Introduzione alla rete rugged di hub Azure StackAzure Stack Hub ruggedized network introduction

Panoramica sulla progettazione della reteNetwork design overview

Progettazione della rete fisicaPhysical Network design

La soluzione Rugged Hub Azure Stack richiede un'infrastruttura fisica resiliente e a disponibilità elevata per supportare le operazioni e i servizi.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. I uplink da ToR a commutatori di bordo sono limitati ai supporti SFP + o SFP28 e a 1 GB, 10 GB o a una velocità di 25 GB.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. Rivolgersi al fornitore dell'hardware originale Equipment Manufacturer (OEM) per la disponibilità.Check with your original equipment manufacturer (OEM) hardware vendor for availability.

Il diagramma seguente illustra la progettazione consigliata per l'hub Azure Stack rinforzato.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Rete fisica Rugged Hub Azure Stack

Progettazione della rete logicaLogical network design

Una progettazione di rete logica rappresenta un'astrazione di un'infrastruttura di rete fisica.A logical network design represents an abstraction of a physical network infrastructure. Sono usati per organizzare e semplificare le assegnazioni di rete per host, macchine virtuali (VM) e servizi.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. Come parte della creazione di una rete logica, i siti di rete vengono creati per definire:As part of logical network creation, network sites are created to define the:

  • reti locali virtuali (VLAN)virtual local area networks (VLANs)
  • Subnet IPIP subnets
  • Coppie subnet IP/VLANIP subnet/VLAN pairs

Tutti i quali sono associati alla rete logica in ogni posizione fisica.All of which are associated with the logical network in each physical location.

Nella tabella seguente vengono illustrate le reti logiche e gli intervalli di subnet IPv4 associati che è necessario pianificare:The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Rete logicaLogical Network DescrizioneDescription DimensioniSize
IP virtuale pubblico (VIP)Public Virtual IP (VIP) Azure Stack Rugged hub usa un totale di 31 indirizzi da questa rete.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Otto indirizzi IP pubblici vengono usati per un piccolo set di servizi Rugged Hub Azure Stack e il resto viene usato dalle macchine virtuali tenant.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Se si prevede di usare il servizio app e i provider di risorse SQL, vengono usati altri 7 indirizzi.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. I 15 IP rimanenti sono riservati per i servizi di Azure futuri.The remaining 15 IPs are reserved for future Azure services. /26 (62 host)-/26 (62 hosts)-
/22 (1022 host)/22 (1022 hosts)

Consigliato =/24 (254 host)Recommended = /24 (254 hosts)
Cambia infrastrutturaSwitch infrastructure Indirizzi IP da punto a punto per finalità di routing, interfacce di gestione del commutere dedicate e indirizzi di loopback assegnati al Commuter.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
InfrastrutturaInfrastructure Usato per la comunicazione tra componenti interni rinforzati di Azure Stack Hub.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
PrivatoPrivate Usato per la rete di archiviazione, gli indirizzi VIP privati, i contenitori di infrastruttura e altre funzioni interne.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Baseboard Management Controller (BMC)Baseboard Management Controller (BMC) Usato per comunicare con i controller di gestione di battiscopa negli host fisici.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

Infrastruttura di reteNetwork Infrastructure

L'infrastruttura di rete per Azure Stack Hub è costituita da diverse reti logiche configurate sui commutatori.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. Il diagramma seguente illustra le reti logiche e il modo in cui si integrano con i commutatori Top-of-rack (TOR), Baseboard Management Controller e Border (Customer Network).The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Diagramma della rete logica Rugged Hub Azure Stack:Azure Stack Hub ruggedized logical network diagram:

Rete logica Rugged Hub Azure Stack

Rete BMCBMC network

Questa rete è dedicata alla connessione di tutti i controller di gestione di battiscopa (noti anche come BMC o processori di servizio) alla rete di gestione.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Gli esempi includono: iDRAC, iLO, iBMC e così via.Examples include: iDRAC, iLO, iBMC, and so on. Per comunicare con qualsiasi nodo BMC, viene utilizzato un solo account BMC.Only one BMC account is used to communicate with any BMC node. Se presente, l'host del ciclo di vita hardware (HLH) si trova in questa rete e può fornire software specifico OEM per la manutenzione o il monitoraggio dell'hardware.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

HLH ospita anche la VM di distribuzione (DVM).The HLH also hosts the Deployment VM (DVM). DVM viene usato durante la distribuzione Rugged dell'hub Azure Stack e viene rimosso al termine della distribuzione.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. DVM richiede l'accesso a Internet negli scenari di distribuzione connessi per testare, convalidare e accedere a più componenti.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Questi componenti possono trovarsi all'interno e all'esterno della rete aziendale, ad esempio NTP, DNS e Azure.These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). Per ulteriori informazioni sui requisiti di connettività, vedere la sezione NAT nell'integrazione del firewall di Azure Stack Hub.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

Rete privataPrivate network

La rete/20 (indirizzi IP host 4096) è privata per l'area di Azure Stack Rugged Hub.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Non si espande oltre i dispositivi switch del bordo dell'area Rugged dell'hub Azure Stack.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Questa rete è divisa in più subnet, ad esempio:This network is divided into multiple subnets, for example:

  • Rete di archiviazione: rete a/25 (128 IP) usata per supportare l'uso di spazi diretti e traffico di archiviazione SMB (Server Message Block) e migrazione in tempo reale della macchina virtuale.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Rete IP virtuale interna: rete a/25 dedicata a VIP solo interni per il servizio di bilanciamento del carico software.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Rete contenitore: rete a/23 (IP 512) dedicata al traffico solo interno tra i contenitori che eseguono servizi di infrastrutturaContainer network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

