Cloud-Server und -Dienste effizient vernetzen

Azure-Netzwerkgrundlagen für IT-Spezialisten

| Autor / Redakteur: Thomas Joos / Andreas Donner

Microsoft Azure ist mächtig und erlaubt mit ein wenig Know-how sogar die weltweite Standortvernetzung.
Microsoft Azure ist mächtig und erlaubt mit ein wenig Know-how sogar die weltweite Standortvernetzung. (Bild: Joos)

Unternehmen können in Microsoft Azure nicht nur komplexe Cloud-Dienste betreiben, sondern auch virtuelle Server, die sich untereinander vernetzen lassen und sich einen privaten IP-Bereich teilen. Dabei besteht auch die Möglichkeit, mit Subnetzen zu arbeiten sowie einzelne virtuelle Netzwerke mit dem Unternehmensnetzwerk auf Basis von VPN zu verbinden.

Virtuelle Netzwerk werden im Bereich "Netzwerke" des Webportals von Microsoft Azure verwaltet. Hier werden neue Netzwerke erstellt sowie bestehende Netze nachträglich angepasst. Unternehmen haben an dieser Stelle auch die Möglichkeit, mehrere virtuelle Netzwerke zu erstellen. Werden anschließend virtuelle Server oder Cloud-Dienste in Microsoft Azure gebucht, kann im Assistenten zum Erstellen des neuen Objekts das jeweilige virtuelle Netzwerk ausgewählt werden.

Virtuelle Computer und Cloud-Dienste an Azure-Netzwerke anbinden

Die virtuellen Computer und Cloud-Dienste in einem virtuellen Netzwerk können miteinander kommunizieren. Die IP-Adressvergabe basiert auf DHCP. Wenn mehrere virtuelle Server miteinander kommunizieren sollen, dann sollten Unternehmen immer zuerst das entsprechende virtuelle Netzwerk und dessen Subnetze im Bereich "Netzwerke" des Azure-Portals anlegen. Danach kann beim Anlegen von neuen virtuellen Computern das Netzwerk und das gewünschte Subnetz ausgewählt werden (siehe Abbildung 1).

Aber nicht nur beim Erstellen von virtuellen Servern stehen die virtuellen Azure-Netzwerke zur Verfügung, diese werden auch in den Assistenten zum Erstellen von Cloud-Diensten angezeigt. So besteht zum Beispiel die Möglichkeit, einen Hadoop-Cluster auf Basis von Microsoft Azure HDInsight in einem gemeinsamen virtuellen Netzwerk mit verschiedenen anderen Windows- oder Linux-Servern zu betreiben (siehe Abbildung 2).

Virtuelle Netzwerke erstellen

Über den Menüpunkt "Netzwerke" erstellen Administratoren mithilfe eines Assistenten ein neues Netzwerk. Im Rahmen der Erstellung kann auch gleich die IP-Adresse des DNS-Servers im virtuellen Netzwerk angegeben sowie eine Verbindung zum Unternehmensnetzwerk aufgebaut werden. Als DNS-Server lassen sich an dieser Stelle auch DNS-Server aus dem Internet oder DNS-Server im Unternehmensnetzwerk hinterlegen, wenn eine Anbindung an das Firmennetzwerk per VPN konfiguriert wurde.

Durch diese Verbindung lassen sich auch Daten zwischen Microsoft Azure und dem lokalen Unternehmensnetzwerk austauschen (siehe Abbildung 3). Die Anbindung an das Unternehmensnetzwerk erfolgt auf Basis eines IPSec-VPNs.

Sobald das Unternehmensnetzwerk mit dem virtuellen Microsoft Azure-Netzwerk verbunden ist, können die Azure-Dienste auf Ressourcen im Unternehmensnetzwerk zugreifen, und umgekehrt erreichen Anwender und Serverdienste im lokalen Netzwerk so die Cloud-Dienste und virtuellen Computer in Microsoft Azure.

Im Assistenten zum Erstellen eines neuen Netzwerks stehen auch Möglichkeiten zur Verfügung, verschiedene Subnetze zu erstellen (siehe Abbildung 4). Auch Adressräume innerhalb eines virtuellen Netzwerkes lassen sich dort erstellen. Microsoft Azure routet automatisch alle Subnetze und Adressräume, die während der Erstellung angelegt werden. Auch nach dem Erstellen eines virtuellen Netzwerks lassen sich aber jederzeit weitere Subnetze hinzufügen.

Im Fenster zum Erstellen eines neuen virtuellen Netzwerks und der Konfiguration der Subnetze können Administratoren den Subnetzen auch Namen geben. Diese Namen erscheinen beim Anlegen von virtuellen Computern und Cloud-Diensten, sodass sich Subnetze schneller und leichter zuordnen lassen.

