(混合云:本地计算机可以连接到Azure的虚拟网络上)
第一步:创建虚拟网络
第二步:在虚拟网络中加入一个虚拟网关子网
分配给网关子网的IP地址不能小于3个
注意:网关子网不需要更改名字,只需分配一个网络地址块
可选操作:Azure内网2台虚拟机可通过IP或DNS域名进行通信,如果需要,可自定义部署DNS服务器
第三步:创建虚拟网关,加入到虚拟网络中
虚拟网络网关类型分为 2 种:VPN、ExpressRoute
点到站点VPN:VPN虚拟网关(一般点到站点VPN网络连接不需要专用的路由和设备,采用普通的VPN类型虚拟网关即可满足需求;)
站点到站点VPN:ExpressRoute (要求本地网络与云端虚拟网络连接速度较快则采用ExpressRoute类型网关)
VPN类型分为基本路由Route-based 、策略路由Policy-based (大多采用基于路由)
SKU:网关计价方式 (基本、标准、高性能)
选择属于哪个虚拟网络
第四步: 生成自签名根证书
证书2种生成方式: PowerShell、 Windows自带命令makecert
方法一: Windows自带命令makecert
D:\makecert -sky exchange -r -n "CN=P2SRootCert1102" -pe -a sha256 -len 2048 -ss My
D:\makecert -n "CN=P2SClientCert1102" -pe -sky exchange -m 96 -ss My -in "P2SRootCert1102" -is my -a sha256
生成的证书自动保存在证书管理器内,手动将它导出,运行命令:certmgr.msc
注意:导出选择Base64 编码格式
使用记事本打开:
注意:由于Azure让其输入证书的类型属于单行文本框,需要手动将证书的换行符去掉
方法二:使用PowerShell创建根证书
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature ' -Subject "CN=证书名" -KeyExportPolicy Exportable ' -HashAlgorithm sha256 -KeyLength 2048 ' -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
使用根证书,生成客户端证书
New-SelfSignedCertificate -Type Custom -KeySpec Signature ' -Subject "CN=P2SChildCert" -KeyExportPolicy Exportable ' -HashAlgorithm sha256 -KeyLength 2048 ' -CertStoreLocation "Cert:\CurrenUser\My" ' -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
第五步:进入已创建的虚拟网络网关
点击进入站点到站点的VPN连接配置(不能与本地IP地址段冲突!)