La dimensione della rete privata è/20 (4096 IP) dello spazio IP privato.The size for the Private Network is /20 (4096 IPs) of private IP space. Questa rete è privata per il sistema Rugged Hub Azure Stack.This network is private to the Azure Stack Hub ruggedized system. Non viene eseguito il routing oltre i dispositivi switch del bordo del sistema di Azure Stack dell'hub e può essere riutilizzato in più sistemi con Azure Stack di hub.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Sebbene la rete sia privata per Azure Stack Hub, non deve sovrapporsi ad altre reti nel datacenter.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. Per informazioni aggiuntive sullo spazio IP privato, è consigliabile seguire la RFC 1918.For guidance on Private IP space, we recommend following the RFC 1918.

Lo spazio IP privato/20 è diviso in più reti, che consentono l'esecuzione dell'infrastruttura di sistema Rugged Hub Azure Stack per i contenitori nelle versioni future.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. Per informazioni dettagliate, vedere le note sulla versione 1910.Refer to the 1910 release notes for details. Questo nuovo spazio IP privato consente attività continue per ridurre lo spazio IP instradabile necessario prima della distribuzione.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Rete di infrastruttura Rugged dell'hub Azure StackAzure Stack Hub ruggedized infrastructure network

La rete/24 è dedicata ai componenti di hub Azure Stack interni, per la comunicazione e lo scambio di dati tra di essi.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Questa subnet può essere instradabile esternamente alla soluzione Rugged Hub Azure Stack per il Data Center.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. Non è consigliabile usare indirizzi IP instradabili pubblici o Internet in questa subnet.We don't recommend using Public or Internet routable IP addresses on this subnet. Questa rete viene annunciata sul bordo, ma la maggior parte degli indirizzi IP è protetta da elenchi di controllo di accesso (ACL).This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). Gli indirizzi IP consentiti per l'accesso sono compresi in un intervallo di dimensioni ridotte, equivalenti a una rete/27.The IPs allowed for access are within a small range, equivalent in size to a /27 network. Gli IP ospitano servizi come l'endpoint privilegiato (PEP) e il backup rinforzato di hub Azure Stack.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Rete VIP pubblicaPublic VIP network

La rete VIP pubblica viene assegnata al controller di rete in Azure Stack Hub Rugged.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. Non si tratta di una rete logica sul Commuter.It's not a logical network on the switch. SLB usa il pool di indirizzi e assegna/32 reti per i carichi di lavoro tenant.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. Nella tabella di routing switch questi indirizzi IP/32 vengono annunciati come route disponibile tramite Border Gateway Protocol (BGP).On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Questa rete contiene indirizzi pubblici accessibili esternamente.This network contains public addresses that are externally accessible. L'infrastruttura Rugged Hub Azure Stack riserva i primi 31 indirizzi da questa rete VIP pubblica, mentre il resto viene usato dalle macchine virtuali tenant.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. Le dimensioni della rete in questa subnet possono variare da un minimo di/26 (64 host) a un massimo di/22 (host 1022).The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). Si consiglia di pianificare una rete/24.We recommend you plan for a /24 network.

Passa alla rete dell'infrastrutturaSwitch infrastructure network

La rete/26 è la subnet che contiene le subnet IP/30 da punto a punto instradabili (due indirizzi IP host) e i loopback.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Queste sono subnet dedicate/32 per la gestione Commuter in banda e l'ID router BGP.These are dedicated /32 subnets for in-band switch management and BGP router ID. Questo intervallo di indirizzi IP deve essere instradabile al di fuori della soluzione Rugged Hub Azure Stack per il Data Center.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. Gli indirizzi IP possono essere privati o pubblici.The IP addresses may be private or public.

Cambia rete di gestioneSwitch management network

La rete/29 (sei indirizzi IP host) è dedicata alla connessione delle porte di gestione dei commutatori.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Questa rete consente l'accesso fuori banda per la distribuzione, la gestione e la risoluzione dei problemi.This network allows out-of-band access for deployment, management, and troubleshooting. Viene calcolato dalla rete dell'infrastruttura switch indicata in precedenza.It's calculated from the switch infrastructure network mentioned above.

Panoramica sulla progettazione DNSDNS design overview

Per accedere agli endpoint rugged di hub Azure Stack (Portal, adminportal, Management, adminManagement) dall'esterno dell'hub Azure stack, è necessario integrare i servizi DNS Rugged Hub Azure stack con i server DNS che ospitano le zone DNS che si vuole usare nell'hub Azure stack Rugged.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Spazio dei nomi DNS Rugged Hub Azure StackAzure Stack Hub ruggedized DNS namespace

Quando si distribuisce Azure Stack Hub rinforzato, è necessario fornire alcune informazioni importanti relative al DNS.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

CampoField DescrizioneDescription EsempioExample
AreaRegion La posizione geografica della distribuzione Rugged Hub Azure Stack.The geographic location of your Azure Stack Hub ruggedized deployment. esteast
Nome di dominio esternoExternal Domain Name Nome della zona che si vuole usare per la distribuzione Rugged dell'hub Azure Stack.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Nome di dominio internoInternal Domain Name Nome della zona interna utilizzata per i servizi di infrastruttura nell'hub Azure Stack.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. Il servizio directory è integrato e privato (non raggiungibile dall'esterno della distribuzione Rugged Hub Azure Stack).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. localazurestack.local
Server d'inoltro DNSDNS Forwarders Server DNS utilizzati per l'invio di query DNS, zone DNS e record ospitati all'esterno di Azure Stack Hub, nella Intranet aziendale o in una rete Internet pubblica.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. È possibile modificare il valore del server di trasmissione DNS con il cmdlet set-AzSDnsForwarder dopo la distribuzione.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Prefisso di denominazione (facoltativo)Naming Prefix (Optional) Prefisso di denominazione per cui si desidera che i nomi dei computer dell'istanza del ruolo di infrastruttura Rugged Hub Azure Stack.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Se non viene specificato, il valore predefinito è "AZS".If not provided, the default is "azs". AZSazs

Il nome di dominio completo (FQDN) della distribuzione e degli endpoint del Azure Stack Hub è costituito dalla combinazione del parametro Region e del parametro del nome di dominio esterno.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Usando i valori degli esempi nella tabella precedente, il nome di dominio completo per questa distribuzione Rugged Hub Azure Stack sarà: East.cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

Di conseguenza, gli esempi di alcuni endpoint per questa distribuzione avranno un aspetto simile a quello degli URL seguenti:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Per usare questo spazio dei nomi DNS di esempio per una distribuzione rugged di hub Azure Stack, sono necessarie le condizioni seguenti:To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • La zona fabrikam.com è registrata con un registrar, un server DNS aziendale interno o entrambi.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. La registrazione dipende dai requisiti di risoluzione dei nomi.Registration depends on your name resolution requirements.
  • Il dominio figlio cloud.fabrikam.com esiste nella zona fabrikam.com.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • È possibile raggiungere i server DNS che ospitano le zone fabrikam.com e cloud.fabrikam.com dalla distribuzione Rugged dell'hub Azure Stack.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Per risolvere i nomi DNS per gli endpoint e le istanze rugged di hub Azure Stack dall'esterno di Azure Stack Hub, è necessario integrare i server DNS.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. Inclusione di server che ospitano la zona DNS esterna per l'hub Azure Stack Rugged, con i server DNS che ospitano la zona padre che si vuole usare.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

Etichette nome DNSDNS name labels

Azure Stack Hub Rugged supporta l'aggiunta di un'etichetta del nome DNS a un indirizzo IP pubblico per consentire la risoluzione dei nomi per gli indirizzi IP pubblici.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. Le etichette DNS rappresentano un modo pratico per consentire agli utenti di raggiungere le app e i servizi ospitati in Azure Stack Hub, in base al nome.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. L'etichetta del nome DNS usa uno spazio dei nomi leggermente diverso rispetto agli endpoint dell'infrastruttura.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Dopo lo spazio dei nomi di esempio precedente, lo spazio dei nomi per le etichette del nome DNS sarebbe: * . East.cloudapp.cloud.fabrikam.com.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Se un tenant specifica MyApp nel campo nome DNS di una risorsa indirizzo IP pubblico, viene creato un record a per Myapp nella zona East.cloudapp.cloud.fabrikam.com nel server DNS esterno Rugged Hub Azure stack.If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. Il nome di dominio completo risultante sarà: MyApp.East.cloudapp.cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Se si desidera sfruttare questa funzionalità e utilizzare questo spazio dei nomi, è necessario integrare i server DNS.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. Inclusi i server che ospitano la zona DNS esterna per Azure Stack Hub e i server DNS che ospitano la zona padre che si vuole usare.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Questo spazio dei nomi è diverso da quello usato per gli endpoint del servizio Rugged dell'hub Azure Stack, quindi è necessario creare una delega aggiuntiva o una regola di invio condizionale.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

Per altre informazioni sul funzionamento dell'etichetta del nome DNS, vedere l'argomento relativo all'uso di DNS nell'hub Azure Stack.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Risoluzione e delegaResolution and delegation

Esistono due tipi di server DNS:There are two types of DNS servers:

  • Un server DNS autorevole ospita le zone DNSAn authoritative DNS server hosts DNS zones. e risponde alle query DNS solo per i record presenti in tali zone.It answers DNS queries for records in those zones only.
  • Un server DNS ricorsivo non ospita le zone DNS.A recursive DNS server doesn't host DNS zones. ma risponde a tutte le query DNS, chiamando i server DNS autorevoli per raccogliere tutti i dati necessari.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

L'hub Azure Stack Rugged include i server DNS autorevoli e ricorsivi.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. I server ricorsivi vengono usati per risolvere i nomi di tutti gli elementi, ad eccezione della zona privata interna, e della zona DNS pubblica esterna per la distribuzione di Azure Stack Hub rinforzata.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Risoluzione dei nomi DNS esterni dall'hub Azure Stack RuggedResolving external DNS names from Azure Stack Hub ruggedized

Per risolvere i nomi DNS per gli endpoint al di fuori dell'hub Azure Stack Rugged (ad esempio: www.bing.com), è necessario fornire server DNS per Azure Stack Hub rinforzato per l'invio di richieste DNS, per le quali l'hub Azure Stack Rugged non è autorevole.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. I server DNS per i quali sono richieste le richieste di inoltri di hub con Azure Stack Hub sono necessari nel foglio di servizio per la distribuzione (nel campo server d'inoltri DNS).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). Specificare almeno due server in questo campo per la tolleranza di errore.Provide at least two servers in this field for fault tolerance. Senza questi valori, la distribuzione di Azure Stack Hub non riesce.Without these values, Azure Stack Hub ruggedized deployment fails. È possibile modificare i valori del server di trasmissione DNS con il cmdlet set-AzSDnsForwarder dopo la distribuzione.You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

Panoramica sulla progettazione del firewallFirewall design overview

È consigliabile usare un dispositivo firewall per proteggere Azure Stack Hub.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. I firewall possono contribuire alla difesa da elementi come attacchi di tipo Denial of Service (DDOS) distribuiti, rilevamento delle intrusioni ed ispezione dei contenuti.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Tuttavia, possono anche diventare un collo di bottiglia della velocità effettiva per i servizi di archiviazione di Azure, ad esempio BLOB, tabelle e code.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Se viene utilizzata una modalità di distribuzione disconnessa, è necessario pubblicare l'endpoint AD FS.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Per altre informazioni, vedere l'articolo sull'identità dell'integrazione dei data center.For more information, see the datacenter integration identity article.

Gli endpoint del Azure Resource Manager (amministratore), del portale di amministrazione e di Key Vault (amministratore) non richiedono necessariamente la pubblicazione esterna.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Come provider di servizi, ad esempio, è possibile limitare la superficie di attacco amministrando solo Azure Stack Hub e non da Internet.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

Per le organizzazioni aziendali, la rete esterna può essere la rete aziendale esistente.For enterprise organizations, the external network can be the existing corporate network. In questo scenario, è necessario pubblicare gli endpoint per operare Azure Stack Hub con la robusta rete aziendale.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

Network Address TranslationNetwork Address Translation

Network Address Translation (NAT) è il metodo consigliato per consentire alla macchina virtuale di distribuzione (DVM) di accedere alle risorse esterne durante la distribuzione.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. Anche per le macchine virtuali ROMANSITO (Emergency Recovery Console) o l'endpoint con privilegi (PEP) durante la registrazione e la risoluzione dei problemi.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT può anche essere un'alternativa agli indirizzi IP pubblici nella rete esterna o negli indirizzi VIP pubblici.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Tuttavia, non è consigliabile farlo perché limita l'esperienza utente del tenant e aumenta la complessità.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Un'opzione potrebbe essere un NAT che richiede ancora un IP pubblico per ogni IP dell'utente nel pool.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Un'altra opzione è un NAT molti-a-uno che richiede una regola NAT per ogni utente VIP per tutte le porte che possono essere usate da un utente.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Alcuni degli svantaggi dell'uso di NAT per gli indirizzi VIP pubblici sono:Some of the downsides of using NAT for Public VIP are:

  • Overhead quando si gestiscono le regole del firewall, poiché gli utenti controllano gli endpoint e le regole di pubblicazione nello stack SDN (Software-Defined Networking).Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. Gli utenti devono contattare l'operatore Rugged Hub Azure Stack per ottenere la pubblicazione degli indirizzi VIP e aggiornare l'elenco di porte.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • Sebbene l'utilizzo di NAT limiti l'esperienza utente, fornisce il controllo completo sull'operatore per le richieste di pubblicazione.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Per gli scenari basati su cloud ibrido con Azure, tenere presente che Azure non supporta la configurazione di un tunnel VPN a un endpoint tramite NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

Intercettazione SSLSSL interception

È attualmente consigliabile disabilitare qualsiasi intercettazione SSL (ad esempio, l'offload della decrittografia) in tutte le Azure Stack traffico Rugged Hub.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Se è supportata negli aggiornamenti futuri, verranno fornite informazioni aggiuntive su come abilitare l'intercettazione SSL per l'hub Azure Stack Rugged.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Scenario firewall di distribuzione perimetraleEdge deployment firewall scenario

In una distribuzione perimetrale, l'hub Azure Stack Rugged viene distribuito direttamente dietro il router perimetrale o il firewall.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. In questi scenari, è supportato che il firewall si trovi al di sopra del bordo (scenario 1), in cui supporta sia le configurazioni del firewall attivo-attivo che quello attivo-passivo.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. Può anche fungere da dispositivo Border (scenario 2), in cui supporta solo la configurazione del firewall Active-Active.It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. Lo scenario 2 si basa su ECMP (Equal-cost multipath) con protocollo BGP o routing statico per il failover.Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Gli indirizzi IP instradabili pubblici sono specificati per il pool di indirizzi VIP pubblici dalla rete esterna, in fase di distribuzione.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. Per motivi di sicurezza, gli IP instradabili pubblici non sono consigliati in altre reti in uno scenario perimetrale.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Questo scenario consente a un utente di sperimentare l'intera esperienza cloud autocontrollata come in un cloud pubblico come Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Scenario di firewall perimetrale Rugged Hub Azure Stack

Scenario di firewall Intranet aziendale o rete perimetraleEnterprise intranet or perimeter network firewall scenario

In una distribuzione Intranet o perimetrale aziendale Azure Stack Hub è stato rinforzato in un firewall con più zone o tra il firewall perimetrale e il firewall della rete aziendale interna.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Il relativo traffico viene quindi distribuito tra le zone protette, perimetrali (rete perimetrale) e non sicure, come descritto di seguito:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Area protetta: la rete interna che usa indirizzi IP instradabili interni o aziendali.Secure zone: The internal network that uses internal or corporate routable IP addresses. La rete sicura può essere divisa.The secure network can be divided. Può avere accesso in uscita Internet attraverso il firewall NAT.It can have Internet outbound access through the Firewall NAT. È normalmente accessibile dall'interno del Data Center tramite la rete interna.It's normally accessible from inside your datacenter via the internal network. Tutte le reti Rugged Hub Azure Stack devono trovarsi nell'area protetta, ad eccezione del pool di indirizzi VIP pubblici della rete esterna.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • Area perimetrale.Perimeter zone. La rete perimetrale è il punto in cui vengono in genere distribuite app esterne o con connessione Internet, come i server Web.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Viene normalmente monitorato da un firewall per evitare attacchi come DDoS e intrusione (hacking), pur continuando a consentire il traffico in ingresso specificato da Internet.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. Solo il pool di indirizzi VIP pubblici della rete esterna di Azure Stack Hub Rugged dovrebbe risiedere nella zona DMZ.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Area non protetta.Unsecure zone. Rete esterna, Internet.The external network, the Internet. Non è consigliabile distribuire l'hub Azure stack con la protezione dell'hub non sicuro.Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Scenario firewall della rete perimetrale

Panoramica sulla progettazione della VPNVPN design overview

Sebbene la VPN sia un concetto utente, è necessario tenere presenti alcune considerazioni importanti che un proprietario e un operatore della soluzione devono essere a conoscenza.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Prima di poter inviare il traffico di rete tra la rete virtuale di Azure e il sito locale, è necessario creare un gateway di rete virtuale (VPN) per la rete virtuale.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tramite una connessione pubblica.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. È possibile usare i gateway VPN per inviare in modo sicuro il traffico tra una rete virtuale nell'hub Azure Stack e una rete virtuale in Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. È anche possibile inviare il traffico in modo sicuro tra una rete virtuale e un'altra rete connessa a un dispositivo VPN.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Quando si crea un gateway di rete virtuale, si specifica il tipo di gateway che si vuole creare.When you create a virtual network gateway, you specify the gateway type that you want to create. L'hub Azure Stack Rugged supporta un tipo di gateway di rete virtuale, ovvero il tipo di VPN .Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

Ogni rete virtuale può avere due gateway di rete virtuale, ma solo uno per ogni tipo.Each virtual network can have two virtual network gateways, but only one of each type. A seconda delle impostazioni scelte, è possibile creare più connessioni a un singolo gateway VPN.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Un esempio di questo tipo di installazione è costituito da una configurazione di connessione multisito.An example of this kind of setup is a multi-site connection configuration.

Prima di creare e configurare i gateway VPN per l'hub Azure Stack Rugged, esaminare le considerazioni per la rete di Azure Stack Hub rinforzata.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. Si apprenderà come le configurazioni per l'hub Azure Stack Rugged differiscano da Azure.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

In Azure, la velocità effettiva della larghezza di banda per lo SKU del gateway VPN scelto deve essere divisa tra tutte le connessioni connesse al gateway.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. In Azure Stack Hub è stato rinforzato, tuttavia, il valore della larghezza di banda per lo SKU del gateway VPN viene applicato a ogni risorsa di connessione connessa al gateway.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Ad esempio:For example:

  • In Azure lo SKU del gateway VPN di base può supportare circa 100 Mbps di velocità effettiva aggregata.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Se si creano due connessioni al gateway VPN e una connessione USA 50 Mbps di larghezza di banda, 50 Mbps sarà disponibile per l'altra connessione.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • In Azure Stack Hub è stato aspro, ogni connessione allo SKU del gateway VPN di base è stata allocata 100 Mbps di velocità effettiva.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Tipi di VPNVPN types

Quando si crea il gateway di rete virtuale per una configurazione di gateway VPN, è necessario specificare un tipo di VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Il tipo di VPN scelto dipende dalla topologia di connessione che si desidera creare.The VPN type that you choose depends on the connection topology that you want to create. Un tipo di VPN può anche dipendere dall'hardware in uso.A VPN type can also depend on the hardware that you're using. Le configurazioni S2S richiedono un dispositivo VPN.S2S configurations require a VPN device. Alcuni dispositivi VPN supportano solo un determinato tipo di VPN.Some VPN devices only support a certain VPN type.

Importante

Attualmente, l'hub Azure Stack Rugged supporta solo il tipo di VPN basato su route.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Se il dispositivo supporta solo VPN basate su criteri, le connessioni a tali dispositivi dall'hub Azure Stack non sono supportate.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Inoltre, l'hub Azure Stack Rugged non supporta l'uso di selettori di traffico basati su criteri per i gateway basati su Route in questo momento, perché le configurazioni dei criteri IPSec/IKE personalizzate non sono supportate.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • PolicyBased: le VPN basate su criteri crittografano e indirizzano i pacchetti tramite tunnel IPSec, in base ai criteri IPSec.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. I criteri vengono configurati con le combinazioni di prefissi di indirizzo tra la rete locale e l'hub Azure Stack Rugged VNet.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. Il criterio o il selettore di traffico è in genere un elenco di accesso nella configurazione del dispositivo VPN.The policy, or traffic selector, is usually an access list in the VPN device configuration. PolicyBased è supportato in Azure, ma non in Azure stack Hub è stato rinforzato.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • RouteBased: le VPN basate su Route usano le route configurate nella tabella di routing o inoltro IP.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. Instrada i pacchetti diretti alle interfacce del tunnel corrispondenti.The routes direct packets to their corresponding tunnel interfaces. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Il criterio o il selettore di traffico per le VPN RouteBased sono configurati come any-to-any (o usano caratteri jolly).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). Per impostazione predefinita, non è possibile modificarli.By default, they can't be changed. Il valore per un tipo di VPN RouteBased è RouteBased.The value for a RouteBased VPN type is RouteBased.

Configurazione di un gateway VPNConfiguring a VPN gateway

Una connessione gateway VPN si basa su diverse risorse configurate con impostazioni specifiche.A VPN gateway connection relies on several resources that are configured with specific settings. La maggior parte di queste risorse può essere configurata separatamente, ma in alcuni casi deve essere configurata in un ordine specifico.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

ImpostazioniSettings

Le impostazioni scelte per ogni risorsa sono fondamentali per la creazione di una connessione corretta.The settings that you choose for each resource are critical for creating a successful connection.

Questo articolo consente di comprendere:This article helps you understand:

  • Tipi di gateway, tipi di VPN e tipi di connessione.Gateway types, VPN types, and connection types.
  • Subnet del gateway, gateway di rete locale e altre impostazioni delle risorse che è opportuno prendere in considerazione.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Diagrammi delle topologie di connessioneConnection topology diagrams

Sono disponibili configurazioni diverse per le connessioni del gateway VPN.There are different configurations available for VPN gateway connections. Determinare la configurazione più adatta alle proprie esigenze.Determine which configuration best fits your needs. Nelle sezioni seguenti è possibile visualizzare informazioni e diagrammi di topologia sulle seguenti connessioni del gateway VPN:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Modello di distribuzione disponibileAvailable deployment model
  • Strumenti di configurazione disponibiliAvailable configuration tools
  • Collegamenti che visualizzano direttamente un articolo, se disponibileLinks that take you directly to an article, if available

I diagrammi e le descrizioni nelle sezioni seguenti consentono di selezionare una topologia di connessione corrispondente ai propri requisiti.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. I diagrammi mostrano le topologie di base principali, ma è possibile creare configurazioni più complesse usando i diagrammi come guida.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Da sito a sito e multisito (tunnel VPN IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Da sito a sitoSite-to-site

Una connessione gateway VPN da sito a sito (S2S) è una connessione tramite un tunnel VPN IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Questo tipo di connessione richiede un dispositivo VPN che si trova in locale e a cui viene assegnato un indirizzo IP pubblico.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Questo dispositivo non può trovarsi dietro un NAT.This device can't be located behind a NAT. Le connessioni S2S possono essere usate per le configurazioni cross-premise e ibride.S2S connections can be used for cross-premises and hybrid configurations.

multisitoMulti-site

Una connessione multisito è una variante della connessione da sito a sito.A multi-site connection is a variation of the site-to-site connection. È possibile creare più di una connessione VPN dal gateway di rete virtuale, che in genere connette a più siti locali.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Quando si utilizzano più connessioni, è necessario usare un tipo di VPN basato su Route (noto come gateway dinamico quando si lavora con reti virtuali classiche).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni che usano il gateway condividono la larghezza di banda disponibile.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

SKU del gatewayGateway SKUs

Quando si crea un gateway di rete virtuale per Azure Stack Hub, si specifica lo SKU del gateway che si vuole usare.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. Sono supportati gli SKU del gateway VPN seguenti:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • Prestazioni elevateHigh Performance

Se si seleziona uno SKU del gateway superiore, vengono allocate più CPU e la larghezza di banda di rete al gateway.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. Di conseguenza, il gateway può supportare una velocità effettiva di rete superiore per la rete virtuale.As a result, the gateway can support higher network throughput to the virtual network.

L'hub Azure Stack Rugged non supporta lo SKU del gateway con prestazioni ultra, usato esclusivamente con Express route.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Quando si seleziona lo SKU, tenere presente quanto segue:Consider the following when you select the SKU:

  • L'hub Azure Stack Rugged non supporta i gateway basati su criteri.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • BGP non è supportato nello SKU Basic.BGP isn't supported on the Basic SKU.
  • ExpressRoute: le configurazioni coesistenti del gateway VPN non sono supportate nell'hub Azure Stack Rugged.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Disponibilità gatewayGateway availability

Gli scenari di disponibilità elevata possono essere configurati solo nello SKU di connessione gateway ad alte prestazioni .High availability scenarios can only be configured on the High-Performance Gateway connection SKU. A differenza di Azure, che fornisce la disponibilità tramite configurazioni attive/attive e attive/passive, Azure Stack Hub è supportato solo dalla configurazione attiva/passiva.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

FailoverFailover

Sono disponibili tre macchine virtuali dell'infrastruttura del gateway multi-tenant nell'hub Azure Stack.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Due di queste macchine virtuali sono in modalità attiva e la terza è in modalità ridondante.Two of these VMs are in active mode, and the third is in redundant mode. Le macchine virtuali attive consentono la creazione di connessioni VPN su di esse e la macchina virtuale ridondante accetta solo connessioni VPN se si verifica un failover.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Se una VM del gateway attivo non è più disponibile, la connessione VPN viene sottoposta a failover sulla macchina virtuale ridondante dopo un breve periodo di tempo, ovvero pochi secondi, di perdita della connessione.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Velocità effettiva aggregata stimata per SKUEstimated aggregate throughput by SKU

La tabella seguente illustra i tipi di gateway e la velocità effettiva aggregata stimata per SKU del gateway:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Velocità effettiva del gateway VPN (1)VPN Gateway throughput (1) Tunnel IPsec massimi del gateway VPN (2)VPN Gateway max IPsec tunnels (2)
SKU Basic (3)Basic SKU (3) 100 Mbps100 Mbps 2020
SKU StandardStandard SKU 100 Mbps100 Mbps 2020
SKU a prestazioni elevateHigh-Performance SKU 200 Mbps200 Mbps 1010

Note sulla tabellaTable notes

(1) : la velocità effettiva VPN non è una velocità effettiva garantita per le connessioni cross-premise in Internet.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Si tratta della misura massima possibile della velocità effettiva.It's the maximum possible throughput measurement.
(2) : il numero massimo di tunnel è il totale per ogni distribuzione di Hub con Azure stack per tutte le sottoscrizioni.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) : il routing BGP non è supportato per lo SKU Basic.(3) - BGP routing isn't supported for the Basic SKU.

Importante

È possibile creare una sola connessione VPN da sito a sito tra due distribuzioni Rugged Hub Azure Stack.Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Ciò è dovuto a una limitazione della piattaforma che consente solo una singola connessione VPN allo stesso indirizzo IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Dal momento che Azure Stack Hub è Rugged, il gateway multi-tenant, che usa un singolo indirizzo IP pubblico per tutti i gateway VPN nel sistema di Azure Stack Hub Rugged, può essere presente una sola connessione VPN tra due sistemi di hub Azure Stack.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

Questa limitazione si applica anche alla connessione di più di una connessione VPN da sito a sito a qualsiasi gateway VPN che usa un singolo indirizzo IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. L'hub Azure Stack Rugged non consente la creazione di più di una risorsa gateway di rete locale con lo stesso indirizzo IP. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

Parametri IPsec/IKEIPsec/IKE parameters

Quando si configura una connessione VPN in Azure Stack Hub Rugged, è necessario configurare la connessione a entrambe le estremità.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. Se si sta configurando una connessione VPN tra Azure Stack Hub e un dispositivo hardware, il dispositivo potrebbe richiedere impostazioni aggiuntive.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Ad esempio, un Commuter o un router che funge da gateway VPN.For example, a switch or router that's acting as a VPN gateway.

A differenza di Azure, che supporta più offerte sia come initiator che come risponditore, Azure Stack Hub Rugged supporta solo un'offerta per impostazione predefinita.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Se è necessario usare impostazioni IPSec/IKE diverse per lavorare con il dispositivo VPN, sono disponibili altre impostazioni per configurare manualmente la connessione.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Parametri della Fase 1 di IKE (Modalità principale)IKE Phase 1 (Main Mode) parameters

ProprietàProperty ValoreValue
Versione IKEIKE Version IKEv2IKEv2
Diffie-Hellman GroupDiffie-Hellman Group ECP384ECP384
Metodo di autenticazioneAuthentication Method Chiave precondivisaPre-Shared Key
Algoritmi di crittografia e di hashEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
Durata dell'associazione di sicurezza (tempo)SA Lifetime (Time) 28.800 secondi28,800 seconds

Parametri della Fase 2 di IKE (Modalità rapida)IKE Phase 2 (Quick Mode) parameters

ProprietàProperty ValoreValue
Versione IKEIKE Version IKEv2IKEv2
Algoritmi di crittografia & hash (crittografia)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Algoritmi di hashing per la crittografia & (autenticazione)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
Durata dell'associazione di sicurezza (tempo)SA Lifetime (Time) 27.000 secondi27,000 seconds
Durata SA (kilobyte)SA Lifetime (Kilobytes) 33.553.40833,553,408
Perfect Forward Secrecy (PFS)Perfect Forward Secrecy (PFS) ECP384ECP384
Rilevamento peer inattivoDead Peer Detection SupportatoSupported

Configurare i criteri di connessione IPSec/IKE personalizzatiConfigure custom IPSec/IKE connection policies

Lo standard IPsec e il protocollo IKE supportano un'ampia gamma di algoritmi di crittografia in varie combinazioni.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Per verificare quali parametri sono supportati nell'hub Azure Stack rinforzato per soddisfare i requisiti di conformità o sicurezza, vedere parametri IPsec/IKE.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

Questo articolo fornisce istruzioni su come creare e configurare un criterio IPsec/IKE e applicarlo a una connessione nuova o esistente.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

ConsiderazioniConsiderations

Quando si usano questi criteri, tenere presenti le seguenti considerazioni importanti:Note the following important considerations when using these policies:

  • Il criterio IPsec/IKE funziona solo sugli SKU del gateway standard e HighPerformance (basati su Route).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • Per una determinata connessione è possibile specificare una sola combinazione di criteri.You can only specify one policy combination for a given connection.
  • È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). La specifica dei criteri parziali non è consentita.Partial policy specification isn't allowed.
  • Consultare le specifiche del fornitore del dispositivo VPN per verificare che i criteri siano supportati dai dispositivi VPN locali.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Le connessioni da sito a sito non possono essere stabilite se i criteri non sono compatibili.Site-to-site connections can't be established if the policies are incompatible.

Flusso di lavoro per creare e impostare criteri IPsec/IKEWorkflow to create and set IPsec/IKE policy

Questa sezione descrive il flusso di lavoro necessario per creare e aggiornare i criteri IPsec/IKE in una connessione VPN da sito a sito:This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Creare una rete virtuale e un gateway VPN.Create a virtual network and a VPN gateway.
  2. Creare un gateway di rete locale per la connessione cross-premise.Create a local network gateway for cross-premises connection.
  3. Creare un criterio IPsec/IKE con gli algoritmi e i parametri selezionati.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Creare una connessione IPSec con i criteri IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.
  5. Aggiungere/aggiornare/rimuovere un criterio IPsec/IKE per una connessione esistente.Add/update/remove an IPsec/IKE policy for an existing connection.

