昨天提到網路安全存取Azure,常用的方式是S2S vpn或是express route,
不過前者需要一個支援ipsec的設備(如fortigate),後者為專線使用,
手上也剛好都沒有適合公開的環境可以說明,今天就用點對站的方式說明
如何安全存取Azure資源
參考網頁如下:
https://docs.microsoft.com/zh-tw/azure/vpn-gateway/vpn-gateway-howto-point-to-site-rm-ps
這次的情境會以IKEv2的點對站加密,會像是下方紅框的部分
首先我們要在現有的虛擬網路建立一個vpn專用的子網路閘道
打開vnet,點擊位址空間,建立10.0.3.0/24
接著點擊子網路,建立子網路閘道,儲存
接著點擊建立資源,輸入virtual network gateway
依序輸入,並選擇vnet
檢閱+建立即可建立虛擬網路閘道,大約要等30分鐘左右
點對站的連線是需要本機憑證的,所以這邊準備了一個bat檔
makecert.exe -sk exchange -r -n "CN=LabRootCertificate" -pe -a sha1 -len 2048 -ss My "LabRootCertificate.cer"
makecert.exe -n "CN=LabClientCertificate" -pe -sk exchange -m 96 -ss My -in "LabRootCertificate" -is my -a sha1
並打開Powershell執行下列語法
$filePathForCert = "e:\lab\LabRootCertificate.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
[system.convert]::ToBase64String($cert.RawData) | Out-File temp.txt
等候虛擬網路閘道建立完成後,進入後點選使用者VPN設定,點擊立即設定
透過下列設定,並把該才產出的憑證貼上去,點擊儲存
更新完成後, 下載VPN用戶端
解壓縮後點擊
打開後,點即確認後會建立一個vpn連線的設定檔,
點擊連線會有一個連線精靈啟動,點擊連線
連線成功,我們確認一下能否透由內網ip連線到Azure上的虛擬機
順利連接上了,我們看一下遠端的ping值,大約在50ms~70ms左右
這樣一來當我們把vm的公用ip給關掉後,就可以確保內網使用
以加強連線安全,以上就是今天課程的全部內容了,
明天開始會進入進階應用的主題
See you next day ^^