Konfigurace hybridního připojení ke cloudu s využitím Azure a Azure Stack Hub

  • Článek
  • 8 min ke čtení

K prostředkům můžete přistupovat se zabezpečením v globálním Azure a Azure Stack Hub s využitím vzoru hybridního připojení.

V tomto řešení sestavíte ukázkové prostředí pro:

  • Udržujte data v místním prostředí, aby splňovala požadavky na ochranu osobních údajů nebo zákonné požadavky, ale udržte si přístup ke globálním prostředkům Azure.
  • Udržujte starší verzi systému při používání cloudového nasazení aplikací a prostředků v globálním Azure.

Tip

Diagram hybridních pilířů
Microsoft Azure Stack Hub je rozšíření Azure. Azure Stack Hub přináší flexibilitu a inovace cloud computing do místního prostředí a umožňuje jediný hybridní cloud, který umožňuje vytvářet a nasazovat hybridní aplikace kdekoli.

Článek Aspekty návrhu hybridních aplikací popisuje pilíře kvality softwaru (umístění, škálovatelnost, dostupnost, odolnost, možnosti správy a zabezpečení) pro navrhování, nasazování a provozování hybridních aplikací. Aspekty návrhu pomáhají optimalizovat návrh hybridních aplikací a minimalizují problémy v produkčních prostředích.

Požadavky

K vytvoření nasazení hybridního připojení je potřeba několik komponent. Příprava některých z těchto komponent nějakou dobu trvat, proto je naplánujte odpovídajícím způsobem.

Azure

  • Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
  • Vytvoření webové aplikace v Azure Poznamenejte si adresu URL webové aplikace, protože ji budete potřebovat v řešení.

Azure Stack Hub

Partner Azure OEM nebo hardwarový partner může nasadit produkční Azure Stack Hub a všichni uživatelé mohou nasadit Azure Stack Development Kit (ASDK).

Azure Stack Hub komponenty

Operátor Azure Stack Hub musí nasadit App Service, vytvořit plány a nabídky, vytvořit předplatné tenanta a přidat Windows Server 2016 image. Pokud už tyto komponenty máte, před zahájením tohoto řešení se ujistěte, že splňují požadavky.

Tento příklad řešení předpokládá, že máte základní znalosti Azure a Azure Stack Hub. Další informace před zahájením řešení najdete v následujících článcích:

Než začnete

Před zahájením konfigurace připojení hybridního cloudu ověřte, že splňujete následující kritéria:

  • Potřebujete externí veřejnou IPv4 adresu pro vaše zařízení VPN. Tato IP adresa nemůže být umístěná za překladem adres (NAT).
  • Všechny prostředky se nasadí ve stejné oblasti nebo umístění.

Hodnoty příkladů řešení

Příklady v tomto řešení používají následující hodnoty. Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo na ně odkazovat, abyste lépe pochopili příklady. Další informace o nastavení brány VPN najdete v tématu Informace o VPN Gateway Nastavení.

Specifikace připojení:

  • Typ sítě VPN: založená na trasách
  • Typ připojení: site-to-site (IPsec)
  • Typ brány: VPN
  • Název připojení Azure: Azure-Gateway-AzureStack-S2SGateway (portál tuto hodnotu automaticky vyplňuje)
  • Azure Stack Hub připojení: AzureStack-Gateway-Azure-S2SGateway (portál tuto hodnotu automaticky vyplňuje)
  • Sdílený klíč: jakýkoli kompatibilní s hardwarem VPN s odpovídajícími hodnotami na obou stranách připojení.
  • Předplatné: libovolné upřednostňované předplatné
  • Skupina prostředků: Test-Infra

IP adresy sítě a podsítě:

Azure / Azure Stack Hub připojení Name Podsíť IP adresa
Virtuální síť Azure Virtuální síť ApplicationvNet
10.100.102.9/23		 Podsítě applicationsubnet
10.100.102.0/24
GatewaySubnet
10.100.103.0/24
Azure Stack Hub virtuální sítě Virtuální síť ApplicationvNet
10.100.100.0/23		 Podsítě applicationsubnet
10.100.100.0/24
GatewaySubnet
10.100101.0/24
Azure Virtual Network Gateway Azure-Gateway
Azure Stack Hub Virtual Network Gateway AzureStack-Gateway
Veřejná IP adresa Azure Azure-GatewayPublicIP Určeno při vytvoření
Azure Stack Hub IP adresa AzureStack-GatewayPublicIP Určeno při vytvoření
Brána místní sítě Azure AzureStack-S2SGateway
10.100.100.0/23		 Azure Stack Hub veřejná IP adresa
Azure Stack Hub brány místní sítě Azure-S2SGateway
10.100.102.0/23		 Hodnota veřejné IP adresy Azure

Vytvoření virtuální sítě v globálním Azure a Azure Stack Hub

Pomocí následujícího postupu vytvořte virtuální síť pomocí portálu. Tyto příklady hodnot můžete použít, pokud tento článek používáte jenom jako řešení. Pokud tento článek používáte ke konfiguraci produkčního prostředí, nahraďte příklad nastavení vlastními hodnotami.

Důležité

Musíte zajistit, aby se IP adresy v Azure nepřekrývaly ani nepřekrývají Azure Stack Hub adresní prostory virtuální sítě.

Vytvoření virtuální sítě v Azure:

  1. Pomocí prohlížeče se připojte k Azure Portal a přihlaste se pomocí svého účtu Azure.
  2. Vyberte Vytvořit prostředek. Do pole Hledat na Marketplace zadejte "virtuální síť". Ve výsledcích vyberte Virtuální síť.
  3. V seznamu Vybrat model nasazení vyberte Resource Manager a pak vyberte Vytvořit.
  4. V části Vytvořit virtuální síť nakonfigurujte nastavení virtuální sítě. Názvy požadovaných polí mají předponu červenou hvězdičku. Když zadáte platnou hodnotu, hvězdička se změní na zelenou značku zaškrtnutí.

Vytvoření virtuální sítě v Azure Stack Hub:

  1. Opakujte výše uvedené kroky (1–4) pomocí Azure Stack Hub tenanta.

Přidání podsítě brány

Před připojením virtuální sítě k bráně musíte vytvořit podsíť brány pro virtuální síť, ke které se chcete připojit. Služby brány používají IP adresy, které zadáte v podsíti brány.

V Azure Portalpřejděte k virtuální Resource Manager, ve které chcete vytvořit bránu virtuální sítě.

  1. Výběrem virtuální sítě otevřete stránku Virtuální síť.

  2. V NASTAVENÍ vyberte Podsítě.

  3. Na stránce Podsítě vyberte +Podsíť brány. Otevře se stránka Přidat podsíť.

    Přidání podsítě brány

  4. Název podsítě se automaticky vyplní hodnotou GatewaySubnet. Tato hodnota se vyžaduje, aby Azure podsíť rozpoznal jako podsíť brány.

  5. Změňte zadané hodnoty rozsahů adres tak, aby odpovídaly vašim požadavkům na konfiguraci, a pak vyberte OK.

Vytvoření Virtual Network Gateway v Azure a Azure Stack

Pomocí následujících kroků vytvořte bránu virtuální sítě v Azure.

  1. Na levé straně stránky portálu vyberte a do vyhledávacího pole zadejte "brána virtuální + sítě".

  2. V části Výsledky vyberte Brána virtuální sítě.

  3. V části Brána virtuální sítě vyberte Vytvořit. Otevře se stránka Vytvořit bránu virtuální sítě.

  4. V možnosti Vytvořit bránu virtuální sítě zadejte hodnoty pro vaši bránu sítě pomocí našich příkladů hodnot v kurzu. Zahrnte následující další hodnoty:

    • SKU: Basic
    • Virtual Network: Vyberte virtuální síť, kterou jste vytvořili dříve. Automaticky se vybere podsíť brány, kterou jste vytvořili.
    • Konfigurace první IP adresy: Veřejná IP adresa vaší brány.

      • Vyberte Vytvořit konfiguraci PROTOKOLU IP brány, která vás zavede na stránku Zvolit veřejnou IP adresu.

      • Výběrem +Vytvořit novou otevřete stránku Vytvořit veřejnou IP adresu.

      • Zadejte Název veřejné IP adresy. Ponechte SKU basic a výběrem OK uložte provedené změny.

        Poznámka

        V současné VPN Gateway podporuje pouze dynamické přidělování veřejných IP adres. To ale neznamená, že se IP adresa po přiřazení k bráně VPN změní. Veřejná IP adresa se změní pouze v případě odstranění a opětovného vytvoření brány. Změna velikosti, resetování nebo jiné interní údržby nebo upgradů brány VPN nezmění IP adresu.

  5. Ověřte nastavení brány.

  6. Vyberte Vytvořit a vytvořte bránu VPN. Nastavení brány se ověří a na řídicím panelu se zobrazí dlaždice Nasazování brány virtuální sítě.

    Poznámka

    Vytváření brány může trvat až 45 minut. K zobrazení stavu dokončení může být nutné obnovit stránku portálu.

    Po vytvoření brány můžete zobrazit IP adresu, která je k ní přiřazená, zobrazením virtuální sítě na portálu. Brána se zobrazí jako připojené zařízení. Pokud chcete zobrazit další informace o bráně, vyberte zařízení.

