Virtuális hálózatok közötti kapcsolat az Azure Stack Hub-példányok között a Fortinet FortiGate NVA-val
Ebben a cikkben az egyik Azure Stack Hubban lévő virtuális hálózatot egy másik Azure Stack Hub virtuális hálózatához csatlakoztatja a Fortinet FortiGate NVA hálózati virtuális berendezés használatával.
Ez a cikk az Azure Stack Hub jelenlegi korlátozásával foglalkozik, amely lehetővé teszi, hogy a bérlők csak egy VPN-kapcsolatot állítsanak be két környezetben. A felhasználók megtanulhatják, hogyan állíthatnak be egyéni átjárót egy Linux rendszerű virtuális gépen, amely több VPN-kapcsolatot tesz lehetővé a különböző Azure Stack Hubon. A jelen cikkben ismertetett eljárás két VNET-t helyez üzembe egy FortiGate NVA-val minden virtuális hálózaton: egy üzembe helyezést Azure Stack Hub-környezetben. Emellett az IPSec VPN két virtuális hálózat közötti beállításához szükséges módosításokat is részletezi. A cikkben szereplő lépéseket meg kell ismételni az egyes Azure Stack Hubokban található virtuális hálózatok esetében.
Előfeltételek
Hozzáférés az Azure Stack Hub integrált rendszereihez, amelyek rendelkezésre álló kapacitással rendelkeznek a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.
Megjegyzés
Ezek az utasítások az ASDK hálózati korlátozásai miatt nem működnek az Azure Stack Development Kittel (ASDK). További információ: ASDK-követelmények és szempontok.
Az Azure Stack Hub Marketplace-en letöltött és közzétett hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a hálózati forgalom áramlását egy szegélyhálózatról más hálózatokra vagy alhálózatokra. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal önálló virtuálisgép-megoldását használja.
Legalább két elérhető FortiGate-licencfájl a FortiGate NVA aktiválásához. A licencek beszerzéséről a Licenc regisztrálása és letöltése című Fortinet-dokumentumtár című cikkben olvashat.
Ez az eljárás az önálló FortiGate-VM üzembe helyezést használja. Megtudhatja, hogyan csatlakoztathatja a FortiGate NVA-t az Azure Stack Hub VNET-hez a helyszíni hálózaton.
A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library for FortiGate-VM for FortiGate-VM for Azure-hoz című cikkében talál.
Üzembehelyezési paraméterek
Az alábbi táblázat összefoglalja az ezekben az üzemelő példányokban referenciaként használt paramétereket:
Első üzembe helyezés: Forti1
FortiGate-példány neve | Forti1 |
---|---|
BYOL-licenc/verzió | 6.0.3 |
FortiGate rendszergazdai felhasználónév | fortiadmin |
Erőforráscsoport neve | forti1-rg1 |
Virtuális hálózat neve | forti1vnet1 |
VNET-címtér | 172.16.0.0/16* |
Nyilvános virtuális hálózat alhálózatának neve | forti1-PublicFacingSubnet |
Nyilvános VNET-címelőtag | 172.16.0.0/24* |
A virtuális hálózat alhálózatának neve | forti1-InsideSubnet |
A VNET-alhálózat előtagja | 172.16.1.0/24* |
A FortiGate NVA virtuálisgép-mérete | Standard F2s_v2 |
Nyilvános IP-cím | forti1-publicip1 |
Nyilvános IP-cím típusa | Statikus |
Második üzembe helyezés: Forti2
FortiGate-példány neve | Forti2 |
---|---|
BYOL-licenc/verzió | 6.0.3 |
FortiGate rendszergazdai felhasználónév | fortiadmin |
Erőforráscsoport neve | forti2-rg1 |
Virtuális hálózat neve | forti2vnet1 |
VNET-címtér | 172.17.0.0/16* |
Nyilvános virtuális hálózat alhálózatának neve | forti2-PublicFacingSubnet |
Nyilvános VNET-címelőtag | 172.17.0.0/24* |
A virtuális hálózat alhálózatának neve | Forti2-InsideSubnet |
A VNET-alhálózat előtagja | 172.17.1.0/24* |
A FortiGate NVA virtuálisgép-mérete | Standard F2s_v2 |
Nyilvános IP-cím | Forti2-publicip1 |
Nyilvános IP-cím típusa | Statikus |
Megjegyzés
* Válasszon másik címtereket és alhálózati előtagokat, ha a fentiek bármilyen módon átfedésben vannak a helyszíni hálózati környezettel, beleértve bármelyik Azure Stack Hub VIP-készletét is. Győződjön meg arról is, hogy a címtartományok nem fedik egymást.**
A FortiGate NGFW Marketplace-elemek üzembe helyezése
Ismételje meg ezeket a lépéseket mindkét Azure Stack Hub-környezetben.
Nyissa meg az Azure Stack Hub felhasználói portálját. Ügyeljen arra, hogy olyan hitelesítő adatokat használjon, amelyek legalább közreműködői jogosultságokkal rendelkeznek egy előfizetéshez.
Válassza az Erőforrás létrehozása lehetőséget, és keressen rá.
FortiGate
Válassza a FortiGate NGFW elemet , és válassza a Létrehozás lehetőséget.
Végezze el az Alapszintű beállításokat az Üzembehelyezési paraméterek tábla paramétereivel.
Az űrlapnak a következő információkat kell tartalmaznia:
Válassza az OK lehetőséget.
Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az üzembe helyezési paraméterekből.
