Azure Stack Hub nélküli hálózati bevezetés

Hálózattervezés áttekintése

Fizikai hálózat tervezése

A Azure Stack Hub biztonsági megoldás rugalmas és magas rendelkezésre állékony fizikai infrastruktúrát igényel a működés és a szolgáltatások támogatásához. A ToR és a Szegély kapcsolók közötti kapcsolat SFP+ vagy SFP28 adathordozóra és 1 GB, 10 GB vagy 25 GB sebességre van korlátozva. A rendelkezésre állásról az eredeti hardvergyártónál (OEM) kell ellenőrizni.

Az alábbi ábra az egyenetlen Azure Stack Hub kialakításának ajánlott tervét mutatja be.

Azure Stack Hub fizikai hálózat

Logikai hálózat kialakítása

A logikai hálózat kialakítása a fizikai hálózati infrastruktúra absztrakcióját jelenti. A gazdagépek, virtuális gépek és szolgáltatások hálózati hozzárendelésének rendszerezésére és egyszerűsítésére használhatók. A logikai hálózatok létrehozásának részeként a hálózati telephelyek a következő beállításokat határozzák meg:

  • virtuális helyi hálózatok (VNA-k)
  • IP-alhálózatok
  • IP-alhálózat/VLAN-párok

Ezek mind az egyes fizikai helyen található logikai hálózathoz vannak társítva.

Az alábbi táblázat a logikai hálózatokat és a társított IPv4-alhálózati tartományokat mutatja be, amelyekre tervezést kell terveznie:

Logikai hálózat Leírás Méret
Nyilvános virtuális IP-cím (VIP) Azure Stack Hub egyenetlen hálózat összesen 31 címet használ ebből a hálózatból. A virtuális gépek kis készlete nyolc nyilvános IP-címet Azure Stack Hub, a többit pedig a bérlői virtuális gépek használják. Ha azt tervezi, hogy App Service erőforrás-SQL erőforrás-szolgáltatót használ, 7 további címet használ. A fennmaradó 15 IP-t a jövőbeli Azure-szolgáltatások számára foglaljuk le. /26 (62 gazdagép) –
/22 (1022 gazdagép)

Ajánlott = /24 (254 gazdagép)
Infrastruktúra váltása Pont–pont IP-címek útválasztási célokra, dedikált kapcsolókezelési felületek és a kapcsolóhoz rendelt visszacsatolási címek. /26
Infrastruktúra A biztonsági Azure Stack Hub belső összetevők kommunikációhoz használhatók. /24
Személyes Tárolóhálózathoz, magánhálózati VIP-hez, infrastruktúratárolókhoz és egyéb belső funkciókhoz használatos. /20
Alaplapi felügyeleti vezérlő (BMC) A fizikai gazdagépek alaplapi felügyeleti vezérlőivel való kommunikációra használatos. /26

Hálózati infrastruktúra

A biztonsági Azure Stack Hub hálózati infrastruktúrája több logikai hálózatból áll, amelyek a kapcsolókon vannak konfigurálva. Az alábbi ábra ezeket a logikai hálózatokat mutatja be, és hogy azok hogyan integrálhatók a top-of-rack (TOR), az alaplapi felügyeleti vezérlő és a szegély (ügyfélhálózat) kapcsolóival.

Azure Stack Hub egyenetlen logikai hálózat ábrája:

Azure Stack Hub egyenetlen logikai hálózat

BMC-hálózat

Ez a hálózat az alaplapi felügyeleti vezérlők (más néven BMC- vagy szolgáltatásprocesszorok) felügyeleti hálózathoz való csatlakoztatására van kipontosodva. Ilyenek például az iDRAC, az iLO, az iBMC stb. A BMC-csomópontokkal való kommunikációhoz csak egy BMC-fiók használható. Ha van ilyen, a Hardware Lifecycle Host (HLH) ezen a hálózaton található, és hardverkarbantartáshoz vagy -figyeléshez OEM-specifikus szoftvereket nyújthat.

A HLH az üzembe helyezési virtuális gépet (DVM) is üzemeli. A DVM-et az Azure Stack Hub üzembe helyezés során használja, és az üzembe helyezés befejezésekor eltávolítja. A DVM-nek internet-hozzáférésre van szüksége a csatlakoztatott üzembe helyezési forgatókönyvekben több összetevő teszteléséhez, érvényesítéséhez és eléréséhez. Ezek az összetevők a vállalati hálózaton belül és kívül is előfordulhatnak (például NTP, DNS és Azure). A kapcsolati követelményekkel kapcsolatos további információkért tekintse meg a hálózati biztonsági Azure Stack Hub tűzfal-integráció című szakaszát.

Magánhálózat

A /20 (4096 gazdagép IP-hez) hálózat privát a Azure Stack Hub egyenetlen régióban. A szegély kapcsolóeszközökön kívül nem bővül ki a Azure Stack Hub egyenetlen régióban. Ez a hálózat több alhálózatra oszlik, például:

  • Storage hálózat:/25 (128 IP-s) hálózat, amely a Közvetlen tárolóhelyek és a Kiszolgálói üzenetblokk (SMB) tároló forgalmának és a virtuális gépek élő áttelepítésének támogatására szolgál.
  • Belső virtuális IP-hálózat:/25 hálózat, amely a szoftveres terheléselosztáshoz csak belső virtuális IP-címekhez van kihálózatosva.
  • Tárolóhálózat:/23-as (512 IP-s) hálózat, amely az infrastruktúra-szolgáltatásokat futtató tárolók közötti csak belső forgalomra van ki dedikáltan

A magánhálózat mérete /20 (4096 IP-cím) magánhálózati IP-címtér. Ez a hálózat privát a Azure Stack Hub rendszer számára. Nem a szegélykapcsolók eszközein kívülre irányít, Azure Stack Hub rendszer, és több biztonsági rendszeren Azure Stack Hub újra felhasználható. Bár a hálózat privát és Azure Stack Hub egyenetlen, nem lehet átfedésben az adatközpont többi hálózatával. A magánhálózati IP-címtérről az RFC 1918 használatát javasoljuk.

A /20 privát IP-címtér több hálózatra oszlik, amelyek lehetővé teszik, hogy a Azure Stack Hub rendszer-infrastruktúra a későbbi kiadásokban tárolókon fusson. A részletekért tekintse meg az 1910-es kibocsátási megjegyzéseket. Ez az új magánhálózati IP-címtér lehetővé teszi a folyamatos erőfeszítéseket a szükséges átirányítható IP-címtér csökkentésére az üzembe helyezés előtt.

Azure Stack Hub infrastruktúra-hálózat kiépítése

A /24 hálózat a belső és Azure Stack Hub összetevők számára van kiosztva, hogy kommunikáljon egymással, és adatokat cseréljen egymás között. Ez az alhálózat az adatközponthoz Azure Stack Hub belsőleg átirányítható. Ezen az alhálózaton nem ajánlott nyilvános vagy internetre átirányítható IP-címeket használni. Ez a hálózat meg van hirdetve a Szegélyen, de a legtöbb IP-cím védelmét Access Control listák (ACL-ek) védik. A hozzáféréshez engedélyezett IP-k kis tartományba esnek, és /27 hálózatnak megfelelő méretűek. Az IP-k olyan szolgáltatásokat kínálnak, mint a kiemelt végpont (PEP) és Azure Stack Hub biztonsági mentés.

Nyilvános VIP-hálózat

A nyilvános VIP-hálózat a hálózati vezérlőhöz van rendelve, Azure Stack Hub egyenetlen. Ez nem egy logikai hálózat a kapcsolón. Az SLB a címkészletet használja, és /32-hálózatokat rendel a bérlői számítási feladatokhoz. A kapcsoló útválasztási táblázatában ezek a /32 IP-k elérhető útvonalként vannak meghirdetve a Border Gateway Protocol (BGP) keresztül. Ez a hálózat külsőleg elérhető nyilvános címeket tartalmaz. A Azure Stack Hub infrastruktúra lefoglalja az első 31 címet ebből a nyilvános VIP-hálózatból, a többit pedig a bérlő virtuális gépek használják. Az alhálózat hálózati mérete legalább /26 (64 gazdagép) és legfeljebb /22 (1022 gazdagép) között lehet. Javasoljuk, hogy tervezze meg a /24 hálózatot.

Infrastruktúra-hálózat váltása

A /26 hálózat az az alhálózat, amely tartalmazza a /30 (két gazda IP-cím) alhálózatot és a visszacsatolásokat. Ezek dedikált /32 alhálózatok a sávon belüli kapcsolókezeléshez és a BGP-útválasztó azonosítóhoz. Ennek az IP-címtartománynak átirányíthatónak kell lennie a Azure Stack Hub az adatközponthoz való egyenetlenített megoldáson kívül. Az IP-címek lehetnek privátak vagy nyilvánosak.

Kapcsolókezelési hálózat

A /29 -es (hat gazdagép-IP-) hálózat a kapcsolók felügyeleti portjainak csatlakoztatásához van kiosztva. Ez a hálózat sávon nélküli hozzáférést biztosít az üzembe helyezéshez, a felügyelethez és a hibaelhárításhoz. A számítás a fent említett infrastruktúra-kapcsolóhálózat alapján történik.

DNS-kialakítás áttekintése

Az Azure Stack Hub egyenetlen végpontok(portál,felügyeletiportál, felügyelet,felügyelet Azure Stack Hub) egyenetlen külső elérésű eléréséhez integrálni kell az Azure Stack Hub egyenetlen DNS-szolgáltatásokat azokkal a DNS-kiszolgálókkal, amelyeken Azure Stack Hub használni kívánt DNS-zónák futnak, egyenetlen.

Azure Stack Hub DNS-névtér kezelése

A dns-sel kapcsolatos fontos információkat kell megadnia az egyenetlen Azure Stack Hub üzembe helyezésekor.

Mező Leírás Példa
Region Az adatbázis földrajzi helye Azure Stack Hub üzemelő példány. kelet
Külső tartománynév Az üzemelő példányhoz használni kívánt zóna Azure Stack Hub az üzemelő példányhoz. cloud.fabrikam.com
Belső tartománynév Az infrastruktúra-szolgáltatásokhoz használt belső zóna Azure Stack Hub egyenetlen. Címtárszolgáltatással integrált és privát (nem elérhető a Azure Stack Hub üzemelő példányon kívülről). azurestack.local
DNS-továbbítók A DNS-lekérdezések, DNS-zónák és -rekordok biztonsági Azure Stack Hub, a vállalati intraneten vagy a nyilvános interneten való továbbításra használt DNS-kiszolgálók. A DNS-továbbító értékét a Set-AzSDnsForwarder parancsmaggal szerkesztheti az üzembe helyezés után.
Elnevezési előtag (nem kötelező) Az elnevezési előtag, Azure Stack Hub az infrastruktúra-szerepkör gépneveket. Ha nincs megjelölve, az alapértelmezett érték az "azs". azs

Az Azure Stack Hub és végpontok teljes tartományneve (FQDN) a Region paraméter és a Külső tartománynév paraméter kombinációja. Az előző táblázatban található példák értékeit használva az ehhez a táblázathoz Azure Stack Hub üzemelő példány teljes tartománya a következő lenne: east.cloud.fabrikam.com

Ezért az üzembe helyezés egyes végpontjainak példái a következő URL-címekhez hasonlítanának:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Ha ezt a DNS-névteret egyenetlen Azure Stack Hub üzemelő példányhoz használja, a következő feltételek szükségesek:

  • A zóna fabrikam.com regisztrálva van egy tartományregisztrálónál, belső vállalati DNS-kiszolgálón vagy mindkettőben. A regisztráció a névfeloldási követelményektől függ.
  • A gyermektartomány cloud.fabrikam.com a zónatartomány alatt fabrikam.com.
  • A zónákat és kiszolgálókat fabrikam.com és cloud.fabrikam.com DNS-kiszolgálókat az Azure Stack Hub üzemelő példányról lehet elérni.

Az Azure Stack Hub és példányok DNS-neveinek egyenetlen Azure Stack Hub feloldásához integrálni kell a DNS-kiszolgálókat. Beleértve a külső DNS-zónát Azure Stack Hub kiszolgálókat, a használni kívánt szülőzónát tároló DNS-kiszolgálókkal együtt.

DNS-névcímkék

Azure Stack Hub egyenetlen ip-címek támogatják a DNS-névcímkék nyilvános IP-címekhez való hozzáadását a nyilvános IP-címek névfeloldási engedélyezése érdekében. A DNS-címkékkel a felhasználók kényelmesen elérhetik a név alapján egyenetlen Azure Stack Hub környezetben üzemeltetett alkalmazásokat és szolgáltatásokat. A DNS-névcímke az infrastruktúra végpontjaitól kissé eltérő névteret használ. Az előző példa névteret követően a DNS-névfeliratok névtere a következő lesz: *.east.cloudapp.cloud.fabrikam.com.

Ha egy bérlő a Myapp nevet adja meg egy nyilvános IP-címerőforrás DNS-név mezőjében, létrehoz egy A rekordot a myapp számára a east.cloudapp.cloud.fabrikam.com zónában a Azure Stack Hub külső DNS-kiszolgálón. Az eredményül kapott teljes tartománynév a következő lesz: myapp.east.cloudapp.cloud.fabrikam.com.

Ha ki szeretné használni ezt a funkciót, és használni szeretné ezt a névteret, integrálni kell a DNS-kiszolgálókat. Beleértve a külső DNS-zónát Azure Stack Hub kiszolgálókat, valamint a használni kívánt szülőzónát is tároló DNS-kiszolgálókat. Ez a névtér eltér az Azure Stack Hub szolgáltatásvégponthoz használt névtértől, ezért létre kell hoznia egy további delegálást vagy feltételes továbbítási szabályt.

A DNS-név címke működését a "DNS használata" című Azure Stack Hub el.

Feloldás és delegálás

Kétféle DNS-kiszolgáló létezik:

  • A mérvadó DNS-kiszolgáló üzemelteti a DNS-zónákat. Csak az ezekben a zónákban található rekordokra irányuló DNS-lekérdezéseket válaszolja meg.
  • A rekurzív DNS-kiszolgálón nem található DNS-zóna. Minden DNS-lekérdezést megválaszol a mérvadó DNS-kiszolgálók adatait összegyűjtve.

Azure Stack Hub egyenetlen, mérvadó és rekurzív DNS-kiszolgálókat is tartalmaz. A rekurzív kiszolgálók a belső privát zóna és a külső nyilvános DNS-zóna kivételével minden név feloldására szolgálnak a Azure Stack Hub környezetben.

Külső DNS-nevek feloldása Azure Stack Hub biztonsági rendszerből

Az Azure Stack Hub-n kívüli (például www.bing.com)végpontok DNS-neveinek feloldásához Azure Stack Hub DNS-kiszolgálókat egyenetlenként kell biztosítani a DNS-kérések továbbítása érdekében, amelyekhez Azure Stack Hub egyenetlen nem mérvadó. A nem Azure Stack Hub dns-kiszolgálók a központi telepítési munkalapon (a DNS-továbbító mezőben) kötelezően továbbítják a kéréseket a számára. Adjon meg legalább két kiszolgálót ebben a mezőben a hibatűrés érdekében. Ezen értékek nélkül a Azure Stack Hub üzembe helyezés meghiúsul. A DNS-továbbító értékeit a Set-AzSDnsForwarder parancsmaggal szerkesztheti az üzembe helyezés után.

Tűzfaltervezés áttekintése

Javasoljuk, hogy használjon tűzfaleszközt a biztonsági Azure Stack Hub érdekében. A tűzfalak segíthetnek az olyan támadások elleni védelemben, mint az elosztott szolgáltatásmegtagadásos (DDOS), behatolásészlelési és tartalomvizsgálati támadások. Azonban az átviteli sebesség szűk keresztmetszetei is válhatnak az Olyan Azure Storage-szolgáltatásoknál, mint a blobok, táblák és üzenetsorok.

Leválasztott üzembe helyezési mód használata esetén közzé kell AD FS végpontot. További információért tekintse meg az adatközpont-integrációs identitással kapcsolatos cikket.

A Azure Resource Manager (rendszergazda), a felügyeleti portál és Key Vault (rendszergazdai) végpontok nem feltétlenül igényelnek külső közzétételt. Szolgáltatóként például úgy korlátozhatja a támadási felületet, hogy csak Azure Stack Hub a hálózaton belülről, és nem az internetről felügyeli a támadási felületet.

Nagyvállalatok számára a külső hálózat lehet a meglévő vállalati hálózat. Ebben a forgatókönyvben végpontokat kell közzétennie, hogy egyenetlen Azure Stack Hub a vállalati hálózatról.

Hálózati címfordítás

A hálózati címfordítás (NAT) az ajánlott módszer annak lehetővé helyezéséhez, hogy az üzembe helyezés során a virtuális gép (DVM) hozzáférjen a külső erőforrásokhoz. A vész-helyreállítási konzol (ERCS) virtuális gépei vagy kiemelt végpontja (PEP) számára is a regisztráció és a hibaelhárítás során.

A NAT a külső hálózaton vagy a nyilvános VIP-címek alternatívája is lehet. Ez azonban nem ajánlott, mert korlátozza a bérlői felhasználói élményt, és növeli a bonyolultságot. Az egyik lehetőség egy az egyhez NAT, amely felhasználói IP-címenként egy nyilvános IP-címet igényel a készleten. Egy másik lehetőség egy több-az-egyhez NAT, amelyhez felhasználói VIP-szabály szükséges a felhasználó által használt összes porthoz.

A NAT nyilvános VIP-hez való használatának néhány hátránya:

  • Többletterhelés a tűzfalszabályok kezelésekor, amikor a felhasználók a saját végpontjaikat és közzétételi szabályaikat szabályznak a szoftveres hálózatkezelés (SDN) vermében. A felhasználóknak kapcsolatba kell lépniük a Azure Stack Hub operátorral a VIP-jük közzététele és a portlista frissítése érdekében.
  • Bár a NAT-használat korlátozza a felhasználói élményt, teljes körű vezérlést biztosít az operátornak a kérések közzététele felett.
  • Az Azure-ral való hibridfelhő-forgatókönyvek esetében vegye figyelembe, hogy az Azure nem támogatja a VPN-alagút és a végpont NAT használatával való beállítását.

SSL-elfogás

Jelenleg ajánlott letiltani az SSL-elfogást (például visszafejtési kiszervezést) az összes Azure Stack Hub forgalomra. Ha a jövőbeli frissítések támogatják, útmutatást nyújtunk az SSL-elfogás engedélyezéséhez a Azure Stack Hub esetén.

Peremhálózati üzembe helyezési tűzfal forgatókönyve

Peremhálózati környezetben a Azure Stack Hub rendszer közvetlenül a peremhálózati útválasztó vagy a tűzfal mögött telepíti. Ezekben a forgatókönyvekben támogatott, hogy a tűzfal a szegély felett legyen (1. forgatókönyv), ahol az aktív-aktív és az aktív-passzív tűzfal konfigurációt is támogatja. Szegélyeszközként is használható (2. forgatókönyv), ahol csak az aktív-aktív tűzfal konfigurációját támogatja. A 2. forgatókönyv az egyenlő költségű több elérési út (ECMP) és a BGP vagy a statikus útválasztás a feladatátvételhez.

A nyilvános átirányítható IP-címek a külső hálózatról származó nyilvános VIP-készlethez vannak megadva az üzembe helyezéskor. Biztonsági okokból a nyilvános átirányítható IP-k nem ajánlottak más hálózatokon peremhálózati forgatókönyvekben. Ez a forgatókönyv lehetővé teszi, hogy a felhasználók a teljes ön vezérelt felhőélményt tapasztalják, akárcsak a nyilvános felhőkben, például az Azure-ban.

Azure Stack Hub peremhálózati tűzfal használata

Vállalati intranetes vagy szegélyhálózati tűzfal forgatókönyve

Vállalati intranetes vagy szegélyhálózati környezetben az Azure Stack Hub a biztonsági rendszer egy többzónás tűzfalon, vagy a peremhálózati tűzfal és a belső vállalati hálózati tűzfal között van telepítve. A forgalmat ezután elosztja a biztonságos, szegélyhálózat (vagy DMZ) és a nem biztonságos zónák között az alábbiak szerint:

  • Biztonságos zóna:Belső vagy vállalati átirányítható IP-címeket használó belső hálózat. A biztonságos hálózat osztható fel. Internetes kimenő hozzáféréssel is rendelkezik a tűzfal NAT-án keresztül. Általában az adatközponton belülről érhető el a belső hálózaton keresztül. Az Azure Stack Hub hálózati biztonsági zónában kell lennie, kivéve a külső hálózat nyilvános VIP-készletét.
  • Szegélyhálózati zóna. A szegélyhálózat az a hely, ahol általában külső vagy internetre néző alkalmazások, például webkiszolgálók vannak telepítve. Általában tűzfal figyeli, hogy elkerülje az olyan támadásokat, mint a DDoS és a behatolás (hackelés), miközben továbbra is engedélyezi a megadott bejövő forgalmat az internetről. A DMZ-zónában csak Azure Stack Hub hálózati nyilvános VIP-készletnek kell lennie.
  • Nem biztonságos zóna. A külső hálózat, az internet. A Azure Stack Hub zónában nem biztonságos környezetben való üzembe helyezése nem ajánlott.

Szegélyhálózati tűzfal forgatókönyve

VPN-kialakítás áttekintése

Bár a VPN egy felhasználói fogalom, néhány fontos szempontot figyelembe kell vennie a megoldás tulajdonosának és operátorának.

Mielőtt hálózati forgalmat küldhet az Azure-beli virtuális hálózat és a helyszíni hely között, létre kell hoznia egy virtuális hálózati (VPN-) átjárót a virtuális hálózathoz.

A VPN-átjáró a virtuális hálózati átjárók egy olyan típusa, amely titkosított adatforgalmat továbbít nyilvános kapcsolaton keresztül. A VPN-átjárók használatával biztonságosan küldhet forgalmat egy biztonsági Azure Stack Hub virtuális hálózat és egy Azure-beli virtuális hálózat között. Biztonságosan is küldhet forgalmat egy virtuális hálózat és egy VPN-eszközhöz csatlakozó másik hálózat között.

Virtuális hálózati átjáró létrehozásakor megadja a létrehozni kívánt átjárótípust. Azure Stack Hub egyenetlen a virtuális hálózati átjárók egyik típusát támogatja: a VPN-típust.

Mindegyik virtuális hálózat kettő virtuális hálózati átjáróval rendelkezhet, de típusonként csak eggyel. A kiválasztott beállításoktól függően több kapcsolatot is létrehozhat egyetlen VPN-átjáróhoz. Ilyen típusú beállítás például a többhelyű kapcsolat konfigurációja.

Mielőtt VPN-átjárókat hoz létre és konfigurál a Azure Stack Hub, tekintse át a biztonsági Azure Stack Hub hálózattal kapcsolatos szempontokat. Megtudhatja, hogyan különböznek a biztonsági Azure Stack Hub az Azure-tól.

Az Azure-ban a vpn-átjáró választott termékváltozatának sávszélesség-átviteli sebességét el kell osztani az átjáróhoz csatlakozó összes kapcsolat között. A Azure Stack Hub azonban a VPN-átjáró termékváltozatának sávszélesség-értéke lesz alkalmazva az átjáróhoz csatlakozó összes kapcsolati erőforrásra. Például:

  • Az Azure-ban a VPN Gateway alapszintű termékváltozata körülbelül 100 Mbps összesített átviteli sebességet képes fogadni. Ha két kapcsolatot hoz létre ezzel a VPN-átjáróval, és az egyik kapcsolat 50 Mbps sávszélességet használ, akkor 50 Mbps elérhető a másik kapcsolat számára.
  • A Azure Stack Hub esetén az alapszintű VPN Gateway termékváltozathoz való minden kapcsolathoz 100 Mbps átviteli sebesség van lefoglalva.

VPN-típusok

Amikor létrehoz egy virtuális hálózati átjárót egy VPN Gateway-konfigurációhoz, meg kell adnia egy VPN-típust. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ. A VPN-típus a használt hardvertől is függhet. Az S2S-konfigurációkhoz VPN-eszköz szükséges. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.

Fontos

A Azure Stack Hub jelenleg csak az útvonalalapú VPN-típust támogatja. Ha az eszköz csak a szabályzatalapú VPN-eket támogatja, akkor a nem Azure Stack Hub eszközök kapcsolatai nem támogatottak. Emellett a Azure Stack Hub nem támogatja szabályzatalapú forgalomválasztók alkalmazását az útvonalalapú átjárókhoz, mert az egyéni IPSec/IKE-szabályzatkonfigurációk nem támogatottak.

  • Házirendalapú:A házirendalapú VPN-ek IPsec-szabályzatok alapján titkosítják és irányítják a csomagokat IPsec-alagutakon keresztül. A szabályzatok címelőtagok kombinációjával vannak konfigurálva a helyszíni hálózat és az Azure Stack Hub virtuális hálózat között. A szabályzat vagy forgalomválasztó általában egy hozzáférési lista a VPN-eszköz konfigurációjában. A PolicyBased támogatott az Azure-ban, de nem Azure Stack Hub egyenetlen.
  • Útvonalalapú:Az útvonalalapú VPN-ek az IP-továbbítási vagy útválasztási táblázatban konfigurált útvonalakat használják. Az útvonalak a csomagokat a megfelelő alagútillesztőkre irányítják. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat. Az Útvonalbased VPN-ek szabályzata vagy forgalomválasztója bármely-a-bármely felé (vagy helyettesítő karakterek használata) van konfigurálva. Alapértelmezés szerint nem módosíthatók. A RouteBased VPN-típus értéke RouteBased.

VPN-átjáró konfigurálása

A VPN-átjárókapcsolat számos, adott beállításokkal konfigurált erőforrásra támaszkodik. Ezeknek az erőforrásoknak a nagy része külön konfigurálható, de bizonyos esetekben meghatározott sorrendben kell őket konfigurálni.

Beállítások

Az egyes erőforrásokhoz választott beállítások kritikus fontosságúak a sikeres kapcsolat létrehozásához.

Ez a cikk a következőt segít megérteni:

  • Átjárótípusok, VPN-típusok és kapcsolattípusok.
  • Átjáró-alhálózatok, helyi hálózati átjárók és egyéb erőforrás-beállítások, amelyekre érdemes lehet.

Kapcsolati topológia-diagramok

A VPN Gateway-kapcsolatokhoz különböző konfigurációk érhetők el. Határozza meg, hogy melyik konfiguráció illik a legjobban az igényeihez. A következő szakaszokban a következő VPN-átjárókapcsolatokkal kapcsolatos információkat és topológiadiagramokat lehet megtekinteni:

  • Elérhető üzemi modell
  • Elérhető konfigurációs eszközök
  • Hivatkozások, amelyek közvetlenül egy cikkre mutatnak, ha van ilyen

A következő szakaszokban található diagramok és leírások segítségével kiválaszthatja a követelményeknek megfelelő kapcsolati topológiát. A diagramok az alapkonfigurációk fő topológiáit mutatják be, de a diagramok útmutatóként való használatával összetettebb konfigurációk is felépítve lehetségesek.

Hely–hely és többhelyes (IPsec/IKE VPN-alagút)

Helyek közötti kapcsolat

A hely–hely (S2S) VPN-átjárókapcsolat IPsec/IKE (IKEv2) VPN-alagúton keresztüli kapcsolat. Az ilyen típusú kapcsolatokhoz helyszíni VPN-eszközre van szükség, amelyhez nyilvános IP-cím van hozzárendelve. Ez az eszköz nem lehet NAT mögött. A helyek közötti kapcsolatok létesítmények közötti és hibrid konfigurációk esetében is alkalmazhatók.

Többhelyes

A többhelyes kapcsolat a hely–hely kapcsolat egy változata. A virtuális hálózati átjáróról több VPN-kapcsolatot hoz létre, amelyek általában több helyszíni helyhez csatlakoznak. Ha több kapcsolattal dolgozik, útvonalalapú VPN-típust kell használnia (klasszikus virtuális hálózatokkal való munka esetén dinamikus átjárónak nevezik). Mivel minden virtuális hálózat csak egy VPN-átjáróval rendelkezhet, az átjárón keresztüli összes kapcsolat osztozik a rendelkezésre álló sávszélességen.

Átjáró-termékváltozatok

Amikor egy virtuális hálózati átjárót hoz létre a Azure Stack Hub számára, meg kell adnia a használni kívánt átjáró-termékváltozatot. A VPN-átjárók következő SKUS-i támogatottak:

  • Alapszintű
  • Standard
  • Nagy teljesítmény

Egy magasabb szintű átjáró-termékváltozat kiválasztása több processzort és hálózati sávszélességet foglal le az átjáró számára. Ennek eredményeképpen az átjáró a virtuális hálózat magasabb hálózati átviteli sebességét is támogathatja.

Azure Stack Hub nem támogatja az Ultra Performance gateway SKU-t, amelyet kizárólag az Express Route-útvonalakhoz használnak.

A termékváltozat kiválasztásakor vegye figyelembe a következőket:

  • Azure Stack Hub egyenetlen átjárók nem támogatják a szabályzatalapú átjárókat.
  • A BGP nem támogatott az alapszintű termékváltozatban.
  • Az ExpressRoute-VPN-átjárók együtt használható konfigurációi nem támogatottak Azure Stack Hub egyenetlen konfigurációkban.

Átjáró rendelkezésre állása

Magas rendelkezésre állású forgatókönyvek csak a nagy teljesítményű átjáró kapcsolati termékváltozatán konfigurálhatóak. Az Azure-ral ellentétben, amely aktív/aktív és aktív/passzív konfigurációkon keresztül is biztosít rendelkezésre állást, Azure Stack Hub egyenetlen konfiguráció csak az aktív/passzív konfigurációt támogatja.

Feladatátvétel

Három több-bérlős átjáró-infrastruktúra virtuális gép van Azure Stack Hub egyenetlen. A virtuális gépek közül kettő aktív, a harmadik redundáns módban van. Az aktív virtuális gépek lehetővé teszik a VPN-kapcsolatok létrehozását, és a redundáns virtuális gép csak feladatátvétel esetén fogad VPN-kapcsolatokat. Ha egy aktív átjáró virtuális gép elérhetetlenné válik, a VPN-kapcsolat rövid (néhány másodperc) kapcsolatvesztés után átveszi a kapcsolatot a redundáns virtuális gépre.

A termékváltozat becsült összesített átviteli sebessége

Az alábbi táblázat az átjárótípusokat és az átjáró-termékváltozatok becsült összesített átviteli sebességét mutatja:

VPN Gateway teljesítménye (1) VPN Gateway IPsec-alagútjainak maximális száma (2)
Alapszintű termékváltozat(3) 100 Mbps 20
Standard termékváltozat 100 Mbps 20
Nagy teljesítményű termékváltozat 200 Mbit/s 10

Tábla megjegyzései

(1) – A VPN átviteli sebesség nem garantált az interneten keresztüli létesítmények közötti kapcsolatokhoz. Ez a maximális lehetséges átviteli sebesség mérése.
(2) – A maximális alagutak az összes előfizetés Azure Stack Hub üzemelő példányonkénti teljes száma.
(3) – Az alapszintű termékváltozat nem támogatja a BGP-útválasztást.

Fontos

Két virtuális hálózat között csak egy hely–hely VPN-kapcsolat Azure Stack Hub üzemelő példányok között. Ez a platform egy olyan korlátja miatt van, amely csak egyetlen VPN-kapcsolatot tesz lehetővé ugyanannak az IP-címnek. Mivel Azure Stack Hub egyenetlen átjáró a több-bérlős átjárót használja, amely egyetlen nyilvános IP-címet használ az Azure Stack Hub egyenetlen rendszer összes VPN-átjárója számára, csak egy VPN-kapcsolat lehet két Azure Stack Hub rendszer között.

Ez a korlátozás vonatkozik arra is, ha egynél több hely–hely VPN-kapcsolatot csatlakoztat bármely olyan VPN-átjáróhoz, amely egyetlen IP-címet használ. Azure Stack Hub egyenetlen hálózati átjáró nem teszi lehetővé több helyi hálózati átjáró erőforrás ugyanazon IP-cím használatával való létrejöttét.**

IPsec/IKE-paraméterek

Amikor a VPN-kapcsolatot Azure Stack Hub, mindkét végén konfigurálnia kell a kapcsolatot. Ha egy biztonsági és egy hardveres eszköz Azure Stack Hub VPN-kapcsolatot konfigurál, az eszköz további beállításokat kérhet. Ilyen lehet például egy VPN-átjáróként működő kapcsoló vagy útválasztó.

Az Azure-ral ellentétben, amely egyszerre több ajánlatot támogat kezdeményezőként és válaszadóként is, Azure Stack Hub az egyenetlen kialakítás alapértelmezés szerint csak egy ajánlatot támogat. Ha eltérő IPSec/IKE-beállításokat kell használnia a VPN-eszközzel való használathoz, további beállításokat is használhat a kapcsolat manuális konfiguráláshoz.

Az IKE 1. fázis (Elsődleges mód) paraméterei

Tulajdonság Érték
IKE verziószám IKEv2
Diffie-Hellman Group ECP384
Hitelesítési módszer Előre megosztott kulcs
Titkosítási & kivonatolási algoritmusok AES256, SHA384
SA élettartama (Idő) 28 800 másodperc

Az IKE 2. fázis (Gyors mód) paraméterei

Tulajdonság Érték
IKE verziószám IKEv2
Titkosítási & kivonatolási algoritmusok (titkosítás) GCMAES256
Titkosítási & kivonatolási algoritmusok (hitelesítés) GCMAES256
SA élettartama (Idő) 27 000 másodperc
Sa élettartama (kilobájt) 33,553,408
Sérülés utáni titkosságvédelem (PFS) ECP384
Kapcsolat megszakadásának észlelése Támogatott

Egyéni IPSec/IKE-kapcsolati szabályzatok konfigurálása

Az IPsec és az IKE protokollszava számos titkosítási algoritmust támogat különböző kombinációkban. A megfelelőségi vagy biztonsági követelmények Azure Stack Hub támogatott paramétereket lásd: IPsec/IKE-paraméterek.

Ez a cikk az IPsec/IKE-szabályzatok létrehozásához és konfiguráláshoz, valamint új vagy meglévő kapcsolatra való alkalmazáshoz nyújt útmutatást.

Megfontolandó szempontok

Vegye figyelembe a következő fontos szempontokat a szabályzatok használata során:

  • Az IPsec/IKE-szabályzat csak a Standard és a Nagy teljesítményű (útvonalalapú) átjáró-SKUS-okkal működik.
  • Egy adott kapcsolathoz csak egy házirendet adhat meg.
  • Meg kell adnia az összes algoritmust és paramétert az IKE (fő mód) és az IPsec (gyors mód) számára is. A részleges szabályzatspecifikáció nem engedélyezett.
  • A VPN-eszköz gyártójának specifikációit egyeztetve ellenőrizze, hogy a szabályzat támogatott-e a helyszíni VPN-eszközökön. Nem létesíthet hely–hely kapcsolatokat, ha a szabályzatok nem kompatibilisek.

IPsec/IKE-szabályzat létrehozására és beállításának munkafolyamata

Ez a szakasz azt a munkafolyamatot ismerteti, amely az IPsec/IKE-házirend létrehozásához és frissítéséhez szükséges egy hely–hely VPN-kapcsolaton:

  1. Hozzon létre egy virtuális hálózatot és egy VPN-átjárót.
  2. Hozzon létre egy helyi hálózati átjárót a létesítmények közötti kapcsolathoz.
  3. Hozzon létre egy IPsec/IKE-szabályzatot a kiválasztott algoritmusokkal és paraméterekkel.
  4. Hozzon létre egy IPsec-kapcsolatot az IPsec/IKE-szabályzattal.
  5. IPsec/IKE-szabályzat hozzáadása/frissítése/eltávolítása meglévő kapcsolathoz.

