Síťové představení robustního síťového centra Azure Stack

Přehled návrhu sítě

Návrh fyzické sítě

Robustní řešení centra Azure Stack vyžaduje odolnou a vysokou dostupnou fyzickou infrastrukturu pro podporu jeho provozu a služeb. Odchozí připojení z paměti k přepínačům ohraničení jsou omezená na SFP28a SFP + nebo na více než 1 GB, 10 GB nebo rychlosti 25 GB. Obraťte se na dodavatele hardwaru OEM (Original Equipment Manufacturer) pro dostupnost.

Následující diagram znázorňuje náš doporučený návrh pro robustní Azure Stack hub.

Síť robustních fyzických sítí centra Azure Stack

Návrh logické sítě

Návrh logické sítě představuje abstrakci fyzické síťové infrastruktury. Slouží k organizování a zjednodušení přiřazení sítě pro hostitele, virtuální počítače a služby. V rámci vytváření logických sítí se vytvoří síťové lokality, které definují:

  • virtuální místní sítě (VLAN)
  • Podsítě IP
  • Páry podsítě protokolu IP/sítě VLAN

Všechny, které jsou spojeny s logickou sítí v každém fyzickém umístění.

Následující tabulka uvádí logické sítě a přidružené rozsahy podsítí IPv4, které je nutné naplánovat:

Logická síť Popis Velikost
Veřejná virtuální IP adresa (VIP) Zarobustní centrum Azure Stack používá celkem 31 adres z této sítě. Osm veřejných IP adres se používá pro malou sadu robustních služeb centra Azure Stack a zbývající jsou používány virtuálními počítači klienta. pokud plánujete použít App Service a poskytovatele prostředků SQL, použijí se 7 dalších adres. Zbývajících 15 IP adres se rezervuje pro budoucí služby Azure. /26 (62 hostitelů) –
/22 (1022 hostitelů)

Doporučené =/24 (254 hostitelů)
Přepnout infrastrukturu IP adresy Point-to-Point pro účely směrování, rozhraní pro správu vyhrazených přepínačů a adresy zpětné smyčky přiřazené přepínači. za 26
Infrastruktura Používá se pro Azure Stack centrálního centra ke komunikaci. za 24
Privátní Používá se pro síť úložiště, privátní virtuální IP adresy, kontejnery infrastruktury a další interní funkce. /20
Řadič pro správu základní desky (BMC) Slouží ke komunikaci s řadiči pro správu základní desky na fyzických hostitelích. za 26

Síťová infrastruktura

Síťová infrastruktura pro robustní centrum Azure Stack se skládá z několika logických sítí, které jsou nakonfigurované na přepínačích. Následující diagram znázorňuje tyto logické sítě a způsob jejich integrace s přepínači "rozvaděče", řadič pro správu základní desky a hraniční (zákaznická síť).

Diagram robustní logické sítě centra Azure Stack:

Narobustní logická síť centra Azure Stack

Síť řadiče pro správu základní desky

Tato síť je vyhrazena pro připojení všech řadičů pro správu základní desky (označovaných také jako BMC nebo procesory služeb) k síti pro správu. Mezi příklady patří: iDRAC, MOP, iBMC a tak dále. Ke komunikaci s jakýmkoli uzlem BMC se používá jenom jeden účet řadiče pro správu základní desky. Je-li k dispozici, je hostitel životního cyklu hardwaru (HLH) umístěn v této síti a může poskytovat software pro správu a údržbu hardwaru určený výrobcem OEM.

HLH také hostuje virtuální počítač nasazení (DVM). DVM se používá během robustního nasazení centra Azure Stack a po dokončení nasazení se odebere. DVM vyžaduje přístup k internetu ve scénářích propojeného nasazení, aby bylo možné testovat, ověřovat a přistupovat k několika komponentám. Tyto součásti můžou být uvnitř firemní sítě i mimo ni (například NTP, DNS a Azure). Další informace o požadavcích na připojení najdete v části věnované překladu adres (NAT) v článku Integrace brány firewall ve službě Azure Stack hub.

Privátní síť

Síť/20 (IP adresy hostitele 4096) je privátní pro robustní oblast centra Azure Stack. Nerozšiřuje se nad rámec hraničních zařízení, která jsou v nerobustní oblasti centra Azure Stack. Tato síť je rozdělená do několika podsítí, například:

  • Storage síť: a/25 (128 ip adres), která se používá k podpoře použití prostorových přímých a přenosů úložiště protokolu SMB (Server Message Block) a migrace za provozu virtuálních počítačů.
  • Interní virtuální IP síť: a/25 síť vyhrazenou pouze pro interní VIP pro nástroj pro vyrovnávání zatížení softwaru.
  • Síť kontejneru: a/23 (512 IP adres), které jsou vyhrazené jenom pro interní přenosy mezi kontejnery, na kterých běží služby infrastruktury

Velikost privátní sítě je/20 (4096 IP adres) privátního ADRESního prostoru. Tato síť je soukromá pro robustní systém centra Azure Stack. Netrasuje se nad rámec zařízení s přepínačem ohraničení v robustním systému centra Azure Stack a je možné ho znovu použít na několik robustních systémů centra Azure Stack. I když je síť soukromá, aby se centrum Azure Stack robustní, nesmí se překrývat s ostatními sítěmi v datacentru. Pokyny k privátnímu adresnímu prostoru IP adres vám doporučujeme postupovat podle dokumentu RFC 1918.

Privátní IP adresa/20 je rozdělená do několika sítí, která umožňuje, aby se v kontejnerech v budoucích verzích spouštěla robustní systémová infrastruktura centra Azure Stack. Podrobnosti najdete v poznámkách k verzi 1910. Tato nová privátní IP adresa umožňuje průběžné úsilí snížit před nasazením požadovaný adresní prostor IP adres.

Síť robustní infrastruktury Azure Stack hub

Síť/24 je vyhrazená pro interní Azure Stack robustních komponent centra, aby bylo možné komunikovat a vyměňovat data mezi sebou. Tuto podsíť je možné směrovat externě do vašeho datacentra v rámci robustního řešení centra Azure Stack. V této podsíti nedoporučujeme používat veřejné nebo internetové IP adresy směrování. Tato síť se inzeruje na hranici, ale většina IP adres je chráněná pomocí seznamů Access Control (ACL). IP adresy povolené pro přístup jsou v malém rozsahu, který má stejnou velikost až do/27 sítě. Hostitelské služby s IP adresami, jako je PEP (privilegeed end Point) a robustní zálohování centra Azure Stack.

Síť veřejných virtuálních IP adres

Veřejná VIP síť je přiřazena k síťovému adaptéru v zarobustním rozbočovači Azure Stack. Nejedná se o logickou síť na přepínači. SLB používá fond adres a přiřazuje sítě/32 pro zatížení klientů. V tabulce směrování přepínače se tyto/32 IP adresy inzerují jako dostupná trasa přes Border Gateway Protocol (BGP). Tato síť obsahuje veřejné adresy, které jsou externě přístupné. Robustní infrastruktura centra Azure Stack si z této veřejné sítě VIP vyhradí prvních 31 adres, zatímco zbytek je využíván virtuálními počítači klienta. Velikost sítě v této podsíti může být v rozsahu od minimálně/26 (64 hostitelů) až do maximálního počtu/22 (1022 hostitelů). Doporučujeme, abyste naplánovali síť/24.

Přepnout síť infrastruktury

Síť/26 je podsíť, která obsahuje směrování podsítě IP adres Point-to-Point/30 (dvou hostitelských IP adres) a zpětné smyčky. Jedná se o vyhrazené podsítě/32 pro správu integrovaných přepínačů a ID směrovače protokolu BGP. Tento rozsah IP adres musí být směrovatelný do vašeho datacentra prostřednictvím robustního řešení centra Azure Stack. IP adresy můžou být privátní nebo veřejné.

Přepnout síť pro správu

Síť/29 (šest hostitelských IP adres) je vyhrazená pro připojení portů pro správu přepínačů. Tato síť umožňuje přístup mimo pásmo pro nasazení, správu a řešení potíží. Počítá se ze sítě infrastruktury přepínače uvedené výše.

Přehled návrhu DNS

Chcete-li získat přístup k robustním koncovým bodům centra Azure Stack (portál, adminportal, Management, adminmanagement) z vnějšího centra Azure Stack robustní, je nutné integrovat službu Azure Stack hub v centru služby DNS servery DNS, které hostují zóny DNS, které chcete použít v zarobustním centru Azure Stack.

Obor názvů DNS, který je robustní v Azure Stack hub

V případě, že nasazujete Azure Stack centrum, budete muset poskytnout některé důležité informace týkající se DNS.

Pole Popis Příklad
Oblast Geografické umístění robustního nasazení centra Azure Stack. east
Název externí domény Název zóny, kterou chcete použít pro robustní nasazení centra Azure Stack. cloud.fabrikam.com
Interní název domény Název interní zóny, která se používá pro služby infrastruktury v centru Azure Stack je robustní. Je to integrovaná a privátní adresářová služba (není dostupná z vnějšku nasazování Azure Stack hub). azurestack. Local
Servery DNS pro přeposílání Servery DNS, které se používají k přeposílání dotazů DNS, zón DNS a záznamů hostovaných mimo Azure Stack hub, buď na podnikovém intranetu nebo na veřejném Internetu. Po nasazení můžete hodnotu služby DNS resílat upravit pomocí rutiny set-AzSDnsForwarder .
Předpona názvů (volitelné) Předpona názvů, kterou chcete, aby názvy počítačů instancí rolí v centru Azure Stack měly zavedenou infrastrukturu. Pokud není zadaný, výchozí hodnota je "AZS". azs

Plně kvalifikovaný název domény (FQDN) robustního nasazení centra Azure Stack a koncových bodů je kombinací parametru region a parametru názvu externí domény. Při použití hodnot z příkladů v předchozí tabulce by se plně kvalifikovaný název domény pro toto nasazení Azure Stackého centra v tomto prostředí mohl nacházet: East.Cloud.fabrikam.com

Například příklady některých koncových bodů tohoto nasazení by vypadaly jako následující adresy URL:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Pokud chcete tento ukázkový obor názvů DNS použít pro robustní nasazení centra Azure Stack, vyžadují se tyto podmínky:

  • Zóna fabrikam.com je registrovaná s doménovým registrátorem, interním podnikovým serverem DNS nebo obojím. Registrace závisí na požadavcích na překlad názvů.
  • Podřízená doména cloud.fabrikam.com existuje v zóně fabrikam.com.
  • Servery DNS, které hostují zóny fabrikam.com a cloud.fabrikam.com, se dají kontaktovat z robustního nasazení centra Azure Stack.

Chcete-li přeložit názvy DNS Azure Stack pro robustní koncové body a instance z vnějšího centra Azure Stack, je nutné integrovat servery DNS. Včetně serverů, které jsou hostiteli externích zón DNS pro službu Azure Stack hub, se servery DNS, které hostují nadřazenou zónu, kterou chcete použít.

Popisky názvů DNS

Robustní centrum Azure Stack podporuje přidání popisku názvu DNS na veřejnou IP adresu, aby bylo možné překlad názvů pro veřejné IP adresy. Popisky DNS představují pohodlný způsob, jak uživatelům oslovit aplikace a služby hostované v centru Azure Stack, které jsou robustní podle názvu. Popisek názvu DNS používá mírně odlišný obor názvů než koncové body infrastruktury. V následujícím ukázkovém oboru názvů bude obor názvů pro popisky názvů DNS: *. East.cloudapp.Cloud.fabrikam.com.

Pokud tenant určí v poli název DNS prostředku veřejné IP adresy hodnotu MyApp , vytvoří záznam a pro Myapp v zóně East.CLOUDAPP.Cloud.fabrikam.com na externím serveru DNS centra Azure Stack. Výsledný plně kvalifikovaný název domény by byl: MyApp.East.cloudapp.Cloud.fabrikam.com.

Pokud chcete tuto funkci využít a použít tento obor názvů, musíte integrovat servery DNS. Včetně serverů, které jsou hostiteli externích zón DNS pro službu Azure Stackového centra, a serverů DNS, které hostují nadřazenou zónu, kterou chcete použít taky. Tento obor názvů je jiný než ten, který se používá pro zablokované koncové body služby Azure Stack hub, takže musíte vytvořit další pravidlo delegování nebo podmíněného předávání.

Další informace o tom, jak popisek názvu DNS funguje, najdete v části "použití DNS" v centru Azure Stack robustnostd.

Překládání a delegování

Existují dva typy serverů DNS:

  • Autoritativní server DNS hostí zóny DNS. Odpovídá pouze na dotazy DNS pro záznamy v těchto zónách.
  • Rekurzivní server DNS nehostuje zóny DNS. Odpovídá na všechny dotazy DNS voláním autoritativních serverů DNS, které shromáždí potřebná data.

Zarobustní centrum Azure Stack zahrnuje autoritativní i rekurzivní servery DNS. Rekurzivní servery se používají k překladu názvů všeho s výjimkou interní privátní zóny a externí veřejné zóny DNS pro robustní nasazení centra Azure Stack.

Překlad externích názvů DNS z robustního centra Azure Stack

Chcete-li přeložit názvy DNS pro koncové body Azure Stack mimo www.bing.com rozbočovače (například: ), je nutné poskytnout servery DNS, aby bylo centrum Azure Stack robustní pro přeposílání požadavků DNS, pro které je Azure Stack robustního centra autoritativní. V listu nasazení (v poli pro přeposílání DNS) se vyžadují servery DNS, na které Azure Stack v centru nasazení požadavky na zasílané služby. Pro odolnost proti chybám zadejte v tomto poli aspoň dva servery. Bez těchto hodnot se nepovedeně nasazení centra Azure Stack nezdařilo. Po nasazení můžete hodnoty DNS pro přeposílání upravit pomocí rutiny set-AzSDnsForwarder .

Přehled návrhu brány firewall

Pro lepší zabezpečení Azure Stackho centra se doporučuje používat zařízení brány firewall. Brány firewall můžou přispět k obraně proti akcím, jako jsou například distribuované útoky s cílem odepření služeb (DDOS), zjišťování vniknutí a kontrola obsahu. Můžou se ale taky stát kritickými body pro služby Azure Storage, jako jsou objekty blob, tabulky a fronty.

Pokud se používá režim odpojeného nasazení, je nutné publikovat AD FS koncový bod. Další informace najdete v článku věnovaném identitě pro integraci Datacenter.

Koncové body pro Azure Resource Manager (správce), portál pro správu a Key Vault (správce) nemusí nutně vyžadovat externí publikování. Například jako poskytovatel služeb můžete omezit plochu pro útok tím, že spravujete centrum Azure Stack, které je robustní v rámci vaší sítě, a ne z Internetu.

V případě podnikových organizací může být externí síť stávající podnikovou sítí. V tomto scénáři je nutné publikovat koncové body, aby bylo možné provozovat rozbočovač Azure Stack robustní z podnikové sítě.

Překlad síťových adres

Překlad síťových adres (NAT) je doporučená metoda, která umožňuje virtuálnímu počítači pro nasazení (DVM) získat přístup k externím prostředkům během nasazování. Také pro virtuální počítače ERCS (Emergency Recovery Console) nebo privilegovaného koncového bodu (PEP) během registrace a odstraňování potíží.

Překlad adres (NAT) může být také alternativou k veřejným IP adresám na externí nebo veřejné VIP. To se ale nedoporučuje, protože to omezuje činnost koncového uživatele tenanta a zvyšuje složitost. Jednou z možností je jeden pro překlad adres (NAT), který stále vyžaduje jednu veřejnou IP adresu pro uživatele ve fondu. Další možností je celá řada pro překlad adres (NAT), která vyžaduje pravidlo překladu adres (NAT) na uživatelskou VIP pro všechny porty, které uživatel může použít.

K downsides používání protokolu NAT pro veřejné virtuální IP adresy patří:

  • Režie při správě pravidel brány firewall, protože uživatelé řídí jejich vlastní koncové body a pravidla publikování v zásobníku softwarově definované sítě (SDN). Uživatelé musí kontaktovat robustního operátoru centra Azure Stack, aby mohli své virtuální IP adresy publikovat a aktualizovat seznam portů.
  • I když použití překladu adres (NAT) omezuje činnost koncového uživatele, poskytuje operátorovi úplnou kontrolu nad požadavky publikování.
  • V případě hybridních cloudových scénářů s Azure zvažte, že Azure nepodporuje nastavování tunelu VPN pro koncový bod pomocí překladu adres (NAT).

Zachycení SSL

V současné době doporučujeme zakázat jakékoli zachycení SSL (například snižování zátěže) u všech robustních přenosů centra Azure Stack. Pokud je podpora v budoucích aktualizacích podporovaná, poskytnou se pokyny, jak povolit zachycení protokolu SSL pro Azure Stackho rozbočovače.

Scénář brány firewall nasazení Edge

V nasazení hraničních zařízení se Azure Stack hub nasazuje přímo za hraničním směrovačem nebo bránou firewall. V těchto scénářích se podporuje, aby brána firewall byla nad hranicí (scénář 1), kde podporuje konfigurace brány firewall aktivní-aktivní i aktivní – pasivní. Může také fungovat jako hraniční zařízení (scénář 2), kde podporuje pouze konfiguraci brány firewall aktivní-aktivní. Scénář 2 se pro převzetí služeb při selhání spoléhá na ECMP (EQUAL-cost multi-Path) s protokolem BGP nebo statickým směrováním.

Veřejné IP adresy určené pro veřejný fond VIP z externí sítě v době nasazení. Z bezpečnostních důvodů se veřejné směrovatelné IP adresy nedoporučují v žádné jiné síti ve scénáři Edge. Tento scénář umožňuje uživateli vyzkoušet si plně řízené cloudové prostředí jako ve veřejném cloudu, jako je Azure.

Scénář brány firewall na robustních hraničních zařízeních centra Azure Stack

scénář brány firewall pro Enterprise intranet nebo hraniční sítě

V podnikovém intranetovém nebo hraničním nasazení se nasadí Azure Stack rozbočovače na bránu firewall s více zónami, nebo mezi hraniční bránou firewall a interní bránou firewall podnikové sítě. Provoz se pak distribuuje mezi zabezpečenou, hraniční sítí (nebo DMZ) a nezabezpečenými zónami, jak je popsáno níže:

  • Zabezpečená zóna: interní síť, která používá interní nebo firemní IP adresy, které se používají. Zabezpečenou síť lze rozdělit. Může mít internetový odchozí přístup prostřednictvím NAT brány firewall. Obvykle je k dispozici ve vašem datovém centru prostřednictvím interní sítě. Všechny robustní sítě centra Azure Stack by měly být umístěné v zabezpečené zóně, s výjimkou veřejného fondu VIP externí sítě.
  • Hraniční zóna. Hraniční síť je obvykle nasazení externích nebo internetových aplikací, jako jsou webové servery. Obvykle se monitoruje bránou firewall, aby se zabránilo útokům, jako jsou útoky DDoS a neoprávněný vniknutí (hacking), a přitom umožňuje zadaný příchozí provoz z internetu. V zóně DMZ by se měl Azure Stack Hub fond veřejných virtuálních IP Azure Stack Hub externí sítě.
  • Nezabezpečená zóna. Externí síť, internet. Nasazení Azure Stack Hub v nezabezpečené zóně se nedoporučuje.

Scénář brány firewall hraniční sítě

Přehled návrhu sítě VPN

I když je síť VPN konceptem uživatele, existuje několik důležitých věcí, které vlastník a operátor řešení potřebuje znát.

Než budete moci odesílat síťový provoz mezi vaší virtuální sítí Azure a místní lokalitou, musíte pro svou virtuální síť vytvořit bránu virtuální sítě (VPN).

Brána VPN je typem brány virtuální sítě, která odesílá šifrovaný síťový provoz přes veřejné spojení. Brány VPN Gateway můžete použít k zabezpečenému posílání provozu mezi virtuální sítí v Azure Stack Hub a virtuální sítí v Azure. Můžete také bezpečně odesílat provoz mezi virtuální sítí a jinou sítí, která je připojená k zařízení VPN.

Při vytváření brány virtuální sítě musíte určit typ brány, který chcete vytvořit. Azure Stack Hub podporuje jeden typ brány virtuální sítě: typ Vpn.

Každá virtuální síť může mít dvě brány virtuální sítě, ale každého typu jenom jednu. V závislosti na nastavení, které zvolíte, můžete k jedné bráně VPN vytvořit několik připojení. Příkladem tohoto druhu nastavení je konfigurace připojení více lokalit.

Než vytvoříte a nakonfigurujete brány VPN pro Azure Stack Hub odolné sítě, prohlédněte si důležité informace Azure Stack Hub nekonfigurované sítě. Zjistíte, jak se konfigurace pro Azure Stack Hub liší od Azure.

V Azure je třeba propustnost šířky pásma pro SKU brány VPN, kterou zvolíte, rozdělit na všechna připojení, která jsou připojená k bráně. V Azure Stack Hub je ale hodnota šířky pásma pro SKU brány VPN použita pro každý prostředek připojení, který je připojený k bráně. Například:

  • V Azure může základní SKU brány VPN pojmout agregovanou propustnost přibližně 100 Mb/s. Pokud vytvoříte dvě připojení k této bráně VPN a jedno připojení používá šířku pásma 50 Mb/s, bude pro druhé připojení k dispozici 50 Mb/s.
  • V Azure Stack Hub je každému připojení k základní SKU brány VPN přiděleno 100 Mb/s propustnosti.

Typy sítě VPN

Při vytváření brány virtuální sítě pro konfiguraci brány VPN je nutné zadat typ sítě VPN. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit. Typ sítě VPN může také záviset na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují pouze určitý typ sítě VPN.

Důležité

V současné Azure Stack Hub podporuje pouze typ sítě VPN založený na trasách. Pokud vaše zařízení podporuje pouze sítě VPN založené na zásadách, připojení k Azure Stack Hub nejsou podporována. Kromě toho Azure Stack Hub v tuto chvíli nepodporuje použití selektorů provozu založených na zásadách pro brány založené na směrování, protože vlastní konfigurace zásad IPSec/IKE se nepodporují.

  • PolicyBased:Sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad IPsec. Zásady se konfiguruje s kombinacemi předpon adres mezi vaší místní sítí a Azure Stack Hub odolnou virtuální sítí. Zásady nebo selektor provozu jsou obvykle přístupový seznam v konfiguraci zařízení VPN. PolicyBased se podporuje v Azure, ale ne v Azure Stack Hub členitě.
  • RouteBased:Sítě VPN založené na směrování používají trasy nakonfigurované v tabulce předávání IP nebo směrovací tabulce. Trasy směrují pakety do odpovídajících rozhraní tunelu. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektor provozu pro sítě VPN typu RouteBased jsou nakonfigurované jako any-to-any (nebo použijte zástupné znaky). Ve výchozím nastavení je nelze změnit. Hodnota typu RouteBased VPN je RouteBased.

Konfigurace brány VPN

Připojení brány VPN využívá několik prostředků, které jsou nakonfigurované s konkrétním nastavením. Většinu těchto prostředků je možné nakonfigurovat samostatně, ale v některých případech je nutné je nakonfigurovat v určitém pořadí.

Nastavení

Nastavení, která pro každý prostředek zvolíte, jsou pro vytvoření úspěšného připojení kritická.

Tento článek vám pomůže pochopit:

  • Typy bran, typy sítě VPN a typy připojení.
  • Podsítě brány, brány místní sítě a další nastavení prostředků, která můžete zvážit.

Diagramy topologie připojení

Pro připojení brány VPN jsou k dispozici různé konfigurace. Určete, která konfigurace nejlépe vyhovuje vašim potřebám. V následujících částech můžete zobrazit informace a diagramy topologie o následujících připojeních brány VPN:

  • dostupný model nasazení,
  • dostupné konfigurační nástroje,
  • odkazy na příslušný článek, pokud existuje.

Diagramy a popisy v následujících částech vám můžou pomoct s výběrem topologie připojení, která bude odpovídat vašim požadavkům. Diagramy zobrazují hlavní základní topologie, ale je možné vytvořit složitější konfigurace pomocí diagramů jako vodítka.

Site-to-Site a multi-site (tunel VPN IPsec/IKE)

Site-to-Site

Připojení brány VPN site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv2). Tento typ připojení vyžaduje místní zařízení VPN s přiřazenou veřejnou IP adresou. Toto zařízení nemůže být umístěné za nat. Připojení S2S můžete použít pro konfigurace mezi různými místy a pro hybridní konfigurace.

Připojení typu multi-site (pro více lokalit)

Připojení typu multi-site je variantou připojení typu site-to-site. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám. Při práci s více připojeními musíte použít typ sítě VPN založený na směrování (při práci s klasickými virtuálními sítěmi se označuje jako dynamická brána). Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma.

Skladové položky brány

Když vytváříte bránu virtuální sítě pro Azure Stack Hub, zadáte SKU brány, kterou chcete použít. Podporují se následující skladové položky brány VPN:

  • Basic
  • Standard
  • High Performance

Výběrem vyšší SKU brány se k bráně přidělí více procesorů a šířky pásma sítě. V důsledku toho může brána podporovat vyšší propustnost sítě do virtuální sítě.

Azure Stack Hub odolná nepodporuje SKU brány Ultra Performance, která se používá výhradně s Express Route.

Při výběru SKU zvažte následující:

  • Azure Stack Hub odolná nepodporuje brány založené na zásadách.
  • Protokol BGP se nepodporuje na základní SKU.
  • Současně existující konfigurace brány ExpressRoute-VPN nejsou podporované v Azure Stack Hub odolné.

Dostupnost brány

Scénáře s vysokou dostupností je možné nakonfigurovat pouze na SKU připojení brány s vysokým výkonem. Na rozdíl od Azure, který poskytuje dostupnost prostřednictvím konfigurace aktivní/aktivní i aktivní/pasivní, Azure Stack Hub podporuje pouze konfiguraci aktivní/pasivní.

Převzetí služeb při selhání

Existují tři virtuální počítače infrastruktury brány s více tenanty v Azure Stack Hub odolné. Dva z těchto virtuálních počítače jsou v aktivním režimu a třetí v redundantním režimu. Aktivní virtuální počítače umožňují na nich vytvořit připojení VPN a redundantní virtuální počítač přijímá připojení VPN pouze v případě, že dojde k převzetí služeb při selhání. Pokud se aktivní virtuální počítač brány stane nedostupným, připojení VPN se po krátké (několikasekundové) ztrátě připojení přenechá redundantnímu virtuálnímu počítače.

Odhadovaná agregovaná propustnost podle typů SKU

Následující tabulka uvádí typy brány a odhadovanou agregovanou propustnost podle SKU brány:

Propustnost brány sítě VPN (1) Maximální počet tunelových propojení IPsec brány sítě VPN (2)
Základní SKU(3) 100 Mb/s 20
Standardní SKU 100 Mb/s 20
SKU s vysokým výkonem 200 Mb/s 10

Poznámky tabulky

(1) – propustnost sítě VPN není zaručená propustnost pro připojení mezi různými místy přes Internet. Je to maximální možné měření propustnosti.
(2) – maximální počet tunelových propojení je celkovým nasazením v rámci centra Azure Stack ve všech předplatných.
(3) – pro základní SKU není podporováno směrování protokolu BGP.

Důležité

Mezi dvěma robustními nasazeními centra Azure Stack se dá vytvořit jenom jedno připojení typu Site-to-Site VPN. Důvodem je omezení platformy, která umožňuje jenom jedno připojení VPN ke stejné IP adrese. Vzhledem k tomu, že centrum Azure Stack využívá více tenantů, což pro všechny brány VPN v robustním systému centra Azure Stack používá jednu veřejnou IP adresu, může existovat jenom jedno připojení VPN mezi dvěma Azure Stackmi robustními systémy centra.

Toto omezení platí i pro připojení více než jednoho připojení VPN typu Site-to-site k libovolné bráně VPN, která používá jednu IP adresu. V případě robustního centra Azure Stack nepovoluje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy. * *

Parametry protokolu IPsec/IKE

Když nastavíte připojení k síti VPN v Azure Stackovém centru, je nutné nakonfigurovat připojení na obou koncích. Pokud konfigurujete připojení VPN mezi robustním a hardwarovým zařízením centra Azure Stack, může vám toto zařízení vyžadovat další nastavení. Například přepínač nebo směrovač, který funguje jako brána sítě VPN.

Na rozdíl od Azure, který podporuje více nabídek jako iniciátor i respondér, podporuje služba Azure Stack hub robustní jenom jednu nabídku ve výchozím nastavení. Pokud pro práci se zařízením VPN potřebujete použít jiné nastavení protokolu IPSec/IKE, máte k dispozici více nastavení pro ruční konfiguraci připojení.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost Hodnota
Verze IKE IKEv2
Skupina Diffie-Hellman ECP384
Metoda ověřování Předsdílený klíč
&Algoritmy hash šifrování AES256, SHA384
Životnost SA (čas) 28 800 sekund

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost Hodnota
Verze IKE IKEv2
&Algoritmy hash šifrování (šifrování) GCMAES256
&Algoritmy hash šifrování (ověřování) GCMAES256
Životnost SA (čas) 27 000 sekund
Životnost SA (kilobajty) 33 553 408
Metoda Perfect Forward Secrecy (PFS) ECP384
Detekce mrtvých partnerských zařízení Podporováno

Konfigurace vlastních zásad připojení IPSec/IKE

Protokol IPsec a IKE standard podporuje široké spektrum kryptografických algoritmů v různých kombinacích. Pokud chcete zjistit, které parametry jsou v centru Azure Stack robustní pro zajištění požadavků na dodržování předpisů nebo požadavky na zabezpečení, přečtěte si téma parametry protokolu IPsec/IKE.

Tento článek poskytuje pokyny, jak vytvořit a nakonfigurovat zásadu IPsec/IKE a použít ji pro nové nebo existující připojení.

Požadavky

Při používání těchto zásad Vezměte v vědomí následující důležité informace:

  • Zásady IPsec/IKE fungují jenom na SKU brány Standard a HighPerformance (na základě tras).
  • Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
  • Je nutné zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i pro protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
  • Pokud chcete zajistit, aby se zásady na místních zařízeních VPN podporovaly, kontaktujte specifikace dodavatele zařízení VPN. Připojení Site-to-site nelze vytvořit, pokud jsou zásady nekompatibilní.

