Připojení typu VNet-to-VNet mezi Azure Stack Hub instancemi se síťovým virtuálním virtuálním zařízením Fortinet FortiGate

V tomto článku připojíte virtuální síť v jedné Azure Stack Hub k virtuální síti v jiné Azure Stack Hub pomocí síťového virtuálního zařízení Fortinet FortiGate.

Tento článek se zabývá aktuálním omezením Azure Stack Hub, které umožňuje tenantům nastavit pouze jedno připojení VPN napříč dvěma prostředími. Uživatelé se dozví, jak nastavit vlastní bránu na virtuálním počítači s Linuxem, která umožní více připojení VPN napříč různými Azure Stack Hub. Postup v tomto článku nasadí dva virtuální sítě s virtuálním zařízením FortiGate v každé virtuální síti: jedno nasazení na Azure Stack Hub prostředí. Obsahuje také podrobné informace o změnách požadovaných k nastavení sítě VPN IPSec mezi dvěma virtuálními sítěmi. Postup v tomto článku by se měl opakovat pro každou virtuální síť v každé Azure Stack Hub.

Požadavky

  • Přístup k Azure Stack Hub integrovaným systémům s dostupnou kapacitou pro nasazení požadovaných požadavků na výpočetní prostředky, síť a prostředky potřebné pro toto řešení.

    Poznámka

    Tyto pokyny nebudou fungovat s Azure Stack Development Kit (ASDK), protože v ASDK platí omezení sítě. Další informace najdete v požadavcích a aspektech asdk.

  • Řešení síťového virtuálního zařízení (NVA) stažené a publikované na Azure Stack Hub Marketplace. Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá řešení brány firewall nové generace Fortinet FortiGate pro jeden virtuální počítač.

  • Alespoň dva dostupné licenční soubory FortiGate pro aktivaci síťového virtuálního zařízení FortiGate. Informace o tom, jak tyto licence získat, najdete v článku Knihovna dokumentů Fortinet – Registrace a stažení vaší licence.

    Tento postup používá nasazení single fortiGate-VM. Postup připojení síťového virtuálního zařízení FortiGate k virtuální síti Azure Stack Hub v místní síti.

    Další informace o nasazení řešení FortiGate v nastavení aktivní-pasivní (HA) najdete v článku Knihovna dokumentů Fortinet HA pro fortiGate-VM v Azure.

Parametry nasazení

Následující tabulka shrnuje parametry, které se používají v těchto nasazeních pro referenci:

Nasazení 1: Forti1

FortiGate Instance Name Forti1
Licence nebo verze BYOL 6.0.3
Uživatelské jméno pro správu FortiGate fortiadmin
Název skupiny prostředků forti1-rg1
Název virtuální sítě forti1vnet1
Adresní prostor virtuální sítě 172.16.0.0/16*
Název podsítě veřejné virtuální sítě forti1-PublicFacingSubnet
Předpona veřejné adresy virtuální sítě 172.16.0.0/24*
Název podsítě virtuální sítě forti1-InsideSubnet
Předpona podsítě virtuální sítě 172.16.1.0/24*
Velikost virtuálního počítače síťového virtuálního zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy forti1-publicip1
Typ veřejné IP adresy Static

Nasazení 2: Forti2

FortiGate Instance Name Forti2
Licence nebo verze BYOL 6.0.3
Uživatelské jméno pro správu FortiGate fortiadmin
Název skupiny prostředků forti2-rg1
Název virtuální sítě forti2vnet1
Adresní prostor virtuální sítě 172.17.0.0/16*
Název podsítě veřejné virtuální sítě forti2-PublicFacingSubnet
Předpona veřejné adresy virtuální sítě 172.17.0.0/24*
Název podsítě virtuální sítě Forti2-InsideSubnet
Předpona podsítě virtuální sítě 172.17.1.0/24*
Velikost virtuálního počítače síťového virtuálního zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy Forti2-publicip1
Typ veřejné IP adresy Static

Poznámka

* Zvolte jinou sadu adresní prostorů a předpon podsítě, pokud se výše uvedené předpony libovolně překrývají s místním síťovým prostředím, včetně fondu virtuálních IP adres Azure Stack Hub. Ujistěte se také, že se rozsahy adres navzájem nepřekrývají.**

Nasazení položek FortiGate NGFW z Marketplace

Tento postup opakujte pro obě Azure Stack Hub prostředí.

