Azure Stack hub-példányok közötti kapcsolat VNet a Fortinet FortiGate NVAVNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

Ebben a cikkben egy VNET csatlakoztat egy Azure Stack hubhoz egy másik Azure Stack hub egyik VNET a Fortinet FortiGate NVA, egy hálózati virtuális berendezés használatával.In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

Ez a cikk az aktuális Azure Stack hub-korlátozást ismerteti, amely lehetővé teszi, hogy a bérlők csak egy VPN-kapcsolaton keresztül állítsanak be két környezetet.This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. A felhasználók megtudhatják, hogyan állíthat be egy egyéni átjárót egy Linux rendszerű virtuális gépen, amely több VPN-kapcsolatot is lehetővé tesz a különböző Azure Stack hubok között.Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. A cikkben ismertetett eljárás két virtuális hálózatok helyez üzembe egy FortiGate-NVA az egyes VNET: egy központi telepítés Azure Stack hub-környezetben.The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. Emellett részletesen ismerteti a két virtuális hálózatok közötti IPSec VPN beállításához szükséges módosításokat is.It also details the changes required to set up an IPSec VPN between the two VNETs. Az ebben a cikkben ismertetett lépéseket az egyes Azure Stack hubok minden VNET meg kell ismételni.The steps in this article should be repeated for each VNET in each Azure Stack Hub.

ElőfeltételekPrerequisites

  • Hozzáférés a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez rendelkezésre álló kapacitással rendelkező Azure Stack hub integrált rendszerekhez.Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    Megjegyzés

    Ezek az utasítások a ASDK hálózati korlátai miatt nem fognak működni Azure stack Development Kit (ASDK).These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. További információ: ASDK-követelmények és szempontok.For more information, see ASDK requirements and considerations.

  • Egy hálózati virtuális berendezés (NVA) megoldást töltöttek le és tesznek közzé az Azure Stack hub piactéren.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. Az NVA vezérli a peremhálózat hálózati forgalmának áramlását más hálózatokra vagy alhálózatokra.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. Ez az eljárás a Fortinet FortiGate következő generációs tűzfalának egyetlen virtuálisgép-megoldásáthasználja.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Legalább két elérhető FortiGate a FortiGate-NVA aktiválásához.At least two available FortiGate license files to activate the FortiGate NVA. A licencek beszerzésével kapcsolatos információkért tekintse meg a Fortinet a regisztráció és a licenc letöltésecímű cikket.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    Ez az eljárás az egyetlen FortiGate-VM-telepítésthasználja.This procedure uses the Single FortiGate-VM deployment. A FortiGate-NVA a helyszíni hálózatban lévő, a Azure Stack hub VNET való összekapcsolásával kapcsolatban talál további lépéseket.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    A FortiGate-megoldás aktív-passzív (HA) beállítással történő üzembe helyezésével kapcsolatos további információkért tekintse meg az Azure-beli FortiGate-VMFortinet dokumentációs cikkét.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

Központi telepítési paraméterekDeployment parameters

Az alábbi táblázat összefoglalja a központi telepítésekben használt paramétereket a következő hivatkozással:The following table summarizes the parameters that are used in these deployments for reference:

Központi telepítés: Forti1Deployment one: Forti1

FortiGate-példány neveFortiGate Instance Name Forti1Forti1
BYOL-licenc/-verzióBYOL License/Version 6.0.36.0.3
FortiGate rendszergazdai FelhasználónévFortiGate administrative username fortiadminfortiadmin
Erőforráscsoport neveResource Group name forti1-rg1forti1-rg1
Virtuális hálózat neveVirtual network name forti1vnet1forti1vnet1
VNET címterületVNET Address Space 172.16.0.0/16 *172.16.0.0/16*
Nyilvános VNET alhálózatának nevePublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Nyilvános VNET-címek előtagjaPublic VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
VNET alhálózatának neveInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
VNET alhálózati előtagon belülInside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
FortiGate NVA virtuális gép méreteVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Nyilvános IP-címPublic IP address name forti1-publicip1forti1-publicip1
Nyilvános IP-cím típusaPublic IP address type StatikusStatic

Kettő üzembe helyezése: Forti2Deployment two: Forti2

FortiGate-példány neveFortiGate Instance Name Forti2Forti2
BYOL-licenc/-verzióBYOL License/Version 6.0.36.0.3
FortiGate rendszergazdai FelhasználónévFortiGate administrative username fortiadminfortiadmin
Erőforráscsoport neveResource Group name forti2-rg1forti2-rg1
Virtuális hálózat neveVirtual network name forti2vnet1forti2vnet1
VNET címterületVNET Address Space 172.17.0.0/16 *172.17.0.0/16*
Nyilvános VNET alhálózatának nevePublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Nyilvános VNET-címek előtagjaPublic VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
VNET alhálózatának neveInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
VNET alhálózati előtagon belülInside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
FortiGate NVA virtuális gép méreteVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Nyilvános IP-címPublic IP address name Forti2-publicip1Forti2-publicip1
Nyilvános IP-cím típusaPublic IP address type StatikusStatic

Megjegyzés

* Válasszon másik címtartományt és alhálózati előtagokat, ha a fentiek bármilyen módon átfedésben vannak a helyszíni hálózati környezettel, beleértve a Azure Stack hub VIP-készletét.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Győződjön meg arról is, hogy a címtartományok nem fedik egymást egymással. * *Also ensure that the address ranges do not overlap with one another.**

A FortiGate NGFW Marketplace-elemek üzembe helyezéseDeploy the FortiGate NGFW Marketplace Items

Ismételje meg ezeket a lépéseket Azure Stack hub-környezetek esetében is.Repeat these steps for both Azure Stack Hub environments.

  1. Nyissa meg az Azure Stack hub felhasználói portált.Open the Azure Stack Hub user portal. Ügyeljen arra, hogy olyan hitelesítő adatokat használjon, amelyek legalább közreműködői jogokkal rendelkeznek egy előfizetéshez.Be sure to use credentials that have at least Contributor rights to a subscription.

  2. Válassza az erőforrás létrehozása elemet, és keresse meg a következőt: FortiGate .Select Create a resource and search for FortiGate.

    A képernyőképen a "FortiGate" kifejezésből származó eredmények egyetlen sorát láthatja.

  3. Válassza ki a FORTIGATE NGFW , és válassza a Létrehozás lehetőséget.Select the FortiGate NGFW and select the Create.

  4. A központi telepítési paraméterek táblázat paramétereinek használatával végezheti el az alapvető tudnivalókat .Complete Basics using the parameters from the Deployment parameters table.

    Az űrlapnak a következő információkat kell tartalmaznia:Your form should contain the following information:

    Az alapvető beállítások párbeszédpanel szövegmezői (például a példány neve és a BYOL-licenc) a központi telepítési táblából származó értékekkel lettek kitöltve.

  5. Kattintson az OK gombra.Select OK.

  6. Adja meg a virtuális hálózatot, az alhálózatokat és a virtuális gép méretét a telepítési paraméterektől.Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    Ha más neveket és tartományokat kíván használni, ügyeljen arra, hogy ne használjon olyan paramétereket, amelyek ütköznek a többi Azure Stack hub-környezet más VNET és FortiGate erőforrásaival.If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. Ez különösen igaz, ha a VNET IP-tartományát és az alhálózati tartományokat a VNET belül állítja be.This is especially true when setting the VNET IP range and subnet ranges within the VNET. Győződjön meg arról, hogy nem fedik át a létrehozott többi VNET IP-tartományait.Check that they don't overlap with the IP ranges for the other VNET you create.

  7. Kattintson az OK gombra.Select OK.

  8. Konfigurálja a FortiGate-NVA használni kívánt nyilvános IP-címet:Configure the public IP that will be used for the FortiGate NVA:

    Az IP-hozzárendelés párbeszédpanel "nyilvános IP-cím neve" szövegmezője a "forti1-publicip1" értéket jeleníti meg (a telepítési táblából).

  9. Válassza az OK , majd az OK gombot.Select OK and then Select OK.

  10. Kattintson a Létrehozás gombra.Select Create.

Az üzembe helyezés körülbelül 10 percet vesz igénybe.The deployment will take about 10 minutes. Most megismételheti a lépéseket, hogy létrehozza a másik FortiGate-NVA és VNET-telepítést a másik Azure Stack hub-környezetben.You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

Útvonalak (UDR) konfigurálása az egyes VNETConfigure routes (UDRs) for each VNET

Hajtsa végre ezeket a lépéseket mindkét központi telepítéshez, a forti1-rg1 és a forti2-rg1-hez.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Navigáljon a forti1-rg1 erőforráscsoporthoz az Azure Stack hub portálon.Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    Ez az forti1-rg1 erőforráscsoport erőforrásainak listáját bemutató képernyőkép.

  2. Válassza az "forti1-forti1-InsideSubnet-Routes-xxxx" erőforrást.Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. Válassza az útvonalak elemet a Beállítások területen.Select Routes under Settings.

    A képernyőképen a beállítások kijelölt útvonalak eleme látható.

  4. Törölje a to-Internet útvonalat.Delete the to-Internet Route.

    A képernyőképen a Kiemelt internetes útvonal látható.

  5. Válassza az Igen lehetőséget.Select Yes.

  6. Válassza a Hozzáadás elemet.Select Add.

  7. Nevezze el az útvonalat to-forti1 vagy a nevet to-forti2 .Name the Route to-forti1 or to-forti2. Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

  8. Adja meg a következőt:Enter:

    • forti1: 172.17.0.0/16forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16forti2: 172.16.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

  9. Válassza ki a virtuális készüléket a következő ugrási típushoz.Select Virtual appliance for the Next hop type.

    • forti1: 172.16.1.4forti1: 172.16.1.4
    • forti2: 172.17.0.4forti2: 172.17.0.4

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

    A to-forti2 útvonal szerkesztése párbeszédpanel tartalmaz értékeket tartalmazó szövegmezőket.

  10. Válassza a Mentés lehetőséget.Select Save.

Ismételje meg a lépéseket minden egyes InsideSubnet útvonalon.Repeat the steps for each InsideSubnet route for each resource group.

Aktiválja a FortiGate NVA, és konfigurálja az IPSec VPN-kapcsolatokat az egyes NVAActivate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

Az egyes FortiGate-NVA aktiválásához a Fortinet érvényes licencfájl szükséges.You will require a valid license file from Fortinet to activate each FortiGate NVA. A NVA addig nem fog működni, amíg be nem aktiválja az egyes NVA.The NVAs will not function until you have activated each NVA. A licencfájl beszerzésével és a NVA aktiválásához szükséges lépésekkel kapcsolatos további információkért tekintse meg a Fortinet-dokumentum regisztrálásával és a licenc letöltésévelfoglalkozó cikket.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Két licencfájl beszerzése szükséges – egyet az egyes NVA.Two license files will need to be acquired – one for each NVA.

IPSec VPN létrehozása a két NVA közöttCreate an IPSec VPN between the two NVAs

A NVA aktiválása után a következő lépésekkel hozzon létre egy IPSec VPN-t a két NVA között.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

A forti1 NVA és a forti2 NVA az alábbi lépéseket követve:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. A hozzárendelt nyilvános IP-cím lekéréséhez navigáljon a fortiX VM – áttekintés oldalra:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    Az forti1 áttekintése oldalon látható az erőforráscsoport, az állapot stb.

  2. Másolja a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba.Copy the assigned IP address, open a browser, and paste the address into the address bar. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható.Your browser may warn you that the security certificate is not trusted. Folytatás mindenképpen.Continue anyway.

  3. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.Enter the FortiGate administrative user name and password you provided during the deployment.

    A képernyőkép a bejelentkezési képernyő, amely a felhasználónévhez és a jelszóhoz tartozó bejelentkezési gombbal és szövegmezővel rendelkezik.

  4. Válassza a > rendszerbelső vezérlőprogram lehetőséget.Select System > Firmware.

  5. Jelölje be a legújabb belső vezérlőprogram, például a következőt: FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    A "FortiOS v 6.2.0 build0866" belső vezérlőprogram képernyőképe a kibocsátási megjegyzésekre mutató hivatkozást, valamint két gombot tartalmaz: "Backup config and Upgrade" és "upgrade".

  6. Válassza a biztonsági mentés konfiguráció és frissítés lehetőséget, és ha a rendszer kéri, folytassa.Select Backup config and upgrade and Continue when prompted.

  7. A NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra.The NVA updates its firmware to the latest build and reboots. A folyamat körülbelül öt percet vesz igénybe.The process takes about five minutes. Jelentkezzen be újra a FortiGate webkonzolra.Log back into the FortiGate web console.

  8. Kattintson a VPN > IPSec varázsló elemre.Click VPN > IPSec Wizard.

  9. Adja meg a VPN nevét, például conn1 a VPN-létrehozási varázslóban.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Válassza ezt a helyet a NAT mögött.Select This site is behind NAT.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépésben, a VPN-beállításban kell lennie.

  11. Kattintson a Tovább gombra.Select Next.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni fog.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. A kimenő illesztőfelületként válassza a port1 lehetőséget.Select port1 as the Outgoing Interface.

  14. Válassza az előmegosztott kulcs lehetőséget, és adja meg (és jegyezze fel) az előmegosztott kulcsot.Select Pre-shared Key and enter (and record) a pre-shared key.

    Megjegyzés

    Erre a kulcsra szüksége lesz a kapcsolat beállításához a helyszíni VPN-eszközön, azaz pontosan meg kell egyeznie.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben, a hitelesítésen és a kiválasztott értékek kiemelése megtörténik.

  15. Kattintson a Tovább gombra.Select Next.

  16. Válassza a port2 lehetőséget a helyi adapterhez.Select port2 for the Local Interface.

  17. Adja meg a helyi alhálózat tartományát:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

  18. Adja meg a helyszíni hálózatot jelölő megfelelő távoli alhálózatot, amelyet a helyszíni VPN-eszközön keresztül fog csatlakozni.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

    A VPN-létrehozási varázsló képernyőképe azt mutatja be, hogy a harmadik lépésben, a házirend & az útválasztásban, a kiválasztott és a beírt értékeket jeleníti meg.

  19. Kattintson a Létrehozás elemre.Select Create

  20. Válassza a hálózati > adapterek lehetőséget.Select Network > Interfaces.

    Az illesztőfelületek listáján két interfész látható: port1, amely konfigurálva van, és port2, amely még nem.

  21. Kattintson duplán a port2 elemre.Double-click port2.

  22. Válassza a helyi hálózat lehetőséget a szerepkör listában és a DHCP- ben a címzési mód beállításnál.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Kattintson az OK gombra.Select OK.

Ismételje meg a többi NVA lépéseit.Repeat the steps for the other NVA.

A 2. fázis összes Választójának felébresztéseBring Up All Phase 2 Selectors

Miután a fentiek befejeződtek mindkét NVA esetében:Once the above has been completed for both NVAs:

  1. A forti2 FortiGate webkonzolon válassza az Monitor > IPSec-figyelő figyelése lehetőséget.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    Megjelenik a VPN-kapcsolat conn1 figyelő.

  2. Jelölje ki conn1 és válassza Bring Up ki az > összes fázis 2 választók lehetőséget.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    A figyelő és a 2. fázis választó is megjelenik.

Kapcsolat tesztelése és érvényesítéseTest and validate connectivity

A FortiGate-NVA keresztül most már képesnek kell lennie az egyes VNET közötti útválasztásra.You should now be able to route in between each VNET via the FortiGate NVAs. A kapcsolódás ellenőrzéséhez hozzon létre egy Azure Stack hub virtuális gépet az egyes VNET InsideSubnet.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Azure Stack hub-alapú virtuális gép létrehozása a portálon, a CLI-n vagy a PowerShellen keresztül végezhető el.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Virtuális gépek létrehozásakor:When creating the VMs:

  • Az Azure Stack hub virtuális gépek az egyes VNET InsideSubnet lesznek elhelyezve.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • A létrehozáskor semmilyen NSG nem alkalmaz a virtuális gépre (azaz ELTÁVOLÍTJA a NSG, amely alapértelmezés szerint hozzá lesz adva a virtuális gép a portálról való létrehozásakor.You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok lehetővé teszik a kapcsolat teszteléséhez használni kívánt kommunikációt.Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. Tesztelési célból javasoljuk, hogy a tűzfalat teljes mértékben tiltsa le az operációs rendszeren belül, ha lehetséges.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

További lépésekNext steps

A Azure Stack hub hálózatkezelésével kapcsolatos különbségek és megfontolásokDifferences and considerations for Azure Stack Hub networking
Hálózati megoldás nyújtása Azure Stack központban a Fortinet FortiGateOffer a network solution in Azure Stack Hub with Fortinet FortiGate