Pracovní postup vytvoření a nastavení zásad IPsec/IKE

Tato část popisuje pracovní postup nutný k vytvoření a aktualizaci zásad IPsec/IKE na připojení VPN typu Site-to-site:

  1. Vytvořte virtuální síť a bránu VPN.
  2. Vytvořte bránu místní sítě pro připojení mezi různými místy.
  3. Vytvořte zásadu IPsec/IKE s vybranými algoritmy a parametry.
  4. Vytvořte připojení IPSec pomocí zásad IPsec/IKE.
  5. Přidat nebo aktualizovat nebo odebrat zásady IPsec/IKE pro existující připojení.

Podporované kryptografické algoritmy a síly klíčů

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíčů, které lze konfigurovat pomocí Azure Stackch robustních zákazníků centra:

IPsec/IKEv2 Možnosti
Šifrování protokolem IKEv2 AES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2 SHA384, SHA256, SHA1, MD5
Skupina DH ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Šifrování protokolem IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Doba života přidružení zabezpečení v rychlém režimu (Volitelné: použijí se výchozí hodnoty, pokud není zadaný)
Sekundy (Integer; min. 300/výchozí 27 000 sekund)
Kilobajty (Integer; min. 1024/výchozí 102 400 000 KB)
Selektor provozu Selektory přenosu na základě zásad nejsou podporované v Azure Stackovém centru.

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:

  • Šifrovací algoritmus IKE (hlavní režim/fáze 1).
  • Algoritmus integrity protokolu IKE (hlavní režim/fáze 1).
  • Skupina DH (hlavní režim/fáze 1)
  • Šifrovací algoritmus IPsec (rychlý režim/fáze 2).
  • Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2).
  • Skupina PFS (rychlý režim / fáze 2).
  • Životnosti SA jsou pouze místní specifikace, nemusí se shodovat.

Pokud se jako šifrovací algoritmus protokolu IPsec používá GCMAES, musíte vybrat stejný algoritmus GCMAES a délku klíče pro integritu protokolu IPsec. Příklad: Použití GCMAES128 pro oba.

V tabulce:

  • IKEv2 odpovídá hlavnímu režimu nebo fázi 1.
  • Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
  • Skupina DH určuje skupinu Diffie-Hellmen, která se používá v hlavním režimu nebo fázi 1.
  • Skupina PFS určuje skupinu Diffie-Hellmen se používá v rychlém režimu nebo fázi 2.
  • Životnost SA hlavního režimu IKEv2 je pevně nastavená na 28 800 sekund na Azure Stack Hub robustní brány VPN.

Následující tabulka uvádí odpovídající skupiny Diffie-Hellman, které vlastní zásady podporují:

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
1 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14 PFS2048 2048bitová skupina MODP
DHGroup2048
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Připojení Azure Stack Hub nasazení do Azure pomocí Azure ExpressRoute

Přehled, předpoklady a požadavky

Azure ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu. Použijete privátní připojení dodané poskytovatelem připojení. ExpressRoute není připojení VPN přes veřejný internet.

Další informace o připojeních Azure ExpressRoute tématu Přehled ExpressRoute.

Předpoklady

Tento článek předpokládá, že:

  • Máte funkční znalosti Azure.
  • Máte základní znalosti o tom, jak Azure Stack Hub robustní.
  • Máte základní znalosti o sítích.

Požadavky

Pokud se Azure Stack Hub připojit k Azure s využitím ExpressRoute, musíte splňovat následující požadavky:

  • Zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.
  • Předplatné Azure pro vytvoření okruhu ExpressRoute a virtuálních sítí v Azure.
  • Směrovač, který podporuje:
    • site-to-site VPN mezi jeho rozhraním LAN a Azure Stack Hub odolnou více tenantské bránou.
    • vytvoření více virtuálních virtuálních sítí (virtuální směrování a předávání), pokud je v Azure Stack Hub více tenantů.
  • Směrovač, který má:
    • Port WAN připojený k okruhu ExpressRoute.
    • Port LAN připojený k Azure Stack Hub odolná více tenantská brána.

Architektura sítě ExpressRoute

Následující obrázek znázorňuje Azure Stack Hub a prostředí Azure po dokončení nastavení ExpressRoute pomocí příkladů v tomto článku:

Architektura sítě ExpressRoute

Následující obrázek ukazuje, jak se několik tenantů připojuje z Azure Stack Hub odolné infrastruktury prostřednictvím směrovače ExpressRoute do Azure:

Architektura sítě ExpressRoute s více tenanty