之前po過Windows Azure Virtual Network的基本設定,但那篇,只有講到如何讓Azure上的VM用我們想要的網段與位置,而今天,我們要再進階一點,來設定Local端的一臺電腦和Azure上的VM進行連線。
還記得以前沸沸揚揚的吵著私有雲好還是公有雲好,其實相信未來的走向,一定是混和雲架構,而要讓Windows Azure能混和本地與雲,那Virtual Network就是一個很重要的功能了,小弟我在前篇的時候,有講過如何讓Azrue的VM用我們只定的私有網段;但要達到混和雲,就必須讓我們Local的電腦能連上去,變成Azure私有網段的一員,也因此,Azure的VPN就顯得額外重用。
其實以目前的Azure Virtual Network有兩種VPN的模式來連線,一種是今天要提的Point-to-Site一種是Site-to-Site,Point-to-Site顧名思義,就是點對站,代表的是一台電腦連進這個私有的網段裡面,也是比較簡單的作法;但有的時候,可能會需要把整個公司的網段連進去Azure的這個私有網段裡面,那時,如果要一台一台去設定,應該會瘋掉吧,所以就有Site-to-Site的做法。
早期,Azure Virtual Network只有Site-to-Site,而且只能搭配貴森森的機器,但隨著Windows Server 2012的問世,現在Windows Server 2012也可以用軟體的方式來取代貴森森的機器,不過Site-to-Site的作法環境比較複雜,等小弟有時間買機器後,我們再來測試看看吧!!所以今天先來Point-to-Site,將Local的Windows Server 2012 R2連線到Windows Azure上的網段去吧!!
這邊,我們假設從新開始,當然,如果已經有一個Virtual Network,也可以直接進去設定。
這邊的步驟和前篇其實差不多,輸入一下名稱,而且必須要有同質群組,不明白的朋友們,就麻煩讀一下前篇了。
這裡比較重要的是,要勾選設定點對站VPN。
其餘的設定,就和前篇差不多了,選擇自己要的網段之類的。
因為我們有要使用VPN,所以要加入閘道子網路。
完成之後,我們要進去剛剛設定好的網路,去做閘道的開啟。
如下圖,選擇建立閘道,就可以了 ( 這裡設定時間會很久喔…. )
完成了Azure上基本的設定後,我們要回到Locl端來設定憑證,畢竟Azure上的網段,不能隨隨便便就給人連上阿!!所以我們從這邊開始,要一連串的設定憑證~
首先我們要用administrator的權限開啟Visual Studio的開發人員命令提示字元,通常如果有裝Visual Studio就可以從開始裡面找的到;會用到這個cmd的原因是因為,我們要下makecert這個指令,而vs的開發人員命令提示字元就已經includ了,不用我們自己去到makecert的目錄下指令。
接下來,我們要下如下的指令,而<RootCertificateName>這個可以替換成你想要的名稱。
makecert -sky exchange -r -n "CN=<RootCertificateName>" –pe -a sha1 -len 2048 -ss My
當輸入完畢後,就會在加入這個憑證進去這台電腦,到目前為止,這是設定Root憑證,到時候我們會把Root憑證傳到Azure,讓Azure知道,這是合法的。
成功建立後,我們可以從執行這邊輸入certmgr.msc來打開憑證管理。
我們可以從下圖處看到剛剛的Root憑證已經建立完成。
接下來,我們要利用Root憑證建立Client憑證,Client憑證會放在Client端,輸入以下指令建立Client端憑證;要注意的是<RootCertificateName>要填入剛剛上面Root憑證輸入的名稱喔,而<CertificateName>也是可以自由取名。
makecert.exe -n "CN=<CertificateName>" -pe -sky exchange -m 96 -ss My -in "<RootCertificateName>" -is my -a sha1
如下圖所示。
接下來,我們要透過憑證管理工具,把Root憑證輸出出來,並且上傳到Azure。( 是Root憑證喔,Client憑證不需要上傳到Azure )
這邊如下圖所選擇,不用匯出私密金鑰。
然後選擇目錄位置。
完成之後,我們回到Windows Azure看看,如果閘道已經開啟,會如下圖所示。
接下來,我們要上傳Root憑證。
選擇剛剛存放的目錄。
到這邊後,就只剩下最後一步了,我們只需要下載如下圖的VPN封裝,並把他給安裝起來。
安裝完成後,其實就可以從網路這邊看到VPN的連線圖示,我們只需要按下連線。
然後再按一次連線。
就可以順利連線了,連線後,我們就可以從Windows Azure的管理畫面,看到目前的連線狀況( 並不會立即呈現,要過一段時間喔 )
這樣就完成了Point-to-Site的連線了,有沒有很簡單啊XDD