Azure Stack hub robusztus hálózati bemutatásaAzure Stack Hub ruggedized network introduction

A hálózati tervezés áttekintéseNetwork design overview

Fizikai hálózat kialakításaPhysical Network design

Az Azure Stack hub robusztus megoldásához rugalmas és magasan elérhető fizikai infrastruktúra szükséges a működésének és szolgáltatásainak támogatásához.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. A ToR és a Border kapcsolók közötti Kikapcsolások SFP + vagy SFP28 adathordozóra, illetve 1 GB, 10 GB vagy 25 GB sebességre korlátozódnak.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. A rendelkezésre állás érdekében érdeklődjön az eredeti berendezésgyártó (OEM) hardver gyártójánál.Check with your original equipment manufacturer (OEM) hardware vendor for availability.

Az alábbi ábrán az Azure Stack hub számára ajánlott terv látható.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Azure Stack hub robusztus fizikai hálózata

Logikai hálózat kialakításaLogical network design

A logikai hálózat kialakítása a fizikai hálózati infrastruktúra absztrakcióját jelöli.A logical network design represents an abstraction of a physical network infrastructure. Ezek a gazdagépek, virtuális gépek és szolgáltatások hálózati hozzárendeléseinek rendszerezésére és leegyszerűsítésére szolgálnak.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. A logikai hálózat létrehozásának részeként a hálózati telephelyek jönnek létre a következők meghatározásához:As part of logical network creation, network sites are created to define the:

  • virtuális helyi hálózatok (VLAN-ok)virtual local area networks (VLANs)
  • IP-alhálózatokIP subnets
  • IP-alhálózat/VLAN párokIP subnet/VLAN pairs

Mindegyik fizikai helyen a logikai hálózathoz van társítva.All of which are associated with the logical network in each physical location.

A következő táblázat azokat a logikai hálózatokat és IPv4-alhálózati tartományokat tartalmazza, amelyeket meg kell terveznie:The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Logikai hálózatLogical Network LeírásDescription MéretSize
Nyilvános virtuális IP-cím (VIP)Public Virtual IP (VIP) Azure Stack hub robusztus a hálózatból összesen 31 címet használ.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Nyolc nyilvános IP-cím van használatban Azure Stack hub robusztus szolgáltatásainak kis készletéhez, a többi pedig a bérlői virtuális gépek által használt.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Ha App Service és az SQL Resource Providers használatát tervezi, 7 további címet használ a rendszer.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. A fennmaradó 15 IP-cím a jövőbeli Azure-szolgáltatások számára van fenntartva.The remaining 15 IPs are reserved for future Azure services. /26 (62 gazdagép) –/26 (62 hosts)-
/22 (1022 gazdagép)/22 (1022 hosts)

Ajánlott =/24 (254 gazdagép)Recommended = /24 (254 hosts)
Infrastruktúra váltásaSwitch infrastructure Pont-pont típusú IP-címek útválasztási célokra, dedikált kapcsoló felügyeleti felületek és a kapcsolóhoz rendelt visszacsatolási címek.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
InfrastruktúraInfrastructure Azure Stack hub robusztus belső összetevőinek kommunikációhoz használatos.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
SzemélyesPrivate A Storage Network, a privát VIP-címek, az infrastruktúra-tárolók és egyéb belső függvények esetében használatos.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Alaplapi felügyeleti vezérlő (BMC)Baseboard Management Controller (BMC) A fizikai gazdagépeken található alaplapi-kezelési vezérlőkkel való kommunikációhoz használatos.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

Hálózati infrastruktúraNetwork Infrastructure

A Azure Stack hub hálózati infrastruktúrájának robusztus beállítása több, a kapcsolókon konfigurált logikai hálózatból áll.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. A következő ábra ezeket a logikai hálózatokat és azok integrálását mutatja be a Top-of-rack (TOR), a alaplapi felügyeleti vezérlő és a Border (Customer Network) kapcsolókkal.The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Azure Stack hub robusztus logikai hálózati diagramja:Azure Stack Hub ruggedized logical network diagram:

Azure Stack hub robusztus logikai hálózata

BMC-hálózatBMC network

Ez a hálózat dedikált az összes alaplapi-felügyeleti vezérlő (más néven BMC vagy Service Processor) a felügyeleti hálózathoz való csatlakoztatásához.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Ilyenek például a következők: iDRAC, iLO, iBMC stb.Examples include: iDRAC, iLO, iBMC, and so on. A BMC-csomópontokkal való kommunikációhoz csak egy BMC-fiók használható.Only one BMC account is used to communicate with any BMC node. Ha van ilyen, a hardver életciklus-állomása (HLH) ezen a hálózaton található, és OEM-specifikus szoftvereket biztosíthat a hardveres karbantartáshoz vagy monitorozáshoz.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

A HLH az üzembe helyezési virtuális gépet (DVM) is üzemelteti.The HLH also hosts the Deployment VM (DVM). A DVM Azure Stack hub robusztus üzembe helyezése során használatos, és az üzembe helyezés befejezésekor törlődik.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. A DVM használatához internetkapcsolat szükséges a csatlakoztatott üzembe helyezési forgatókönyvekben több összetevő teszteléséhez, ellenőrzéséhez és eléréséhez.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Ezek az összetevők a vállalati hálózaton belül és kívül is lehetnek (például: NTP, DNS és Azure).These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). További információ a kapcsolati követelményekről: Azure Stack hub robusztus tűzfallal való integrációjának NAT szakasza.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

MagánhálózatPrivate network

A/20 (4096 gazdagép IP-címei) hálózat az Azure Stack hub robusztus régiójának része.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Nem terjed ki az Azure Stack hub robusztus régiójának szegély-kapcsoló eszközeire.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Ez a hálózat több alhálózatra oszlik, például:This network is divided into multiple subnets, for example:

  • Storage Network: egy/25 (128 IP-cím) hálózat, amely a közvetlen tárolóhelyek és az SMB-tárolási forgalom, valamint a virtuális gépek élő áttelepítésének támogatásához használatos.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Belső virtuális IP-hálózat: a szoftveres terheléselosztó számára csak belső VIP-címekre dedikált/25 hálózat.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Container Network: a/23 (512 IP-cím) hálózat, amely az infrastruktúra-szolgáltatásokat futtató tárolók közötti belső forgalomra van kijelölveContainer network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

A magánhálózati hálózat mérete/20 (4096 IP-cím) a magánhálózati IP-címek számára.The size for the Private Network is /20 (4096 IPs) of private IP space. Ez a hálózat a Azure Stack hub robusztus rendszerének része.This network is private to the Azure Stack Hub ruggedized system. Nem halad át az Azure Stack hub robusztus rendszerének szegély-kapcsoló eszközein, és több Azure Stack hub-beli robusztus rendszeren is felhasználható.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Míg a hálózat a Azure Stack hub számára robusztus, nem lehet átfedésben az adatközpont többi hálózatával.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. A magánhálózati IP-címekre vonatkozó útmutatásért javasoljuk, hogy kövesse a 1918-es RFC-dokumentumot.For guidance on Private IP space, we recommend following the RFC 1918.

A/20 magánhálózati IP-terület több hálózatra oszlik, amelyek lehetővé teszik, hogy az Azure Stack hub robusztus rendszerinfrastruktúrája a későbbi kiadásokban a tárolókban fusson.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. A részletekért tekintse meg a 1910 kibocsátási megjegyzéseit.Refer to the 1910 release notes for details. Ez az új magánhálózati IP-terület lehetővé teszi, hogy a telepítés előtt csökkentse a szükséges irányítható IP-területet.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Azure Stack hub robusztus infrastruktúra-hálózataAzure Stack Hub ruggedized infrastructure network

A/24 hálózat a belső Azure Stack hub robusztus összetevőire van kijelölve, amelyek egymás közötti kommunikációt és információcserét szolgálják.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Ez az alhálózat a Azure Stack hub robusztus megoldásnak az adatközponthoz való külsőleg irányítható.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. Nem javasoljuk nyilvános vagy internetes ÚTVÁLASZTÁSÚ IP-címek használatát ezen az alhálózaton.We don't recommend using Public or Internet routable IP addresses on this subnet. Ezt a hálózatot a rendszer meghirdeti a szegélynek, de a legtöbb IP-címet Access Control listák (ACL-ek) védik.This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). A hozzáférésre jogosult IP-címek kis hatótávolságon belül vannak, a mérete pedig egy/27 hálózat.The IPs allowed for access are within a small range, equivalent in size to a /27 network. Az IP-címeket futtató szolgáltatások, például az emelt szintű végpont (PEP) és a Azure Stack hub robusztus biztonsági mentés.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Nyilvános VIP-hálózatPublic VIP network

A nyilvános VIP-hálózat a Azure Stack hub hálózati vezérlőjéhez lett kiosztva.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. Nem logikai hálózat a kapcsolón.It's not a logical network on the switch. A SLB a címek készletét használja, és hozzárendeli/32 hálózatot a bérlői munkaterhelésekhez.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. A Switch útválasztási táblázatban ezek/32 IP-címek Border Gateway Protocol (BGP) keresztül elérhető útvonalként lesznek meghirdetve.On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Ez a hálózat nyilvános címeket tartalmaz, amelyek külsőleg elérhetők.This network contains public addresses that are externally accessible. Az Azure Stack hub robusztus infrastruktúrája a nyilvános VIP-hálózat első 31 címét lefoglalja, míg a maradékot a bérlői virtuális gépek használják.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. Az alhálózat hálózati mérete legfeljebb/26 (64 gazdagép) lehet legfeljebb/22 (1022 gazdagép) értékre.The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). Javasoljuk, hogy tervezzen egy/24 hálózatot.We recommend you plan for a /24 network.

Infrastruktúra-hálózat váltásaSwitch infrastructure network

A/26 hálózat az az alhálózat, amely a pont-pont típusú IP/30 (két gazdagép IP) alhálózatot és a visszacsatolásokat tartalmazza.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Ezek dedikált/32 alhálózatok a sávon belüli kapcsolók felügyeletéhez és a BGP-útválasztó AZONOSÍTÓhoz.These are dedicated /32 subnets for in-band switch management and BGP router ID. Az IP-címtartományok ezen tartományának az Azure Stack hub robusztus megoldásán kívül kell irányítható az adatközpontra.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. Előfordulhat, hogy az IP-címek magán vagy nyilvánosak.The IP addresses may be private or public.

Váltás a felügyeleti hálózatraSwitch management network

A/29 (Six Host IP-címek) hálózat dedikált a kapcsolók felügyeleti portjainak csatlakoztatására.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Ez a hálózat sávon kívüli hozzáférést tesz lehetővé az üzembe helyezéshez, a felügyelethez és a hibaelhárításhoz.This network allows out-of-band access for deployment, management, and troubleshooting. A rendszer a fent említett kapcsoló-infrastruktúra hálózat alapján számítja ki.It's calculated from the switch infrastructure network mentioned above.

A DNS-tervezés áttekintéseDNS design overview

Ha Azure Stack hub robusztus végpontokat (portál, adminportal, Management, adminmanagement) szeretne elérni Azure stack Hub-ból kívülről, akkor az Azure Stack hub robusztus DNS-szolgáltatásait az Azure stack hub-ban robusztus DNS-zónákat üzemeltető DNS-kiszolgálókkal kell integrálnia.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Azure Stack hub robusztus DNS-névtereAzure Stack Hub ruggedized DNS namespace

A DNS-sel kapcsolatos fontos információkat kell megadnia Azure Stack hub robusztus üzembe helyezése során.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

MezőField LeírásDescription PéldaExample
RégióRegion A Azure Stack hub robusztus üzembe helyezésének földrajzi helye.The geographic location of your Azure Stack Hub ruggedized deployment. keleteast
Külső tartomány neveExternal Domain Name Az Azure Stack hub robusztus üzembe helyezéséhez használni kívánt zóna neve.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Belső tartomány neveInternal Domain Name Az Azure Stack hub infrastruktúra-szolgáltatásaihoz használt belső zóna neve robusztus.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. A címtár-szolgáltatás integrált és magánjellegű (nem érhető el az Azure Stack hub robusztus üzembe helyezésén kívülről).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. localazurestack.local
DNS-továbbítókDNS Forwarders Azok a DNS-kiszolgálók, amelyek a DNS-lekérdezések, a DNS-zónák és a Azure Stack hub-on kívül futtatott rekordok továbbítására szolgálnak a vállalati intraneten vagy a nyilvános interneten.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. A DNS-továbbító értékét a telepítés után a set-AzSDnsForwarder parancsmaggal módosíthatja.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Elnevezési előtag (nem kötelező)Naming Prefix (Optional) Az a névadási előtag, amelynek a Azure Stack hub robusztus infrastruktúrájának szerepkör-példányainak a neveit meg szeretné jeleníteni.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Ha nincs megadva, az alapértelmezett érték a "AZS".If not provided, the default is "azs". AZSazs

A Azure Stack hub teljes tartományneve (FQDN) robusztus központi telepítés és végpontok a régió paraméter és a külső tartománynév paraméter kombinációja.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Az előző táblázatban szereplő példák értékeit használva a Azure Stack hub robusztus központi telepítésének teljes tartományneve a következő lesz: East.Cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

Ilyenek például a központi telepítés egyes végpontjai a következő URL-címekhez hasonlóak:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Ha ezt a példát DNS-névteret szeretné használni egy Azure Stack hub robusztus üzembe helyezéséhez, a következő feltételek szükségesek:To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • A zóna fabrikam.com regisztrálva van egy tartományregisztráló, belső vállalati DNS-kiszolgáló vagy mindkettő.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. A regisztráció a névfeloldási követelményektől függ.Registration depends on your name resolution requirements.
  • A gyermektartomány cloud.fabrikam.com a zóna fabrikam.com alatt található.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • A fabrikam.com és cloud.fabrikam.com zónákat üzemeltető DNS-kiszolgálók a Azure Stack hub robusztus üzembe helyezéséről érhetők el.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Ha Azure Stack hub-alapú robusztus végpontok és példányok DNS-neveit szeretné feloldani Azure Stack hub-on kívülről, akkor integrálnia kell a DNS-kiszolgálókat.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. Azokat a kiszolgálókat, amelyek a Azure Stack hub külső DNS-zónáját futtatják, a használni kívánt szülő zónát futtató DNS-kiszolgálókkal.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

DNS-nevek címkéiDNS name labels

Azure Stack hub robusztusan támogatja a DNS-név címke nyilvános IP-címhez való hozzáadását, hogy engedélyezze a névfeloldást a nyilvános IP-címek számára.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. A DNS-címkék kényelmes módszert biztosítanak a felhasználók számára, hogy az Azure Stack hub-ban üzemeltetett alkalmazásokat és szolgáltatásokat a név alapján robusztus módon érje el.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. A DNS-név címkéje némileg eltérő névteret használ, mint az infrastruktúra-végpontok.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Az előző példában szereplő névtérrel a DNS-nevek címkéjének névtere a következő lesz: * . East.cloudapp.Cloud.fabrikam.com.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Ha egy bérlő egy nyilvános IP- SajátPr DNS-név mezőjében megad egy rekordot, akkor a SajátPr -rekord létrehozása az Azure stack hub robusztus külső DNS-kiszolgálójának East.cloudapp.Cloud.fabrikam.com .If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. Az eredményül kapott teljes tartománynév a következő: MyApp.East.cloudapp.Cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Ha szeretné kihasználni ezt a funkciót, és ezt a névteret használja, integrálnia kell a DNS-kiszolgálókat.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. Azokat a kiszolgálókat, amelyek a Azure Stack hub külső DNS-zónáját tárolják, és a használni kívánt szülő zónát üzemeltető DNS-kiszolgálókat is.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Ez a névtér különbözik az Azure Stack hub robusztus szolgáltatási végpontok által használttól, ezért létre kell hoznia egy további delegálási vagy feltételes továbbítási szabályt.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

A DNS-név címkével kapcsolatos további információkért tekintse meg a "DNS használata" című részt Azure Stack hub-ban robusztus.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Feloldás és delegálásResolution and delegation

Kétféle DNS-kiszolgáló létezik:There are two types of DNS servers:

  • A mérvadó DNS-kiszolgáló üzemelteti a DNS-zónákat.An authoritative DNS server hosts DNS zones. Csak az ezekben a zónákban található rekordokra irányuló DNS-lekérdezéseket válaszolja meg.It answers DNS queries for records in those zones only.
  • A rekurzív DNS-kiszolgáló nem üzemeltet DNS-zónákat.A recursive DNS server doesn't host DNS zones. Minden DNS-lekérdezést megválaszol a mérvadó DNS-kiszolgálók adatait összegyűjtve.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

Azure Stack hub robusztusan tartalmazza a mérvadó és a rekurzív DNS-kiszolgálókat is.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. A rekurzív kiszolgálók a belső privát zóna kivételével mindent feloldják a neveket, az Azure Stack hub külső nyilvános DNS-zónáját pedig a robusztus üzembe helyezéshez.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Külső DNS-nevek feloldása Azure Stack hub-ról robusztusResolving external DNS names from Azure Stack Hub ruggedized

A Azure Stack hub-on kívüli végpontok DNS-neveinek feloldásához (például: www.bing.com) olyan DNS-kiszolgálókat kell megadnia a Azure Stack hub számára, amelyek a DNS-kérések továbbítására lettek kiterjesztve, mert az Azure Stack hub egyenetlen, nem mérvadó.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. Azok a DNS-kiszolgálók, amelyeken Azure Stack hub strapabíróan továbbítanak kérelmeket, szükségesek a telepítési munkalapon (a DNS-továbbító mezőben).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). A hibatűréshez legalább két kiszolgálót adjon meg ebben a mezőben.Provide at least two servers in this field for fault tolerance. Ezen értékek nélkül Azure Stack hub robusztus üzembe helyezése meghiúsul.Without these values, Azure Stack Hub ruggedized deployment fails. A DNS-továbbító értékeit a telepítés után a set-AzSDnsForwarder parancsmaggal módosíthatja.You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

A tűzfal kialakításának áttekintéseFirewall design overview

Javasoljuk, hogy használjon egy tűzfal eszközt az Azure Stack hub robusztus védelme érdekében.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. A tűzfalak segítenek megvédeni az olyan műveleteket, mint az elosztott szolgáltatásmegtagadási (DDOS) támadások, a behatolások észlelése és a tartalmi ellenőrzés.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Ugyanakkor az Azure Storage-szolgáltatások, például a Blobok, a táblák és a várólisták adatátviteli szűk keresztmetszete is lehetnek.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Ha a rendszer leválasztott központi telepítési módot használ, közzé kell tennie a AD FS végpontot.If a disconnected deployment mode is used, you must publish the AD FS endpoint. További információ: Datacenter Integration Identity (adatközpont-integrációs identitás) című cikk.For more information, see the datacenter integration identity article.

A Azure Resource Manager (rendszergazda), a felügyeleti portál és a Key Vault (rendszergazda) végpontok nem feltétlenül igényelnek külső közzétételt.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Például szolgáltatóként korlátozhatja a támadási felületet úgy, hogy csak a hálózaton belülről, az internetről származó Azure Stack hub felügyeletét végzi.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

A vállalati szervezetek esetében a külső hálózat lehet a meglévő vállalati hálózat.For enterprise organizations, the external network can be the existing corporate network. Ebben a forgatókönyvben a végpontokat közzé kell tenni a vállalati hálózatról Azure Stack hub működéséhez.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

Hálózati címfordításNetwork Address Translation

A hálózati címfordítás (NAT) az ajánlott módszer, amely lehetővé teszi, hogy az üzembe helyezési virtuális gép (DVM) hozzáférjen a külső erőforrásokhoz az üzembe helyezés során.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. A vészhelyzeti helyreállítási konzol (ERCS) virtuális gépei vagy privilegizált végpontja (PEP) is a regisztráció és a hibaelhárítás során.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

A NAT a külső hálózat vagy a nyilvános VIP-címek nyilvános IP-címeinek alternatívája is lehet.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Ez azonban nem ajánlott, mert korlátozza a bérlői felhasználói élményt, és növeli a bonyolultságot.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Az egyik lehetőség egy olyan NAT lenne, amelyhez felhasználói IP-címenként még egy nyilvános IP-címet kell megadni a készleten.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Egy másik lehetőség egy olyan NAT-szabály, amelyhez felhasználónként egy virtuális IP-cím szükséges NAT-szabályt a felhasználók által használt összes porthoz.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

A NAT nyilvános VIP-hez való használatának néhány hátránya a következő:Some of the downsides of using NAT for Public VIP are:

  • A tűzfalszabályok kezelésekor a felhasználók a szoftveresen definiált hálózatkezelési (SDN) veremben szabályozzák a saját végpontokat és a közzétételi szabályokat.Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. A felhasználóknak fel kell venniük a kapcsolatot a Azure Stack hub robusztus kezelővel a virtuális IP-címek közzétételéhez és a portok listájának frissítéséhez.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • Míg a NAT-használat korlátozza a felhasználói élményt, teljes hozzáférést biztosít az operátornak a közzétételi kérelmekhez.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Az Azure-ban használt hibrid felhőalapú forgatókönyvek esetében vegye figyelembe, hogy az Azure nem támogatja VPN-alagút beállítását a NAT-t használó végpontok számára.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL-lehallgatásSSL interception

Jelenleg ajánlott letiltani az SSL-elfogást (például a visszafejtés kiszervezését) az összes Azure Stack hub-alapú robusztus forgalom esetében.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Ha a jövőbeli frissítések támogatják, útmutatást nyújt arról, hogyan engedélyezhető az SSL-lehallgatás a Azure Stack hub számára.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Peremhálózati telepítési tűzfal forgatókönyveEdge deployment firewall scenario

Az Edge-telepítésekben a Azure Stack hub robusztus módon települ a peremhálózati útválasztó vagy a tűzfal mögött.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. Ezekben a forgatókönyvekben a tűzfal a szegély felett (1. forgatókönyv) nagyobb, mint az aktív-aktív és az aktív-passzív tűzfal konfigurációjának támogatása.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. A szegély eszközként is működhet (2. forgatókönyv), ahol csak az aktív-aktív tűzfal-konfigurációt támogatja.It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. A 2. forgatókönyv az egyenlő árú többutas (ECMP) értékre támaszkodik, vagy a BGP vagy statikus útválasztás a feladatátvételhez.Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Nyilvános, átirányítható IP-címek vannak megadva a nyilvános VIP-készlethez a külső hálózatról, a központi telepítés időpontjában.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. Biztonsági okokból a nyilvános útválasztású IP-címek nem ajánlottak egy Edge-forgatókönyvben más hálózatokon.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Ez a forgatókönyv lehetővé teszi a felhasználók számára, hogy a teljes mértékben felügyelt Felhőbeli élményt a nyilvános felhőben, például az Azure-ban is megtapasztalják.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Azure Stack hub robusztus peremhálózati tűzfal forgatókönyve

Vállalati intranet vagy peremhálózati tűzfal forgatókönyveEnterprise intranet or perimeter network firewall scenario

Vállalati intranetes vagy peremhálózati üzembe helyezés esetén a Azure Stack hub robusztus módon van telepítve egy többzónás tűzfalon, illetve a peremhálózati tűzfal és a belső vállalati hálózati tűzfal között.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Ezután a rendszer a biztonságos, peremhálózati (vagy DMZ) és a nem biztonságos zónák között osztja el a forgalmat, az alábbiak szerint:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Biztonságos zóna: az a belső hálózat, amely belső vagy vállalati ÚTVÁLASZTÁSÚ IP-címeket használ.Secure zone: The internal network that uses internal or corporate routable IP addresses. A biztonságos hálózat osztható.The secure network can be divided. Az internetről kimenő hozzáférés a tűzfal NAT-on keresztül is elérhető.It can have Internet outbound access through the Firewall NAT. Általában a belső hálózaton keresztül érhető el az adatközponton belül.It's normally accessible from inside your datacenter via the internal network. Minden Azure Stack hub robusztus hálózatnak a biztonságos zónában kell lennie, kivéve a külső hálózat nyilvános VIP-készletét.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • Peremhálózati zóna.Perimeter zone. A peremhálózaton a külső vagy internetes alkalmazások, például a webkiszolgálók jellemzően üzembe helyezhetők.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Általában egy tűzfal figyeli, hogy elkerülje a támadásokat, például a DDoS és a behatolás (hacking) szolgáltatást, miközben továbbra is engedélyezi a megadott bejövő forgalmat az internetről.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. Csak a Azure Stack hub külső hálózati nyilvános VIP-készletének robusztusnak kell lennie a DMZ-zónában.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Nem biztonságos zóna.Unsecure zone. A külső hálózat, az Internet.The external network, the Internet. A nem biztonságos zónában lévő Azure Stack hub telepítése nem ajánlott.Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Peremhálózati tűzfal forgatókönyve

A VPN-tervezés áttekintéseVPN design overview

Bár a VPN felhasználói fogalom, néhány fontos szempontot figyelembe kell vennie, hogy a megoldás tulajdonosának és az operátornak ismernie kell.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Mielőtt hálózati forgalmat küldene az Azure-beli virtuális hálózat és a helyszíni hely között, létre kell hoznia egy virtuális hálózati (VPN-) átjárót a virtuális hálózathoz.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

A VPN-átjáró a virtuális hálózati átjárók egy olyan típusa, amely titkosított adatforgalmat továbbít nyilvános kapcsolaton keresztül.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. A VPN-átjárók használatával biztonságos forgalmat küldhet Azure Stack hub virtuális hálózata és egy Azure-beli virtuális hálózat között.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. A virtuális hálózat és egy másik, VPN-eszközhöz csatlakozó hálózat között is biztonságosan küldhet forgalmat.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Virtuális hálózati átjáró létrehozásakor megadja a létrehozni kívánt átjárótípust.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack hub robusztusan támogatja a virtuális hálózati átjárók egy típusát: a VPN- típust.Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

Mindegyik virtuális hálózat kettő virtuális hálózati átjáróval rendelkezhet, de típusonként csak eggyel.Each virtual network can have two virtual network gateways, but only one of each type. A kiválasztott beállításoktól függően több kapcsolatot is létrehozhat egyetlen VPN-átjáróhoz.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Ilyen típusú beállítás például egy többhelyes kapcsolat konfigurálása.An example of this kind of setup is a multi-site connection configuration.

Az Azure Stack hub VPN-átjáróinak létrehozása és konfigurálása előtt tekintse át a Azure Stack hub robusztus hálózatkezelésével kapcsolatos szempontokat.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. Megtudhatja, hogyan különböznek a Azure Stack hub-konfigurációk az Azure-ból.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

Az Azure-ban a kiválasztott VPN Gateway SKU sávszélességének átviteli sebességét az átjáróhoz csatlakozó összes kapcsolaton át kell osztani.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. Azure Stack hub-ban azonban robusztus a VPN Gateway SKU sávszélesség-értéke az átjáróhoz csatlakozó összes kapcsolati erőforrásra vonatkozik.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Például:For example:

  • Az Azure-ban az alapszintű VPN Gateway SKU körülbelül 100 Mbps összesített adatátviteli kapacitást tud kielégíteni.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Ha két kapcsolatot hoz létre a VPN-átjáróhoz, és az egyik kapcsolat 50 Mbps sávszélességet használ, akkor az 50 Mbps elérhető lesz a másik kapcsolat számára.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • Azure Stack hub robusztus, az alapszintű VPN Gateway SKU-hoz való minden kapcsolat 100 MB/s kapacitást foglal le.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

VPN-típusokVPN types

Amikor létrehoz egy VPN Gateway-konfigurációhoz tartozó virtuális hálózati átjárót, meg kell adnia egy VPN-típust.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ.The VPN type that you choose depends on the connection topology that you want to create. A VPN-típus az Ön által használt hardvertől is függhet.A VPN type can also depend on the hardware that you're using. A S2S-konfigurációkhoz VPN-eszköz szükséges.S2S configurations require a VPN device. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.Some VPN devices only support a certain VPN type.

Fontos

A Azure Stack hub jelenleg csak robusztus módon támogatja az Útválasztás-alapú VPN-típust.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Ha az eszköz csak a házirend-alapú VPN-eket támogatja, akkor a Azure Stack hub-ból származó eszközökhöz való csatlakozások nem támogatottak.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Emellett Azure Stack hub strapabíró, nem támogatja a házirend-alapú adatforgalmi választókat az útvonal-alapú átjárók esetében, mivel az egyéni IPSec/IKE-házirend-konfigurációk nem támogatottak.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • Házirendalapú: a házirend-alapú VPN-ek az IPSec-házirendek alapján titkosítják és irányítják a csomagokat az IPSec-alagutakon keresztül.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. A szabályzatok a helyszíni hálózat és a Azure Stack hub robusztus VNet közötti címtartomány-kombinációkkal vannak konfigurálva.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. A házirend vagy a forgalmi választó általában egy hozzáférési lista a VPN-eszköz konfigurációjában.The policy, or traffic selector, is usually an access list in the VPN device configuration. A házirendalapú az Azure-ban támogatott, de nem Azure stack hub-ban robusztus.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • Útvonalalapú: az Útválasztás-alapú VPN-ek az IP-továbbítás vagy az útválasztási táblázatban konfigurált útvonalakat használják.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. Az útvonalak a közvetlen csomagokat a megfelelő bújtatási interfészekhez irányítják.The routes direct packets to their corresponding tunnel interfaces. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. A útvonalalapú VPN-EK házirendje vagy forgalmi választója bármilyen módon van konfigurálva (vagy használjon helyettesítő kártyát).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). Alapértelmezés szerint nem módosíthatók.By default, they can't be changed. A útvonalalapú VPN-típus értéke útvonalalapú.The value for a RouteBased VPN type is RouteBased.

VPN-átjáró konfigurálásaConfiguring a VPN gateway

A VPN Gateway-kapcsolatok számos, adott beállításokkal konfigurált erőforrásra támaszkodnak.A VPN gateway connection relies on several resources that are configured with specific settings. Ezen erőforrások többsége külön konfigurálható, de bizonyos esetekben ezeket egy adott sorrendben kell konfigurálni.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

BeállításokSettings

Az egyes erőforrásokhoz kiválasztott beállítások kritikus fontosságúak a sikeres kapcsolatok létrehozásához.The settings that you choose for each resource are critical for creating a successful connection.

Ez a cikk segítséget nyújt a következők megértésében:This article helps you understand:

  • Az átjáró típusainak, a VPN-típusoknak és a kapcsolati típusoknak.Gateway types, VPN types, and connection types.
  • Az átjáró-alhálózatokat, a helyi hálózati átjárókat és az egyéb erőforrás-beállításokat, amelyeket érdemes figyelembe venni.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Kapcsolati topológia-diagramokConnection topology diagrams

A VPN Gateway-kapcsolatokhoz különböző konfigurációk érhetők el.There are different configurations available for VPN gateway connections. Döntse el, melyik konfiguráció felel meg legjobban az igényeinek.Determine which configuration best fits your needs. A következő szakaszban megtekintheti az alábbi VPN Gateway-kapcsolatokkal kapcsolatos információkat és topológiai diagramokat:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Elérhető üzemi modellAvailable deployment model
  • Elérhető konfigurációs eszközökAvailable configuration tools
  • Hivatkozások, amelyek közvetlenül egy cikkre mutatnak, ha van ilyenLinks that take you directly to an article, if available

A következő szakaszban található diagramok és leírások segítségével kiválaszthatja az igényeinek megfelelő kapcsolódási topológiát.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. A diagramok a fő alapkonfigurációkat mutatják be, de a diagramok útmutatóként való használatával összetettebb konfigurációk is létrehozhatók.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Helyek közötti és többhelyes (IPsec/IKE VPN-alagút)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Helyek közötti kapcsolatSite-to-site

A helyek közötti (S2S) VPN Gateway-kapcsolat IPSec/IKE (IKEV2) VPN-alagúton keresztüli kapcsolat.A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Az ilyen típusú kapcsolathoz olyan VPN-eszköz szükséges, amely a helyszínen található, és egy nyilvános IP-címet kap.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Ez az eszköz nem helyezhető el NAT mögött.This device can't be located behind a NAT. A helyek közötti kapcsolatok létesítmények közötti és hibrid konfigurációk esetében is alkalmazhatók.S2S connections can be used for cross-premises and hybrid configurations.

TöbbhelyesMulti-site

A többhelyes kapcsolat a helyek közötti kapcsolat egy változata.A multi-site connection is a variation of the site-to-site connection. A virtuális hálózati átjáróról több VPN-kapcsolatot hoz létre, amelyek általában több helyszíni helyhez csatlakoznak.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Több kapcsolat használata esetén egy Route-alapú VPN-típust (más néven dinamikus átjárót) kell használnia a klasszikus virtuális hálózatok használata esetén.When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Mivel minden virtuális hálózat csak egy VPN-átjáróval rendelkezhet, az átjárón keresztüli összes kapcsolat osztozik a rendelkezésre álló sávszélességen.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Átjáró-termékváltozatokGateway SKUs

Ha Azure Stack hub virtuális hálózati átjáróját robusztusan hozza létre, akkor a használni kívánt átjáró-SKU-t kell megadnia.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. A következő VPN Gateway SKU-ket támogatja:The following VPN gateway SKUs are supported:

  • AlapszintűBasic
  • StandardStandard
  • Nagy teljesítményHigh Performance

Egy magasabb szintű átjáró kiválasztásával több processzor és hálózati sávszélesség is kiosztható az átjáróra.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. Ennek eredményeképpen az átjáró képes támogatni a virtuális hálózat nagyobb hálózati átviteli sebességét.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack hub robusztusan nem támogatja az ultra Performance Gateway SKU-t, amely kizárólag az expressz útvonalon használható.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Az SKU kiválasztásakor vegye figyelembe a következőket:Consider the following when you select the SKU:

  • Azure Stack hub strapabíróan nem támogatja a házirend-alapú átjárókat.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • A BGP nem támogatott az alapszintű SKU-ban.BGP isn't supported on the Basic SKU.
  • ExpressRoute – a VPN-átjárók egyidejű konfigurációi nem támogatottak Azure Stack hub-ban.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Átjáró rendelkezésre állásaGateway availability

A magas rendelkezésre állási forgatókönyvek csak a nagy teljesítményű átjáró- kapcsolatok SKU-on konfigurálhatók.High availability scenarios can only be configured on the High-Performance Gateway connection SKU. Az Azure-val ellentétben, amely az aktív/aktív és az aktív/passzív konfigurációkon keresztül biztosítja a rendelkezésre állást, Azure Stack hub robusztus módon csak az aktív/passzív konfigurációt támogatja.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

FeladatátvételFailover

A Azure Stack hub három több-bérlős átjáró-infrastruktúra virtuális gépet is robusztus.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Két virtuális gép aktív üzemmódban van, a harmadik pedig redundáns módban van.Two of these VMs are in active mode, and the third is in redundant mode. Az aktív virtuális gépek lehetővé teszik a VPN-kapcsolatok létrehozását, és a redundáns virtuális gép csak akkor fogadja a VPN-kapcsolatokat, ha feladatátvétel történik.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Ha egy aktív átjárót használó virtuális gép elérhetetlenné válik, a VPN-kapcsolat a kapcsolat elvesztése után rövid idő (néhány másodperc) elteltével átadja a virtuális gép feladatátvételét.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

A termékváltozat becsült összesített átviteli sebességeEstimated aggregate throughput by SKU

A következő táblázat az átjárók típusát és az átjáró SKU által becsült összesített átviteli sebességet mutatja:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

VPN Gateway teljesítménye (1)VPN Gateway throughput (1) VPN Gateway IPsec-alagútjainak maximális száma (2)VPN Gateway max IPsec tunnels (2)
Alapszintű SKU (3)Basic SKU (3) 100 Mbps100 Mbps 2020
Standard termékváltozatStandard SKU 100 Mbps100 Mbps 2020
Nagy teljesítményű SKUHigh-Performance SKU 200 Mbit/s200 Mbps 1010

Tábla megjegyzéseiTable notes

(1) – a VPN-átviteli sebesség nem garantált átviteli sebesség az interneten keresztül létesített létesítmények közötti kapcsolatokhoz.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Ez a lehető legnagyobb átviteli sebesség mérése.It's the maximum possible throughput measurement.
(2) – az alagutak maximális száma az összes előfizetésnél Azure stack hub-alapú robusztus üzembe helyezés.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) – a BGP-útválasztás nem támogatott az alapszintű SKU esetében.(3) - BGP routing isn't supported for the Basic SKU.

Fontos

Két Azure Stack hub robusztus üzembe helyezése között csak egy helyek közötti VPN-kapcsolat hozható létre.Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Ennek oka a platform olyan korlátozása, amely csak egyetlen VPN-kapcsolat használatát teszi lehetővé ugyanahhoz az IP-címhez.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Mivel Azure Stack hub robusztusan kihasználja a több-bérlős átjárót, amely egyetlen nyilvános IP-címet használ a Azure Stack hub robusztus rendszerének összes VPN-átjárója számára, csak egy VPN-kapcsolat lehet két Azure Stack hub-alapú robusztus rendszer között.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

Ez a korlátozás arra az esetre is vonatkozik, ha egynél több helyek közötti VPN-kapcsolatot csatlakoztat egy olyan VPN-átjáróhoz, amely egyetlen IP-címet használ.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack hub strapabíró, nem teszi lehetővé, hogy egynél több helyi hálózati átjáró-erőforrást hozzon létre ugyanazzal az IP-címmel. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

IPsec/IKE-paraméterekIPsec/IKE parameters

Ha Azure Stack hub-ban robusztus VPN-kapcsolat van beállítva, akkor mindkét végén konfigurálnia kell a kapcsolódást.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. Ha Azure Stack hub és egy hardvereszköz között VPN-kapcsolatot konfigurál, az eszköz további beállítások megadását kéri.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Például egy VPN-átjáróként működő kapcsoló vagy útválasztó.For example, a switch or router that's acting as a VPN gateway.

Az Azure-nal ellentétben, amely egyszerre több ajánlatot is támogat kezdeményezőként és válaszadóként, Azure Stack hub-nal a robusztus szolgáltatás alapértelmezés szerint csak egy ajánlatot támogat.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Ha más IPSec/IKE-beállításokat kell használnia a VPN-eszköz használatához, több beállítás is elérhető a kapcsolat manuális konfigurálásához.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Az IKE 1. fázis (Elsődleges mód) paramétereiIKE Phase 1 (Main Mode) parameters

TulajdonságProperty ÉrtékValue
IKE verziószámIKE Version IKEv2IKEv2
Diffie-Hellman GroupDiffie-Hellman Group ECP384ECP384
Hitelesítési módszerAuthentication Method Előre megosztott kulcsPre-Shared Key
Titkosító és kivonatoló algoritmusEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
SA élettartama (Idő)SA Lifetime (Time) 28 800 másodperc28,800 seconds

Az IKE 2. fázis (Gyors mód) paramétereiIKE Phase 2 (Quick Mode) parameters

TulajdonságProperty ÉrtékValue
IKE verziószámIKE Version IKEv2IKEv2
Titkosítási & kivonatoló algoritmusok (titkosítás)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Titkosítási & kivonatolási algoritmusok (hitelesítés)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
SA élettartama (Idő)SA Lifetime (Time) 27 000 másodperc27,000 seconds
SA élettartama (kilobájt)SA Lifetime (Kilobytes) 33 553 40833,553,408
Sérülés utáni titkosságvédelem (PFS)Perfect Forward Secrecy (PFS) ECP384ECP384
Kapcsolat megszakadásának észleléseDead Peer Detection TámogatottSupported

Egyéni IPSec/IKE-kapcsolatok szabályzatának konfigurálásaConfigure custom IPSec/IKE connection policies

Az IPsec és az IKE protokoll szabványa számos titkosítási algoritmust támogat különböző kombinációkban.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Az IPsec/IKE-paraméterekkel kapcsolatban tekintheti meg, hogy mely paraméterek támogatottak Azure Stack hub-ban.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

Ez a cikk útmutatást nyújt az IPsec/IKE-szabályzatok létrehozásáról és konfigurálásáról, valamint az új vagy meglévő kapcsolatok alkalmazásáról.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

Megfontolandó szempontokConsiderations

A szabályzatok használatakor vegye figyelembe a következő fontos szempontokat:Note the following important considerations when using these policies:

  • Az IPsec/IKE-házirend csak a standard és a HighPerformance (Route-based) átjáró SKU-ban működik.The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • Egy adott kapcsolathoz csak egy házirendet adhat meg.You can only specify one policy combination for a given connection.
  • Meg kell adnia az összes algoritmust és paramétert mind az IKE (Main Mode), mind az IPsec (gyors mód) esetében.You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). A részleges házirend-specifikáció nem engedélyezett.Partial policy specification isn't allowed.
  • A VPN-eszközök gyártójának specifikációit megkeresve ellenőrizze, hogy a helyi VPN-eszközökön támogatott-e a házirend.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. A helyek közötti kapcsolatokat nem lehet létrehozni, ha a házirendek nem kompatibilisek.Site-to-site connections can't be established if the policies are incompatible.

Az IPsec/IKE-házirend létrehozásához és beállításához szükséges munkafolyamatWorkflow to create and set IPsec/IKE policy

Ez a szakasz a két hálózat közötti pont-pont típusú VPN-kapcsolat IPsec/IKE-házirendjének létrehozásához és frissítéséhez szükséges munkafolyamatot ismerteti:This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Hozzon létre egy virtuális hálózatot és egy VPN-átjárót.Create a virtual network and a VPN gateway.
  2. Helyi hálózati átjáró létrehozása a létesítmények közötti kapcsolatok létrehozásához.Create a local network gateway for cross-premises connection.
  3. IPsec/IKE-házirend létrehozása a kiválasztott algoritmusokkal és paraméterekkel.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Hozzon létre egy IPSec-kapcsolatokat az IPsec/IKE-házirenddel.Create an IPSec connection with the IPsec/IKE policy.
  5. IPsec/IKE-házirend hozzáadása/frissítése/eltávolítása egy meglévő kapcsolatban.Add/update/remove an IPsec/IKE policy for an existing connection.

Támogatott titkosítási algoritmusok és fő erősségekSupported cryptographic algorithms and key strengths

A következő táblázat felsorolja a támogatott titkosítási algoritmusokat és a Azure Stack hub által robusztus ügyfelek által konfigurálható fő erősségeket:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 LehetőségekOptions
IKEv2-titkosításIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2-integritásIKEv2 Integrity SHA384, MD5, SHA1, SHA256SHA384, SHA256, SHA1, MD5
DH-csoportDH Group ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, noneECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-titkosításIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NincsGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-integritásIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-csoportPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NincsPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Gyorsmódú biztonsági társítás élettartamaQM SA Lifetime (Nem kötelező: Ha nincs megadva, az alapértelmezett értékek szerepelnek)(Optional: default values are used if not specified)
Másodperc (egész szám; min. 300/alapértelmezett 27 000 másodperc)Seconds (integer; min. 300/default 27,000 seconds)
Kilobájt (egész szám; min. 1024/alapértelmezett 102 400 000 kilobájt)KBytes (integer; min. 1024/default 102,400,000 KBytes)
ForgalomválasztóTraffic Selector A házirend-alapú forgalmi választókat nem támogatja a Azure Stack hub robusztus.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE titkosítási algoritmus (fő mód/1. fázis).IKE encryption algorithm (Main Mode / Phase 1).
  • IKE integritási algoritmus (fő mód/1. fázis).IKE integrity algorithm (Main Mode / Phase 1).
  • DH-csoport (fő mód/1. fázis).DH Group (Main Mode / Phase 1).
  • IPsec titkosítási algoritmus (gyors mód/2. fázis).IPsec encryption algorithm (Quick Mode / Phase 2).
  • IPsec-integritási algoritmus (gyors mód/2. fázis).IPsec integrity algorithm (Quick Mode / Phase 2).
  • PFS-csoport (gyors mód/2. fázis).PFS Group (Quick Mode / Phase 2).
  • Az SA-élettartamok csak a helyi specifikációk, ezért nem kell megegyezniük.The SA lifetimes are local specifications only, they don't need to match.

Ha a GCMAES-t IPsec titkosítási algoritmusként használja, ki kell választania ugyanazt a GCMAES algoritmust és a kulcs hosszát az IPsec-integritáshoz.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Például: a GCMAES128 használata mindkettőhöz.For example: using GCMAES128 for both.

Az előző táblázatban:In the preceding table:

  • A IKEv2 felel meg a Main Mode vagy az 1. fázisnak.IKEv2 corresponds to Main Mode or Phase 1.
  • Az IPsec megfelel a gyors vagy a 2. fázisnak.IPsec corresponds to Quick Mode or Phase 2.
  • A DH-csoport a főmódban vagy az 1. fázisban használt Diffie-Hellmen csoportot határozza meg.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • A PFS-csoport a gyors módban vagy a 2. fázisban használt Diffie-Hellmen csoportot határozza meg.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • A IKEv2 fő módú SA élettartama 28 800 másodpercen belül megoldódott az Azure Stack hub strapabíró VPN-átjárók esetében.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

A következő táblázat felsorolja az egyéni házirend által támogatott megfelelő Diffie-Hellman csoportokat:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman GroupDiffie-Hellman Group DH-csoportDHGroup PFS-csoportPFSGroup A kulcs hosszaKey length
11 DHGroup1DHGroup1 PFS1PFS1 768 bites MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024 bites MODP1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 2048 bites MODP2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 256 bites ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384 bites ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048 bites MODP2048-bit MODP

Az Azure-ExpressRoute az Azure-ban robusztus Azure Stack hubConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Áttekintés, feltételezések és előfeltételekOverview, assumptions, and prerequisites

Az Azure ExpressRoute segítségével kiterjesztheti helyszíni hálózatait a Microsoft-felhőbe.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. Egy kapcsolat szolgáltatója által biztosított magánhálózati kapcsolatot használ.You use a private connection supplied by a connectivity provider. A ExpressRoute nem VPN-kapcsolat a nyilvános interneten keresztül.ExpressRoute isn't a VPN connection over the public Internet.

További információ az Azure ExpressRoute: ExpressRoute – áttekintés.For more information about Azure ExpressRoute, see the ExpressRoute overview.

FeltételezésekAssumptions

Ez a cikk azt feltételezi, hogy:This article assumes that:

  • Ön rendelkezik az Azure-ban működő ismeretekkel.You have a working knowledge of Azure.
  • Azure Stack hub alapszintű ismerete robusztus.You have a basic understanding of Azure Stack Hub ruggedized.
  • A hálózatkezelés alapvető ismerete.You have a basic understanding of networking.

ElőfeltételekPrerequisites

Az Azure Stack hub robusztus és az Azure ExpressRoute-vel való összekapcsolásához a következő követelményeknek kell megfelelnie:To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • Egy kiépített ExpressRoute áramkör a kapcsolati szolgáltatón keresztül.A provisioned ExpressRoute circuit through a connectivity provider.
  • Azure-előfizetés ExpressRoute-áramkör és virtuális hálózatok létrehozásához az Azure-ban.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • A-t támogató útválasztó:A router that supports:
    • helyek közötti VPN-kapcsolatok a helyi hálózati adapter és a Azure Stack hub robusztus, több-bérlős átjárója között.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • több VRFs létrehozása (virtuális Útválasztás és továbbítás), ha több bérlő található a Azure Stack hub robusztus üzembe helyezésében.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • Egy útválasztó, amely a következőket tartalmazta:A router that has:
    • A ExpressRoute áramkörhöz csatlakozó WAN-port.A WAN port connected to the ExpressRoute circuit.
    • A Azure Stack hub robusztus több-bérlős átjáróhoz csatlakoztatott LAN-port.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

ExpressRoute hálózati architektúraExpressRoute network architecture

Az alábbi ábra az Azure Stack hub robusztus és Azure-környezeteit mutatja be a ExpressRoute beállításának befejezése után a jelen cikkben szereplő példák alapján:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

ExpressRoute hálózati architektúra

Az alábbi ábra azt mutatja be, hogy több bérlő Hogyan kapcsolódhat a Azure Stack hub robusztus infrastruktúrájának ExpressRoute-útválasztón keresztül az Azure-ba:The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

ExpressRoute hálózati architektúra – több-bérlős