Introductie van Azure Stack-hub met robuuste netwerkAzure Stack Hub ruggedized network introduction

Overzicht van netwerk ontwerpNetwork design overview

Fysiek netwerk ontwerpPhysical Network design

Voor de robuuste oplossing van Azure Stack hub is een robuuste en Maxi maal beschik bare fysieke infra structuur vereist ter ondersteuning van de werking en services.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. Uplinks van ToR naar Border switches zijn beperkt tot SFP + of SFP28 media, 1 GB, 10 GB of snelheden van 25 GB.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. Neem voor de beschik baarheid contact op met de leverancier van de OEM (Original Equipment Manufacturer).Check with your original equipment manufacturer (OEM) hardware vendor for availability.

Het volgende diagram geeft het aanbevolen ontwerp voor de robuuste Azure Stack-hub toe.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Azure Stack hub robuust fysiek netwerk

Logisch-netwerk ontwerpLogical network design

Een logisch netwerk ontwerp vertegenwoordigt een abstractie van een fysieke netwerk infrastructuur.A logical network design represents an abstraction of a physical network infrastructure. Ze worden gebruikt om netwerk toewijzingen te organiseren en te vereenvoudigen voor hosts, virtuele machines (Vm's) en services.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. Als onderdeel van het maken van een logisch netwerk, worden netwerk sites gemaakt om het volgende te definiëren:As part of logical network creation, network sites are created to define the:

  • Virtual Local Area Networks (VLAN'S)virtual local area networks (VLANs)
  • IP-subnettenIP subnets
  • IP-subnet/VLAN-parenIP subnet/VLAN pairs

Alle die zijn gekoppeld aan het logische netwerk in elke fysieke locatie.All of which are associated with the logical network in each physical location.

In de volgende tabel ziet u de logische netwerken en de bijbehorende IPv4-subnetten die u moet plannen voor:The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Logisch netwerkLogical Network BeschrijvingDescription GrootteSize
Openbaar virtueel IP-adres (VIP)Public Virtual IP (VIP) Azure Stack hub is robuust, gebruikt in totaal 31 adressen van dit netwerk.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Acht open bare IP-adressen worden gebruikt voor een kleine set Azure Stack-hub robuuste Services en de rest worden gebruikt door Tenant-Vm's.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Als u App Service en de SQL-resource providers wilt gebruiken, worden er 7 meer adressen gebruikt.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. De resterende 15 Ip's zijn gereserveerd voor toekomstige Azure-Services.The remaining 15 IPs are reserved for future Azure services. /26 (62 hosts)-/26 (62 hosts)-
/22 (1022 hosts)/22 (1022 hosts)

Aanbevolen =/24 (254 hosts)Recommended = /24 (254 hosts)
Switch-infra structuurSwitch infrastructure Punt-naar-punt IP-adressen voor route ring, toegewezen switch beheer interfaces en loop back-adressen die zijn toegewezen aan de switch.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
InfrastructuurInfrastructure Wordt gebruikt voor de Azure Stack hub robuuste interne onderdelen om te communiceren.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
PersoonlijkPrivate Wordt gebruikt voor het opslag netwerk, persoonlijke Vip's, infrastructuur containers en andere interne functies.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Baseboard Management Controller (BMC)Baseboard Management Controller (BMC) Wordt gebruikt om te communiceren met de Base Board Management-controllers op de fysieke hosts.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

NetwerkinfrastructuurNetwork Infrastructure

De netwerk infrastructuur voor Azure Stack-hub is robuust en bestaat uit verschillende logische netwerken die op de switches zijn geconfigureerd.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. In het volgende diagram ziet u deze logische netwerken en hoe ze worden geïntegreerd met de switches top-of-rack (TOR), Base Board management controller en Border (klant netwerk).The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Azure Stack hub diagram van robuust logisch netwerk:Azure Stack Hub ruggedized logical network diagram:

Azure Stack hub met robuust logisch netwerk

BMC-netwerkBMC network

Dit netwerk is toegewezen voor het verbinden van alle Base Board Management controllers (ook wel BMC of service processors genoemd) aan het beheer netwerk.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Voor beelden zijn: iDRAC, iLO, iBMC, enzovoort.Examples include: iDRAC, iLO, iBMC, and so on. Er wordt slechts één BMC-account gebruikt om met een wille keurig BMC-knoop punt te communiceren.Only one BMC account is used to communicate with any BMC node. Indien aanwezig, bevindt de hardware Lifecycle host (HLH) zich op dit netwerk en kan dit OEM-specifieke software bieden voor hardware-onderhoud of-bewaking.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

De HLH fungeert ook als host voor de implementatie-VM (DVM).The HLH also hosts the Deployment VM (DVM). De DVM wordt gebruikt tijdens de robuuste implementatie van Azure Stack hub en wordt verwijderd wanneer de implementatie is voltooid.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. De DVM vereist Internet toegang in scenario's met verbonden implementaties om meerdere componenten te testen, te valideren en te openen.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Deze onderdelen kunnen zich binnen en buiten uw bedrijfs netwerk (bijvoorbeeld: NTP, DNS en Azure) bevinden.These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). Zie de sectie NAT in Azure Stack hub robuuste firewall integratie voor meer informatie over connectiviteits vereisten.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

Particulier netwerkPrivate network

Het netwerk/20 (4096 host Ip's) is privé voor de Azure Stack hub-robuuste regio.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Deze uitbrei ding niet buiten de rand schakelaar apparaten van de Azure Stack hub-robuuste regio.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Dit netwerk is onderverdeeld in meerdere subnetten, bijvoorbeeld:This network is divided into multiple subnets, for example:

  • Opslag netwerk: A/25 (128 ip's) netwerk gebruikt ter ondersteuning van het gebruik van Spaces direct en SMB-opslag verkeer (Server Message Block) en Livemigratie van virtuele machines.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Intern virtueel IP-netwerk: een/25 netwerk dat speciaal is bestemd voor interne vip's voor de software Load Balancer.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Container netwerk: een/23 (512 ip's) netwerk toegewezen aan alleen intern verkeer tussen containers waarop infrastructuur services worden uitgevoerdContainer network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

De grootte van het particuliere netwerk is/20 (4096 Ip's) van een privé-IP-ruimte.The size for the Private Network is /20 (4096 IPs) of private IP space. Dit netwerk is privé voor de Azure Stack hub robuust systeem.This network is private to the Azure Stack Hub ruggedized system. Het stuur programma is niet meer mogelijk dan de rand schakelaar apparaten van het Azure Stack hub-robuust systeem en kan opnieuw worden gebruikt op meerdere Azure Stack hub robuuste systemen.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Hoewel het netwerk privé is voor Azure Stack hub, mag deze geen overlap ping hebben met andere netwerken in het Data Center.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. Voor hulp bij particuliere IP-ruimte kunt u het beste de RFC 1918 volgen.For guidance on Private IP space, we recommend following the RFC 1918.

De/20 particuliere IP-ruimte is onderverdeeld in meerdere netwerken, waardoor de Azure Stack hub robuuste systeem infrastructuur kan uitvoeren op containers in toekomstige releases.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. Raadpleeg de 1910-release opmerkingen voor meer informatie.Refer to the 1910 release notes for details. Met deze nieuwe privé-IP-ruimte kunnen voortdurende inspanningen worden uitgevoerd om de vereiste Routeer bare IP-ruimte te verminderen vóór de implementatie.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Azure Stack hub robuust infrastructuur netwerkAzure Stack Hub ruggedized infrastructure network

Het/24-netwerk is toegewezen aan interne Azure Stack hub, robuuste onderdelen, om gegevens onderling te communiceren en uit te wisselen.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Dit subnet kan routeerbaar zijn extern van de Azure Stack hub robuuste oplossing voor uw Data Center.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. Het is niet raadzaam om open bare of Internet route-IP-adressen op dit subnet te gebruiken.We don't recommend using Public or Internet routable IP addresses on this subnet. Dit netwerk wordt aan de rand geadverteerd, maar de meeste Ip's worden beveiligd door Access Control lijsten (Acl's).This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). De IP-adressen die zijn toegestaan voor toegang, bevinden zich binnen een klein bereik, vergelijkbaar met grootte tot een/27-netwerk.The IPs allowed for access are within a small range, equivalent in size to a /27 network. De IP-adressen host services zoals het privileged end point (PEP) en Azure Stack hub robuuste back-up.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Openbaar VIP-netwerkPublic VIP network

