Připojení mezi virtuálními sítěmi mezi instancemi služby Azure Stack Hub pomocí síťového virtuálního zařízení Fortinet FortiGate
V tomto článku připojíte virtuální síť v jednom centru Azure Stack Hub k virtuální síti v jiné službě Azure Stack Hub pomocí síťového virtuálního zařízení Fortinet FortiGate.
Tento článek se zabývá aktuálním omezením služby Azure Stack Hub, které umožňuje tenantům nastavit pouze jedno připojení VPN ve dvou prostředích. Uživatelé se dozví, jak nastavit vlastní bránu na virtuálním počítači s Linuxem, která umožní více připojení VPN napříč různými službami Azure Stack Hub. Postup v tomto článku nasadí dva virtuální sítě s síťovým virtuálním virtuálním zařízením FortiGate v každé virtuální síti: jedno nasazení na každé prostředí Služby Azure Stack Hub. Obsahuje také podrobnosti o změnách potřebných k nastavení sítě VPN PROTOKOLU IPSec mezi dvěma virtuálními sítěmi. Postup v tomto článku by se měl opakovat pro každou virtuální síť v každé službě Azure Stack Hub.
Požadavky
Přístup k integrovaným systémům Azure Stack Hub s dostupnou kapacitou pro nasazení požadovaných požadavků na výpočetní prostředky, síť a prostředky potřebné pro toto řešení.
Poznámka
Tyto pokyny nebudou fungovat se sadou Azure Stack Development Kit (ASDK) kvůli omezením sítě v ASDK. Další informace najdete v tématu Požadavky a důležité informace o ASDK.
Řešení síťového virtuálního zařízení (NVA) se stáhlo a publikovalo na marketplace služby Azure Stack Hub. Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá jednoúčelové řešení brány firewall nové generace Fortinet FortiGate.
Alespoň dva dostupné licenční soubory FortiGate pro aktivaci síťového virtuálního zařízení FortiGate. Informace o tom, jak tyto licence získat, najdete v článku o registraci a stažení licence v knihovně dokumentů Fortinet.
Tento postup používá nasazení Single FortiGate-VM. Tady najdete postup připojení síťového virtuálního zařízení FortiGate k virtuální síti Azure Stack Hub ve vaší místní síti.
Další informace o tom, jak nasadit řešení FortiGate v nastavení aktivní-pasivní (HA), najdete v článku o vysoké dostupnosti fortinetské knihovny dokumentů pro fortiGate-VM v Azure.
Parametry nasazení
Následující tabulka shrnuje parametry, které se používají v těchto nasazeních pro referenci:
Nasazení 1: Forti1
Název instance FortiGate | Forti1 |
---|---|
Licence/verze BYOL | 6.0.3 |
Uživatelské jméno správce FortiGate | fortiadmin |
Název skupiny prostředků | forti1-rg1 |
Název virtuální sítě | forti1vnet1 |
Adresní prostor virtuální sítě | 172.16.0.0/16* |
Název podsítě veřejné virtuální sítě | forti1-PublicFacingSubnet |
Předpona adresy veřejné virtuální sítě | 172.16.0.0/24* |
Název podsítě virtuální sítě | forti1-InsideSubnet |
Předpona podsítě virtuální sítě | 172.16.1.0/24* |
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate | Standardní F2s_v2 |
Název veřejné IP adresy | forti1-publicip1 |
Typ veřejné IP adresy | Static |
Nasazení 2: Forti2
Název instance FortiGate | Forti2 |
---|---|
Licence/verze BYOL | 6.0.3 |
Uživatelské jméno správce FortiGate | fortiadmin |
Název skupiny prostředků | forti2-rg1 |
Název virtuální sítě | forti2vnet1 |
Adresní prostor virtuální sítě | 172.17.0.0/16* |
Název podsítě veřejné virtuální sítě | forti2-PublicFacingSubnet |
Předpona adresy veřejné virtuální sítě | 172.17.0.0/24* |
Název podsítě virtuální sítě | Forti2-InsideSubnet |
Předpona podsítě virtuální sítě | 172.17.1.0/24* |
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate | Standardní F2s_v2 |
Název veřejné IP adresy | Forti2-publicip1 |
Typ veřejné IP adresy | Static |
Poznámka
* Zvolte jinou sadu adresních prostorů a předpon podsítě, pokud se výše uvedené možnosti jakýmkoli způsobem překrývají s místním síťovým prostředím, včetně fondu virtuálních ip adres ve službě Azure Stack Hub. Také se ujistěte, že se rozsahy adres vzájemně nepřekrývají.**
Nasazení položek Z marketplace FortiGate NGFW
Tento postup opakujte pro obě prostředí služby Azure Stack Hub.
Otevřete uživatelský portál služby Azure Stack Hub. Nezapomeňte použít přihlašovací údaje, které mají alespoň práva přispěvatele k předplatnému.
Vyberte Vytvořit prostředek a vyhledejte
FortiGate
.Vyberte FortiGate NGFW a vyberte Vytvořit.
Dokončete základy pomocí parametrů z tabulky Parametry nasazení .
Formulář by měl obsahovat následující informace:
Vyberte OK.
Zadejte podrobnosti o virtuální síti, podsítích a velikosti virtuálního počítače z parametrů nasazení.
Pokud chcete používat jiné názvy a rozsahy, nepoužívejte parametry, které budou v konfliktu s ostatními prostředky virtuální sítě a fortiGate v jiném prostředí služby Azure Stack Hub. To platí zejména při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí v rámci virtuální sítě. Zkontrolujte, že se nepřekrývají s rozsahy IP adres pro druhou virtuální síť, kterou vytvoříte.
Vyberte OK.
Nakonfigurujte veřejnou IP adresu, která se použije pro síťové virtuální zařízení FortiGate:
Vyberte OK a pak Vyberte OK.
Vyberte Vytvořit.
Nasazení bude trvat přibližně 10 minut. Teď můžete tento postup zopakovat a vytvořit další nasazení síťového virtuálního zařízení FortiGate a virtuální sítě v jiném prostředí služby Azure Stack Hub.
Konfigurace tras (UDR) pro každou virtuální síť
Tyto kroky proveďte pro obě nasazení, forti1-rg1 a forti2-rg1.
Na portálu služby Azure Stack Hub přejděte do skupiny prostředků forti1-rg1.
Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx.
V části Nastavení vyberte Trasy.
Odstraňte trasu do internetu .
Vyberte Ano.
Vyberte Přidat.
Pojmenujte Trasu
to-forti1
neboto-forti2
. Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.Zadejte:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.
- forti1:
Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.
- forti1:
Vyberte Uložit.
Opakujte kroky pro každou trasu InsideSubnet pro každou skupinu prostředků.
Aktivace síťových virtuálních zařízení FortiGate a konfigurace připojení IPSec VPN na každém síťovém virtuálním zařízení
K aktivaci každého síťového virtuálního zařízení FortiGate budete vyžadovat platný licenční soubor z Fortinetu. Síťová virtuální zařízení nebudou fungovat, dokud neaktivujete jednotlivá síťová virtuální zařízení. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku o registraci a stažení licence v knihovně dokumentů Fortinet.
Bude potřeba získat dva licenční soubory – jeden pro každé síťové virtuální zařízení.
Vytvoření sítě IPSec VPN mezi dvěma síťovými virtuálními zařízeními
Po aktivaci síťových virtuálních virtuálních zařízení vytvořte mezi těmito dvěma síťovými virtuálními zařízeními síť VPN protokolu IPSec.
Postupujte podle následujících kroků pro síťové virtuální zařízení forti1 i pro síťové virtuální zařízení forti2:
Získejte přiřazenou veřejnou IP adresu tak, že přejdete na stránku přehledu virtuálního počítače fortiX:
Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte adresu do panelu Adresa. Prohlížeč vás může upozornit, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.
Zadejte uživatelské jméno a heslo pro správu FortiGate, které jste zadali během nasazení.
Vyberte Firmware systému>.
Zaškrtněte políčko s nejnovějším firmwarem,
FortiOS v6.2.0 build0866
například .Po zobrazení výzvy vyberte Konfigurace a upgrade zálohování a Pokračovat.
Síťové virtuální zařízení aktualizuje svůj firmware na nejnovější build a restartuje se. Proces trvá asi pět minut. Přihlaste se zpět do webové konzoly FortiGate.
Klikněte na Průvodce VPN>IPSec.
Zadejte název sítě VPN, například
conn1
v Průvodci vytvořením sítě VPN.Vyberte Tento web je za překladem adres (NAT).
Vyberte Další.
Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se chcete připojit.
Jako odchozí rozhraní vyberte port1.
Vyberte Předsdílený klíč a zadejte (a zaznamenejte) předsdílený klíč.
Poznámka
Tento klíč budete potřebovat k nastavení připojení k místnímu zařízení VPN, to znamená, že se musí přesně shodovat.
Vyberte Další.
Jako místní rozhraní vyberte port2.
Zadejte rozsah místní podsítě:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.
Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se budete připojovat prostřednictvím místního zařízení VPN.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.
Vyberte Vytvořit.
Vyberte Síťová>rozhraní.
Poklikejte na port2.
V seznamu Role zvolte SÍŤ LAN a jako režim adresování zvolte DHCP.
Vyberte OK.
Opakujte kroky pro jiné síťové virtuální zařízení.
Vyvolání všech selektorů fáze 2
Po dokončení výše uvedeného postupu pro obě síťová virtuální zařízení:
Ve webové konzole forti2 FortiGate vyberte Možnost Monitorování>protokolu IPsec.
Zvýrazněte
conn1
a vyberte selektory Vyvolat>všechny selektory fáze 2.
Testování a ověření připojení
Teď byste měli být schopni směrovat mezi jednotlivými virtuálními sítěmi přes síťová virtuální zařízení FortiGate. Pokud chcete ověřit připojení, vytvořte virtuální počítač Azure Stack Hub v každé virtuální síti InsideSubnet. Vytvoření virtuálního počítače služby Azure Stack Hub je možné provést prostřednictvím portálu, Azure CLI nebo PowerShellu. Při vytváření virtuálních počítačů:
Virtuální počítače služby Azure Stack Hub se umístí do vnitřní podsítě každé virtuální sítě.
Při vytváření virtuálního počítače nepoužijete žádné skupiny zabezpečení sítě (to znamená, že odeberete skupinu zabezpečení sítě, která se ve výchozím nastavení přidá při vytváření virtuálního počítače z portálu.
Ujistěte se, že pravidla brány firewall virtuálního počítače umožňují komunikaci, kterou budete používat k testování připojení. Pro účely testování se doporučuje úplně zakázat bránu firewall v operačním systému, pokud je to vůbec možné.
Další kroky
Rozdíly a důležité informace týkající se sítí služby Azure Stack Hub
Nabídka síťového řešení ve službě Azure Stack Hub s fortinet FortiGate
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro