昨天提到網路安全存取Azure，常用的方式是S2S vpn或是express route，
不過前者需要一個支援ipsec的設備(如fortigate)，後者為專線使用，
手上也剛好都沒有適合公開的環境可以說明，今天就用點對站的方式說明
如何安全存取Azure資源

參考網頁如下：
https://docs.microsoft.com/zh-tw/azure/vpn-gateway/vpn-gateway-howto-point-to-site-rm-ps

這次的情境會以IKEv2的點對站加密，會像是下方紅框的部分

首先我們要在現有的虛擬網路建立一個vpn專用的子網路閘道
打開vnet，點擊位址空間，建立10.0.3.0/24

接著點擊子網路，建立子網路閘道，儲存

接著點擊建立資源，輸入virtual network gateway

依序輸入，並選擇vnet


檢閱+建立即可建立虛擬網路閘道，大約要等30分鐘左右

點對站的連線是需要本機憑證的，所以這邊準備了一個bat檔

makecert.exe -sk exchange -r -n "CN=LabRootCertificate" -pe -a sha1 -len 2048 -ss My "LabRootCertificate.cer"
makecert.exe -n "CN=LabClientCertificate" -pe -sk exchange -m 96 -ss My -in "LabRootCertificate" -is my -a sha1

並打開Powershell執行下列語法

$filePathForCert = "e:\lab\LabRootCertificate.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
[system.convert]::ToBase64String($cert.RawData) | Out-File temp.txt

等候虛擬網路閘道建立完成後，進入後點選使用者VPN設定，點擊立即設定

透過下列設定，並把該才產出的憑證貼上去，點擊儲存

更新完成後， 下載VPN用戶端



解壓縮後點擊


打開後，點即確認後會建立一個vpn連線的設定檔，
點擊連線會有一個連線精靈啟動，點擊連線

連線成功，我們確認一下能否透由內網ip連線到Azure上的虛擬機


順利連接上了，我們看一下遠端的ping值，大約在50ms~70ms左右

這樣一來當我們把vm的公用ip給關掉後，就可以確保內網使用
以加強連線安全，以上就是今天課程的全部內容了，
明天開始會進入進階應用的主題
See you next day ^^