问题标签 [azure-vpn]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 如何使用特定于 Azure VPN 要求的 MakeCert 命令为 Azure VPN 创建根证书
如何使用特定于 Azure VPN 要求的 MakeCert 命令为 Azure VPN 创建根证书
1)请提及可以根据 Azure VPN 要求生成证书的具体命令和 2)如何获取证书的字符串值以将其放在 Azure 上?
azure-vpn - 无法使用虚拟 WAN 创建点到站点连接
我已经按照下面提到的文章中的步骤进行操作,但是,无法遵循它描述如何创建 P2S 配置的部分,因为我在虚拟 WAN 下看不到添加点到站点配置的选项建筑学。每项服务都列为已注册。我的 VWAN 在启用点到站点配置之前就已经存在,我什至创建了一个全新的 VWAN,但没有看到在其中任何一个上添加 P2S 配置的选项。有任何想法吗?
https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-point-to-site-portal
azure - 将 P2S VPN 连接到 VNET
我有一个 P2S VPN 可以连接到一个 Azure 订阅,其中包含我想要访问的多个服务器。从我的私人笔记本连接到这个 P2S VPN 非常有效。
此外,我有自己的 Azure 订阅,其中包含多个虚拟机。现在我可以在每一个上设置 P2S VPN 客户端。然而,这似乎不是一个优雅的解决方案。我只想创建一个 VNET 并将这个 VNET 连接到我现有的 P2SVPN。然后我可以将我所有的虚拟机连接到那个 VNET 并且会非常高兴。
如何才能做到这一点?我所有的研究都只是展示了如何将客户端连接到 P2S VPN。其他页面显示了我如何连接到一个 VNET 并将 S2S VPN 设置到另一个 VNET。
谢谢
azure - 用于连接不同 azure aks 集群中的多个资源的 azure 单个 vpn 网关
我有以下要求
要求 我们目前在不同的 vnet 中有多个 azure AKS 集群(dev、uat、staging...)。这些 AKS 群集通过 terraform 使用高级网络选项进行部署。我们需要通过单个 vpn 网关连接这些环境。
我的理解和查询 根据我的理解,我们不能在同一个子集中创建多个 aks 集群。
如果我们需要使用单个 vpn 网关来连接多个 vnet,我们需要对等所有这些 vnet。它将创建不重叠的巨大 vnet。
查询
- 是适用于整个 vnet 或整个子网的单个 AKS。
- 我还假设不可能使用单个 vpn 网关来连接多个 AKS 集群,因为它涉及 Vnet 对等互连并在网络和 kuernates 入口服务方面增加了复杂性。
azure - 通过 VPN 网关的 Azure VNET 用户定义路由
我们有两个本地位置(不同的 IP 范围),它们都通过站点到站点 VPN 和 VPN 网关连接到 Azure 中的单独 VNET。
位置 1 的设备可以访问 VNET1 中的资源,而 VNET1 中的资源可以访问位置 1 的本地资源。
位置 2 的类似设备可以访问 VNET2 中的资源,而 VNET2 中的资源可以访问位置 2 的本地资源。
现在我们想设置一些共享服务(Kubernetes 集群),可以从两个本地位置访问,并且可以访问两个位置的设备。位置 1 的设备不应到达位置 2 的设备。
我可以在其中一个对等互连上使用“允许网关转换”。但是我不能在两者上都使用它,因为只有在您还没有网关并且最多有一个对等互连的情况下,您才能拥有它。
所以我一直在研究用户定义的路线(UDR)。但我没有运气。
在服务 vnet 中的“默认”子网中,我尝试定义到 10.252.0.0/16 的路由,该路由将使用 192.168.30.1 (VNET 1 GW) 作为下一跳。那是行不通的。我是否必须在两个 vnet 上设置一些虚拟防火墙设备才能路由?
问:如何让位置 1 和 2 的设备访问共享的 Kubernetes 服务,以及 Kubernetes 服务如何访问位置 1 和 2 的本地资源。
azure - 无法从本地机器 ping 到 azure vnet
我无法通过 VPN 网关连接从本地 VM ping 到 Azure 中的 VM。仅当 Azure 中的 VM 位于与建立 VPN 连接的 VNET 不同的 VNET 中时,才会出现此问题。但是,Azure VNET 之间存在对等连接。这是我这边的功能还是配置错误?