Virtuelle Netzwerke verwalten

Alle virtuellen Netzwerke, die in einem Azure-Abonnement angelegt werden, lassen sich im Webportal über den Bereich "Netzwerke" nachträglich anpassen. Dazu klicken Administratoren auf das entsprechende Netzwerk und danach auf "Konfigurieren". Im Fenster lassen sich anschließend VPNs konfigurieren, DNS-Server für das Netzwerk festlegen sowie weitere Subnetze anlegen (siehe Abbildung 5). Im Dashboard des virtuellen Netzwerks sind darüber hinaus die Ressourcen zu sehen, die das virtuelle Netzwerk nutzen.

Bei der Planung des Adressraumes von IP-Adressen muss darauf geachtet werden, dass sich die Adressen nicht mit anderen überschneiden – und zwar auch nicht mit den IP-Adressen im Unternehmen, falls das virtuelle Netzwerk an das Unternehmensnetzwerk angebunden werden soll. Außerdem unterstützt Microsoft Azure nur die Verwendung privater Adressräume. In der Konfiguration der Adressräume lassen sich daher keine öffentlichen IP-Adressen konfigurieren.

Lokale Netzwerke hinzufügen

Um lokale Netzwerke des Unternehmens an Microsoft Azure anzubinden, steht in der Weboberfläche im Bereich "Netzwerke" oben der Befehl "Lokale Netzwerke" zur Verfügung. Hier werden zunächst der Name sowie die IP-Adresse des VPN-Gateways festgelegt, mit dem sich Azure verbinden soll.

Nachdem das lokale Netzwerk festgelegt ist, können Administratoren in den Einstellungen eines virtuellen Netzwerks die Option "Eine Verbindung mit dem lokalen Netzwerk herstellen" aktivieren. Nachdem die Option aktiviert ist, kann das gewünschte lokale Netzwerk ausgewählt werden, das zuvor konfiguriert wurde (siehe Abbildung 6). Sobald die Änderungen gespeichert wurden, fügt Microsoft Azure den IP-Adressraum des lokalen Netzwerkes zu den Adressräumen des virtuellen Netzwerks hinzu. Zusätzlich muss an dieser Stelle das Gateway-Subnetz konfiguriert werden.

Sobald diese Konfiguration abgeschlossen ist, lässt sich im Dashboard des entsprechenden virtuellen Netzwerkes ein neues dynamisches Gateway für die Anbindung am lokalen Netzwerk erstellen. Erst dadurch wird das virtuelle Netzwerk mit dem lokalen Unternehmensnetzwerk verbunden (siehe Abbildung 7). Der Menüpunkt steht im unteren Bereich zur Verfügung.

Nach der Konfiguration von Microsoft Azure können Administratoren im Dashboard von virtuellen Netzwerken mit dem Link "VPN-Geräteskript herunterladen" ein Skript herunterladen, mit dem verschiedene VPN-Server und auch Microsoft-Server für die Anbindung an Microsoft Azure konfiguriert werden (siehe Abbildung 8). Für Testumgebungen lassen sich auf diesem Weg auch Skripte für RAS-Server auf Basis von Windows Server 2012 R2 herunterladen. Beim Einsatz von Windows Server 2012 R2 wird die Konfiguration über dieses Skript in der PowerShell durchgeführt. Wie dabei vorgegangen wird, zeigt Microsoft in einem Video. Auch für andere Router-Hersteller stellt Microsoft Skripte zur Verfügung.

Multi-Site-VPNs mit Microsoft Azure

Betreiben Unternehmen mehrere Niederlassungen, die per VPN miteinander verbunden sind, können Administratoren in Microsoft Azure auch Multi-Site-VPNs nutzen. Bei diesem Vorgang wird das virtuelle Netzwerk in Microsoft Azure mit allen Standorten per VPN verbunden. Dadurch können die Cloud-Dienste in Microsoft Azure wesentlich effizienter mit den Ressourcen in den Rechenzentren arbeiten.

Durch Multi-Site-VPNs erhalten Unternehmen außerdem eine bessere Redundanz. Hinzu kommt die Möglichkeit, dass auch beim Einsatz mehrerer virtueller Netzwerke und Azure-Abonnements ein gemeinsames Multi-Site-VPN konfiguriert werden kann, das für alle Standorte, Abonnements, virtuelle Netzwerke und Cloud-Dienste funktioniert. Dadurch können Unternehmen ihre Netzwerke und Clients weltweit über Azure miteinander vernetzen. Auch verschiedene Abonnements mit unterschiedlich konfigurierten Serverdienste lassen sich so miteinander verbinden.

Damit Unternehmen Multi-Site-VPNs einsetzen können, muss das entsprechende Endgerät in den Rechenzentren kompatibel mit Microsoft Azure sein. Außerdem muss ein eigener IP-Adressraum für Microsoft Azure angelegt werden. Die Verwaltung erfolgt über die PowerShell mit dem Azure-Modul. Das VPN-Gerät muss jedoch dynamisches Routing unterstützen, damit eine Verbindung zu Microsoft Azure hergestellt werden kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43751010 / LAN- und VLAN-Administration)