Azure IaaS 快速实践 2 - 规划实践Windows Azure虚拟网络及VPN
本节实践,将在云端建立一个虚拟网络,并启用point-to-site VPN,建立云端虚机和本地计算机间基于“虚拟局域网”的互联。
网络规划
此次实验,我们在云端建立一个虚拟网络,包含两个子网段(10.3/4.0.0),Ipv4地址分配如下
10.4.0.0网段用于创建云端的虚拟机、安装后续的活动目录(Active Directory)、DNS服务及Web服务。
10.3.0.0网段用于本地计算机连接到云端网络的VPN,本地计算机通过point-to-site VPN连接到虚拟网络后,获得该网段的IP。
创建云端虚拟网络
1. 登陆到Windows Azure管理主页Windows Azure Management Portalhttps://manage.windowsazure.com
2. 点击左下角的New --> NETWORKS --> VIRTUAL NETWORK --> CUSTOM CREATE.
3. 在Virtual Network Details页面, 输入以下信息, 后点击右下角的向右箭头到下一步.
NAME –将要创建的虚拟网络名称. 如YourVirtualNetwork.
AFFINITY GROUP- 从下拉菜单中选择create a new affinity group (创建新的地缘组). 地缘组是在数据中心中确定一块相近的网络/计算资源,供后续新建的云虚机或服务使用,相近的网络/计算资源提高了云端集成应用的服务质量。
REGION – 选择你将要创建的虚拟网络所在的数据中心。
AFFINITY GROUP NAME–命名地缘组. 如YourAffinityGroup. (East Asia 在香港,Southeast Asia 位于新加坡)
4. 在DNS Servers and VPN Connectivity页面,勾选Point-To-Site VPN,配置DNS server,点击向右箭头进入下一步.
NAME –为DNS server起一个标识名称
IP ADDRESS – 填写10.4.2.4,此地址默认分配给VN子网段10.4.2.0的第一台机器
5. 在Point-to-Site Connectivity页面,为其分配地址空间,再点击下一步
STARTING IP – 10.3.0.0
CDIR – 24,每个虚拟网络最多能连接255个Point-to-Site VPN
6. 在虚拟网络访问空间页面, 为其分配地址空间信息,点击右下角完成按钮进行网络创建。
修改根部虚拟网络地址,设置STARTING IP为10.4.0.0,设置CIDR为16
修改子网段Subnet-1,设置STARTING IP为10.4.2.0,设置CIDR为24
添加子网段Subnet-2,设置STARTING IP为10.4.3.0,设置CIDR为24
添加网关网段,设置STARTING IP为10.4.0.0,设置CIDR为29
7. 虚拟网络创建完成后,在管理主页上可以如下确认.
在虚拟网络中创建虚机
1. 登录Windows Azure管理主页, 点击左下角的 New.
2. 在导向页中,依次选择COMPUTE --> VIRTUAL MACHINE --> FROM GALLERY.
3. 在 VM OS Selection 页面, 选择 Windows Server 2008 R2 SP1, 然后点击向右箭头到下一步.
4. 在 Virtual machine configuration 页面, 输入以下信息, 然后点击向右箭头到下一步.
提示: 请记录此处设置的用户名、密码,后续登录虚机时需要使用。
VIRTUAL MACHINE NAME: 虚机名称,如 testVM1.
NEW USER NAME: 设置登录用户名,如testadmin.
NEW PASSWORD: 设定密码.
CONFIRM PASSWORD: 重复输入密码.
SIZE: 选择 Small.
5. 在 Virtual machine mode 页面,输入以下信息, 然后点击向右箭头到下一步
Standalone Virtual Machine: 保持默认选中状态.
Cloud Service: 选择“Create a new cloud service”
Cloud Service DNS NAME: 选择一个域名,如 yourcloudapplication.
REGION/AFFINITY GROUP/VIRTUAL NETWORK: 选择你之前创建的虚拟网络,如 YourVirtualNetwork.
VIRTUAL NETWORK SUBNETS: 即选择子网,如 Subset-1.