  7. Opakujte předchozí kroky (1–5) v nasazení Azure Stack Hub nasazení.

Vytvoření brány místní sítě v Azure a Azure Stack Hub

Brána místní sítě obvykle odkazuje na vaše místní umístění. Webu dáte název, na který může azure nebo Azure Stack Hub odkazovat, a pak zadáte:

  • IP adresa místního zařízení VPN, pro které vytváříte připojení.

  • Předpony IP adres, které se budou směrovat přes bránu VPN do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti.

    Poznámka

    Pokud se vaše místní síť změní nebo potřebujete změnit veřejnou IP adresu zařízení VPN, můžete tyto hodnoty později aktualizovat.

  1. Na portálu vyberte + Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte Brána místní sítě a pak stiskněte Enter a vyhledejte. Zobrazí se seznam výsledků.

  3. Vyberte Brána místní sítě a pak vyberte Vytvořit. Otevře se stránka Vytvořit bránu místní sítě.

  4. V možnosti Vytvořit bránu místní sítě zadejte hodnoty pro bránu místní sítě pomocí našich příkladů hodnot v kurzu. Zahrnte následující další hodnoty:

    • IP adresa: Veřejná IP adresa zařízení VPN, ke Azure Stack Hub Azure nebo Azure. Zadejte platnou veřejnou IP adresu, která není za NAT, aby se k ní Azure mohl dostat. Pokud TEĎ NEMÁTE IP adresu, můžete jako zástupný symbol použít hodnotu z příkladu. Budete se muset vrátit a nahradit zástupný text veřejnou IP adresou vašeho zařízení VPN. Azure se k zařízení nemůže připojit, dokud nezadáte platnou adresu.
    • Adresní prostor: Rozsah adres sítě, který tato místní síť představuje. Můžete přidat více různých rozsahů adres. Ujistěte se, že se rozsahy, které zadáte, nepřekrývají s rozsahy jiných sítí, ke které se chcete připojit. Azure bude směrovat zadaný rozsah adres na místní IP adresu zařízení VPN. Pokud se chcete připojit k místní lokalitě, použijte vlastní hodnoty, nikoli příkladovou hodnotu.
    • Konfigurovat nastavení protokolu BGP: Používá se jenom při konfiguraci protokolu BGP. Jinak tuto možnost nevyberte.
    • Předplatné: Ověřte, že se zobrazuje správné předplatné.
    • Skupina prostředků: Vyberte skupinu prostředků, kterou chcete použít. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat skupinu, kterou jste už vytvořili.
    • Umístění: Vyberte umístění, ve které se tento objekt vytvoří. Možná budete chtít vybrat stejné umístění, ve kterém se nachází vaše virtuální síť, ale není to nutné.

  5. Po zadání požadovaných hodnot vyberte Vytvořit a vytvořte bránu místní sítě.

  6. Opakujte tyto kroky (1–5) v nasazení Azure Stack Hub nasazení.

Konfigurace připojení

Připojení site-to-site k místní síti vyžadují zařízení VPN. Zařízení VPN, které nakonfigurujete, se označuje jako připojení. Ke konfiguraci připojení potřebujete:

  • Sdílený klíč. Tento klíč je stejný sdílený klíč, který zadáte při vytváření site-to-site VPN připojení. V našich ukázkách používáme základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejná IP adresa brány virtuální sítě. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete zjistit veřejnou IP adresu vaší brány VPN pomocí Azure Portal, přejděte na Brány virtuální sítě a vyberte název brány.

Pomocí následujícího postupu můžete vytvořit site-to-site VPN mezi bránou virtuální sítě a místním zařízením VPN.

  1. V Azure Portal vyberte + Vytvořit prostředek.

  2. Vyhledejte připojení.

  3. Ve výsledcích vyberte Připojení.

  4. V okně Připojení vyberte Vytvořit.

  5. V okně Vytvořit připojení nakonfigurujte následující nastavení:

    • Typ připojení: Vyberte site-to-site (IPSec).
    • Skupina prostředků: Vyberte testovací skupinu prostředků.
    • Virtual Network Gateway: Vyberte bránu virtuální sítě, kterou jste vytvořili.
    • Brána místní sítě: Vyberte bránu místní sítě, kterou jste vytvořili.
    • Connection Name(Název připojení): Tento název se automaticky vyplňuje pomocí hodnot z obou bran.
    • Sdílený klíč: Tato hodnota se musí shodovat s hodnotou, kterou používáte pro místní zařízení VPN. V tomto příkladu kurzu se používá abc123, ale měli byste použít něco složitějšího. Důležité je, aby tato hodnota byla stejná jako hodnota, kterou zadáte při konfiguraci zařízení VPN.
    • Hodnoty předplatného, skupiny prostředků a umístění jsou pevné.

  6. Vyberte OK a vytvořte připojení.

Připojení můžete zobrazit na stránce Připojení brány virtuální sítě. Stav se změní z Neznámý na Připojování a pak na Úspěch.

Další kroky