Rozšíření firemní sítě o virtuály běžící v cloudu

  • Article

Červnová sada novinek ve Windows Azure (o kterých jsme psali zde) se z velké části zaměřuje na IT profesionály, kterým přináší možnost vytvářet vlastní virtuální počítače běžící na prostředcích Microsoftu v prostředí cloudu Windows Azure. Nemusíte tedy platit za hardware a software, místo toho platíte částku za hodinu běhu virtuálního počítače. Pokud si takovéto počítače vytvoříte, budete je zřejmě chtít využívat bez omezení, podobně jako kdyby byly součástí vaší firemní sítě – přidat je do domény, spravovat na dálku apod.

Právě pro tuto situaci je jako stvořená služba Virtual Network, která umožňuje pomocí IPSec tunelu vytvořit VPN spojení mezi vaší firemní sítí a virtuální sítí v cloudu, podobně jako na následujícím obrázku, kde v dolní polovině je firemní síť a v horní síť v cloudu:

clip_image002

Všechny počítače přitom mají plnou vzájemnou konektivitu a bez ohledu na geografickou vzdálenost jsou součástí téže domény Active Directory.

Nastavení této VPN sítě není nikterak složité a sestává z následujících kroků:

  1. Vytvoření virtuální sítě v cloudu
  2. Konfigurace a spuštění VPN gateway na straně cloudu
  3. Konfigurace a spuštění VPN gateway na straně lokální sítě
  4. Vytvoření a umístění virtuálních počítačů na virtuální síti v cloudu

Nejdůležitější součástí jsou samozřejmě obě VPN brány. Na straně cloudu je to triviální, vytvoříte ji jedním stiskem tlačítka v administrační konzoli. Složitější je to na straně lokální sítě, podrobný popis v angličtině je zde. Zapojit je možné libovolné zařízení splňující definované podmínky, pro nejběžnější zařízení od firem Cisco a Juniper jsou k dispozici přímo podporované a otestované konfigurační skripty, seznam najdete na výše uvedeném odkazu.

Pokud si chcete výše zmíněnou funkci sami vyzkoušet, není to nic složitého. Nejtěžší věcí pro vás zřejmě bude získat veřejnou IP adresu, kterou tomuto zařízení musíte přiřadit. Tato adresa musí být z veřejného prostoru IP adres, nesmí být překládána (NAT) a pokud možno by její konektivita neměla být omezena žádným dalším prostředkem. To může být docela oříšek, neboť drtivá většina běžně dostupných sítí (WiFi za ADSL routerem, CDMA apod.) používá překládané adresy.

Pokud překonáte tuto obtíž, zbývá opatřit si vhodné zařízení pro VPN gateway. Pokud nemáte žádné z přímo otestovaných zařízení, může být dobrou volbou použít jako router Windows Server se službou RRAS. Právě tuto konfiguraci s Windows Serverem 2008 R2 jsem použil ve svém testovacím scénáři. Podrobný popis a dokumentaci celého nastavení ve formě nasnímaných obrazovek naleznete na našem SkyDrivu.

Michael Juřek