Ha különböző neveket és tartományokat szeretne használni, ügyeljen arra, hogy ne használjon olyan paramétereket, amelyek ütköznek a többi VNET- és FortiGate-erőforrással a másik Azure Stack Hub-környezetben. Ez különösen igaz, ha a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítja be. Ellenőrizze, hogy nincsenek-e átfedésben a többi létrehozott virtuális hálózat IP-címtartományaival.
Válassza az OK lehetőséget.
Konfigurálja a FortiGate NVA-hoz használni kívánt nyilvános IP-címet:
Válassza az OK , majd az OK gombot.
Válassza a Létrehozás lehetőséget.
Az üzembe helyezés körülbelül 10 percet vesz igénybe. Most megismételheti a lépéseket a másik FortiGate NVA- és VNET-üzembe helyezés létrehozásához a másik Azure Stack Hub-környezetben.
Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz
Hajtsa végre ezeket a lépéseket mindkét üzemelő példány esetében: forti1-rg1 és forti2-rg1.
Lépjen a forti1-rg1 erőforráscsoportra az Azure Stack Hub portálon.
Válassza a "forti1-forti1-InsideSubnet-routes-xxxx" erőforrást.
Válassza az Útvonalak lehetőséget a Beállítások területen.
Törölje az internetes útvonalat.
Válassza az Igen lehetőséget.
Válassza a Hozzáadás lehetőséget.
Nevezze el az útvonalat
to-forti1
vagyto-forti2
a nevet. Ha másik IP-tartományt használ, használja az IP-tartományt.Adja meg a következőt:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Ha másik IP-tartományt használ, használja az IP-tartományt.
- forti1:
Válassza a Virtuális berendezés lehetőséget a Következő ugrás típushoz.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Ha másik IP-tartományt használ, használja az IP-tartományt.
- forti1:
Kattintson a Mentés gombra.
Ismételje meg az egyes erőforráscsoportok InsideSubnet-útvonalainak lépéseit.
A FortiGate NVA-k aktiválása és IPSec VPN-kapcsolat konfigurálása minden NVA-n
Az egyes FortiGate NVA-k aktiválásához érvényes licencfájlra lesz szüksége a Fortinettől. Az NVA-k mindaddig nem működnek, amíg nem aktiválja az egyes NVA-kat. További információ a licencfájl beszerzéséről és az NVA aktiválásának lépéseiről: Fortinet Document Library (A licenc regisztrálása és letöltése).
Két licencfájlt kell beszerezni – egyet minden NVA-hoz.
IPSec VPN létrehozása a két NVA között
Miután aktiválta az NVA-kat, az alábbi lépéseket követve hozzon létre egy IPSec VPN-t a két NVA között.
Kövesse az alábbi lépéseket a forti1 NVA és a forti2 NVA esetében is:
A hozzárendelt nyilvános IP-cím lekéréséhez navigáljon a fortiX virtuális gép áttekintési oldalára:
Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható. Ennek ellenére folytassa.
Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.
Válassza a Rendszer>belső vezérlőprogramja lehetőséget.
Jelölje be a legújabb belső vezérlőprogramot megjelenítő mezőt, például
FortiOS v6.2.0 build0866
: .Válassza a Biztonsági mentés konfigurációja és frissítése , majd a Folytatás lehetőséget, amikor a rendszer kéri.
Az NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.
Kattintson a VPN>IPSec varázslóra.
Adja meg a VPN nevét, például
conn1
a VPN létrehozása varázslóban.Válassza az Ez a webhely a NAT mögött lehetőséget.
Kattintson a Tovább gombra.
Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.
Válassza az 1. portot kimenő adapterként.
Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előre megosztott kulcsot.
Megjegyzés
Erre a kulcsra szüksége lesz a helyszíni VPN-eszköz kapcsolatának beállításához, azaz pontosan meg kell egyeznie.
Kattintson a Tovább gombra.
Válassza a port2 lehetőséget a helyi felülethez.
Adja meg a helyi alhálózati tartományt:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Ha másik IP-tartományt használ, használja az IP-tartományt.
Adja meg a megfelelő távoli alhálózatot, amely a helyszíni hálózatot jelöli, amelyhez a helyszíni VPN-eszközön keresztül csatlakozik.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Ha másik IP-tartományt használ, használja az IP-tartományt.
Kattintson a Létrehozás elemre.
Válassza a Hálózati>adapterek lehetőséget.
Kattintson duplán a 2. portra.
A Címzés módban válassza a LAN lehetőséget a Szerepkör listában, a DHCP-t pedig a Címzés módban.
Válassza az OK lehetőséget.
Ismételje meg a másik NVA lépéseit.
Az összes 2. fázis választóinak beállítása
Ha a fentiek mindkét NVA esetében befejeződtek:
A forti2 FortiGate webkonzolon válassza azIPsec Monitormonitorozása> lehetőséget.
Jelölje ki
conn1
és válassza ki az>Összes fázis 2 választóit.
Kapcsolat tesztelése és ellenőrzése
Most már képesnek kell lennie az egyes virtuális hálózatok közötti útválasztásra a FortiGate NVA-kon keresztül. A kapcsolat ellenőrzéséhez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnetjében. Azure Stack Hub virtuális gép létrehozása a portálon, az Azure CLI-vel vagy a PowerShell-lel végezhető el. A virtuális gépek létrehozásakor:
Az Azure Stack Hub virtuális gépei az egyes virtuális hálózatok InsideSubnetjén vannak elhelyezve.
A létrehozáskor nem alkalmaz NSG-ket a virtuális gépre (azaz távolítsa el az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.
Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok engedélyezik a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy ha lehetséges, teljesen tiltsa le a tűzfalat az operációs rendszeren belül.
Következő lépések
Az Azure Stack Hub hálózatkezelésének különbségei és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: