微軟為自家云軟件的網(wǎng)絡及基礎設施選項帶來改進。

今年春季，微軟公司為自家Windows Azure云服務發(fā)布多項更新，希望幫助用戶及企業(yè)簡化與微軟Azure數(shù)據(jù)中心的直連流程、也使得本地設備與服務能與Azure并行協(xié)作。

為了實現(xiàn)這一點，微軟調(diào)動了各種類型VPN的力量。為了進一步理解Azure中的新特性，我將帶大家整理VPN的全部種類，并通過重點剖析理解其運作機制。順帶一提，Azure目前已經(jīng)不再使用版本號——由于更新極為頻繁，微軟中止了以數(shù)字標注版本的做法。

新特性：點到站點連接

在過去幾個版本中，Windows Azure一直只能創(chuàng)建站點到站點虛擬專用網(wǎng)絡，也就是VPN。這意味著用戶的企業(yè)網(wǎng)絡需要先通過專用VPN設備與Azure數(shù)據(jù)中心內(nèi)的專用路由器或其它網(wǎng)絡設備建立起連接。通常情況下，大型企業(yè)用戶往往熟悉這種運作機制，但中小型企業(yè)則不然，這就限制了VPN功能的整體有效性。

不過今年四月，微軟推出了點到站點VPN連接，這意味著個人電腦也可以創(chuàng)建直接與Windows Azure數(shù)據(jù)中心對接的VPN通道。創(chuàng)建工作完成后，這臺計算機將可以訪問虛擬機、數(shù)據(jù)庫、網(wǎng)站以及其它與個人計算機處于同一本地網(wǎng)絡環(huán)境的資源。

這項新舉措對哪類用戶的吸引力最大?就目前來看，習慣于在本地創(chuàng)建解決方案、再將其部署到Windows Azure的開發(fā)人員將獲得最顯著的實惠。新機制讓開發(fā)者擁有一套“單一網(wǎng)絡”，而不必再為尋址難題、DNS及其它一些始終阻撓著將應用程序或其它資源在不同網(wǎng)絡環(huán)境中進行托管遷移的麻煩狀況。

令終端用戶與開發(fā)者——可能也包括IT人士——感到高興的是，新機制不再需要IT部門為其提供支持。大家可以從Azure管理門戶中輕松下載一個撥號連接設定檔(沒錯，預設定VPN‘撥號器’的術(shù)語表達就是這個)包，并雙擊文件來創(chuàng)建連接——默認情況下整個流程非常安全。

設備中的VPN客戶端能與Windows 7及Windows 8順利協(xié)作，而且整個VPN連接創(chuàng)建過程也不必涉及其它配置工作或者硬件設備。

在開始之前，大家首先要做一些準備工作，其中包括創(chuàng)建新的虛擬網(wǎng)絡及動態(tài)路由網(wǎng)關(guān)。請朋友們執(zhí)行下列步驟：

1. 登錄Windows Azure管理門戶。

2. 在“網(wǎng)絡”下拉菜單中點擊左下方的“新建”按鈕，再點選“虛擬網(wǎng)絡”。

3. 點擊“自定義創(chuàng)建”。

4. 這時系統(tǒng)會顯示“虛擬網(wǎng)絡詳細信息”界面。為自己的網(wǎng)絡輸入一個合適的名稱、虛擬網(wǎng)絡運行位置所屬的Azure數(shù)據(jù)中心(請選擇離本地位置最近的數(shù)據(jù)中心，這樣性能表現(xiàn)會更好)，如果必要、可以選擇一個合作組。點擊屏幕右側(cè)的箭頭進入下一步。

5. 這時出現(xiàn)的是DNS服務器及VPN連接頁面，勾選“配置點到站點VPN”復選框，然后指定我們用于連接外部環(huán)境的DNS服務器。這些服務器必須已經(jīng)在大家的賬戶上注冊完畢。如果還沒有注冊過服務器，大家可以選擇“注冊新服務器”選項，這樣就能將其作為我們個人Azure賬戶中的資源并加以使用。

6. 現(xiàn)在出現(xiàn)的是點到站點連接頁面，大家需要輸入用于連接客戶端與Azure的VPN連接的專用地址。該地址必須采用符合RFC 1918的標準化非路由字段，包括10.0.0.0/8、172.16.0.0/12或者192.168.0.0/16。我們還要保證這些地址從未在Azure租戶賬戶當中被使用。大家還可以為新的虛擬網(wǎng)絡創(chuàng)建子網(wǎng)(但這不是必需步驟)，并為其創(chuàng)建網(wǎng)關(guān)。所有數(shù)據(jù)輸入完成之后，點擊屏幕右側(cè)的檢查標記。

7. 管理門戶會滾動一陣，并開始創(chuàng)建新的虛擬網(wǎng)絡。下一步要做的是創(chuàng)建動態(tài)路由網(wǎng)關(guān)，因此點擊剛剛完成的虛擬網(wǎng)絡，然后選擇儀表板頁面。

8. 在頁面下方，點擊“創(chuàng)建網(wǎng)關(guān)”鏈接并在接下來的提示中點擊“是”以確認操作。 #p#

所需證書

接下來就是處理證書。點到站點VPN連接的主要優(yōu)勢在于它無需特定設備作為支撐，也不必勞煩IT部門重新配置防火墻或者針對連接做出其它變更。而這一切得以實現(xiàn)完全歸功于安全套接字隧道協(xié)議(簡稱SSTP)，屬于VPN設計風格的一種。這些SSTP VPN與安全HTTP一樣使用端口443，且保證向任何連通網(wǎng)絡開放。但為了確保安全性，SSTP協(xié)議要求必須使用證書，也就是說用戶需要在Azure數(shù)據(jù)中心端以及每臺個人計算機端具備證書，這樣才能讓點到站點連接保持暢通。

如果大家打算在基于Active Directory的環(huán)境下親手創(chuàng)建點到站點連接，那么基礎設施在建立過程中可能已經(jīng)具備一套公開密鑰。大家只需創(chuàng)建一份X.509證書并將其簽署至一臺服務器中，即可完成基礎設施的證書驗證工作。

怎樣創(chuàng)建證書呢?首先打開微軟管理控制臺，在終端命令提示符中運行MMC.EXE(需要擁有管理員權(quán)限)，然后在文件菜單中選擇“添加/刪除管理單元”。接著選擇“證書”、點選“計算機賬戶”然后點擊“繼續(xù)”，這樣屏幕左側(cè)就會顯示“證書”項目。點擊展開全部內(nèi)容，選擇“受信根證書驗證及證書”項。

在列表中找到自己的證書(一般會在名稱中包含我們的NetBIOS域名)，右鍵點擊然后選擇“導出”。在導航中全部采用默認選項，然后為導出的.CER文件選擇保存位置，最后完成導航過程。

這就是我們將要上傳到Windows Azure當中的證書，我們的客戶端也將通過它進行驗證。

現(xiàn)在要做的是創(chuàng)建客戶端證書。右鍵點擊MMC實例中的“個人”項目，在“所有任務”菜單中選擇“申請新證書”。接下來的幾步全部按默認略過，但一定要確保選擇的是計算機類證書。導航機制結(jié)束后，大家會看到新證書已經(jīng)被安裝在MMC內(nèi)“個人”項目下的“證書”子項中。這就是我們之前導出過的客戶端證書，Azure會將上傳至Azure中的公共證書與這份保存在本地的客戶端證書加以對照，二者的認證機制完全相同，且能夠與我們將使用的SSTP VPN連接相匹配。

好了，以上工作就緒之后，大家可以將受信根證書上傳到Windows Azure管理門戶當中了。

1. 在儀表板頁面的右側(cè)選擇“上傳證書”選項(具體字樣取決于前續(xù)操作，這部分內(nèi)容也可能變?yōu)?lsquo;上傳客戶端證書’或者‘上傳根證書’)。

2. 通過瀏覽找到導出的.CER文件并進行上傳。

在一系列重要準備工作完成之后，現(xiàn)在我們終于可以下載預配置撥號連接設定檔軟件包(注意，每臺客戶端計算機都需要進行前面提到的證書操作)，并與點到站點連接相連通了。在Windows Azure新版本中，大家下載到的軟件支持Windows 7、Windows 8、Windows Server 2008 R2以及Windows Server 2012。另外，下載到的撥號連接設定檔也分為32位與64位兩個版本。

連接軟件包是一個.EXE文件，大家可以雙擊加以運行，它會自動將設定文件部署至Windows內(nèi)置的VPN客戶端當中。

要進行連接，只需找到VPN連接項并進行雙擊。第一次雙擊后，軟件會彈出提示、詢問我們是否允許創(chuàng)建另一份證書，請大家選擇“是”。最后，系統(tǒng)會提示用戶為連接選擇證書——選擇剛剛創(chuàng)建的證書并點擊“好”。