  1. Otevřete portál Azure Stack Hub User Portal. Nezapomeňte použít přihlašovací údaje, které mají alespoň oprávnění přispěvatele k předplatnému.

  2. Vyberte Vytvořit prostředek a vyhledejte .

    Snímek obrazovky ukazuje jeden řádek výsledků hledání

  3. Vyberte bránu FortiGate NGFW a pak vyberte Vytvořit.

  4. Proveďte základy pomocí parametrů z tabulky Parametry nasazení.

    Formulář by měl obsahovat následující informace:

    Textová pole (například Název instance a Licence BYOL) dialogového okna Základy byla vyplněna hodnotami z tabulky nasazení.

  5. Vyberte OK.

  6. V části Parametry nasazení zadejte podrobnosti o virtuální síti, podsítích a velikosti virtuálního počítače.

    Pokud chcete použít různé názvy a rozsahy, používejte parametry, které budou v konfliktu s ostatními virtuálními sítěmi a prostředky FortiGate v Azure Stack Hub prostředí. To platí zejména při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí v rámci virtuální sítě. Zkontrolujte, že se nepřekrývají s rozsahy IP adres pro druhou virtuální síť, kterou vytvoříte.

  7. Vyberte OK.

  8. Nakonfigurujte veřejnou IP adresu, která se bude používat pro síťové virtuální zařízení FortiGate:

    Textové pole Název veřejné IP adresy v dialogovém okně Přiřazení IP adresy zobrazuje hodnotu

  9. Vyberte OK a pak Vyberte OK.

  10. Vyberte Vytvořit.

Nasazení bude trvat přibližně 10 minut. Teď můžete kroky zopakovat a vytvořit další nasazení virtuální sítě a síťového virtuálního zařízení FortiGate v Azure Stack Hub prostředí.

Konfigurace tras (tras URS) pro každou virtuální síť

Proveďte tyto kroky pro obě nasazení, forti1-rg1 a forti2-rg1.

  1. Přejděte na skupinu prostředků forti1-rg1 na Azure Stack Hub Portal.

    Toto je snímek obrazovky se seznamem prostředků ve skupině prostředků forti1-rg1.

  2. Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx.

  3. V části vyberteNastavení.

    Snímek obrazovky ukazuje zvýrazněnou položku Routes (Trasy) Nastavení.

  4. Odstraňte internetovou trasu.

    Snímek obrazovky ukazuje zvýrazněnou trasu do internetu. K dispozici je tlačítko pro odstranění.

  5. Vyberte Ano.

  6. Vyberte Přidat.

  7. Pojmete trasu nebo to-forti2 . Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

  8. Zadejte:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

  9. Jako Typ dalšího segmentu směrování vyberte Virtuální zařízení.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

    Dialogové okno Upravit trasu pro to-forti2 obsahuje textová pole s hodnotami. Předpona adresy je 172.17.0.0/16,

  10. Vyberte Uložit.

Opakujte postup pro každou trasu InsideSubnet pro každou skupinu prostředků.

Aktivujte síťová virtuální zařízení FortiGate a nakonfigurujte pro každé síťové virtuální zařízení připojení VPN s protokolem IPSec.

K aktivaci každého síťového virtuálního zařízení FortiGate budete od Fortinetu vyžadovat platný licenční soubor. Síťová virtuální zařízení nebudou fungovat, dokud neaktivovali jednotlivá síťová virtuální zařízení. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku Knihovna dokumentů Fortinet Registrace a stažení licence.

Bude potřeba získat dva licenční soubory – jeden pro každé síťové virtuální zařízení.

Vytvoření sítě VPN IPSec mezi těmito dvěma nvA

Po aktivaci těchto virtuálních zařízení postupujte podle těchto kroků a vytvořte síť VPN IPSec mezi těmito dvěma virtuálními zařízeními.

Postupujte podle následujících kroků pro síťové virtuální zařízení forti1 i pro virtuální zařízení forti2:

  1. Získejte přiřazenou veřejnou IP adresu tak, že přejdete na stránku přehledu virtuálního počítače fortiX:

    Na stránce s přehledem forti1 se zobrazuje skupina prostředků, stav atd.

  2. Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte ji do adresního řádku. Váš prohlížeč vás může upozornit, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.

  3. Zadejte uživatelské jméno a heslo správce FortiGate, které jste za předpokladu nasazení za předpokladu.

    Snímek obrazovky je přihlašovací obrazovka s tlačítkem Přihlásit se a textová pole pro uživatelské jméno a heslo.

  4. Vyberte Firmwaresystému.

  5. Zaškrtněte políčko s nejnovějším firmwarem, například FortiOS v6.2.0 build0866 .

    Snímek obrazovky firmwaru FortiOS v6.2.0 build0866 obsahuje odkaz na poznámky k verzi a dvě tlačítka: Konfigurace a upgrade zálohování a Upgrade.

  6. Vyberte Konfigurace zálohování a upgrade a po zobrazení výzvy pokračovat.

  7. Síťové virtuální zařízení aktualizuje firmware na nejnovější sestavení a restartuje ho. Tento proces trvá přibližně pět minut. Přihlaste se zpět do webové konzoly FortiGate.

  8. Klikněte na Průvodce VPNIPSec.

  9. Zadejte název sítě VPN, například v conn1 Průvodci conn1

  10. Vyberte Tento web je za nat.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že se jedná o první krok, Nastavení sítě VPN. Jsou vybrány následující hodnoty:

  11. Vyberte Další.

  12. Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se budete připojovat.

  13. Jako Odchozí rozhraní vyberte port1.

  14. Vyberte Před sdílený klíč a zadejte (a zaznamente) před sdílený klíč.

    Poznámka

    Tento klíč budete potřebovat k nastavení připojení k místnímu zařízení VPN, to znamená, že se musí přesně shodovats .

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že se jedná o druhý krok Ověřování a vybrané hodnoty jsou zvýrazněné.

  15. Vyberte Další.

  16. Jako Místní rozhraní vyberteport2.

  17. Zadejte rozsah místní podsítě:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

  18. Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se připojíte prostřednictvím místního zařízení VPN.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že se jedná o třetí krok Směrování zásad <img src= zobrazující vybrané a zadané hodnoty." data-linktype="relative-path"/>

  19. Vyberte Vytvořit.

  20. Vyberte Síťovározhraní.

    Seznam rozhraní zobrazuje dvě rozhraní: port1, který je nakonfigurovaný, a port2, který ještě není. Existují tlačítka pro vytváření, úpravy a odstraňování rozhraní.

  21. Dvakrát klikněte na port2.

  22. V seznamu Role zvolte SÍŤLAN a jako Režim adresování zvolte DHCP.

  23. Vyberte OK.

Opakujte postup pro druhé síťové virtuální zařízení.

Všechny selektory fáze 2

Po dokončení výše uvedených kroků pro obě síťová virtuální zařízení:

  1. Ve webové konzole forti2 FortiGate vyberte Monitorovatmonitorování protokolu IPsec.

    V seznamu je uvedené monitorování připojení VPN conn1. Zobrazuje se jako neschová, stejně jako odpovídající selektor fáze 2.

  2. conn1Zvýrazněte a conn1>>

    Monitor i selektor fáze 2 se zobrazí jako .

Testování a ověření připojení

Teď byste měli být schopni směrovat mezi jednotlivými virtuálními sítěmi přes síťová virtuální zařízení FortiGate. Pokud chcete připojení ověřit, vytvořte virtuální Azure Stack Hub v každé virtuální síti InsideSubnet. Vytvoření virtuálního Azure Stack Hub můžete provést prostřednictvím portálu, Azure CLI nebo PowerShellu. Při vytváření virtuálních počítače:

  • Virtuální Azure Stack Hub virtuální počítače se umístí do insidesubnet každé virtuální sítě.

  • Při vytváření virtuálního počítače nepoužijete žádné NSG (to znamená, že pokud vytváříte virtuální počítač z portálu, odeberte tuto NSG, která se přidá ve výchozím nastavení.

  • Ujistěte se, že pravidla brány firewall virtuálního počítače umožňují komunikaci, kterou budete používat k otestování připojení. Pro účely testování se doporučuje bránu firewall zcela zakázat v rámci operačního systému, pokud je to možné.

Další kroky

Rozdíly a důležité informace týkající se Azure Stack Hub sítě
Nabídka síťového řešení ve Azure Stack Hub fortiGate