資訊無涯,回頭已不見岸
在前面文章有說明如何用 Fortigate 與 Azure 做站對站 VPN,但建起來的連線是單條線路,一般企業不太可能接受及擔負單條線路帶來的風險,所以我嘗試實做及測試,用雙線路與 Azure VPN Gateway 建立 VPN 連線,期望能達成高可用性的運作目標。
地端 VPN 設備同樣使用 Fortigate,線路的部份採用一條中華電信 (CHT),另一條為遠傳 (Sparq)。
本文不會對設定位置及欄位做太多說明,因為前文已提及。先簡單結論這次的佈建,其實就是在 Azure 及 Fortigate 上,再做一次 VPN 的設定建立。
在建好 Azure 與地端的 Site to Site VPN 後,心中有了一個大膽的想法
因為在預設狀況下, Azure 上的資源都是直接從雲端上 Internet,是否有可能強制走 VPN 從地端出去呢? 幾番測試研究後,終於實做出來。
[警語] 請務必閱讀完,瞭解設定後的狀況
類似文章其實國內外都有人寫過,不過也想用自己的方式分享一下。
一般狀況下,已在使用的 Azure 環境正常應該都至少有一個虛擬網路,所以文章說明直接從建立 VPN 閘道開始。
原始出發點其實是實驗性質的 Azure 線路測試,主要是遇到有朋友的公司在東南亞某國設廠,所以必須偶而出差至當地,但該國到台灣的網路狀況似乎不是很好,導致連回台灣總公司的 Web 系統並不是很順暢。
在跟朋友討論後,也為了評估該公司系統 P2V 移轉上 Azure 的可能,因此選擇了 Azure 東南亞機房 (新加坡),在上面使用 Windows VM 建立 Shadowsocks 服務當成跳板,利用 Azure 資料中心的對外線路再連回台灣,觀察連線順暢度。
設定過程如下
從開始用 Microsoft Azure 以來,一直堅持龜毛的事情是,任何的資源名稱都盡可能有規則,因為這讓我在管理及使用上有較佳的體驗;儘管 Azure 去年底正式發佈使用新的入口網站,建立 VM 的過程可以如舊管理平台,不用事先新建與 VM 相關像是虛擬網路、儲存體等資源,但建出來的名稱就是如下圖的混亂。
同樣的名稱其實是不同的資源類型。
但認真準備的話,新管理平台是可以讓你先新增會用到的資源,再於建立 VM 過程代入對應所需資源,就不會有名稱混亂的問題。
目前,尚無法在建立 VM 過程自訂帶入的,則是 VM 網路介面資源。所以怎樣建立全新的 VM,都一定會有一個帶亂數的網路介面資源名稱。
而且,即便關閉 VM,也無法從網站上直接變更網路介面資源。
花時間研究了一下,還好那句老話依舊有用:「GUI 有限,指令無限」
過去在管理 Azure 儲存體時,我大都是使用 PowerShell 或者第三方軟體像是 CloudBerry Explorer for Azure Blob Storage;約在去年底,微軟終於發佈自己撰寫的管理工具 - Microsoft Azure Storage Explorer ( 文後簡稱MS ASE ),儘管目前屬於 Preview 測試階段 ( 發文時的版本為 v0.7.20160107 ),但尚能滿足基本操作需求,而且還是跨平台連 Mac 或 Linux 均有。
他真的很方便,只要輸入可登入 Azure 的帳號,就會自動把所有關聯此帳號的訂閱及儲存體勾選後列出...
只是我們都知道,方便與資訊安全永遠很難畫上等號!!!
某天,在客戶公司進行 Azure VM 佈署管理時,為了加快建置時間,在客戶的「公用」電腦安裝了 MS ASE,因為該公司的內網不允許直接連到 Internet。安裝完成,沒想太多就在 Azure Storage Explorer 順手用自己的 Microsoft Account 登入。
直到工作完成,我才發現...代誌大條了!!! 因為客戶的公用電腦只要一開 MS ASE,就會自動用我的帳號密碼登入,而且還把我自己及其他客戶的儲存體帳戶通通列出來。
© 2024 蘇老碎碎唸
Theme by Anders Noren — Up ↑
近期留言