現(xiàn)在我們的專用VPN連接就完成了，且能夠以類本地訪問方式使用由Azure所托管且與自己虛擬網(wǎng)絡相連的任何資源。 #p#

站點到站點VPN更簡單

Azure最新版本的另一大改進在于大大簡化Windows Server 2012的安裝流程，且能夠?qū)⑵渥鳛閷Ｓ迷O備創(chuàng)建指向Azure的站點到站點VPN連接。我們?yōu)槭裁匆褂谜军c到站點VPN?當兩臺設備由這類通道相連時，連接本身就會具備透明特性——對于用戶設備、數(shù)據(jù)中心、服務器以及虛擬機皆是如此。

換句話來說，這類方案的好處是，Windows Azure數(shù)據(jù)中心內(nèi)的所有資源都會像本地網(wǎng)絡的一部分那樣可以被隨時查看。所有關(guān)于連接、證書、通道及其它麻煩的處理工作都由設備本身完成。

正如我之前所提到，原先大家必須通過專用硬件設備來實現(xiàn)站點到站點連接。而且要獲得完整的功能體驗，我們還不得不從有限的幾種VPN終端設備中做出選擇、或者花上幾個小時研究路由器系統(tǒng)代碼以創(chuàng)建一套能夠被Azure端點所接納的連接配置文件。

但現(xiàn)在情況不同了，大家可以設置一套Windows Server 2012實例用以運行“路由與遠程訪問(簡稱RRAS)”角色，而且這一切在幾分鐘內(nèi)就能搞定。

與點到站點VPN相似，我們同樣需要進行一系列準備工作——主要內(nèi)容是通知Azure我們的本地地址空間。首先在Windows Azure管理門戶中創(chuàng)建新的本地網(wǎng)絡，然后為VPN端點指定IP地址空間及公共IP。換言之，也就是Windows Azure通過VPN與本地網(wǎng)絡對接的地址。

下面需要創(chuàng)建另一套虛擬網(wǎng)絡，但這時請注意選擇創(chuàng)建站點到站點VPN、而非之前的點到站點VPN。大家一定已經(jīng)發(fā)現(xiàn)，這一次流程變得更為簡單：我們只需要讓Azure創(chuàng)建網(wǎng)關(guān)子網(wǎng)即可。接下來，與點到站點VPN一樣，在新虛擬網(wǎng)絡的儀表板中創(chuàng)建動態(tài)路由網(wǎng)關(guān)，然后等待幾分鐘——Azure會建立網(wǎng)關(guān)并創(chuàng)建連接腳本。

連接腳本的作用是定義站點到站點VPN將要使用的端口、協(xié)議以及通道。大家可以為Windows Server 2012 RRAS指定自己想要使用的腳本，然后再行下載。不過在下載完成后，我們還需要對內(nèi)容做出小小調(diào)整，具體步驟如下：

· 將腳本中的所有實例替代為自己網(wǎng)關(guān)的IP地址。在管理門戶的網(wǎng)絡儀表板頁面中，大家會看到這部分內(nèi)容被以大字體標出。實例位地第75、78、79以及85行。

· 將第75行的實例替代為我們在為站點到站點VPN創(chuàng)建新虛擬網(wǎng)絡時所指定的CIDR(即無類型域間選路)。

· 同樣是第75行，填入自己網(wǎng)絡的實際指標。

· 填入管理門戶所生成的密鑰。

將內(nèi)容保存為擴展名為.ps1的文件，這樣我們就得到了一個可執(zhí)行的PowerShell腳本。靜待一段時間，讓腳本完成“路由與遠程訪問”角色的安裝(如果目標設備中尚未安裝)并設置VPN連接。這部分工作完成后，返回Windows Azure管理門戶并點擊大大的“連接”按鈕。幾秒鐘之后，連接正式啟動、我們的鏈接也就宣告竣工。我們所有的設備都能夠在Azure數(shù)據(jù)中心的虛擬網(wǎng)絡中或者本地網(wǎng)絡中正常運行，且彼此之間通信無阻。

結(jié)語

站點到站點與點到站點兩種VPN類型都需要我們進行一系列設置工作，而一旦配置正確并按預期運作之后，它們將徹底打破大家與Azure技術(shù)攜手合作的一切障礙。這些VPN絕對值得一試，希望大家能在探索中發(fā)現(xiàn)它們給日常工作帶來的種種便利。

原文鏈接：

http://www.computerworld.com/s/article/9240372/How_to_use_Azure_s_new_connectivity_features

原文標題：How to use Azure's new connectivity features