[雲計算]微軟Azure P2S連接配接實戰

P2S連接配接

一、概念解析

1.什麼是P2S

P2S（person to site）是個人到站點的連接配接，通過vpn軟體,将你的裝置連入特定内網。

2.什麼是S2S

P2S（site to site）是站點到站點的連接配接，通過vpn網關,實作兩個站點的連接配接。

3.什麼是peering

peering（對等連接配接）：對等連接配接（Peering Connection）是一種大帶寬、高品質的雲上資源互通服務，可以幫助您打通雲上的資源通信鍊路。對等連接配接是指兩個VPC之間的網絡連接配接。您可以使用私有IP位址在兩個VPC之間進行通信，就像兩個VPC在同一個網絡中一樣。同一區域内，您可以在自己的VPC之間建立對等連接配接，也可以在自己的VPC與其他帳戶的VPC之間建立對等連接配接。不同區域間的VPC之間不能建立對等連接配接。兩個網絡内的資源可互相通路。 對等連接配接具有多區域、多賬戶、多種網絡異構互通等特點，輕松實作雲上兩地三中心、遊戲同服等複雜網絡場景。

二、通路方式

如下圖所示，網絡A中存在許多内網資源，我們需通路其中的資料，可以通過兩種方式。

方式一S2S：将你的裝置（如電腦）網絡連接配接到處于已經和網絡A做好S2S的網絡B中，這時你的裝置内網ip便處于網絡B網段的子網中，這樣既可借助網絡B為跳闆連接配接到網絡A，來擷取網絡A中的資源。

這種做法的優點是：簡單友善。使用者隻要處在網絡B中，無需任何配置即可通路網絡A的資源（因為網絡管理者已經配置好網絡B和網絡A的vpn網關及網絡B的路由），無論多少人隻要連接配接到網絡B無需其他操作即可通路網絡A資源。缺點是你隻能在網絡B中才能通路網絡A，當你出差或者下班不在公司的網絡B中，就無法通路網絡A資源。

方式二P2S：将你的電腦直接連接配接到網絡A中。此時你需要下載下傳vpn軟體。vpn是Virtual Private Network虛拟私有網絡的簡稱。而連接配接到虛拟私有網絡的軟體就叫做vpn軟體。通過它你就就能連接配接到特定網絡中。這種做法的優點是無需固定地點，你在世界上任意地方都可通路網絡2資源。缺點是需要自行下載下傳vpn軟體并配置賬号密碼等，較為麻煩。

三、動手實戰

P2S及peering實戰操作：通過微軟Azure建立兩個雲上虛拟網絡Vnet1和Vnet2，并且在Vnet1與Vnet2之間做對等連接配接，添加Vnet1到Vnet2的下一跳路由使得使用者可不經過Vnet1直接通路Vnet2。

〇、準備工作

登入

微軟Azure官方網站中國大陸版

，右上角點選

登陸Azure門戶

。若無賬Azure賬号，請先

注冊

。

一、建立虛拟網絡

1.進入Azure首頁，點選或搜尋“虛拟網絡”。請勿選擇”虛拟網絡(經典)”。

2.點選"添加"，建立虛拟網絡。

3.選擇一個訂閱和資源組，若無請建立。這裡我建立了一個Azure Study的訂閱和test-abc的資源組。（資源組是存放本資源組建立的所有資源的，類似檔案夾）

4.給虛拟網絡命名，這裡我命名為abc-vnet1，區域我選擇中國東部2。

5.進入位址頁面，建立ipv4位址空間，即建立私網網段。私網網段有且隻有10.*.*.* 172.16.*.* 192.168.*.* 這三類（網絡基礎知識，不太懂的同學請學習一下ip位址的知識）。我選擇建立10.10.0.0/16。

6.[安全組]和[标記]保持預設，點選下一步即可。最後确認無誤後點選“建立”。

7.等待一會兒，顯示部署完成，說明成功建立abc-vnet1。M

8.同樣的方式再建立一個abc-vnet2，網段我選擇10.21.0.0/16，不能與之前建立的abc-vnet1重複。

二、建立虛拟機

9.同樣搜尋框搜尋"虛拟機"

10.點選 "添加"

11.輸入配置資訊，名稱可随意，這裡我命名為abc-vnet1-vm，位址同樣選擇中國東部2，因為是實驗，鏡像我選擇centos，虛拟機根據需求選擇，我選擇最便宜的一個。

12.身份驗證類型選擇密碼，輸入自己密碼。選擇允許標明的端口。點選下一步磁盤

13.磁盤我選擇最便宜的标準HDD。單擊下一步。

14.虛拟網絡選擇abc-vnet1，子網選擇abc-vnet1-sbu，此時會自動配置設定一個公用ip，這是你的公網ip，當時我們此次試驗用不上，不管他。

15.單擊下一步，管理 進階 和标記都保持預設即可。

16.确認資訊無誤後點選建立。

17.等待部署完成，大約需要1-2分鐘。檢視虛拟機，可以看到已建立成功。

18.同樣步驟建立第二個虛拟機，命名為abc-vnet2-vm

19.虛拟網絡選擇abc-vnet2，子網為abc-vnet2-sub。其他設定同第一台虛拟機一樣。

20.檢視虛拟機abc-vnet2-vm。建立成功。

三、建立虛拟網絡網關

21.搜尋虛拟網絡網關，進入并點選添加。

22.輸入自定義名稱，這裡我設定為abc-Gateway。SKU保持預設Vpn-Gw1。虛拟網絡選擇abc-vnet1，系統預設會勾選'建立公共IP'，選擇之前的訂閱、資源組，位置需要選擇于之前建立abc-vnet1同樣的區域即'中國東部2'，否則位置不同不可使用。點選建立。