Het open bare VIP-netwerk wordt toegewezen aan de netwerk controller in Azure Stack hub robuust.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. Het is geen logisch netwerk op de switch.It's not a logical network on the switch. De SLB gebruikt de groep adressen en toewijst/32 netwerken voor Tenant werkbelastingen.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. In de routerings tabel switch worden deze/32 Ip's geadverteerd als beschik bare route via Border Gateway Protocol (BGP).On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Dit netwerk bevat open bare adressen die extern toegankelijk zijn.This network contains public addresses that are externally accessible. De robuuste infra structuur van Azure Stack hub behoudt de eerste 31 adressen van dit open bare VIP-netwerk, terwijl de rest wordt gebruikt door Tenant-Vm's.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. De netwerk grootte op dit subnet kan variëren van Mini maal/26 (64 hosts) tot Maxi maal/22 (1022 hosts).The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). U wordt aangeraden een/24-netwerk te plannen.We recommend you plan for a /24 network.

Infrastructuur netwerk scha kelenSwitch infrastructure network

Het/26-netwerk is het subnet met de Routeer bare Point-to-Point IP/30-subnetten (Two host Ip's) en de loop Backs.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Dit zijn toegewezen/32-subnetten voor in-band switch beheer en BGP-router-ID.These are dedicated /32 subnets for in-band switch management and BGP router ID. Dit bereik van IP-adressen moet routeerbaar zijn buiten de Azure Stack hub robuuste oplossing voor uw Data Center.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. De IP-adressen kunnen privé of openbaar zijn.The IP addresses may be private or public.

Switch-beheer netwerkSwitch management network

Het netwerk/29 (zes host Ip's) is toegewezen om de beheer poorten van de switches te verbinden.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Dit netwerk staat out-of-band-toegang toe voor implementatie, beheer en probleem oplossing.This network allows out-of-band access for deployment, management, and troubleshooting. Het wordt berekend op basis van het hierboven vermelde switch-infrastructuur netwerk.It's calculated from the switch infrastructure network mentioned above.

Overzicht van DNS-ontwerpenDNS design overview

Om toegang te krijgen tot Azure Stack hub robuuste eind punten (Portal, adminportal, beheer, adminmanagement) van buiten Azure stack hub, moet u de gerobuuste DNS-services van Azure stack hub integreren met de DNS-servers die de DNS-zones hosten die u wilt gebruiken in azure stack hub robuust.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Azure Stack hub robuuste DNS-naam ruimteAzure Stack Hub ruggedized DNS namespace

U moet een aantal belang rijke informatie over DNS geven wanneer u Azure Stack hub hebt geïmplementeerd.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

VeldField BeschrijvingDescription VoorbeeldExample
RegioRegion De geografische locatie van uw Azure Stack hub robuuste implementatie.The geographic location of your Azure Stack Hub ruggedized deployment. oosteneast
Externe domein naamExternal Domain Name De naam van de zone die u wilt gebruiken voor de robuuste implementatie van uw Azure Stack hub.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Interne domein naamInternal Domain Name De naam van de interne zone die wordt gebruikt voor infrastructuur services in Azure Stack hub robuust.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. De Directory service is geïntegreerd en privé (niet bereikbaar vanaf buiten de Azure Stack hub robuuste implementatie).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. localazurestack.local
DNS-doorstuur serversDNS Forwarders DNS-servers die worden gebruikt voor het door sturen van DNS-query's, DNS-zones en records die buiten Azure Stack hub worden gehost, zijn op het intranet van het bedrijf of op het open bare Internet.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. U kunt de DNS-doorstuur server-waarde na de implementatie met de cmdlet set-AzSDnsForwarder bewerken.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Voor voegsel voor naam (optioneel)Naming Prefix (Optional) Het naam voorvoegsel waarvan u wilt dat de computer namen van de Azure Stack hub robuuste infrastructuur rollen hebben.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Als u dit niet opgeeft, wordt de standaard waarde ' AZS '.If not provided, the default is "azs". azsazs

De Fully Qualified Domain Name (FQDN) van uw Azure Stack hub robuuste implementatie en eind punten is de combi natie van de para meter Region en de para meter voor de naam van het externe domein.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Met behulp van de waarden van de voor beelden in de vorige tabel is de FQDN-naam voor deze Azure Stack-hub robuuste implementatie: East.Cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

