Windows Azure 虚拟网络配置(Point to Site)

说明：本文以Azure国际版为例，中国版在网络位置会存在一定差异。

1. 场景

虚拟网络为我们提供了在Windows Azure云计算环境上构建网络定义的能力，通过虚拟网络，我们可以方便地将Windows Azure中的虚拟机等资源按照不同的角色、用户进行网络规划。同时也可以和我们本地IT沟建“混和云”的环境，假设我们在Azure云上建立了一个客户会员积分的Web应用，但客户信息是保存在公司内网的私有服务器上，或是在其他的云服务平台中。因此需要通过虚拟网络来实现连接各服务，同时要能保证连接的安全性。

因此，强烈建议在使用Windows Azure中建立虚拟机应用之前建立和规划虚拟网络设置。

不过虚拟网络也有其局限性，以下是比较关键的几点需要注意：

• 同一个虚拟机无法同时加入多个虚拟网络
• 虚拟机加入虚拟网络后无法更改
• 不支持广播、多播
• 虚拟机只能指定子网，不能指定IP
• 虚拟网络间的通讯是通过互联网

2. Azure虚拟网络配置

1). 登录到Azure管理门户

国际版：https://manage.windowsazure.com

国内版：https://manage.windowsazure.cn

在管理门户导航中选择网络，在右侧选择“创建虚拟网络”。

第一步：填写名称及选择位置

　　填写适当的名称和选择合适的网络接入位置后点击后续按钮

第二步：配置DNS及VPN类型

填写DNS服务器地址，如果为空，则使用Azure默认的DNS服务器；

选择VPN类型：如需要连接到本地网络，则需选择“站点到站点的连接”，我们这里以“点到站点连接”为例。

　　

　　第三步：设置客户端IP地址空间

如图：为客户端设置了172.16.0.0的地址段和27的子段。

　　

　　第四步：设置Azure虚拟网络地址空间

这里我们添加了两个子网和网关子网，用于分配给Web服务器和其他服务器。

　　点击“完成”结束虚拟网络的创建。

　　

　　

　　第五步：创建网关

　　点击进入刚刚创建的虚拟网络，进入“仪表板”，并点击“创建网关”

　　

　　等待完成后，网关即创建完毕。

　　第六步：创建证书并完成连接

　　可以通过几下几个途径来获得证书：

• 企业内的证书服务器，如AD证书服务
• 使用Visual Studio 开发工具附带的SDK中的makecert命令来生成(如未安装Visual Studio可从附件中下载makecert.exe

　　这里将使用企业内的证书服务器(通常地址为http://<server>/certsrv)，将根证书下载到本地。

　　 

　　 点击“证书”，将根证书上载至Azure。

　　　　

　　在证书服务中申请一个新的用户证书，与根证书一同安装在连接VPN的本地计算上。

　　

　　在客户端证书安装完毕后回到Azure虚拟网络仪表板中，下载并安装虚拟网络客户端安装程序

　　

　　在本地计算机安装完成后进行连接，直至连接成功。

　　

　　此步骤如失败，出现“未找到合适的证书”，请检查用户证书和根证书是否安装成功。

　　使用ipconfig命令查看连接状态：

　　

　　查看虚拟网络“CorpNet”仪表板可以看到当前有一个客户端连接

　　

　　第七步：部署虚拟机到虚拟网络中

　　新建虚拟机，命名为"CorpNetWeb01"，选择使用Windows Server 2008 R2 SP1为虚拟机模板。

　　

选择“CorpNet”虚拟网络和子网，Azure将自动为该虚拟机分配我们指定网段中的IP地址。

　　

　　通过向导完成虚拟机创建后，我们使用远程桌面连接到新创建的虚拟机CorpNetWeb01，同样使用ipconfig命令来查看网络连接信息

　　

　　在本地计算机中连接CorpNet VPN后，使用ping命令测试网络连通性(为了测试效果，关闭了虚拟机CorpNetWeb01的防火墙，实际生产环境中不推荐这样做)。

　　

　　 通过虚拟网络，即可实现本地计算机与Azure中的虚拟机的互连互通。　

　　返回虚拟网络"CorpNet"的仪表板中，我们可以在资源中看到刚刚创建的虚拟机CorpNetWeb01，其IP地址为10.8.8.4

　　

　　至此，我们完成了Azure虚拟网络Point to Site方式的连接，下一篇我们将介绍Site to Site方式的连接。

附：makecert.exe工具下载