所以这里是设置:
- VNET0:空间 192.168.90.0/24 中的 VNET
- VM0:VNET0 (IP 192.168.90.4) 中的本地虚拟机
- VNET1:空间 10.15.0.0/16 中 Azure 中的 VNET
- VNET2:空间 10.16.0.0/16 中 Azure 中的 VNET
- Azure 中 VNET1 和 VNET2 之间的 VNET 对等互连允许流量转发
- 从本地 VNET0 到 Azure VNET1 的 VPN 网关
- Azure 中的 VM1 在 VNET1 中连接,更详细地在子网 10.15.90.0/24 (IP 10.15.90.4) 中连接
- Azure 中的 VM2 在 VNET2 中连接,更详细地在子网 10.16.90.0/24 (IP 10.16.90.4) 中连接
- Azure 中的网络安全组允许从任何地方到 VNET2 中分配的任何地方的所有流量,更详细地说是在子网 10.16.90.0/24 中
- 本地防火墙 VPN 隧道上的配置有一条规则,允许本地防火墙中来自 VNET1 和 VNET2 的传入和传出流量
问题
- 工作场景:可以从VM0 ping VM1
- 非工作场景:无法从 VM0 ping VM2
知道问题可能出在哪里吗?
azure - 在 Azure 中为点到站点 VPN 配置静态 IP 地址
如何使用静态 IP 地址配置点到站点 VPN,因为我的应用程序依赖于 VPN 网关提供的静态 IP 地址。甚至可以使用点到站点吗?ExpressRoute 和 Site-to-Site VPN 等选项呢?
azure - 用于具有域服务的独立 Azure 安装的 Azure Active Directory 租户
我们在 Azure 中为一位客户提供了一个基础结构,它需要许多配置,例如带有 VPN 和远程桌面的 MFA(这就是我对 Azure AD 感到困惑的原因)。
安装应该只在 Azure 中,这意味着没有可以同步到它的本地 AD。
我为他们创建了一个单独的 Azure 目录,并在其中配置了一个 AD DS,以便我可以将 Azure VM 加入其中。
我的问题是我被要求为远程桌面用户配置 MFA 以及 VPN 连接。我应该安装具有 MFA 扩展的本地 NPS 和本地 AD 用户的 MFA 要求应该与 Azure AD 同步。就我而言,这是不可能的,因为该客户没有本地网络。据我了解,此问题是因为我们无权管理 Azure AD DS Active Directory,因此我们无法使用 MFA 扩展注册 NPS。以下是与此主题相关的一些链接:
我的问题是:1)这个租户的单独 Azure AD 是一个好主意吗?在我们公司 Azure AD 中创建一个 Azure AD 域服务并将所需的组同步到它不是更好吗?这种情况的最佳做法是什么?
2) 为了在这里使用 Azure MFA,我应该怎么做?Azure 中是否还有其他选项可以实现这样的场景?
我会很高兴得到任何帮助或解释。
sql-server - 从 Azure Web 应用(通过 Azure S2S VPN)查询本地 SQL Server 失败
我们的基础架构团队一直在努力在我们的 Azure 订阅和我们的本地防火墙之间配置一个站点到站点的 Azure VPN 连接,基本上遵循这些步骤。为了测试这一点,我们创建了一个简单的 Azure Web 应用程序,该应用程序对位于防火墙后面的本地 SQL Server 进行查询。
这个网络应用程序在本地运行没有问题。此外,当编译为控制台应用程序并在 Azure 虚拟机上运行时,相同的代码和连接字符串也可以正常工作。但是当部署到 Azure 中的 Web 应用程序时,与 SQL Server 的连接失败:
[Win32Exception (0x80004005): 等待操作超时]
[SqlException (0x80131904):建立与 SQL Server 的连接时发生与网络相关或特定于实例的错误。服务器未找到或无法访问。验证实例名称是否正确以及 SQL Server 是否配置为允许远程连接。(提供者:TCP 提供者,错误:0 - 等待操作超时。)]
Azure VM 和 Web 应用程序都配置为指向 Azure VNet。似乎有什么东西阻止了 Web 应用程序在其默认端口 (1433) 上与 SQL Server 通信。如果我打开 Web 应用程序的调试控制台并tcpping使用默认端口 (80) 在 SQL Server 上执行操作,它会成功返回。但是tcpping到端口 1433 超时。
Azure 网络安全组似乎没有阻止该端口:
我发现与我们的特定设置相关的唯一解决方案基本上可以归结为“改用 Azure 混合连接”,这不是我们的首选。
azure - 连接到 Azure AD 条件访问 VPN 命令行
rasdial通常我在 Windows 上使用 VPN 连接。在使用 VPN 条件访问时,当我们通过单击任务栏上的网络图标连接到 VPN 时,会发生以下流程:
- VPN 客户端调用 Windows 10 的 Azure AD 令牌代理,将自己标识为 VPN 客户端。
- Azure AD 令牌代理向 Azure AD 进行身份验证,并向其提供有关尝试连接的设备的信息。Azure AD 服务器检查设备是否符合策略。
- 如果符合要求,Azure AD 会请求一个短期证书
- Azure AD 通过令牌代理将短期证书推送到证书存储区。然后,令牌代理将控制权返回给 VPN 客户端以进行进一步的连接处理。
- VPN 客户端使用 Azure AD 颁发的证书向 VPN 服务器进行身份验证。
所以rasdial直接使用会导致Remote Access error 798 - A certificate could not be found that can be used with this Extensible Authentication Protocol.As usingrasdial只有在流程中的初始步骤完成后才能工作。那么如何触发这个流命令行呢?