De voor beelden van sommige van de eind punten voor deze implementatie lijken op de volgende Url's:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Als u dit voor beeld van een DNS-naam ruimte wilt gebruiken voor een robuuste implementatie van Azure Stack hub, zijn de volgende voor waarden vereist:To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • De zone fabrikam.com is geregistreerd bij een domein registratie service, interne bedrijfs-DNS-server of beide.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. Registratie is afhankelijk van de vereisten voor naam omzetting.Registration depends on your name resolution requirements.
  • Het onderliggende domein cloud.fabrikam.com bestaat onder de zone fabrikam.com.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • De DNS-servers die als host fungeren voor de zones fabrikam.com en cloud.fabrikam.com, kunnen worden bereikt vanuit de Azure Stack hub robuuste implementatie.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Als u DNS-namen wilt omzetten voor de robuuste eind punten van Azure Stack hub en instanties van buiten Azure Stack hub, moet u de DNS-servers integreren.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. Met inbegrip van servers waarop de externe DNS-zone voor Azure Stack hub is robuust, worden de DNS-servers die als host fungeren voor de bovenliggende zone die u wilt gebruiken.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

DNS-naam labelsDNS name labels

Azure Stack hub is robuust en ondersteunt het toevoegen van een DNS-naam label aan een openbaar IP-adres om naam omzetting voor open bare IP-adressen toe te staan.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. DNS-labels zijn een handige manier om gebruikers in staat te stellen apps en services te bereiken die worden gehost in Azure Stack hub, robuust op naam.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. Het DNS-naam label maakt gebruik van een iets andere naam ruimte dan de infra structuur-eind punten.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Na de voor gaande voorbeeld naam ruimte zou de naam ruimte voor DNS-naamlabels: * . East.cloudapp.Cloud.fabrikam.com zijn.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Als een Tenant Mijntoep in het DNS-naam veld van een open bare IP-adres bron opgeeft, wordt er een a-record voor Mijntoep gemaakt in de zone East.cloudapp.Cloud.fabrikam.com op de Azure stack hub robuuste externe DNS-server.If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. De resulterende Fully Qualified Domain Name zou zijn: MyApp.East.cloudapp.Cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Als u deze functionaliteit wilt benutten en deze naam ruimte wilt gebruiken, moet u de DNS-servers integreren.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. Met inbegrip van servers waarop de externe DNS-zone voor Azure Stack hub is robuust en de DNS-servers die als host fungeren voor de bovenliggende zone die u ook wilt gebruiken.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Deze naam ruimte wijkt af van het aantal dat wordt gebruikt voor de gerobuuste service-eind punten van de Azure Stack hub, dus u moet een extra regel voor delegeren of voorwaardelijk door sturen maken.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

Voor meer informatie over de werking van het DNS-naam label, zie ' DNS gebruiken ' in Azure Stack hub robuust.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Omzetting en delegeringResolution and delegation

Er zijn twee typen DNS-servers:There are two types of DNS servers:

  • Een gezaghebbende DNS-server host DNS-zones.An authoritative DNS server hosts DNS zones. Deze beantwoordt DNS-query's voor records in deze zones.It answers DNS queries for records in those zones only.
  • Een recursieve DNS-server host geen DNS-zones.A recursive DNS server doesn't host DNS zones. De server beantwoordt alle DNS-query's door gezaghebbende DNS-servers aan te roepen om de benodigde gegevens te verzamelen.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

Azure Stack hub wordt robuust opgenomen, zowel gezaghebbende als recursieve DNS-servers.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. De recursieve servers worden gebruikt voor het omzetten van namen van alles behalve de interne privé zone en de externe open bare DNS-zone voor de Azure Stack hub robuuste implementatie.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Externe DNS-namen omzetten van Azure Stack hub robuustResolving external DNS names from Azure Stack Hub ruggedized

Om DNS-namen voor eind punten buiten Azure Stack hub op te lossen (bijvoorbeeld: www.bing.com), moet u DNS-servers voor Azure Stack hub robuust maken voor het door sturen van DNS-aanvragen, waarvoor Azure Stack-hub robuust is niet bindend.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. DNS-servers die Azure Stack hub robuuste aanvragen doorstuurt naar zijn vereist in het werk blad implementatie (in het veld DNS-doorstuur server).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). Geef ten minste twee servers in dit veld op voor fout tolerantie.Provide at least two servers in this field for fault tolerance. Zonder deze waarden mislukt Azure Stack hub robuuste implementatie.Without these values, Azure Stack Hub ruggedized deployment fails. U kunt de DNS-doorstuur server waarden na de implementatie bewerken met de cmdlet set-AzSDnsForwarder .You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

Overzicht van Firewall-ontwerpFirewall design overview

Het is raadzaam dat u een firewall apparaat gebruikt om Azure Stack hub robuust te beveiligen.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. Firewalls kunnen helpen bij het beschermen tegen zaken als gedistribueerde Denial-of-service-aanvallen (DDOS), inbreuk detectie en inhouds inspectie.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Ze kunnen echter ook een doorvoer knelpunt vormen voor Azure Storage-services, zoals blobs, tabellen en wacht rijen.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Als er een niet-verbonden implementatie modus wordt gebruikt, moet u het AD FS-eind punt publiceren.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Zie het artikel Data Center Integration Identity (Engelstalig) voor meer informatie.For more information, see the datacenter integration identity article.