Támogatott titkosítási algoritmusok és kulcserősség

Az alábbi táblázat az egyenetlen ügyfelek által konfigurálható támogatott titkosítási algoritmusokat és kulcserősségeket Azure Stack Hub sorolja fel:

IPsec/IKEv2 Beállítások
IKEv2-titkosítás AES256, AES192, AES128, DES3, DES
IKEv2-integritás SHA384, MD5, SHA1, SHA256
DH-csoport ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Nincs
IPsec-titkosítás GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nincs
IPsec-integritás GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-csoport PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nincs
Gyorsmódú biztonsági társítás élettartama (Nem kötelező: a rendszer az alapértelmezett értékeket használja, ha nincs megadva)
Másodperc (egész szám; min. 300/alapértelmezett 27 000 másodperc)
KBytes (egész szám; min. 1024/alapértelmezett 102 400 000 KB)
Forgalomválasztó A szabályzatalapú forgalomválasztók nem támogatottak az egyenetlen Azure Stack Hub esetén.

A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:

  • IKE-titkosítási algoritmus (fő mód / 1. fázis).
  • IKE integritási algoritmus (fő mód / 1. fázis).
  • DH-csoport (alapmód / 1. fázis).
  • IPsec titkosítási algoritmus (gyors mód / 2. fázis).
  • IPsec integritási algoritmus (gyors mód / 2. fázis).
  • PFS-csoport (gyors mód / 2. fázis).
  • Az SA élettartamai csak helyi specifikációk, nem kell egyezniük.

Ha a GCMAES-t az IPsec-titkosítási algoritmushoz használja, ugyanazt a GCMAES-algoritmust és kulcshosszt kell kiválasztania az IPsec-integritás érdekében. Például: a GCMAES128 használata mindkettőre.

Az előző táblázatban:

  • Az IKEv2 az alapmódnak vagy az 1. fázisnak felel meg.
  • Az IPsec a Gyors módnak vagy a 2. fázisnak felel meg.
  • A DH-csoport az Diffie-Hellmen vagy az 1. fázisban használt csoportcsoportot határozza meg.
  • A PFS-csoport a Diffie-Hellmen vagy a 2. fázisban használt csoportcsoportot határozza meg.
  • Az IKEv2 alapmódú biztonsági társítás élettartama 28 800 másodpercre van rögzítve a Azure Stack Hub VPN-átjárók esetén.

Az alábbi táblázat az egyéni szabályzat Diffie-Hellman megfelelő csoportokat sorolja fel:

Diffie-Hellman Group DH-csoport PFS-csoport A kulcs hossza
1 DHGroup1 PFS1 768 bites MODP
2 DHGroup2 PFS2 1024 bites MODP
14 DHGroup14 PFS2048 2048 bites MODP
DHGroup2048
19 ECP256 ECP256 256 bites ECP
20 ECP384 ECP384 384 bites ECP
24 DHGroup24 PFS24 2048 bites MODP

Csatlakozás Azure Stack Hub Azure-ba való biztonsági Azure ExpressRoute

Áttekintés, előfeltételek és előfeltételek

Azure ExpressRoute lehetővé teszi a helyszíni hálózatok kiterjesztését a Microsoft-felhőbe. A kapcsolatszolgáltató által biztosított privát kapcsolatot használ. Az ExpressRoute nem VPN-kapcsolat a nyilvános interneten keresztül.

További információ a Azure ExpressRoute ExpressRoute áttekintésében található.

Feltételezések

Ez a cikk a következőt feltételezi:

  • Rendelkezik az Azure-ral kapcsolatos tudásával.
  • Alapszintű ismeretekre van Azure Stack Hub egyenetlen.
  • Alapszintű ismereteket is van a hálózatról.

Előfeltételek

Az Azure Stack Hub és az Azure ExpressRoute használatával való csatlakoztatásának a következő követelményeknek kell megfelelnie:

  • Kiépített ExpressRoute-kapcsolat kapcsolatszolgáltatón keresztül.
  • Azure-előfizetés ExpressRoute-kapcsolathálózatok és virtuális hálózatok létrehozásához az Azure-ban.
  • Egy útválasztó, amely a következő eket támogatja:
    • A helyi hálózati adaptere és a Azure Stack Hub több-bérlős átjáró közötti, telephelyek közötti VPN-kapcsolatok.
    • több VRF létrehozása (virtuális útválasztás és továbbítás), ha a virtuális hálózaton egynél több bérlő Azure Stack Hub környezetben.
  • Egy útválasztó, amely a következővel rendelkezik:
    • Az ExpressRoute-kapcsolatkörhöz csatlakoztatott WAN-port.
    • Egy hálózati port, amely a Azure Stack Hub egyenetlen több-bérlős átjáróhoz csatlakozik.

Az ExpressRoute hálózati architektúrája

Az alábbi ábrán az Azure Stack Hub és Azure-környezetek láthatóak, miután befejezte az ExpressRoute beállítását a cikkben látható példák segítségével:

Az ExpressRoute hálózati architektúrája

Az alábbi ábra bemutatja, hogyan csatlakozik több bérlő a Azure Stack Hub az ExpressRoute-útválasztón keresztül az Azure-hoz:

ExpressRoute hálózati architektúra több-bérlős