Fortinet FortiGate NVA를 사용하여 Azure Stack Hub 인스턴스 간의 VNet 간 연결
이 문서에서는 네트워크 가상 어플라이언스 Fortinet FortiGate NVA를 사용하여 한 Azure Stack Hub의 VNET을 다른 Azure Stack Hub의 VNET에 연결합니다.
이 문서에서는 테넌트가 두 환경에서 하나의 VPN 연결만 설정할 수 있는 현재 Azure Stack Hub 제한 사항을 해결합니다. 사용자는 여러 Azure Stack Hub에서 여러 VPN 연결을 허용하는 Linux 가상 머신에서 사용자 지정 게이트웨이를 설정하는 방법을 알아봅니다. 이 문서의 절차에서는 각 VNET에 FortiGate NVA가 있는 두 개의 VNET( Azure Stack Hub 환경당 하나의 배포)을 배포합니다. 또한 두 VNET 간에 IPSec VPN을 설정하는 데 필요한 변경 내용도 자세히 설명합니다. 이 문서의 단계는 각 Azure Stack Hub의 각 VNET에 대해 반복되어야 합니다.
사전 요구 사항
이 솔루션에 필요한 컴퓨팅, 네트워크 및 리소스 요구 사항을 배포하는 데 사용할 수 있는 용량이 있는 Azure Stack Hub 통합 시스템에 액세스합니다.
참고
이러한 지침은 ASDK의 네트워크 제한으로 인해 ASDK(Azure Stack Development Kit)에서 작동하지 않습니다 . 자세한 내용은 ASDK 요구 사항 및 고려 사항을 참조하세요.
NVA(네트워크 가상 어플라이언스) 솔루션이 다운로드되어 Azure Stack Hub Marketplace에 게시되었습니다. NVA는 경계 네트워크에서 다른 네트워크 또는 서브넷으로의 네트워크 트래픽 흐름을 제어합니다. 이 절차에서는 Fortinet FortiGate 차세대 방화벽 단일 VM 솔루션을 사용합니다.
FortiGate NVA를 활성화하는 데 사용할 수 있는 FortiGate 라이선스 파일이 두 개 이상 있습니다. 이러한 라이선스를 가져오는 방법에 대한 자세한 내용은 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드를 참조하세요.
이 절차에서는 단일 FortiGate-VM 배포를 사용합니다. 온-프레미스 네트워크에서 FortiGate NVA를 Azure Stack Hub VNET에 연결하는 방법에 대한 단계를 찾을 수 있습니다.
활성-수동(HA) 설정에서 FortiGate 솔루션을 배포하는 방법에 대한 자세한 내용은 Azure의 FortiGate-VM에 대한 Fortinet 문서 라이브러리 문서 HA를 참조하세요.
배포 매개 변수
다음 표에는 참조를 위해 이러한 배포에 사용되는 매개 변수가 요약되어 있습니다.
