Konektivitas VNet ke VNet antara instans Azure Stack Hub dengan Fortinet FortiGate NVA

  • Artikel

Pada artikel ini, Anda akan menyambungkan VNET dalam satu Azure Stack Hub ke VNET di Azure Stack Hub lain menggunakan Fortinet FortiGate NVA, alat virtual jaringan.

Artikel ini membahas batasan Azure Stack Hub saat ini, yang memungkinkan penyewa mengatur hanya satu koneksi VPN melintasi dua lingkungan. Pengguna akan belajar cara menyiapkan gateway khusus pada mesin virtual Linux yang akan memungkinkan beberapa koneksi VPN di berbagai Azure Stack Hub. Prosedur dalam artikel ini menyebarkan dua VNET dengan FortiGate NVA di setiap VNET: satu penyebaran per lingkungan Azure Stack Hub. Prosedur ini juga merinci perubahan yang diperlukan untuk menyiapkan VPN IPSec antara dua VNET. Langkah-langkah dalam artikel ini harus diulang untuk setiap VNET di setiap Azure Stack Hub.

Prasyarat

  • Akses ke sistem Azure Stack Hub dengan kapasitas yang tersedia untuk menyebarkan persyaratan komputasi, jaringan, dan sumber daya yang diperlukan untuk solusi ini.

    Catatan

    Petunjuk ini tidak akan berfungsi dengan Azure Stack Development Kit (ASDK) karena keterbatasan jaringan di ASDK. Untuk informasi selengkapnya, lihat Persyaratan dan pertimbangan ASDK.

  • Solusi appliance virtual jaringan (NVA) diunduh dan dipublikasikan ke Marketplace Azure Stack Hub. NVA mengontrol alur lalu lintas jaringan dari jaringan sekitar ke jaringan atau subnet lain. Prosedur ini menggunakan Solusi Mesin Virtual Tunggal Firewall Fortinet FortiGate Next-Generation.

  • Setidaknya terdapat dua file lisensi FortiGate yang tersedia untuk mengaktifkan NVA FortiGate. Informasi tentang cara mendapatkan lisensi ini, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.

    Prosedur ini menggunakan penyebaran FortiGate-VM Tunggal. Anda dapat menemukan langkah-langkah tentang cara menyambungkan NVA FortiGate ke VNET Azure Stack Hub di jaringan lokal Anda.

    Untuk informasi selengkapnya tentang cara menyebarkan solusi FortiGate dalam penyiapan aktif-pasif (HA), lihat detailnya di artikel Pustaka Dokumen Fortinet HA untuk FortiGate-Mesin Virtual di Azure.

Parameter penyebaran

Tabel berikut meringkas parameter yang digunakan dalam penyebaran ini sebagai referensi:

Penyebaran satu: Forti1

Nama Instans FortiGate Forti1
Lisensi/Versi BYOL 6.0.3
Nama pengguna administratif FortiGate fortiadmin
Nama Grup Sumber Daya forti1-rg1
Nama jaringan virtual forti1vnet1
Ruang Alamat VNET 172.16.0.0/16*
Nama subnet VNET publik forti1-PublicFacingSubnet
Prefiks alamat VNET publik 172.16.0.0/24*
Di dalam nama subnet VNET forti1-InsideSubnet
Prefiks di dalam subnet VNET 172.16.1.0/24*
Ukuran Mesin Virtual NVA FortiGate F2s_v2 standar
Nama alamat IP publik forti1-publicip1
Jenis alamat IP publik Statis

Penyebaran dua: Forti2

Nama Instans FortiGate Forti2
Lisensi/Versi BYOL 6.0.3
Nama pengguna administratif FortiGate fortiadmin
Nama Grup Sumber Daya forti2-rg1
Nama jaringan virtual forti2vnet1
Ruang Alamat VNET 172.17.0.0/16*
Nama subnet VNET publik forti2-PublicFacingSubnet
Prefiks alamat VNET publik 172.17.0.0/24*
Di dalam nama subnet VNET Forti2-InsideSubnet
Prefiks di dalam subnet VNET 172.17.1.0/24*
Ukuran Mesin Virtual NVA FortiGate F2s_v2 standar
Nama alamat IP publik Forti2-publicip1
Jenis alamat IP publik Statis

Catatan

* Pilih satu set ruang alamat dan prefiks subnet yang berbeda jika hal di atas tumpang tindih dalam hal apa pun dengan lingkungan jaringan lokal termasuk Kumpulan VIP dari salah satu Azure Stack Hub. Juga pastikan bahwa rentang alamat tidak tumpang tindih satu sama lain.**

Menyebarkan Item Marketplace FortiGate NGFW

Ulangi langkah-langkah ini untuk kedua lingkungan Azure Stack Hub.

