微軟為自家云軟件的網絡及基礎設施選項帶來改進。

今年春季，微軟公司為自家Windows Azure云服務發布多項更新，希望幫助用戶及企業簡化與微軟Azure數據中心的直連流程、也使得本地設備與服務能與Azure并行協作。

為了實現這一點，微軟調動了各種類型VPN的力量。為了進一步理解Azure中的新特性，我將帶大家整理VPN的全部種類，并通過重點剖析理解其運作機制。順帶一提，Azure目前已經不再使用版本號——由于更新極為頻繁，微軟中止了以數字標注版本的做法。

新特性：點到站點連接

在過去幾個版本中，Windows Azure一直只能創建站點到站點虛擬專用網絡，也就是VPN。這意味著用戶的企業網絡需要先通過專用VPN設備與Azure數據中心內的專用路由器或其它網絡設備建立起連接。通常情況下，大型企業用戶往往熟悉這種運作機制，但中小型企業則不然，這就限制了VPN功能的整體有效性。

不過今年四月，微軟推出了點到站點VPN連接，這意味著個人電腦也可以創建直接與Windows Azure數據中心對接的VPN通道。創建工作完成后，這臺計算機將可以訪問虛擬機、數據庫、網站以及其它與個人計算機處于同一本地網絡環境的資源。

這項新舉措對哪類用戶的吸引力最大?就目前來看，習慣于在本地創建解決方案、再將其部署到Windows Azure的開發人員將獲得最顯著的實惠。新機制讓開發者擁有一套“單一網絡”，而不必再為尋址難題、DNS及其它一些始終阻撓著將應用程序或其它資源在不同網絡環境中進行托管遷移的麻煩狀況。

令終端用戶與開發者——可能也包括IT人士——感到高興的是，新機制不再需要IT部門為其提供支持。大家可以從Azure管理門戶中輕松下載一個撥號連接設定檔(沒錯，預設定VPN‘撥號器’的術語表達就是這個)包，并雙擊文件來創建連接——默認情況下整個流程非常安全。

設備中的VPN客戶端能與Windows 7及Windows 8順利協作，而且整個VPN連接創建過程也不必涉及其它配置工作或者硬件設備。

在開始之前，大家首先要做一些準備工作，其中包括創建新的虛擬網絡及動態路由網關。請朋友們執行下列步驟：

1. 登錄Windows Azure管理門戶。

2. 在“網絡”下拉菜單中點擊左下方的“新建”按鈕，再點選“虛擬網絡”。

3. 點擊“自定義創建”。

4. 這時系統會顯示“虛擬網絡詳細信息”界面。為自己的網絡輸入一個合適的名稱、虛擬網絡運行位置所屬的Azure數據中心(請選擇離本地位置最近的數據中心，這樣性能表現會更好)，如果必要、可以選擇一個合作組。點擊屏幕右側的箭頭進入下一步。

5. 這時出現的是DNS服務器及VPN連接頁面，勾選“配置點到站點VPN”復選框，然后指定我們用于連接外部環境的DNS服務器。這些服務器必須已經在大家的賬戶上注冊完畢。如果還沒有注冊過服務器，大家可以選擇“注冊新服務器”選項，這樣就能將其作為我們個人Azure賬戶中的資源并加以使用。

6. 現在出現的是點到站點連接頁面，大家需要輸入用于連接客戶端與Azure的VPN連接的專用地址。該地址必須采用符合RFC 1918的標準化非路由字段，包括10.0.0.0/8、172.16.0.0/12或者192.168.0.0/16。我們還要保證這些地址從未在Azure租戶賬戶當中被使用。大家還可以為新的虛擬網絡創建子網(但這不是必需步驟)，并為其創建網關。所有數據輸入完成之后，點擊屏幕右側的檢查標記。

7. 管理門戶會滾動一陣，并開始創建新的虛擬網絡。下一步要做的是創建動態路由網關，因此點擊剛剛完成的虛擬網絡，然后選擇儀表板頁面。

8. 在頁面下方，點擊“創建網關”鏈接并在接下來的提示中點擊“是”以確認操作。 #p#

所需證書

接下來就是處理證書。點到站點VPN連接的主要優勢在于它無需特定設備作為支撐，也不必勞煩IT部門重新配置防火墻或者針對連接做出其它變更。而這一切得以實現完全歸功于安全套接字隧道協議(簡稱SSTP)，屬于VPN設計風格的一種。這些SSTP VPN與安全HTTP一樣使用端口443，且保證向任何連通網絡開放。但為了確保安全性，SSTP協議要求必須使用證書，也就是說用戶需要在Azure數據中心端以及每臺個人計算機端具備證書，這樣才能讓點到站點連接保持暢通。

如果大家打算在基于Active Directory的環境下親手創建點到站點連接，那么基礎設施在建立過程中可能已經具備一套公開密鑰。大家只需創建一份X.509證書并將其簽署至一臺服務器中，即可完成基礎設施的證書驗證工作。

怎樣創建證書呢?首先打開微軟管理控制臺，在終端命令提示符中運行MMC.EXE(需要擁有管理員權限)，然后在文件菜單中選擇“添加/刪除管理單元”。接著選擇“證書”、點選“計算機賬戶”然后點擊“繼續”，這樣屏幕左側就會顯示“證書”項目。點擊展開全部內容，選擇“受信根證書驗證及證書”項。

在列表中找到自己的證書(一般會在名稱中包含我們的NetBIOS域名)，右鍵點擊然后選擇“導出”。在導航中全部采用默認選項，然后為導出的.CER文件選擇保存位置，最后完成導航過程。

