Podstawy pracy z Microsoft Azure, część I. Wprowadzenie do portali i sieci wirtualnych.

Adrian Popławski, 29 czerwca 2016

Czym jest Microsoft Azure?

Microsoft Azure, wcześniej znana jako Windows Azure jest  publiczną  platformą chmury obliczeniowej Microsoftu. Zapewnia szeroki zakres usług chmurowych, w tym  obliczeniowych, analiz, magazynowania i sieci. Użytkownicy mogą korzystać z tych usług w celu opracowania nowych aplikacji i skalować je lub uruchomić istniejące aplikacje w chmurze publicznej.  Microsoft Azure posiada elementy wszystkich rodzajów chmury obliczeniowej:

  • Platform as a Service (PaaS)
  • Infrastructure as a Service (IaaS)
  • Software as a Service (SaaS).

Platforma Azure jest ogólnie dostępna w 24 regionach na całym świecie. Microsoft klasyfikuje usługi Azure na 11 głównych typów produktów:

  • Obliczeniowe – W skład tych usług wchodzą  maszyny wirtualne, kontenery, usługi przetwarzania wsadowego i zdalnego dostępu do aplikacji.
  • Serwisy www i mobilne – usługi te wspierają rozwój i wdrażanie stron internetowych oraz aplikacji mobilnych, a także oferują funkcje zarządzania API, powiadomień i raportowania.
  • Przechowywania danych – kategoria  obejmuje bazy SQL i NoSQL jako usługę oraz pamięci niestrukturalne i pamięć podręczną (cache) w chmurze.
  • Analityczne – usługi te zapewniają analizę danych rozproszonych, jak również analizy w czasie rzeczywistym, analizy big data, uczenia maszynowego i magazynowania danych.
  • Sieci – grupa ta obejmuje sieci wirtualne, dedykowane połączenia i bramy sieciowe, a także usługi związane z zarządzaniem ruchem, równoważenie obciążenia i utrzymywanie systemu nazw domen (DNS).
  • Media i sieci dostarczania treści (CDN) – usługi te obejmują streaming na żądanie, kodowanie, indeksowanie  i odtwarzanie multimediów.
  • Hybrydowa integracja – są to usługi serwera kopii zapasowych, odzyskiwania i połączenia razem chmur prywatnych i publicznych.
  • Zarządzanie tożsamością i dostępem (IAM) – opcja ta  zapewnia, że tylko upoważnieni użytkownicy mogą wykorzystywać platformę Azure. Usługi te  pomagają chronić klucze szyfrowania i inne poufne informacje.
  • Internet of things (IoT)  – usługi te pomagają użytkownikom przechwytywanie, monitorowanie i analizowanie danych IoT z czujników i innych urządzeń.
  • Tworzenie oprogramowania – to usługi wspomagania twórców aplikacji w udostępnianiu kodu, testowaniu aplikacji i śledzeniu potencjalnych problemów. Azure obsługuje szeroką gamę języków programowania aplikacji, w tym JavaScript, Python, .NET oraz Node.js.
  • Zarządzanie i bezpieczeństwo – te produkty pomagają administratorom zarządzać ich chmura Azure. Wspierają  wdrażanie, umożliwiają tworzenia harmonogramów i uruchamiania zadań, a także tworzyć automatyczne wywołania skryptów i usług. Ta grupa produktów obejmuje również możliwości identyfikowania i reagowania na zagrożenia bezpieczeństwa w chmurze.

Pełna lista usług Azure  stale ulega zmianie. Co kilka miesięcy dodawane są nowe opcje i funkcjonalności.

Jak zacząć korzystać z Microsoft Azure.

Microsoft oferuje możliwość korzystania na próbę z platformy Azure. Dzięki temu uzyskuje się dostęp na 30 dni oraz 200 dolarów do wykorzystania na dowolne usługi oferowane przez platformę. Aby móc sprawdzić jak działa Azure wystarczy posiadać konto Microsoft oraz kartę kredytową, która będzie użyta tylko do rejestracji.

W celu utworzenia próbnego konta należy zarejestrować się na stronie https://azure.microsoft.com/pl-pl/free/

azure 1

Rysunek 1. Ekran logowania platformy Microsoft Azure

Po wpisaniu loginu i hasła wyświetli się strona rejestracyjna konta Azure.

azure 2

Rysunek 2. Ekran rejestracyjny Microsoft Azure

Po uzupełnieniu wszystkich wymaganych danych oraz  kliknięciu przycisk utwórz konto zostanie założona nowa subskrypcja do której automatycznie zostaniemy przekierowani. Będzie to portal administracyjny Azure

Wprowadzenie do portali administracyjnych

Portal do zarządzania on-line zapewnia najprostszy sposób zarządzania zasobami, utworzonymi w Azure. Można go wykorzystać do tworzenia wirtualnych sieci, korzystania z usług w chmurze,  tworzenia i zarządzania maszynami wirtualnymi, skonfigurować  konta zasobów dyskowych bądź  zdefiniować serwisy internetowe.

Obecnie funkcjonują dwie wersje portalu. Produkcyjny, nazywa się Azure Management Portal, jest dostępny pod adresem https://manage.windowsazure.com.  Nowy, Azure Portal,   który jest w trakcie budowy można znaleźć pod adresem https://portal.azure.com/ Portale znacznie się od siebie różnią zarówno wyglądem jak i nawigacją. Wiele  funkcji nie jest jeszcze dostępnych w nowym portalu, takich jak zarządzanie Azure AD czy usługi remote App. Są też takie, które od początku zostały zaprojektowane pod nowy portal i będą dostępne tylko w nim.

azure 3

Rysunek 3. Panel zarządzający Azure Portal

azure 4

Rysunek 4. Panel zarządzający Azure Management Portal

Z obu portali można korzystać wymiennie. Usługi skonfigurowane w starym portalu będą widoczne w nowym i na odwrót.

Tworzenie sieci wirtualnej i połączenia VPN

Sieci wirtualnej (VNets) są wykorzystywane w Azure aby zapewnić warstwę bezpieczeństwa i izolacji dla usług. Maszyny wirtualne i usługi, które są częścią tej samej wirtualnej sieci mogą uzyskać dostęp do siebie. Domyślnie usługi zewnętrzne nie mogą połączyć się z usługami w sieci wirtualnej. Można jednak skonfigurować sieć tak, aby umożliwić dostęp usługi zewnętrznej do zasobów wewnątrz sieci wirtualnej..

Sieci wirtualne zawsze powinny być tworzone na początku, zanim skonfigurowane zostaną pozostałe usługi, które miałby z nich korzystać. Ponieważ wybór w jakiej sieci ma działać dana maszyna  jest dokonywany podczas jej tworzenia to, jeśli utworzymy maszynę wirtualną, a później będziemy chcieli przenieść ją do wirtualnej sieci, nie będzie to prosta zmiana konfiguracji. Najszybszym i najczęstszym sposobem, jest usunięcie maszyny wirtualnej, pamiętając o tym aby  nie  usuwać wszystkich dysków z nią związanych, następnie ponowne utworzenie maszyn  przy użyciu oryginalnych dysków już  w sieci wirtualnej.

W poniższym przykładzie zostanie utworzona sieć wirtualna oraz Brama VPN umożliwiająca połączenie Zasobów znajdujących się w Azure z fizyczną siecią w biurze.

Tworzenie Sieci Wirtualnej

Aby stworzyć sieć  należy zalogować się do portalu manage.windowsazure.com, ora

  1. Kliknąć przycisk + New na dole ekranu, a następnie wybrać opcję Network Services > Virtual Network > Quick Create.
azure 5

Rysunek 5. Tworzenie sieci wirtualnej za pomocą opcji Quick Create

  1. Należy wypełnić pole nazwy
  2. Następnie wybrać  przestrzeń adresową (). W liście rozwijanej znajdują się  tylko trzy pozycje, do wyboru: 10.0.0.0, 172.16.0.0 i 192.168.0.0. Jak łatwo zauważyć są to adresacje sieci prywatnych. Należy pamiętać, aby sprawdzić jakie adresy prywatne stosowane są w sieci do której będziemy chcieli się podłączyć i wybrać taką, która na pewno nie będzie kolidowała z adresacją sieci biurowej. Do celów przykładu została wybrana adresacja 10. —. — .—.
  3. Maximum VM count  należy wybrać liczbę z zakresu adresów IP zawartych w wybranej masce. Jeśli spojrzeć na wartości z listy rozwijanej, widać, że  największą maską (a więc najmniejszą liczbę adresów IP) jest 20, co daje 4096 adresów.
  4. Dla lokalizacji, wybierz żądany region, ustawienie to determinuje w którym z centów danych zostanie umieszczona sieć i pozostałe usługi, które będą korzystać z tej przestrzeni adresowej.
  5. W przypadku serwera DNS można zostawić pole puste, rozwiązywanie nazw  zostanie dostarczone przez Azure. Jeśli chcemy używać lokalnych serwerów DNS , należy określić serwery DNS, które są używane w sieci biurowej. W tym przykładzie po prostu zostawiamy puste pole.
  6. Po wypełnieniu wszystkich pól należy kliknąć przycisk „Create virtual network” Rezultat można zobaczyć przechodząc do sekcji networks  w głównym panelu azure.
azure 6

Rysunek 6. Widok na sekcję Virtual Networks

Po kliknięciu w sekcję Virtual networks na nowoutworzoną sieć: „testvnet” będzie można zobaczyć i edytować jej właściwości.

azure 7

Rysunek 7. Edytowanie właściwości sieci wirtualnych

Można w dowolny sposób konfigurować ilość przestrzeni adresowych oraz podsieci w nich zawartych. Dodatkowo klikając na daną przestrzeń adresową lub podsieć można edytować jej opcje. Ilość podsieci w jednej przestrzeni adresowej ograniczona jest tylko notacją CIDR. Jak widać  na załączonym przykładzie można skonfigurować podsieci z maskami większymi niż 24 w notacji CIDR

azure 8

Rysunek 8. Zmiana wielkości podsieci

Tworzenie połączenia VPN Site to Site

Azure umożliwia utworzenie 3 rodzajów połączeń VPN:

VPN Point to Site – Pozwala lokalnym komputerom utworzyć tunel za pomocą  Secure Socket Tunneling Protocol (SSTP)  do wirtualnej sieci w Azure. Do uwierzytelniania połączenia wykorzystywane są  certyfikaty. Aby móc utworzyć VPN Point to Site po stronie Azure należy skonfigurować Bramę VPN. Jedna brama VPN pozwala na maksymalne jednoczesne połączenie 128 tuneli Point to Site.

VPN Site to Site – Umożliwia bezpieczne połączenie  sieci lokalnej i wirtualnej sieci w Azure. Aby móc skonfigurować połączenie należy po stronie sieci lokalnej mieć publiczny adres IPv4 oraz kompatybilne urządzenia VPN. Aby móc utworzyć połączenie po stronie Azure należy skonfigurować Bramę VPN, która ma możliwość utworzenia jednego statycznego tunelu VPN lub do 30 dynamicznych tuneli VPN.  W przykładzie zostanie zrealizowane połączenie za pomocą tego rodzaju tunelu. Aby uzyskać listę kompatybilnych urządzeń oraz ich konfiguracji,  należy odwiedzić stronę https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/

ExpressRoute –  Jest to  prywatny tunel  Site to Site  pomiędzy  centrum danych Azure a siecią danej instytucji. Połączenia ExpressRoute nie są realizowane przez  publiczny internet. Oferują większą niezawodność,  prędkość, niższe opóźnienia oraz wyższe bezpieczeństwo niż typowe połączenia internetowe. Połączenia ExpresRoute  realizowane są za pomocą  Multiprotocol Label Switching( MPLS) VPN, dostarczonych przez dostawcę usług sieciowych.

Aby móc skonfigurować połączenie VPN sieci wirtualnej Azure oraz lokalnej należy przejść w portalu azure do sekcji Networks  i kliknąć na zakładkę Local Networks.

azure 9

Rysunek 9. Zakładka Local Networks

Po wybraniu przycisku Add Local Network ukaże się pierwszy z  ekranów konfiguratora sieci lokalnej. Należy wpisać Nazwę oraz Publiczny adres IP urządzenia VPN, a na koniec kliknąć na strzałkę u dołu ekranu by przejść do następnego ekranu.

azure 10

Rysunek 10. Tworzenie nowej sieci lokalnej

W kolejnym kroku należy wypełnić adresację sieci biurowej. Istnieje możliwość dodania kilku adresacji do jednej sieci lokalnej.

Na koniec należy kliknąć przycisk potwierdzenia u dołu ekranu.

azure 11

 Rysunek 11. Dodawanie lokalnych przestrzeni adresowych

Po utworzeniu sieci lokalnej należy przejść do zakładki Virtual networks, otworzyć sieć „testvnet”, przejść do sekcji Configure, zaznaczyć: „Connect to the local network”. I na koniec kliknąć save.

azure 12

Rysunek 12. Ekran konfiguracji sieci wirtualnej

Następnie przejść do sekcji dashboard, U dołu ekranu przejść do przycisku Create Gateway i wybrać jedną z opcji. Wybór zależy od możliwości urządzenia po stronie sieci lokalnej. Do celów ćwiczenia została wybrana opcja statycznego routingu.

azure 13

Rysunek 13. Tworzenie Bramy VPN

Tworzenie bramy trwa do godziny. Tak długi czas związany jest z faktem, że tworzona  Dlatego nie zaleca się, aby po utworzeniu bramy wyłączać ją. Gdy brama zostanie pomyślnie utworzona należy u dołu ekranu kliknąć na przycisk Manage key i skopiować jego wartość do odpowiedniego miejsca w konfiguracji bramy VPN po stronie sieci lokalnej.

azure 14

 Rysunek 14. Okno podglądu klucza wspólnego

Następnie należy przygotować urządzenie po stronie sieci lokalnej. Dodać do konfiguracji wcześniej skopiowany klucz. Microsoft przygotował  gotowe skrypty konfiguracyjne, dla kliku producentów urządzeń sieciowych.  Można je pobrać za pomocą przycisku Download VPN device Script. Gdy konfiguracja po stronie Sieci lokalnej będzie gotowa, należy kliknąć na przycisk Connect.

azure 15

Rysunek 15. Połączenie tunelu VPN za pomocą bramy

Prawidłowo zestawiony tunel będzie wyglądał jak ten poniżej.

azure 16

Rysunek 16. Podgląd statystyk tunelu VPN

Przejście wszystkich powyższych kroków umożliwi poprawne zestawienie tunelu VPN pomiędzy siecią lokalną oraz usługami Microsoft Azure i umożliwi łatwe i bezpieczne połączenie z usługami stworzonymi na tej platformie.

Źródło:

Opracowania własne
Fundamentals of Azure Michael Collier Robin Shahan
https://azure.microsoft.com/en-us/documentation/services/vpn-gateway/

Adrian Popławski

BLOG

Zobacz inne nasze artykuły

Zarządzanie firmą w czasie pandemii

Zarządzanie firmą w czasie pandemii

Witam, nazywam się Piotr Popławski, jestem Prezesem Zarządu Support Online, spółki zajmującej się outsourcingiem informatycznym. 80-cio osobowy zespół naszej firmy działa prężnie na rynku zarówno Polskim jak i międzynarodowym. Moim hobby jest żeglarstwo, jestem...

FindTime. Jak oszczędzić czas podczas planowania spotkań.

FindTime. Jak oszczędzić czas podczas planowania spotkań.

Za każdym razem, kiedy organizujesz spotkanie z wieloma osobami, stajesz przed wyzwaniem. Jak znaleźć dogodny termin, który pasuje wszystkim uczestnikom? Jeśli zainteresowani są zebrani w jednym miejscu i mają wgląd w swoje kalendarze, zadanie nie musi być trudne. W...