Hans LaubischExpert Student PartnerMicrosoft Student Partners DE

hans.laubisch@studentpartners.de

Windows Azure

Windows Azure VPN (mit Windows Server)

Windows Azure How To GuideNovember 2012

• Grundlagen Windows Azure Netzwerke• Cloud Services, Vnets, Gateways,

• IPsec-Konfiguration von in Windows Azure• Konfiguration auf On-Premises-Seite (Windows Server)• Routing zwischen Windows Azure Netzen und Lokal• Versch. Anwendungsfälle

• Domäne• File-Server• Webserver

Agenda

• Cloud Services stellen einen logischen Container zur Ausführung von VMs dar

• Befindet sich nur eine VM in diesem, wird er im Azure Portal nicht extra ausgewiesen

• Cloud Services besitzen jeweils ein eigenes virtuelles Netzwerk

• Sind von außen via öffentlicher IP erreichbar (VIP)

• Ports sind zur Laufzeit konfigurierbar• Cloud Services können via VPN mit lokalen

Netzen verbunden werden (IPsec)

Virtual Machines können gemeinsam in einem gemeinsamen Cloud Service gehostet werdenCloud Services

Windows Azure Networks

Subnetz Cz.B.

10.10.5.0/24

Subnetz Bz.B.

10.10.4.0/24

Subnetz Az.B.

10.10.3.0/24Gateway Subnetzz.B. 10.10.1.0/24

Web-Server

File-Server

SQL-Server

Windows Server Öffentliche IP

IPsec-Konfigurationsparameter

Phase IEncryption algorithm: AES128Integrity algorithm: SHA1Diffie-Hellman group: Group 2 (1024 bit)Authenticate and generate a new key: 28800 seconds

Phase IIEncryption algorithm: AES128Integrity algorithm: SHA1Session key / Generate a new key every: Both enabledKbytes: 102400000Seconds: 3600Use Perfect Forward Secrecy (PFS): Not selectedDiffie-Hellman group: N/A

• Zum korrekten Tunnelaufbau wird KB2523881 benötigt (Windows Server 2008/R2)• http://support.microsoft.com/default.aspx?scid=kb;EN-US;2523881

• Sowohl der Gateway Rechner in Azure, als auch der Rechner welcher lokal als IPsec-Endpunkt dient, haben keine Konnektivität zu den Rechnern auf der anderen Seite des Tunnels

• IPsec-Tunnel sind nicht kompatibel mit NAT• Auch Portweiterleitungen funktionieren nicht• öffentliche IP direkt an NIC des Windows Servers wird benötigt

• IPsec-Tunnel wird Azure-seitig initiiert

Besonderheiten bei der Konfiguration

Dieser Host sieht keine

Rechner im WA VNET !

Beispielaufbau

Lokales Netz 192.168.150.0/24192.168.150.30

WA

VNET

192

.168

.0.0

/19

98.78.65.43

192.168.150.10

FS1

192.168.4.5

192.168.1.5

FS2

192.168.4.4

192.168.1.4

DB2

192.168.5.5

DB1

192.168.5.4

Gateway Subnetz 192.168.1.0/24

File-Server Subnetz 192.168.4.0/24

DB-Server Subnetz 192.168.5.0/24

Gate-way

192.168.1.11

169.23.42.23

IPsec-Tunnelaushandlung auf Paketebene

Affinitätgruppe 1

Vnet Service 1

Vnet Service 2

Vnet Service 3

Affinitätgruppe 1

Vnets, Affinitätsgruppen, VerfügbarkeitsgruppenWindows Azure Networks im Überblick

Vnet Service 1

Vnet Service 2

Vnet Service 3

• Innerhalb einer Affinitätsgruppe kann zwischen verschiedenen Vnets geroutet werden

• Verfügbarkeitsgruppen ermöglichen komplette Redundanz für Vnets / Services / VMs mit wenigen Klicks

• Windows Azure Networks biete standkompatible IPsec-Tunnel zwischen VNets aus Cloud Services und On-Premises-Netzen

• Beispielkonfigurationsskripte für• Cisco ASA / ISR / ASR• Juniper SSG / ISG

• Andere IPsec-Endpunktsysteme denkbar • Windows Server• Linux (Router)

• Leistungsfähiges Webportal zur Konfiguration von komplexen Netzwerkumgebungen in Windows Azure

Zusammenfassung

Web RessourcenUnter folgenden Einstiegspunkten finden sich alle Ressourcen, die für einen Start in Windows Azure wichtig sind• Windows Azure Homepage

http://www.azure.com • Kostenloser Demo-Account

http://www.windowsazure.com/en-us/pricing/free-trial/?WT.mc_id=A2DCCE88E• Windows Azure Development Center

http://www.windowsazure.com/en-us/develop/overview/ • Windows Azure SDKs

http://www.windowsazure.com/en-us/develop/downloads/ • Windows Azure Training Kit

http://www.windowsazure.com/en-us/develop/net/other-resources/training-kit/ • Kundenreferenzen

http://www.microsoft.com/de-de/business/kundenreferenzen/default.aspx?product=53 • Video-Serie zu Windows Azure (10-Minuten-Videos):

http://www.youtube.com/watch?v=kLfaa_19yB4&list=PLC71216BDE26EBE8C

I

www.azure.com