  1. Buka portal pengguna Azure Stack Hub. Pastikan untuk menggunakan informasi masuk yang memiliki setidaknya hak Kontributor untuk berlangganan.

  2. Pilih Buat sumber daya dan cari .

    Cuplikan layar menunjukkan satu baris hasil dari pencarian

  3. Pilih FortiGate NGFW dan pilih Buat.

  4. Lengkapi Dasar-dasar menggunakan parameter dari tabel Parameter penyebaran.

    Formulir Anda harus berisi informasi berikut:

    Kotak teks (seperti Nama Instans dan Lisensi BYOL) dari kotak dialog Dasar telah diisi dengan nilai dari Tabel Penyebaran.

  5. PilihOK.

  6. Berikan detail ukuran jaringan virtual, subnet, dan Mesin Virtual dari Parameter penyebaran.

    Jika Anda ingin menggunakan nama dan rentang yang berbeda, berhati-hatilah untuk tidak menggunakan parameter yang akan bertentangan dengan sumber daya VNET dan FortiGate lainnya di lingkungan Azure Stack Hub lainnya. Ini terutama benar ketika mengatur rentang IP VNET dan rentang subnet dalam VNET. Periksa apakah tidak ada tumpang tindih dengan rentang IP untuk VNET lainnya yang Anda buat.

  7. PilihOK.

  8. Konfigurasikan IP publik yang akan digunakan untuk NVA FortiGate:

    Kotak teks

  9. Pilih OK, lalu Pilih OK.

  10. Pilih Buat.

Penyebaran akan memakan waktu sekitar 10 menit. Anda sekarang dapat mengulangi langkah-langkah untuk membuat penyebaran FortiGate NVA dan VNET lainnya di lingkungan Azure Stack Hub lainnya.

Mengonfigurasi rute (UDR) untuk setiap VNET

Lakukan langkah-langkah ini untuk kedua penyebaran, forti1-rg1 dan forti2-rg1.

  1. Navigasi ke Grup Sumber Daya Forti1-rg1 di portal Azure Stack Hub.

    Ini adalah cuplikan layar daftar sumber daya di grup sumber daya forti1-rg1.

  2. Pilih sumber daya 'forti1-forti1-InsideSubnet-routes-xxxx'.

  3. Pilih Rute di bawah Pengaturan.

    Cuplikan layar memperlihatkan item Rute pengaturan yang disorot.

  4. Hapus Rute to-Internet.

    Cuplikan layar menunjukkan rute yang disorot ke Internet. Ada tombol hapus.

  5. Pilih Ya.

  6. Pilih Tambahkan.

  7. Beri nama Ruteto-forti1 atau to-forti2. Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

  8. Masuk:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

  9. Pilih Appliance virtual untuk Jenis lompatan berikutnya.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

    Kotak dialog Edit rute untuk to-forti2 memiliki kotak teks dengan nilai.

  10. Pilih Simpan.

Ulangi langkah-langkah untuk setiap rute InsideSubnet untuk setiap grup sumber daya.

Aktifkan NVA FortiGate dan Konfigurasikan koneksi VPN IPSec pada setiap NVA

Anda akan memerlukan file lisensi yang valid dari Fortinet untuk mengaktifkan setiap NVA FortiGate. NVA tidak akan berfungsi sampai Anda mengaktifkan setiap NVA. Untuk informasi selengkapnya tentang cara mendapatkan file lisensi dan langkah-langkah untuk mengaktifkan NVA, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.

Dua file lisensi perlu diperoleh - satu untuk setiap NVA.

Membuat VPN IPSec antara dua NVA

Setelah NVA diaktifkan, ikuti langkah-langkah ini untuk membuat VPN IPSec antara kedua NVA.

Ikuti langkah-langkah di bawah ini untuk NVA forti1 dan NVA forti2:

  1. Dapatkan alamat IP Publik yang ditetapkan dengan masuk ke halaman Gambaran Umum Mesin Virtual fortiX:

    Halaman gambaran umum forti1 memperlihatkan grup sumber daya, status, dan sebagainya.

  2. Salin alamat IP yang ditetapkan, buka browser, dan tempel alamat ke bar alamat. Browser Anda mungkin memperingatkan Anda bahwa sertifikat keamanan tidak dipercaya. Lanjutkan saja.

