ZA303学习笔记二网络

Azure虚拟网络VNet

Azure 虚拟网络(VNet)是Azure中专用网络的基本构建块。VNet允许许多类型的Azure资源（例如Azure虚拟机(M)以安全方式彼此通信、与Internet通信，以及与本地网络通信。VNet类似于在你在自己的数据中心运营的传统网络，但附带了Azure基础设施的其他优势，例如可伸缩性、可用性和隔离性。

• 地址空间:创建 VNet时，必须使用公共和专用(RFC 1918)地址指定自定义的专用IP地址空间。Azure 从分配的地址空间中向虚拟网络中的资源分配一个专用IP地址。例如，如果在地址空间为10.0.0.0/16的Vet 中部署某个VM，将为该VM分配类似于10.0.0.4的专用IP。
• 子网:使用子网可将虚拟网络划分为一个或多个子网络，并向每个子网分配一部分虚拟网络地址空间。然后，可以在特定的子网中部署Azure资源。就像在传统网络中一样，使用子网可将VNet地址空间划分为适合组织内部网络的网段。这还会提高地址分配效率。可以使用网络安全组保护子网中的资源。有关详细信息，请参阅安全组。
• 区域: VNet局限于一个区域/位置;但是，可以使用虚拟网络对等互连将不同区域的多个虚拟网络连接起来。
• 订阅: VNet的范围限定为订阅。可在每个Azure订阅和Azure区域中实现多个虚拟网络。

VNet对等互连

走微软内部网络，安全，快速，高效

• 可以使用虚拟网络对等互连将虚拟网络互相连接。这些虚拟网络可以位于相同区域或不同区域中（也称为全局 VNet 对等互连)。将虚拟网络对等互连后，两个虚拟网络中的资源将能够以相同的延迟和带宽相互通信，就像这些资源位于同一个虚拟网络中一样。
• 两个VNet地址池不能在同一网段

VNet Peering对等互连:
提供低延时，高带宽的链接，适合一些跨区域的数据复制和数据库灾备的场景。所有的数据传输都是在微软骨干网上的内部传输，不走公网，所以适合要求所有数据都在内网传输的场景要求。而且正因为不需要VPN网关，所以没有额外的跳跃节点，所以延时非常的低。

VPN Gateways网关连接:

提供有限带宽的链接，适合需要对传输加密并且对带宽要求不高的场景,
和对延时要求不高的场景。

Azure ExpressRoute Direct专线

ExpressRoute连接通过第三方连接提供商使用专用连接。专用连接将您的本地网络扩展到Azure。
单独牵的专有网络
ExpressRoute 使用边界网关协议 (BGP) 路由协议。 BGP 用于在本地网络和 Azure 中运行的资源之间交换路由。 此协议支持在本地网络和 Microsoft 云中运行的服务之间进行动态路由。

使用 Azure 门户创建和管理 VPN 网关

https://docs.azure.cn/zh-cn/vpn-gateway/tutorial-create-gateway-portal

概述

• 站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE（IKEv1 或 IKEv2）VPN 隧道建立的连接。 站点到站点连接可以用于跨界和混合配置。 站点到站点连接要求位于本地的 VPN 设备分配有一个公共 IP 地址,
• 通过点到站点 (P2S) VPN 网关连接，可以创建从单个客户端计算机到虚拟网络的安全连接。 通过从客户端计算机启动来建立点到站点连接。 对于要从远程位置（例如从家里或会议室）连接到 Azure 虚拟网络的远程工作者，此解决方案很有用。 如果只有一些客户端需要连接到虚拟网络，则可使用站点到站点 VPN 这种解决方案来代替站点到站点 VPN。
• 将虚拟网络连接到虚拟网络（VNet 到 VNet）类似于将虚拟网络连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样，便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。