Voor de eind punten van de Azure Resource Manager (beheerder), beheerders Portal en Key Vault (beheerder) is niet noodzakelijkerwijs externe publicatie vereist.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Als service provider kunt u bijvoorbeeld de kwets baarheid beperken door alleen Azure Stack hub te beheren die binnen uw netwerk is robuust, en niet via internet.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

Voor bedrijfs organisaties kan het externe netwerk het bestaande bedrijfs netwerk zijn.For enterprise organizations, the external network can be the existing corporate network. In dit scenario moet u eind punten publiceren om Azure Stack hub uit het bedrijfs netwerk te laten rijden.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

NetwerkadresomzettingNetwork Address Translation

Netwerkadresomzetting (NAT) is de aanbevolen methode om de implementatie van de virtuele machine (DVM) in te stellen voor toegang tot externe bronnen tijdens de implementatie.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. Ook voor de ERCS-Vm's (Emergency Recovery Console) of het bevoegde eind punt (PEP) tijdens registratie en probleem oplossing.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT kan ook een alternatief zijn voor open bare IP-adressen op het externe netwerk of open bare Vip's.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Dit wordt echter niet aanbevolen, omdat het de gebruikers ervaring van de Tenant beperkt en de complexiteit toeneemt.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Eén optie is een van de opties voor één NAT waarvoor nog steeds één openbaar IP-adres per gebruiker voor de groep is vereist.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Een andere optie is een veel-op-een NAT waarvoor een NAT-regel per gebruikers-VIP is vereist voor alle poorten die een gebruiker kan gebruiken.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Enkele van de neerwaartse vermogens van het gebruik van NAT voor open bare VIP zijn:Some of the downsides of using NAT for Public VIP are:

  • Overhead bij het beheren van firewall regels, wanneer gebruikers hun eigen eind punten beheren en regels publiceren in de stack met door software gedefinieerde netwerken (SDN).Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. Gebruikers moeten contact opnemen met de robuuste operator Azure Stack hub om hun Vip's te kunnen publiceren en de lijst met poorten bij te werken.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • Terwijl het NAT-gebruik de gebruikers ervaring beperkt, krijgt de operator volledige controle over publicatie aanvragen.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Voor hybride Cloud scenario's met Azure moet u er rekening mee houden dat Azure geen ondersteuning biedt voor het instellen van een VPN-tunnel naar een eind punt met behulp van NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL-interceptieSSL interception

Het is aan te raden SSL-interceptie uit te scha kelen (bijvoorbeeld offloading voor ontsleuteling) op alle Azure Stack hub robuust verkeer.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Als het wordt ondersteund in toekomstige updates, wordt er richt lijnen gegeven voor het inschakelen van SSL-interceptie voor Azure Stack hub robuust.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Firewall scenario voor Edge-implementatieEdge deployment firewall scenario

In een Edge-implementatie wordt Azure Stack hub robuust gedistribueerd direct achter de edge-router of de firewall.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. In deze scenario's wordt het ondersteund voor de firewall boven de rand (scenario 1) waar deze zowel Active-Active-als Active-passieve firewall configuraties ondersteunt.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. Het kan ook fungeren als het Border-apparaat (scenario 2), waar dit alleen ondersteuning biedt voor de configuratie van Active-Active firewall.It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. Scenario 2 is gebaseerd op een gelijke-kosten Multi-Path (ECMP) met BGP of statische route ring voor failover.Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Open bare IP-adressen voor routeerbaar worden opgegeven voor de open bare VIP-groep vanuit het externe netwerk, op het moment van implementatie.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. Uit veiligheids overwegingen worden open bare routeerbaar Ip's niet aanbevolen voor een ander netwerk in een rand scenario.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Met dit scenario kan een gebruiker de volledige zelf-beheerde Cloud ervaring ervaren, zoals in een open bare Cloud zoals Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Scenario met robuuste Edge-firewall Azure Stack hub