  3. Masukkan nama pengguna administratif dan kata sandi FortiGate yang Anda buat selama penyebaran.

    Cuplikan layar adalah layar masuk, yang memiliki tombol Masuk dan kotak teks untuk nama pengguna dan kata sandi.

  4. Pilih FirmwareSistem.

  5. Pilih kotak yang menampilkan firmware terbaru, misalnya, FortiOS v6.2.0 build0866.

    Cuplikan layar untuk firmware

  6. Pilih Konfigurasi pencadangan dan peningkatan dan Lanjutkan saat diminta.

  7. NVA memperbarui firmware-nya ke build dan boot ulang terbaru. Prosesnya memakan waktu sekitar lima menit. Masuk kembali ke konsol web FortiGate.

  8. Klik VPNWizard IPSec.

  9. Masukkan nama untuk VPN, misalnya, conn1 dalam conn1.

  10. Pilih Situs ini berada di belakang NAT.

    Cuplikan layar Wizard Pembuatan VPN menunjukkannya berada pada langkah pertama, Penyiapan VPN. Nilai berikut dipilih:

  11. Pilih Selanjutnya.

  12. Masukkan alamat IP jarak jauh dari perangkat VPN lokal tempat Anda akan terhubung.

  13. Pilih port1 sebagai Antarmuka Keluar.

  14. Pilih Kunci sebelum Berbagi dan masukkan (dan catatan) kunci yang telah dibagikan sebelumnya.

    Catatan

    Anda akan memerlukan kunci ini untuk menyiapkan koneksi pada perangkat VPN lokal, yaitu, harus sama persis.

    Cuplikan layar Wizard Pembuatan VPN memperlihatkannya berada pada langkah kedua, Autentikasi, dan nilai yang dipilih disorot.

  15. Pilih Selanjutnya.

  16. Pilih port2 untuk Antarmuka Lokal.

  17. Masukkan rentang subnet lokal:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

  18. Masukkan Subnet Jarak Jauh yang sesuai yang mewakili jaringan lokal, tempat Anda akan tersambung melalui perangkat VPN lokal.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

    Cuplikan layar Wizard Pembuatan VPN menunjukkannya berada di langkah ketiga, Kebijakan & Perutean, memperlihatkan nilai yang dipilih dan dimasukkan.

  19. Pilih Buat

  20. Pilih AntarmukaJaringan.

    Daftar antarmuka menunjukkan dua antarmuka: port1, yang telah dikonfigurasi, dan port2, yang belum. Ada tombol untuk membuat, mengedit, dan menghapus antarmuka.

  21. Klik dua kali port2.

  22. Pilih LAN dalam daftar Peran dan DHCP untuk mode Pengalamatan.

  23. PilihOK.

Ulangi langkah-langkah tersebut untuk NVA lainnya.

Memunculkan Semua Pemilih Fase 2

Setelah hal di atas selesai untuk kedua NVA:

  1. Di konsol web FortiGate forti2, pilih Monitor>Monitor IPsec.

    Monitor untuk koneksi VPN conn1 tercantum. Ini ditampilkan sebagai sedang tidak berfungsi, seperti halnya Pemilih Fase 2 yang sesuai.

  2. Sorot conn1 dan pilih Munculkan>Semua Pemilih Fase 2.

    Pemantau dan Pemilih Fase 2 keduanya ditampilkan sebagai atas.

Menguji dan memvalidasi konektivitas

Sekarang Anda dapat merutekan antara setiap VNET melalui NVA FortiGate. Untuk memvalidasi koneksi, buat Mesin Virtual Azure Stack Hub di setiap InsideSubnet VNET. Pembuatan Mesin Virtual Azure Stack Hub dapat dilakukan melalui portal, Azure CLI, atau PowerShell. Saat membuat Mesin Virtual:

  • Mesin Virtual Azure Stack Hub ditempatkan di InsideSubnet dari setiap VNET.

  • Anda tidak menerapkan NSG apa pun ke Mesin Virtual saat pembuatan (Yaitu, menghapus NSG yang ditambahkan secara default jika membuat Mesin Virtual dari portal.

  • Pastikan bahwa aturan firewall Mesin Virtual memungkinkan komunikasi yang akan Anda gunakan untuk menguji konektivitas. Untuk tujuan pengujian, disarankan untuk menonaktifkan firewall sepenuhnya dalam OS jika memungkinkan.

Langkah berikutnya

Perbedaan dan pertimbangan untuk jaringan Azure Stack Hub
Menawarkan solusi jaringan di Azure Stack Hub dengan Fortinet FortiGate