配置流程

创建虚拟网络和子网

搜索虚拟网络，进行创建

创建 虚拟网络网关，分配或新建公共IP地址
在此步骤中，将为 VNet 创建虚拟网络网关。创建网关通常需要 45 分钟或更长时间，具体取决于所选的网关 SKU。

站点到站点 VPN 连接 site-to-site

https://docs.azure.cn/zh-cn/vpn-gateway/tutorial-site-to-site-portal

流程

• 创建虚拟网络和子网
• 创建虚拟网络网关，绑定之前创建的虚拟网络和子网
• 创建本地网络网关
• 在虚拟网络网关 创建连接 连接到本地网络网关
• 配置 VPN 设备 可在连接处下载设备配置脚本
• 验证 VPN 连接

配置

创建本地网络网关

1. 终结点：为本地 VPN 设备选择“IP 地址”或“FQDN (完全限定的域名)”作为终结点类型。
2. IP 地址：如果你的 Internet 服务提供商 (ISP) 向你分配了可用于 VPN 设备的静态公共 IP 地址，那么请选择“IP 地址”选项。 填写示例所示的 IP 地址。 此地址是 Azure VPN 网关要连接的 VPN 设备的公共 IP 地址。 如果目前没有 IP 地址，可以使用示例中显示的值。 稍后必须返回来，将占位符 IP 地址替换为 VPN 设备的公共 IP 地址。 否则，Azure 无法进行连接。
3. FQDN：如果你有动态公共 IP 地址，且该地址可能会在某段时间（通常由你的 ISP 决定）后发生变化，那么你可对动态 DNS 服务使用常量 DNS 名称来指向你的 VPN 设备的当前公共 IP 地址。 你的 Azure VPN 网关会解析 FQDN 来确定要连接到的公共 IP 地址。
4. 地址空间：地址空间指的是此本地网络所代表的网络的地址范围。 可以添加多个地址空间范围。 请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。 Azure 会将你指定的地址范围路由到本地 VPN 设备 IP 地址。 如果需要连接到本地站点，请在此处使用自己的值，而不是示例中显示的值。

在虚拟网络网关创建连接

虚拟网络网关：从下拉列表中选择虚拟网络网关。
本地网络网关：从下拉列表中选择本地网络网关。
共享密钥：此处的值必须与用于本地 VPN 设备的值匹配。
IKE 协议：选择“IKEv2”。
使用 Azure 专用 IP 地址：不选。
启用 BGP：不选。
FastPath：不选。
IPsec/IKE 策略：选择“默认”。
使用基于策略的流量选择器：选择“禁用”。
DPD 超时(秒)：选择“45”。
连接模式：选择“默认”。 此设置用于指定哪个网关可以启动连接。

配置 VPN 设备
https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-download-vpndevicescript

验证 VPN 连接

点到站点 P2S VPN 网关连接配置服务器设置 - 证书身份验证

https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal

流程

• 创建虚拟网络和子网
• 创建虚拟网络网关，绑定之前创建的虚拟网络和子网
• 生成根证书
• 生成客户端证书
• 添加地址池
• 指定隧道和身份验证类型
• 上传根证书的公钥信息
• 安装已导出的客户端证书
• 配置 VPN 客户端并连接到 Azure
• 验证连接

配置

前面步骤已创建虚拟网络网关，从生成根证书开始
获取根证书的 .cer 文件。 你可以使用通过企业解决方案生成的根证书（推荐），或者生成自签名证书。 创建根证书后，将公共证书数据（不是私钥）作为 Base64 编码的 X.509 .cer 文件导出。 稍后，请将此文件上传到 Azure。

生成根证书

• 企业证书： 如果使用的是企业级解决方案，可以使用现有的证书链。 获取要使用的根证书的 .cer 文件
• 自签名根证书： 如果使用的不是企业证书解决方案，请创建自签名根证书。 否则，创建的证书将不兼容 P2S 连接，客户端会在尝试进行连接时收到连接错误。
• 官方文档： https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-certificates-point-to-site

示例：

$params = @{
    Type = 'Custom'
    Subject = 'CN=P2SRootCert'
    KeySpec = 'Signature'
    KeyExportPolicy = 'Exportable'
    KeyUsage = 'CertSign'
    KeyUsageProperty = 'Sign'
    KeyLength = 2048
    HashAlgorithm = 'sha256'
    NotAfter = (Get-Date).AddMonths(24)
    CertStoreLocation = 'Cert:\CurrentUser\My'
}
$cert = New-SelfSignedCertificate @params

生成客户端证书

• 企业证书：如果使用的是企业证书解决方案，请使用通用名称值格式 name@yourdomain.com 生成客户端证书， 而不要使用“域名\用户名”格式。请确保客户端证书基于“用户”证书模板，该模板将“客户端身份验证”列为用户列表中的第一项。 检查证书的方式是：双击证书，然后在“详细信息”选项卡中查看“增强型密钥用法” 。
• 自签名根证书： 按照下述某篇 P2S 证书文章中的步骤操作，使创建的客户端证书兼容 P2S 连接。
• 从自签名根证书生成客户端证书时，该证书会自动安装在用于生成该证书的计算机上。 如果想要在另一台客户端计算机上安装客户端证书，请以 .pfx 文件格式导出该证书以及整个证书链。 这样做会创建一个 .pfx 文件，其中包含的根证书信息是客户端进行身份验证所必需的。
• 官网文档： https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-certificates-point-to-site#clientcert

示例：

$params = @{
       Type = 'Custom'
       Subject = 'CN=P2SChildCert'
       DnsName = 'P2SChildCert'
       KeySpec = 'Signature'
       KeyExportPolicy = 'Exportable'
       KeyLength = 2048
       HashAlgorithm = 'sha256'
       NotAfter = (Get-Date).AddMonths(18)
       CertStoreLocation = 'Cert:\CurrentUser\My'
       Signer = $cert
       TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.2')
   }
   New-SelfSignedCertificate @params

添加地址池
在“点到站点”配置页的“地址池”框中，添加要使用的专用 IP 地址范围。 VPN 客户端动态接收指定范围内的 IP 地址。 主动/被动配置的最小子网掩码为 29 位，主动/主动配置的最小子网掩码为 28 位。

客户端地址池是指定的专用 IP 地址的范围。 通过点到站点 VPN 进行连接的客户端动态接收此范围内的 IP 地址。 使用专用 IP 地址范围时，该范围不得与要通过其进行连接的本地位置重叠，也不得与要连接到其中的 VNet 重叠。 如果配置了多个协议，并且 SSTP 是其中一个协议，则配置的地址池将在配置的协议之间平均分配。

在“点到站点”配置页的“地址池”框中，添加要使用的专用 IP 地址范围。 VPN 客户端动态接收指定范围内的 IP 地址。 主动/被动配置的最小子网掩码为 29 位，主动/主动配置的最小子网掩码为 28 位。

指定隧道和身份验证类型


上传根证书的公钥信息

• 确保在前面的步骤中，已将根证书导出为 Base-64 编码的 X.509 (.CER) 文件。 需要以这种格式导出证书，以便使用文本编辑器打开该证书。 不需要导出私钥。
• 使用记事本之类的文本编辑器打开该证书。 复制证书数据时，请确保将文本复制为一个无回车符或换行符的连续行。 可能需要在文本编辑器中将视图修改为“显示符号/显示所有字符”以查看回车符和换行符。 仅将以下部分复制为一个连续行：
  

将证书数据粘贴到“公共证书数据”字段中。
将证书命名。

安装客户端证书
官方文档：https://docs.azure.cn/zh-cn/vpn-gateway/point-to-site-how-to-vpn-client-install-azure-cert
也可参考 http://t.csdnimg.cn/nXqTb