배포 1: Forti1
| FortiGate 인스턴스 이름 | Forti1 |
|---|---|
| BYOL 라이선스/버전 | 6.0.3 |
| FortiGate 관리 사용자 이름 | fortiadmin |
| 리소스 그룹 이름 | forti1-rg1 |
| 가상 네트워크 이름 | forti1vnet1 |
| VNET 주소 공간 | 172.16.0.0/16* |
| 공용 VNET 서브넷 이름 | forti1-PublicFacingSubnet |
| 공용 VNET 주소 접두사 | 172.16.0.0/24* |
| VNET 서브넷 이름 내부 | forti1-InsideSubnet |
| VNET 서브넷 접두사 내부 | 172.16.1.0/24* |
| FortiGate NVA의 VM 크기 | 표준 F2s_v2 |
| 공용 IP 주소 이름 | forti1-publicip1 |
| 공용 IP 주소 형식 | 정적 |
배포 2: Forti2
| FortiGate 인스턴스 이름 | Forti2 |
|---|---|
| BYOL 라이선스/버전 | 6.0.3 |
| FortiGate 관리 사용자 이름 | fortiadmin |
| 리소스 그룹 이름 | forti2-rg1 |
| 가상 네트워크 이름 | forti2vnet1 |
| VNET 주소 공간 | 172.17.0.0/16* |
| 공용 VNET 서브넷 이름 | forti2-PublicFacingSubnet |
| 공용 VNET 주소 접두사 | 172.17.0.0/24* |
| VNET 서브넷 이름 내부 | Forti2-InsideSubnet |
| VNET 서브넷 접두사 내부 | 172.17.1.0/24* |
| FortiGate NVA의 VM 크기 | 표준 F2s_v2 |
| 공용 IP 주소 이름 | Forti2-publicip1 |
| 공용 IP 주소 형식 | 정적 |
참고
* 위의 주소 공간 및 서브넷 접두사가 Azure Stack Hub의 VIP 풀을 포함하여 온-프레미스 네트워크 환경과 어떤 방식으로든 겹치는 경우 다른 주소 공간 및 서브넷 접두사 집합을 선택합니다. 또한 주소 범위가 서로 겹치지 않도록 합니다.**
FortiGate NGFW Marketplace 항목 배포
두 Azure Stack Hub 환경에 대해 이러한 단계를 반복합니다.
Azure Stack Hub 사용자 포털을 엽니다. 구독에 대한 기여자 권한 이상이 있는 자격 증명을 사용해야 합니다.
리소스 만들기를 선택하고 를 검색합니다
FortiGate.
FortiGate NGFW를 선택하고 만들기를 선택합니다.
배포 매개 변수 테이블의 매개 변수를 사용하여 기본 사항을 완료합니다.
양식에 다음 정보가 포함되어야 합니다.
확인을 선택합니다.
배포 매개 변수에서 가상 네트워크, 서브넷 및 VM 크기 세부 정보를 제공합니다.
다른 이름과 범위를 사용하려는 경우 다른 Azure Stack Hub 환경의 다른 VNET 및 FortiGate 리소스와 충돌하는 매개 변수를 사용하지 않도록 주의하세요. 이는 VNET 내에서 VNET IP 범위 및 서브넷 범위를 설정할 때 특히 그렇습니다. 만든 다른 VNET의 IP 범위와 겹치지 않는지 확인합니다.
확인을 선택합니다.
FortiGate NVA에 사용할 공용 IP를 구성합니다.
확인을 선택한 다음 확인을 선택합니다.
만들기를 선택합니다.
배포에는 약 10분 정도 걸립니다. 이제 단계를 반복하여 다른 Azure Stack Hub 환경에서 다른 FortiGate NVA 및 VNET 배포를 만들 수 있습니다.
각 VNET에 대한 UDR(경로) 구성
forti1-rg1 및 forti2-rg1 배포 모두에 대해 다음 단계를 수행합니다.
Azure Stack Hub 포털에서 forti1-rg1 리소스 그룹으로 이동합니다.
'forti1-forti1-InsideSubnet-routes-xxxx' 리소스를 선택합니다.
설정에서 경로를 선택합니다.
인터넷으로의 경로를 삭제합니다.
예를 선택합니다.
추가를 선택합니다.
경로
to-forti1이름을 또는 로 지정합니다to-forti2. 다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.다음을 입력합니다.
- forti1:
172.17.0.0/16 - forti2:
172.16.0.0/16
다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.
- forti1:
다음 홉 유형으로 가상 어플라이언스 선택합니다.
- forti1:
172.16.1.4 - forti2:
172.17.0.4
다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.
- forti1:
저장을 선택합니다.
각 리소스 그룹에 대해 각 InsideSubnet 경로에 대해 단계를 반복합니다.
FortiGate NVA 활성화 및 각 NVA에서 IPSec VPN 연결 구성
각 FortiGate NVA를 활성화하려면 Fortinet의 유효한 라이선스 파일이 필요합니다. NVA는 각 NVA를 활성화할 때까지 작동하지 않습니다 . 라이선스 파일을 가져오는 방법 및 NVA를 활성화하는 단계에 대한 자세한 내용은 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드 문서를 참조하세요.
NVA마다 하나씩 두 개의 라이선스 파일을 획득해야 합니다.
두 NVA 간에 IPSec VPN 만들기
NVA가 활성화되면 다음 단계에 따라 두 NVA 간에 IPSec VPN을 만듭니다.
forti1 NVA 및 forti2 NVA 모두에 대해 아래 단계를 수행합니다.
fortiX VM 개요 페이지로 이동하여 할당된 공용 IP 주소를 가져옵니다.
할당된 IP 주소를 복사하고 브라우저를 열고 주소를 주소 표시줄에 붙여넣습니다. 브라우저에서 보안 인증서를 신뢰할 수 없음을 경고할 수 있습니다. 어쨌든 계속합니다.
배포 중에 제공한 FortiGate 관리 사용자 이름 및 암호를 입력합니다.
시스템>펌웨어를 선택합니다.
최신 펌웨어를 보여 주는 상자(예:
FortiOS v6.2.0 build0866)를 선택합니다.
백업 구성 및 업그레이드를 선택하고 메시지가 표시되면 계속을 선택합니다.
NVA는 펌웨어를 최신 빌드로 업데이트하고 다시 부팅합니다. 이 프로세스는 약 5분이 걸립니다. FortiGate 웹 콘솔에 다시 로그인합니다.
VPN>IPSec 마법사를 클릭합니다.
예를 들어
conn1VPN 만들기 마법사에서 VPN의 이름을 입력합니다.이 사이트가 NAT 뒤에 있습니다를 선택합니다.
다음을 선택합니다.
연결할 온-프레미스 VPN 디바이스의 원격 IP 주소를 입력합니다.
나가는 인터페이스로 port1을 선택합니다.
사전 공유 키를 선택하고 미리 공유된 키를 입력(및 기록)합니다.
참고
온-프레미스 VPN 디바이스에서 연결을 설정하려면 이 키가 필요합니다. 즉, 정확히 일치해야 합니다.
다음을 선택합니다.
로컬 인터페이스에 대해 port2를 선택합니다.
로컬 서브넷 범위를 입력합니다.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.
온-프레미스 VPN 디바이스를 통해 연결할 온-프레미스 네트워크를 나타내는 적절한 원격 서브넷을 입력합니다.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.
만들기를 선택합니다.
네트워크>인터페이스를 선택합니다.
port2를 두 번 클릭합니다.
역할 목록에서 LAN을 선택하고 주소 지정 모드로 DHCP를 선택합니다.
확인을 선택합니다.
다른 NVA에 대한 단계를 반복합니다.
모든 2단계 선택기 표시
두 NVA에 대해 위의 작업이 완료되면 다음을 수행합니다.
forti2 FortiGate 웹 콘솔에서IPsec 모니터모니터링>을 선택합니다.
모든 2단계 선택기를 강조
conn1표시하고 선택합니다>.
연결 테스트 및 유효성 검사
이제 FortiGate NVA를 통해 각 VNET 간에 라우팅할 수 있습니다. 연결의 유효성을 검사하려면 각 VNET의 InsideSubnet에 Azure Stack Hub VM을 만듭니다. Azure Stack Hub VM 만들기는 포털, Azure CLI 또는 PowerShell을 통해 수행할 수 있습니다. VM을 만드는 경우:
Azure Stack Hub VM은 각 VNET의 InsideSubnet 에 배치됩니다.
만들 때 VM에 NSG를 적용 하지 않습니다 (즉, 포털에서 VM을 만드는 경우 기본적으로 추가되는 NSG를 제거합니다.
VM 방화벽 규칙이 연결을 테스트하는 데 사용할 통신을 허용하는지 확인합니다. 테스트 목적으로 가능한 경우 OS 내에서 방화벽을 완전히 사용하지 않도록 설정하는 것이 좋습니다.
다음 단계
Azure Stack Hub 네트워킹에 대한 차이점 및 고려 사항
Fortinet FortiGate를 사용하여 Azure Stack Hub에서 네트워크 솔루션 제공
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기