iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 24
0
Microsoft Azure

深入淺出Azure常用服務系列 第 24

[Day24] 第二十四課 Azure 點對站(P2S)安全連線[安全]

  • 分享至 

  • xImage
  •  

昨天提到網路安全存取Azure,常用的方式是S2S vpn或是express route,
不過前者需要一個支援ipsec的設備(如fortigate),後者為專線使用,
手上也剛好都沒有適合公開的環境可以說明,今天就用點對站的方式說明
如何安全存取Azure資源

參考網頁如下:
https://docs.microsoft.com/zh-tw/azure/vpn-gateway/vpn-gateway-howto-point-to-site-rm-ps

這次的情境會以IKEv2的點對站加密,會像是下方紅框的部分

Imgur
首先我們要在現有的虛擬網路建立一個vpn專用的子網路閘道
打開vnet,點擊位址空間,建立10.0.3.0/24
Imgur
接著點擊子網路,建立子網路閘道,儲存
Imgur
接著點擊建立資源,輸入virtual network gateway
Imgur
Imgur
Imgur

依序輸入,並選擇vnet
Imgur
Imgur
檢閱+建立即可建立虛擬網路閘道,大約要等30分鐘左右

Imgur
點對站的連線是需要本機憑證的,所以這邊準備了一個bat檔

makecert.exe -sk exchange -r -n "CN=LabRootCertificate" -pe -a sha1 -len 2048 -ss My "LabRootCertificate.cer"
makecert.exe -n "CN=LabClientCertificate" -pe -sk exchange -m 96 -ss My -in "LabRootCertificate" -is my -a sha1

Imgur
並打開Powershell執行下列語法

$filePathForCert = "e:\lab\LabRootCertificate.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
[system.convert]::ToBase64String($cert.RawData) | Out-File temp.txt

Imgur
等候虛擬網路閘道建立完成後,進入後點選使用者VPN設定,點擊立即設定

Imgur
Imgur
透過下列設定,並把該才產出的憑證貼上去,點擊儲存

Imgur
更新完成後, 下載VPN用戶端
Imgur
Imgur
Imgur
解壓縮後點擊
Imgur
Imgur
打開後,點即確認後會建立一個vpn連線的設定檔,
點擊連線會有一個連線精靈啟動,點擊連線

Imgur
Imgur
Imgur
連線成功,我們確認一下能否透由內網ip連線到Azure上的虛擬機
Imgur
Imgur
順利連接上了,我們看一下遠端的ping值,大約在50ms~70ms左右
Imgur

Imgur
這樣一來當我們把vm的公用ip給關掉後,就可以確保內網使用
以加強連線安全,以上就是今天課程的全部內容了,
明天開始會進入進階應用的主題
See you next day ^^


上一篇
[Day23] 第二十三課 Azure Application Gateway- 2[安全]
下一篇
[Day25] 第二十五課 Azure客製化映像[進階]
系列文
深入淺出Azure常用服務32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
Ho.Chun
iT邦新手 5 級 ‧ 2021-09-13 18:25:04

請問 P2S VPN 有必要建立到 Local Network Gateway 嗎

我要留言

立即登入留言