STORAGE ACCOUNT: 选择已有的storage,如果没有就选择 “use an automatically generated storage”. 选择之前创建过的storage account
其他保持默认。
6. 保持默认设置, 点击图标完成创建。虚机将在数分钟中创建完成。
7. 虚机机创建完成后, 可在管理主页上看到其 STATUS 为 Running.
在虚拟网络中创建第二台虚机
1. 重复上述操作,新建第二个虚机,操作系统依然是Windows Server 2008 R2 SP1,子网选择为“Subset-2”,虚机名为 testVM2
2. 完成后,进入虚拟机管理界面,如下:
使用Point-to-Site VPN连接本地计算机
1. 返回虚拟网络管理页面,点击进入新创建的虚拟网络,添加一个网关。(此处演示的虚拟网络HK-vn3即是将要操作的虚拟网络,开发者也可以选择上面步骤中刚刚创建的虚拟网络:YourVirtualNetwork)
虚拟网关是两台事先设定好的Azure 虚拟机,他们会占用当前Azure subscription的两个CPU core 。
2. 创建证书,用作VPN通道身份验证,步骤为:
a) 打开Visual Studio Command Prompt(请确保安装了Visual Studio2010或更高版本)
b) 输入如下命令。若证书创建成功,命令行返回Succeeded
makecert -sky exchange -r -n "CN=PRMgmtRootCert" -pe -a sha1 -len 2048 -ss My "C:\PRMgmtRootCert.cer"
makecert.exe -n "CN=PRMgmtClientCert1" -pe -sky exchange -m 96 -ss My -in "PRMgmtRootCert" -is my -a sha1
c) 回到虚拟网络管理界面,选中CERTIFICATES,点击Upload A Root Certificate,上传生成的证书“C:\PRMgmtRootCert.cer”
3. 待上传成功后,返回虚拟网络首页(DASHBOARD),下载VPN客户端,并安装到本地计算机。
4. 点击操作系统右下角的网络标识,在弹出面板中选择虚拟网络VPN连接,点击“CONNECT”。
弹出连接向导后,点击CONNECT,选择我们创建的证书“PRMgmtRootCert”或“PRMgmtClientCert1”,点击OK
5. 连接成功后,右下角网络标识栏显示VPN状态为Connected。
测试虚拟网络连接
1. 检测本机IP地址。在本地计算机打开一个Command 窗口,运行IPConfig。
我们规划的VPN IP空间为10.3.0.0/24,图中可见,本地VPN IP为10.3.0.1。
2. 创建防火墙规则,允许运行Ping命令。在本地计算机Command 窗口中运行如下脚本
netsh advfirewall firewall add rule name="ICMPv4" dir=in action=allow enable=yes protocol=icmpv4
3. 远程登录到虚拟网络中的两台云端虚拟机,同样运行上两步的脚本,验证IP地址,并设置防火墙规则。
根据之前网络规划,两台虚拟机的IP应该分别为10.4.2.4和10.4.3.4。
远程登录方法:用浏览器打开Azure管理站点,进入虚拟机管理界面,点击“CONNECT”
4. 现在,尝试在任何一台机器上ping另外两台机器的IP地址。
下图显示本地计算机成功Ping云端虚拟机
在虚拟网络内添加WEB服务
1. 选择云端虚拟机10.4.3.4作为我们的Web服务器。远程登录到虚拟机。
2. 启动web服务:在虚拟机桌面上打开一个powershell 窗口,运行如下脚本
import-module servermanager
add-windowsfeature web-server
netsh advfirewall firewall add rule name="HTTP" dir=in protocol=tcp remoteport=80 action=allow enable=yes
3. 尝试使用任何一台虚拟网络的机器或者本地已连接VPN的机器,访问刚刚搭建的Web服务(使用Web服务器IP地址:局域网地址)
至此,云端的虚拟网络已经搭建成功,部署在云端的虚拟机可以有序的规划在不同的虚拟子网,并且,通过Point to Site VPN,本地计算机和云端的虚拟机能够建立基于局域网IP的连接。
下一节将实践 在云端的虚拟网络中搭建域环境(Active Directory),进一步建立类似于本地办公网的云端虚拟工作室。