Virtuelle Netzwerke (VNETs) in Windows Azure

  • Article

Mit Windows Azure virtuellen Netzwerken können herkömmliche VPN-Tunnel (Virtual Private Network) eingerichtet und so firmeneigene IT Landschaften (On-Premise) mit der Windows Azure Cloud verbunden werden. Dadurch entsteht eine weitere Möglichkeit, die interne IT Infrastruktur in die Cloud zu erweitern, bei Bedarf unendlich Ressourcen hinzuzufügen oder wieder entfernen und vor allem Hybride Szenarien zu realisieren.

Durch wenige Klicks im Portal wird das Windows Azure Software VPN Gateway konfiguriert und eine Konfigurationsdatei für das eigene Gateway wird zur Verfügung gestellt. Nach Einspielen dieser Konfig auf dem eigenen Gateway ist dieses dann ebenfalls konfiguriert und der Site-to-Site Tunnel, mittels IPSec Protokoll, steht. Dabei hat man die volle Kontrolle über die Konfiguration & Verwaltung des VPNs, sowie die Definition von IP-Adressen, Routingtabellen und Sicherheitsrichtlinien.

Mit dieser VPNs Lösung können so gut wie alle erdenklichen Hybrid-Szenarien realisiert werden. Bevor die virtuellen Netzwerke in Windows Azure im Juli angekündigt wurden, konnte bereits mittels Windows Azure Connect oder dem Windows Azure Service Bus eine Verbindung zwischen Anwendungen / Diensten in Windows Azure und dem lokalen Netzwerk hergestellt werden. Mit der ein oder anderen Einschränkung (Windows Azure Connect nur für Windows OS) oder Entwicklungsaufwand um den Windows Azure Service Bus nutzen zu können.

Das ist mit der VPN Implementierung in Windows Azure jetzt anders, da ein sicherer Tunnel zwischen dem  virtuellen Netzwerk in Windows Azure und dem lokalen Netzwerk aufgebaut wird und somit alle Maschinen auf IP Ebene miteinander kommunizieren können. Auch Nicht-Microsoft Systeme, für die es keine Connect-Agenten gibt, können damit eingebunden werden sowie z.B. auch Anwendungen die auf eine lokale Namensauflösung angewiesen sind.

Und da wären wir auch bei einem weiteren Punkt, für den virtuelle Netzwerke noch benötigt werden: Namensauflösung!

Damit Computer, Dienste und Anwendungen auch in Windows Azure Deployments miteinander kommunizieren können, ist Namensauflösung eben nicht ganz unpraktisch :-)

Windows Azure stellt einen DNS Server (iDNS) zur Verfügung, welcher die Namen innerhalb eines Cloud Dienstes intern auflösen kann. Für einige Szenarien ist die Nutzung des Windows Azure DNS  allerdings nicht möglich und ein eigener DNS Server ist erforderlich. Und genau dann wird ebenfalls ein virtuelles Netzwerk benötigt.  Zum Thema "Namensauflösung" in Windows Azure habe ich in diesem Blogbeitrag mehr Details geschrieben. 

Kurz zusammengefasst, ist bei folgenden Szenarien ein virtuelles Netzwerk notwendig, bei denen dann ein eigener DNS Server angegeben werden muss.

  • Namensauflösung zwischen Web- und Workerrollen oder virtuellen Maschinen in unterschiedlichen Cloud Diensten.
  • Cross-Premises: Namensauflösung zwischen virtuellen Maschinen / Web- und Workerrollen mit On-Premise Computern und andersrum.
  • Der Windows Azure eigene DNS Server bietet keine Namensauflösung zwischen Maschinen innerhalb virtueller Netzwerke.
    Sobald ein virtuelles Netzwerk konfiguriert ist und sich darin virtuelle Maschinen oder Web- und Workerrollen befinden, findet deren Namensauflösung immer nur noch über den im VNET angegebenen DNS statt.

Happy ?-ing!

Heike