1. 导出客户端证书后，找到并复制 .pfx 文件，将其复制到客户端计算机。
2. 在客户端计算机上，双击 .pfx 文件以进行安装。 将“存储位置”保留为“当前用户”，并选择“下一步” 。
3. 在“要导入的文件”页上，不要进行任何更改。 选择“下一步”。
4. 在“私钥保护”页上，输入证书的密码，或验证安全主体是否正确，并选择“下一步” 。
5. 在“证书存储”页上，保留默认位置，并选择“下一步” 。
6. 选择“完成”。 在证书安装的“安全警告”上，选择“是” 。 你可以放心地对此安全警告选择“是”，因为你生成了证书。
7. 现已成功导入证书。

验证连接

• 如果要验证用户的 VPN 连接是否处于活动状态，请打开提升的命令提示符，并运行 ipconfig/all。
• 查看结果。 请注意，收到的 IP 地址是在配置中指定的点到站点 VPN 客户端地址池中的地址之一。 结果与以下示例类似：

PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

判断虚拟网络网关是否还在使用

a. 查看到vpn网关配置S2S以及P2S连接

• S2S连接查看处于未连接状态
• P2S连接当前分配的IP地址为空，这只能说明当前未使用P2S连接，需要您根据业务确认是否P2S可以删除，关于这点可以查看指标—P2S connection count确认网关上点到站点连接的计数
• 可以在VPN网关的概述查看隧道总流入量和隧道总流出量（注意时间的选择）来作为VPN网关使用的参考

虚拟网络流量路由

• 官网

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview

了解 Azure 如何在 Azure、本地和 Internet 资源之间路由流量
Azure 会自动为 Azure 虚拟网络中的每个子网创建一个路由表，并将系统默认路由添加到该表中。
可以使用自定义路由替代 Azure 的某些系统路由，并向路由表添加其他自定义路由。Azure 根据子网路由表中的路由从子网路由出站流量。

系统路由

Azure 会自动创建系统路由，并将路由分配给虚拟网络中的每个子网。您无法创建系统路由，也不能删除系统路由，但可以使用自定义路由覆盖某些系统路由。Azure 会为每个子网创建默认系统路由，并在使用特定 Azure 功能时将其他可选默认路由添加到特定子网或每个子网。

Default

每个路由都包含地址前缀和下一跃点类型。当离开子网的流量发送到路由的地址前缀内的 IP 地址时，包含该前缀的路由是 Azure 使用的路由。每当创建虚拟网络时，Azure 都会为虚拟网络中的每个子网自动创建以下默认系统路由：

IP 转发

使虚拟机能够连接网络接口：

• 接收不是指定给网络接口的任何IP配置的IP地址的网络流量。
• 使用与分配给网络接口的某个IP配置不同的源IP地址发送网络流量。
• 必须为连接到接收虚拟机需要转发的流量的虚拟机的每个网络接口启用该设置。
• 无论虚拟机连接了多个网络接口还是单个网络接口，它都可以转发流量。

Azure 虚拟广域网Virtual WAN

https://learn.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about

• Azure 虚拟 WAN 是一种网络服务，它将许多网络、安全和路由功能结合在一起，以提供单个操作界面。一些主要功能包括：
  1： 分支连接（通过来自虚拟 WAN 合作伙伴设备（如 SD-WAN 或 VPN CPE）的连接自动化）。
  2：站点到站点 VPN 连接。
  3：远程用户 VPN 连接（点到站点）。
  4：专用连接（快速路由）。
  5：云内连接（虚拟网络的可传递连接）。
  6：VPN ExpressRoute Inter-connectivity.
  7：专用连接的路由、Azure 防火墙和加密。

专用终结点DNS配置Private Endpoint DNS

• 此配置适用于没有自定义DNS服务器的虚拟网络工作负载。在此方案中，客户端向Azure提供的DNS服务168.63.129.16查询专用端点IP地址。Azure DNS将负责专用DNS区域的DNS解析。
• 您需要以下资源：
  1：客户端虚拟网络
  2：具有类型 A 记录的专用 DNS 区域 privatelink.database.windows.net
  3：专用终结点信息（FQDN 记录名称和专用 IP 地址）

以下屏幕截图说明了使用专用 DNS 区域的虚拟网络工作负荷的 DNS 解析序列：