Algoritmi di crittografia e attendibilità delle chiavi supportatiSupported cryptographic algorithms and key strengths

La tabella seguente elenca gli algoritmi di crittografia supportati e i punti di forza della chiave configurabili dai clienti rugged di Azure Stack Hub:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 OpzioniOptions
Crittografia IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrità IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Gruppo DHDH Group ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, NoneECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Crittografia IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapidaQM SA Lifetime (Facoltativo: se non diversamente specificato, vengono usati i valori predefiniti)(Optional: default values are used if not specified)
Secondi (Integer; min. 300/default 27.000 secondi)Seconds (integer; min. 300/default 27,000 seconds)
KByte (Integer; min. 1024/default 102,4 milioni KBytes)KBytes (integer; min. 1024/default 102,400,000 KBytes)
Selettore di trafficoTraffic Selector I selettori di traffico basati su criteri non sono supportati nell'hub Azure Stack Rugged.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algoritmo di crittografia IKE (modalità principale/fase 1).IKE encryption algorithm (Main Mode / Phase 1).
  • Algoritmo di integrità IKE (modalità principale/fase 1).IKE integrity algorithm (Main Mode / Phase 1).
  • Gruppo DH (modalità principale/fase 1).DH Group (Main Mode / Phase 1).
  • Algoritmo di crittografia IPsec (modalità rapida/fase 2).IPsec encryption algorithm (Quick Mode / Phase 2).
  • Algoritmo di integrità IPsec (modalità rapida/fase 2).IPsec integrity algorithm (Quick Mode / Phase 2).
  • Gruppo PFS (modalità rapida/fase 2).PFS Group (Quick Mode / Phase 2).
  • Le durate della SA sono solo specifiche locali e non è necessario che corrispondano.The SA lifetimes are local specifications only, they don't need to match.

Se GCMAES viene usato come algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo GCMAES e la stessa lunghezza della chiave per l'integrità IPsec.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Ad esempio: uso di GCMAES128 per entrambi.For example: using GCMAES128 for both.

Nella tabella precedente:In the preceding table:

  • IKEv2 corrisponde alla modalità principale o alla fase 1.IKEv2 corresponds to Main Mode or Phase 1.
  • IPsec corrisponde alla modalità rapida o alla fase 2.IPsec corresponds to Quick Mode or Phase 2.
  • Il gruppo DH specifica il gruppo di Diffie-Hellmen usato in modalità principale o fase 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • Gruppo PFS specifica il gruppo di Diffie-Hellmen usato in modalità rapida o fase 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • La durata dell'associazione di IKEv2 in modalità principale è fissata a 28.800 secondi nell'hub Azure Stack gateway VPN rinforzati.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

La tabella seguente elenca i gruppi di Diffie-Hellman corrispondenti supportati dal criterio personalizzato:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Gruppo Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Lunghezza chiaveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP a 768 bit768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP a 1024 bit1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 MODP a 2048 bit2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 ECP a 256 bit256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP a 384 bit384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP a 2048 bit2048-bit MODP

Connetti Azure Stack Hub Rugged in Azure con Azure ExpressRouteConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Panoramica, presupposti e prerequisitiOverview, assumptions, and prerequisites

Azure ExpressRoute consente di estendere le reti locali nel cloud Microsoft.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. Si usa una connessione privata fornita da un provider di connettività.You use a private connection supplied by a connectivity provider. ExpressRoute non è una connessione VPN sulla rete Internet pubblica.ExpressRoute isn't a VPN connection over the public Internet.

Per altre informazioni su Azure ExpressRoute, vedere Panoramica di ExpressRoute.For more information about Azure ExpressRoute, see the ExpressRoute overview.

PresuppostiAssumptions

Questo articolo presuppone quanto segue:This article assumes that:

  • Si ha una conoscenza approfondita di Azure.You have a working knowledge of Azure.
  • Si dispone di una conoscenza di base dell'hub Azure Stack Rugged.You have a basic understanding of Azure Stack Hub ruggedized.
  • Si dispone di una conoscenza di base delle funzionalità di rete.You have a basic understanding of networking.

PrerequisitiPrerequisites

Per connettere Azure Stack Hub e Azure con ExpressRoute, è necessario soddisfare i requisiti seguenti:To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • Un circuito ExpressRoute di cui è stato effettuato il provisioning tramite un provider di connettività.A provisioned ExpressRoute circuit through a connectivity provider.
  • Una sottoscrizione di Azure per creare un circuito ExpressRoute e reti virtuali in Azure.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • Un router che supporta:A router that supports:
    • connessioni VPN da sito a sito tra l'interfaccia LAN e il gateway multi-tenant rugged di hub Azure Stack.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • creazione di più VRF (routing virtuale e inoltro) se è presente più di un tenant nella distribuzione Rugged Hub Azure Stack.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • Un router con:A router that has:
    • Una porta WAN connessa al circuito ExpressRoute.A WAN port connected to the ExpressRoute circuit.
    • Una porta LAN connessa al gateway multi-tenant Rugged Hub Azure Stack.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

Architettura di rete ExpressRouteExpressRoute network architecture

La figura seguente illustra l'hub Azure Stack e gli ambienti Azure dopo aver completato la configurazione di ExpressRoute usando gli esempi in questo articolo:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

Architettura di rete ExpressRoute

La figura seguente illustra il modo in cui più tenant si connettono dall'infrastruttura Rugged Hub Azure Stack tramite il router ExpressRoute ad Azure:The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

Multi-tenant architettura di rete ExpressRoute