置在同一个数据中心里,而不是基于internet的VPN通道通讯。 2. 对于在Azure数据中心和用户本地数据中心需要通过VPN通道进行交互的系统,比如数据的访问或同步等需求,建议应用层面需要具备异步通讯以及重试的机制,这样即便是网络偶尔丢包造成请求失败,应用层面也会有所准备而不会由于一次连接不上就直接报错。比如SQL Server的高可用技术如Always On, 数据库镜像等都是支持这种异步的数据同步以及重试机制的,在网络偶尔丢包然后又恢复后,SQL Server会自动恢复继续后台的数据同步。 如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。 本文转载自: http://blogs.msdn.com/b/cciccat/archive/2014/12/09/integrated-hadoop-ecosystem-with-azure-hdinsight.aspx  

0

在 Azure 中使用公用 IP 创建多 NIC VM

Russ Slaten  2014年 11 月 18 日下午 4 点 我们最近宣布了支持具有多个网络接口控制器 (NIC) 的虚拟机 (VM)。我仍在努力了解此功能适用的所有新场景,但首先,我希望亲自测试一下这项功能。 我的方案是通过 PowerShell 使用实例级公用 IP 地址 (PIP)构建一个具有两个 NIC 的VM,一个用于后端子网,另一个用于前端子网。PIP 向 VM 提供自己的公用IP 地址,此地址与分配给 VM 所在云服务的虚拟 IP 地址(VIP) 不同。二者最大的区别在于,PIP 是完全开放的,而使用 VIP 时需要在该云服务内的 VM 上为要访问的所有内容本质上设置端口转发规则。这也意味着,如果您要使用 PIP,您应该在 VM 上运行某种防火墙。 方案示意图 步骤概览 1.  选择在 Azure 内具有唯一性的唯一名称,以用于下面的步骤 2.  创建虚拟网络 (VNET) 3.  更新 Azure PowerShell 4.  保存 Azure 订阅设置文件 5.  运行 PowerShell 脚本 6.  验证配置 详细步骤…

0

如何实现Azure虚拟网络中点到站VPN的自动重连

在Windows Azure早期版本中,用户要在某台Azure平台之外的机器与Azure平台内部的机器建立专用连接,可以借助Azure Connect这个功能。当前的Azure版本,已经没有Azure Connect功能,取而代之的是Azure P2S (Point-to-Site) VPN. 新的功能P2S VPN较之以前提高了传输速率。但也有一点不足:之前的Azure Connect支持连接断开后的自动重连,而P2S VPN要求用户通过微软拨号软件手动操作VPN的连接/断开。  由于这样那样的原因,P2S VPN有时会断开连接。例如网络的不稳定,操作系统休眠,过多的远程桌面连接等等。如果每一次断开,都需要人工操作来重新连接,那是非常麻烦的。在有些场景中,也是不可接受的。例如两台数据库服务器之间借助VPN进行不间断的数据同步。 下面提供的命令行,可以在Windows机器上实现VPN的自动拨号重连: rasdial “Your VPN name” /phonebook:%userprofile%\AppData\Roaming\Microsoft\Network\Connections\Cm\Your-VPN\Your-VPN.pbk” 下面是一个例子: :loop rasdial TestVN /PHONEBOOK:C:\Users\shiwang\AppData\Roaming\Microsoft\Network\Connections\Cm\TestVN\TestVN.pbk timeout 120 goto loop 当第一次建立起连接时,该Batch命令的执行结果是: Connecting to test… Verifying username and password… Registering your computer on the network… Successfully connected to test. Command completed successfully. 过了2分钟以后,结果是: You are already connected to test. Command…

0

通过Microsoft Azure服务设计网络架构的经验分享

作者 王枫  发布于 2014年4月8日 本文从产品设计和架构角度分享了Microsoft Azure网络服务方面的使用经验,希望你在阅读本文之后能够了解这些服务之间,从而更好地设计你的架构。 Microsoft Azure的网络架构特别针对企业私有云和混合云进行了设计,其中包含三个常用的服务: 虚拟网络(Virtual Network):连接本地网络与云端基础设施 流量管理器(Traffic Manager):将用户流量分配到不同的数据中心 名称解析服务(DNS):使用内部主机名作为云服务的解析 下面,我将着重介绍使用这三个服务时需要注意的地方,以及使用Microsoft Azure网络服务时需要注意的一些其他方面,比如站点对站点VPN的安全设置,私有IP地址和共有IP地址的使用,BGP网络的使用,网络延迟问题如何处理等。 阅前须知 Microsoft Azure使用了一些特有的术语,其中有两个需要特别注意: VIP(虚拟IP地址):Azure网络上的一个公有IP地址,用来从外网连接Azure虚拟网络中的虚拟机。此VIP并非网络负载平衡NLB解决方案中的虚拟IP地址。 DIP(直接IP):DHCP分配的实际IP地址,用来给虚拟网络中的虚拟机使用。此DIP并非NLB DIP。 虚拟网络(Virtual Network) 虚拟网络可用于创建和管理IPv4地址空间。你可以在本地内网和虚拟网络之间建立VPN安全连接,也可以通过网络对接的方式将云端应用连接到本地。 虚拟网络可用于在虚拟机(Virtual Machine)之间建立连接。需要注意的是,你需要先创建好虚拟网络,然后在创建虚拟机的时候将其关联至已经创建好的虚拟网络。同理,虚拟网络也可以在云服务(Cloud Service)之间建立连接,这样做的好处是可以让不同云服务下的虚拟机之间通过私有IPv4地址互相通信。 还有一点需要注意的是,你在首次创建虚拟网络之前必须先创建地缘组(Affinity Group),因为没有关联地缘组的虚拟网络是未经过优化的。地缘组是Microsoft Azure用于定位服务的逻辑分组,比如“中国东部区域”。如果我们未来在同一地缘组内创建存储服务,那么分组内其他云服务使用该存储服务的性能更优化。 当你创建一个Azure虚拟网络时,你需要使用私有IP寻址方案,而不能使用共有IP地址。另外,你需要确认你的私有网络中没有占用这些IP,也不能有重叠的IP地址。 Azure在数据中心的出口是使用BGP网路,虚拟网络目前不支持内部使用网关NLB。如果你想实现高可用,只能依赖于其它方法或硬件,例如硬件备份的方式,当主VPN网关失效之后启用备份服务器(如Windows Server 2012路由与远程访问服务RRAS于集群之上)。 当你创建一个Azure虚拟网络时,请求IP地址的集合代表所有汇总的子网络。虽然你可以汇总网络,但这些子网之间没有路由,也没有办法在这些子网中间执行访问控制。 在Azure虚拟网络中,虚拟机默认使用DHCP获取IP地址。你可以给虚拟机配置静态IP,但必须使用PowerShell创建VM。如果不使用DHCP的话,Azure虚拟网络系统会认为设备处于未知的状态,从而导致你无法连接虚拟机。不过,尽管虚拟机的IP地址是使用DHCP获取的,但他们在运行过程中的IP地址是不变的——除非你停止(已取消分配)或重新创建。如果你是用Management Portal来”关闭”虚拟机,那计费会停止并会显示”已取消分配”(见下图),使用中的IP会释放。但如果你通过连接虚拟机的操作系统上来关机,则不会停止计费也不会释放IP。 在Azure虚拟网络中有多种方式连接虚拟机。默认,每个虚拟机都有一个RDP端口,并且开启了进入端口。注意,Azure不使用默认的RDP端口3389。如果你不想让你的虚拟机暴露在外面,你也可以选择禁用端口或更改到其它的端口。另外一种连接虚拟机的方式是通过站点到站点VPN从企业内部网络连接到Azure虚拟网络,这种方式和在分支机构和总公司使用站点到站点VPN下来进行RDP连接是一样的,后面会介绍这种方式的用法。 如果你不在办公网络,或者你不想通过VPN连接到办公网络,你可以使用“点到站点”的方式连接虚拟机,这种连接相当于是SSTP远程访问VPN,比直接用RDP连接Azure虚拟网络更安全。 流量管理器(Traffic Manager) 流量管理器为Microsoft Azure的另一个重要网络服务。通过使用流量管理器,你可以将用户分配到Azure数据中心的“最优”位置,确保云应用程序的性能、可用性及弹性。 流量管理器使用智能策略引擎处理DNS域名请求。你需要在Management Portal创建配置以使用流量管理器,需要配置的项包括: 属性:包括你所创建的域名前缀,该前缀在Management Portal中可见。 定义:包括策略设置和属性的检测设置。 策略:用来指定负载均衡方法和终端。 监视器:用来规定超时、协议、端口和相关路径。 流量管理器提供了三个负载均衡方法:性能、容错、或循环: 性能:根据网络延时,该方法将流量引向最近的数据中心。 循环:该方法将流量均等地分配到各个数据中心。 容错:如果主服务出错,该方法将流量引向备份服务或数据中心。 目前流量管理器可支持IPv6,但不支持sticky sessions,在变更策略配置时不会有服务中断。在服务和应用上的使用也必须多注意后端存储配置的一致性。流量管理器适合在网站和不会常变动静态内容的服务等场景下使用。 DNS域名解析…