這就是我們將要上傳到Windows Azure當中的證書，我們的客戶端也將通過它進行驗證。

現在要做的是創建客戶端證書。右鍵點擊MMC實例中的“個人”項目，在“所有任務”菜單中選擇“申請新證書”。接下來的幾步全部按默認略過，但一定要確保選擇的是計算機類證書。導航機制結束后，大家會看到新證書已經被安裝在MMC內“個人”項目下的“證書”子項中。這就是我們之前導出過的客戶端證書，Azure會將上傳至Azure中的公共證書與這份保存在本地的客戶端證書加以對照，二者的認證機制完全相同，且能夠與我們將使用的SSTP VPN連接相匹配。

好了，以上工作就緒之后，大家可以將受信根證書上傳到Windows Azure管理門戶當中了。

1. 在儀表板頁面的右側選擇“上傳證書”選項(具體字樣取決于前續操作，這部分內容也可能變為‘上傳客戶端證書’或者‘上傳根證書’)。

2. 通過瀏覽找到導出的.CER文件并進行上傳。

在一系列重要準備工作完成之后，現在我們終于可以下載預配置撥號連接設定檔軟件包(注意，每臺客戶端計算機都需要進行前面提到的證書操作)，并與點到站點連接相連通了。在Windows Azure新版本中，大家下載到的軟件支持Windows 7、Windows 8、Windows Server 2008 R2以及Windows Server 2012。另外，下載到的撥號連接設定檔也分為32位與64位兩個版本。

連接軟件包是一個.EXE文件，大家可以雙擊加以運行，它會自動將設定文件部署至Windows內置的VPN客戶端當中。

要進行連接，只需找到VPN連接項并進行雙擊。第一次雙擊后，軟件會彈出提示、詢問我們是否允許創建另一份證書，請大家選擇“是”。最后，系統會提示用戶為連接選擇證書——選擇剛剛創建的證書并點擊“好”。

現在我們的專用VPN連接就完成了，且能夠以類本地訪問方式使用由Azure所托管且與自己虛擬網絡相連的任何資源。 #p#

站點到站點VPN更簡單

Azure最新版本的另一大改進在于大大簡化Windows Server 2012的安裝流程，且能夠將其作為專用設備創建指向Azure的站點到站點VPN連接。我們為什么要使用站點到站點VPN?當兩臺設備由這類通道相連時，連接本身就會具備透明特性——對于用戶設備、數據中心、服務器以及虛擬機皆是如此。

換句話來說，這類方案的好處是，Windows Azure數據中心內的所有資源都會像本地網絡的一部分那樣可以被隨時查看。所有關于連接、證書、通道及其它麻煩的處理工作都由設備本身完成。

正如我之前所提到，原先大家必須通過專用硬件設備來實現站點到站點連接。而且要獲得完整的功能體驗，我們還不得不從有限的幾種VPN終端設備中做出選擇、或者花上幾個小時研究路由器系統代碼以創建一套能夠被Azure端點所接納的連接配置文件。

但現在情況不同了，大家可以設置一套Windows Server 2012實例用以運行“路由與遠程訪問(簡稱RRAS)”角色，而且這一切在幾分鐘內就能搞定。

與點到站點VPN相似，我們同樣需要進行一系列準備工作——主要內容是通知Azure我們的本地地址空間。首先在Windows Azure管理門戶中創建新的本地網絡，然后為VPN端點指定IP地址空間及公共IP。換言之，也就是Windows Azure通過VPN與本地網絡對接的地址。

下面需要創建另一套虛擬網絡，但這時請注意選擇創建站點到站點VPN、而非之前的點到站點VPN。大家一定已經發現，這一次流程變得更為簡單：我們只需要讓Azure創建網關子網即可。接下來，與點到站點VPN一樣，在新虛擬網絡的儀表板中創建動態路由網關，然后等待幾分鐘——Azure會建立網關并創建連接腳本。

連接腳本的作用是定義站點到站點VPN將要使用的端口、協議以及通道。大家可以為Windows Server 2012 RRAS指定自己想要使用的腳本，然后再行下載。不過在下載完成后，我們還需要對內容做出小小調整，具體步驟如下：

· 將腳本中的所有實例替代為自己網關的IP地址。在管理門戶的網絡儀表板頁面中，大家會看到這部分內容被以大字體標出。實例位地第75、78、79以及85行。

· 將第75行的實例替代為我們在為站點到站點VPN創建新虛擬網絡時所指定的CIDR(即無類型域間選路)。

· 同樣是第75行，填入自己網絡的實際指標。

· 填入管理門戶所生成的密鑰。

將內容保存為擴展名為.ps1的文件，這樣我們就得到了一個可執行的PowerShell腳本。靜待一段時間，讓腳本完成“路由與遠程訪問”角色的安裝(如果目標設備中尚未安裝)并設置VPN連接。這部分工作完成后，返回Windows Azure管理門戶并點擊大大的“連接”按鈕。幾秒鐘之后，連接正式啟動、我們的鏈接也就宣告竣工。我們所有的設備都能夠在Azure數據中心的虛擬網絡中或者本地網絡中正常運行，且彼此之間通信無阻。

結語

站點到站點與點到站點兩種VPN類型都需要我們進行一系列設置工作，而一旦配置正確并按預期運作之后，它們將徹底打破大家與Azure技術攜手合作的一切障礙。這些VPN絕對值得一試，希望大家能在探索中發現它們給日常工作帶來的種種便利。

原文鏈接：

http://www.computerworld.com/s/article/9240372/How_to_use_Azure_s_new_connectivity_features

原文標題：How to use Azure's new connectivity features