23.系統提示正在部署。注：網關建立需要至少45分鐘的時間，請耐心等待。

24.建立成功後，可在虛拟網絡網關中看見abc-Gateway。

四、建立生成并導出用戶端根證書

建立自簽名根證書

25.打開powershell，輸入命如下令，并且請勿關閉視窗。

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign           

生成用戶端證書

26.在視窗中繼續輸入如下指令：

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")           

導出根證書公鑰 (.cer)

27.使用 PowerShell 鍵入“certmgr” 。會打開證書程式。按照如圖所示順序進行操作。

28.在上一步點選導出後，會彈出證書導出向導，點選下一步。

29.導出私鑰視窗中選擇 不，不要導出私鑰

30.選擇 Base64編碼X.509(.CER)(S)，點選下一步。

31.設定導出路徑和檔案名。這裡我選擇導出到桌面，檔案名設定為rootcertificate.cer。點選下一步。

32.提示導出成功。

33.在設定的導出路徑下會看到如下的.cer證書。

34.使用記事本打開，會開到類似如下資訊，若不對說明之前操作步驟有問題請檢查。

五、導出自簽名根證書

35.如圖所示，選擇 用戶端身份驗證 檔案，如圖所示進行導出。

36.選擇是，導出私鑰

37.按照圖中勾選設定。

38.輸入自定義密碼，用于以後安裝時驗證。

39.選擇儲存路徑，這裡我選擇儲存在桌面并命名為clientcert.pfx

40.确認資訊，完成導出。

41.可以在路徑下看的如圖所示的檔案，說明導出成功。

六、添加用戶端位址池

42.點選abc-Gateway虛拟網絡網關→使用者vpn配置，立即配置。

43.此時打開cmd指令行工具，輸入ipconfig檢視IPv4的位址。這裡為172.16.網段，記住此網段。（注：這裡應當根據設定的子網網段）

44.使用記事本方式打開rootcertificate.cer，負責圖中藍色部分。

45.回到虛拟網絡網關 黏貼至 公共證書資料，位址池填入剛剛的位址池（注：為了友善做教程我的位址池直接設定了/16的子網路遮罩位數，各位請根據自己企業網絡下的網段進行精确設定。）點選儲存，這需要較長時間，請耐心等待。

七、安裝vpn并檢視P2S連接配接狀态

46.建立成功後，點選下載下傳vpn用戶端。

47.打開下載下傳好後的檔案，64位電腦選擇 VpnClientSetupAmd64.exe 進行安裝。

48.安裝完成後可在右下角網絡圖示中看到VPN點選進去。進入頁面，點選連接配接。确認連接配接成功。

50.在cmd中鍵入

ipconfig/all

，可以看到有PPP擴充卡abc-vnet1說明vpn連接配接成功

52.回到虛拟機1，檢視專用IP位址為10.20.0.6，我們ping一下。可以看到已經ping成功。說明電腦到abc-vnet1的網絡連接配接成功。

53.回到虛拟機2，檢視專用IP位址為10.21.0.4，我們嘗試ping一下。可以看到ping不同通，說明abc-vnet1和abc-vnet2現在還為連通。我們将在接下來的步驟中進行設定。

54.打開

C:\Users\>使用者名>\AppData\Roaming\Microsoft\Network\Connections\Cm\<GUID串>

可以看到我們abc-vnet1的網段資訊。隻有10.20.0.0，沒有abc-vnet2的10.21.0.1，顯然這是無法連通的，是以我們要進行對等連接配接配置。

八、建立對等連接配接

55.選擇abc-vnt1，點選對等，添加。

56.從abc-vnet1到abc-vnet2的名稱我命名為1to2，自然對端虛拟網絡選擇abc-vnet2。從abc-vnet2到abc-vnet1的名稱我命名為2to1，abc-vnet1中勾選 允許網關傳輸。确定儲存

57.可以看到已經建立好1to2的對等了。

58.進入abc-vnet2檢視也成功建立2to1的對等。

59.進入詳情檢視abc-vnet2，檢視是否已經勾選使用遠端網關，若無，請勾選。

九、檢視結果

60.回到虛拟網絡網關，再次 下載下傳vpn用戶端，安裝，連接配接vpn。

61.連接配接vpn成功後，打開

routes.txt

檔案,可以看到已經成功添加abc-vnet2網段10.21.0.0

62.此時我們ping一下

10.20.0.6

和

10.21.0.4

都成功ping通，說明已經成功打通本機到

abc-vnet1

，

abc-vnet1

到

abc-vnet2

，本機直接到vnet2的道路。

十、實驗成功！

最後檢視一下網絡拓撲圖

溫馨提示：朋友們在做完實驗後若不需要資源，請記得删除哦，否則按量付費的費用時間久了可是很可觀的.

今天的科普就到這裡，由于本人自身知識儲備有限，文字難免會有些疏漏和錯誤，還請各位朋友多多指正！希望這篇文章對你有所幫助。在以後的文章中，我将向大家講解更多有關雲産品的選擇、使用、注意事項等，希望大家能喜歡，一鍵三連多多支援。謝謝！