0

通过基于 Linux 的软件 VPN 设备连接到 Windows Azure 虚拟网络

摘要 本文章将说明如何通过使用软件 VPN 设备,将本地办公室或站点连接到 Windows Azure 虚拟网络。在构建原型或在构建可以尽快利用云的“开发/测试”工作流时,软件 VPN 设备特别有用。事实上,即使在 Windows Azure 虚拟网络团队中,我们也采用这些技术在生产环境中自动测试(TiP, or Test in Production)代码,因为 Azure 平台每天都在不断地变化。本文章将说明如何在 Linux 上配置 OpenSwan VPN,以连接到在 Windows Azure 中托管的虚拟网络。 Linux 对于 Linux,我们将使用在 Windows Azure 内部创建的虚拟机连接到托管其他 Linux 虚拟机的虚拟网络,从而说明该连接过程。 第一步是创建托管 OpenSwan VPN 的新虚拟机。在本示例中,我使用带有特小CPU核的 Ubuntu 14.04 平台映像,但可以使用任何 Lunix 映像,您当然也可以使用自己的 VHD。 创建 VM 后,还要确保端口 500 和 4500(都是 UDP 端口)在防火墙的允许列表中,因为 IPSec 依赖于这些端口。在门户 UI 中,有两个有趣的项目需要注意,分别是公共虚拟…

0

区域虚拟网络

概述 我们非常高兴地宣布,现在您可以创建跨越整个区域的虚拟网络 (VNet) 了。创建新的虚拟网络时,可以将其关联到区域,而不是关联到关联组。部署到区域虚拟网络中的新服务可使用该区域提供的任何服务(例如 A8/A9 大小、内部负载平衡、保留 IP、实例级公共 IP)。 这一功能发布之前,VNets 只能绑定到一个扩展单元,更准确地说是关联组。关联组是一个分组概念,指的是数据中心的一部分,或者换句话说是一定数量的服务器。VNet 被绑定到某个关联组,也就间接绑定到了一组服务器,因此不能将程序部署到此扩展单元以外的服务器中。 以前: 但是通过区域虚拟网络消除了这些限制,因为虚拟网络的范围是整个区域而不仅是关联组。 现在: 关键场景 以下是区域虚拟网络启用的关键场景: 像 A8 和 A9 这样尺寸的新 VM 可部署到虚拟网络,虚拟网络也可包含其他尺寸的 VM。 新功能,例如预留 IP、内部负载平衡、实例级公共 IP 虚拟网络可无缝扩展,以使用整个区域的容量,但我们仍然限制 VNet 中最多包含 2048 个虚拟机。 创建虚拟网络前不需要创建关联组。 进入 VNet 的部署不必在同一个关联组。 使用说明 创建区域虚拟网络的步骤与今天的步骤类似,但有一点不同,即在网络配置文件中定义 VNet 时,使用“位置”属性而不使用“关联组”: 虚拟网络定义(旧式): <VirtualNetworkSitename=“VNetDemo“AffinityGroup=“VNetDemoAG“> 虚拟网络定义(新式): <VirtualNetworkSitename=“VNetUSWest“Location=“West US“> 注意:您无法将现有虚拟网络从AffinityGroup转换为Location[DX1] 。要获得区域虚拟网络,必须使用Location属性创建新的虚拟网络。有关更多详细信息,请参阅下方的常见问题部分。 门户体验: 到现在为止,区域虚拟网络还无法通过门户工作流创建。不久的将来将添加对此功能的支持。但客户仍然可以使用导入/导出功能创建区域虚拟网络,如下所示: 1. 导出当前网络配置文件 2. 将该文件保存至本地磁盘 3.编辑文件以添加新的虚拟网络,如下所示: <?xmlversion=“1.0“encoding=“utf-8“?> <NetworkConfigurationxmlns:xsd=“http://www.w3.org/2001/XMLSchema“xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance“xmlns=“http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration“>…

0

Windows Azure 新上线网络相关服务

动态路由网关、点到站点(Point to Site)VPN正式商用 动态路由网关和点到站点VPN支持基于路由的VPN,并且允许用户将独立计算机连接到Azure上的虚拟网络。现在,虚拟网络中的动态路由VPN网关,提供与静态路由VPN网关一致的SLA服务标准。  多重站点到站点(Site to Site)VPN 正式商用 现在,Azure上的虚拟网络(VNET)正式支持一个以上的站点到站点联接,用户可以在Azure上的一个虚拟网络与多个内部地址之间建立安全联接。使用一个以上的站点到站点联接并不额外收取费用,用户只需为虚拟网络网关的运行时间付费。   虚拟网络互联正式商用 在今天的更新中,我们还实现了虚拟网络间的互联。这意味着现在多个虚拟网络可以直接、安全地相互联接。利用这一功能,用户可以将运行于相同或者不同Azure区域上的虚拟网络相互联接,不同Azure区域之间通过主干网络实现安全的数据传送。 这项功能让更多应用场景成为可能:它可以满足同时在不同区域存在的需求,满足应用的高可用性需求,或者是在单个区域中将多个虚拟网络整合在一起,构成更大规模的网络。该功能还让用户跨越不同的Azure账号服务实现虚拟网络的互联,因此现在可以将工作负载在组织内部的不同部门之间相互联接,甚至是在不同公司之间实现互联。在虚拟网络互联中产生的流量,按照出口流量费率计费。 更多详细信息,请参阅MSDN文档: http://msdn.microsoft.com/zh-cn/library/azure/dn690122.aspx http://msdn.microsoft.com/zh-cn/library/azure/dn690124.aspx

1

Windows Azure 虚拟网络中虚拟机的网络隔离选项

最近我们发布了一份《Windows 网络安全白皮书》(单击此处下载),文中深入说明了客户可以如何利用该平台的本地功能,为他们的信息资产提供最好的保护。 由首席顾问 Walter Myers 撰写的这篇文章从这份白皮书展开,说明了如何在网络级别隔离虚拟网络中的虚拟机。 简介 应用程序隔离是企业环境中的一个重要问题,因为企业客户需要保护多种环境,防止这些环境被未授权或无关人员访问。这包括经典的前端和后端场景:特定后端网络或子网络中的虚拟机可能只允许根据 IP 地址白名单,让特定客户端或其他计算机连接到特定的端点。不论客户端应用程序是从 Internet、Azure 环境还是通过 VPN 连接从内部访问虚拟机应用程序服务器,这些场景都可以在 Windows Azure 中快速实施。 虚拟机隔离选项 本文将讨论 Windows Azure 平台上可以实施虚拟机隔离的三个基本选项: 1. 隔离部署到单一虚拟网络的虚拟机 2. 隔离部署到不同虚拟网络的虚拟机 3. 隔离部署到不同虚拟网络的虚拟机且这些虚拟网络都已经建立可以连接到企业内部的VPN 下文的段落中将详细叙述这些选项。 默认情况下,通过库创建的 Windows Server 虚拟机将有两个公共端点,即 RDP 和远程 PowerShell 连接。除了由管理员添加的额外端点,没有其他公共端点。在任何一台给定的 IaaS 虚拟机上,这些端点和其他由管理员创建的端点可以通过访问控制列表 (ACL) 进行保护。截止本文写作时,IaaS 虚拟机提供 ACL,但 PaaS web role 和 worker role 不提供 ACL。 网络 ACL 的工作方式 ACL…

0

虚拟网络添加跨界连接的新功能

上周,我们宣布公开发布 Windows Azure 基础结构服务和虚拟网络。利用虚拟网络服务,您可以在 Windows Azure 中创建独立的专用网络,并将其作为数据中心的扩展。您可以向虚拟网络中的虚拟机分配专用 IP 地址,指定 DNS,并使用 Cisco 或 Juniper 硬件 VPN 设备将其以“站点到站点”的方式连接到内部部署基础结构。 今天,我们高兴地宣布我们扩展了虚拟网络的功能,并进一步实现了使用硬件 VPN 设备进行跨界连接的功能。   首先,我们将增强现有的“站点到站点 VPN”连接,以便您将 Windows Server 2012 RRAS(路由和远程访问)用作内部部署 VPN 服务器。这样您可灵活使用基于软件的 VPN 解决方案,将内部部署网络连接到 Windows Azure。当然,如果您更喜欢传统路由,仍可以将虚拟网络连接到基于硬件的 VPN,我们将继续扩展受支持 VPN 设备的范围。 第二,我们已添加一个名为点对站 VPN 的新功能,利用该功能可在 Azure 中的个人计算机与虚拟网络之间建立 VPN 连接。我们是根据客户请求,并从称为 Windows Azure Connect 的预览功能中吸取经验而构建这一功能的。点对站 VPN 大大简化了在 Azure 和客户端计算机之间建立安全连接的过程,无论是从您的办公室环境还是从远程位置进行连接。 具体请参见下图: 利用点对站 VPN,可通过令人耳目一新的方式连接到 Windows Azure,这是其他云提供商无法做到的。下面举出了几个示例:…

2