Scenario voor het firewall intranet of perimeter netwerkEnterprise intranet or perimeter network firewall scenario

In een intranet-of perimeter implementatie van een onderneming wordt Azure Stack hub robuust gedistribueerd op een firewall met meerdere zones of tussen de Edge-firewall en de interne firewall van het bedrijfs netwerk.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Het verkeer wordt vervolgens gedistribueerd tussen het beveiligde, perimeter netwerk (of DMZ) en de onbeveiligde zones zoals hieronder wordt beschreven:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Beveiligde zone: het interne netwerk dat interne of bedrijfs Routeer bare IP-adressen gebruikt.Secure zone: The internal network that uses internal or corporate routable IP addresses. Het beveiligde netwerk kan worden gedeeld.The secure network can be divided. Dit kan uitgaande internet toegang hebben via de firewall-NAT.It can have Internet outbound access through the Firewall NAT. Het is normaal gesp roken toegankelijk vanuit uw Data Center via het interne netwerk.It's normally accessible from inside your datacenter via the internal network. Alle Azure Stack met robuuste netwerken moeten zich in de beveiligde zone bevinden, met uitzonde ring van de open bare VIP-groep van het externe netwerk.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • De perimeter zone.Perimeter zone. Het perimeter netwerk is een plek waar externe of Internet gerichte apps zoals webservers doorgaans worden geïmplementeerd.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Het wordt normaal gesp roken bewaakt door een firewall om aanvallen zoals DDoS en indringing (hacken) te voor komen terwijl er nog steeds inkomend verkeer van Internet wordt toegestaan.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. Alleen de open bare VIP-groep van het externe netwerk van Azure Stack hub moet zich bevinden in de zone DMZ.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Onbeveiligde zone.Unsecure zone. Het externe netwerk, Internet.The external network, the Internet. Implementatie van Azure Stack hub in de niet-beveiligde zone wordt niet aanbevolen.Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Firewall scenario voor perimeter netwerken

VPN-ontwerp overzichtVPN design overview

Hoewel VPN een gebruikers concept is, zijn er enkele belang rijke aandachtspunten waarvan de eigenaar van de oplossing en de operator moeten weten.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Voordat u netwerk verkeer tussen uw virtuele Azure-netwerk en uw on-premises site kunt verzenden, moet u een virtueel netwerk (VPN)-gateway voor uw virtuele netwerk maken.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Een VPN-gateway is een soort gateway voor virtuele netwerken die versleuteld verkeer verzendt via een openbare verbinding.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. U kunt VPN-gateways gebruiken om verkeer veilig te verzenden tussen een virtueel netwerk in Azure Stack hub robuust en een virtueel netwerk in Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. U kunt ook veilig verkeer verzenden tussen een virtueel netwerk en een ander netwerk dat is verbonden met een VPN-apparaat.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Wanneer u een virtuele netwerkgateway maakt, geeft u het gatewaytype aan dat u wilt maken.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack hub is robuust, ondersteunt één type gateway van het virtuele netwerk: het VPN- type.Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

Elk virtueel netwerk kan twee virtuele netwerkgateways hebben, maar slechts één van elk type.Each virtual network can have two virtual network gateways, but only one of each type. Afhankelijk van de instellingen die u kiest, kunt u meerdere verbindingen maken voor één VPN-gateway.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Een voor beeld van dit type installatie is een configuratie voor een verbinding met meerdere locaties.An example of this kind of setup is a multi-site connection configuration.

Voordat u VPN-gateways voor Azure Stack-hub hebt gemaakt en geconfigureerd, raadpleegt u de overwegingen voor Azure Stack hub robuuste netwerken.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. U leert hoe configuraties voor Azure Stack hub robuust van Azure verschillen.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

In azure moet de door Voer van de band breedte voor de VPN gateway-SKU die u kiest, worden verdeeld over alle verbindingen die zijn verbonden met de gateway.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. In Azure Stack-hub is de band breedte voor de VPN gateway-SKU echter toegepast op elke verbindings bron die is verbonden met de gateway.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Bijvoorbeeld:For example:

  • In azure kan de basis-SKU voor VPN-gateway ongeveer 100 Mbps aan geaggregeerde door Voer bieden.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Als u twee verbindingen met die VPN-gateway maakt en een verbinding gebruikmaakt van een band breedte van 50 Mbps, is 50 Mbps beschikbaar voor de andere verbinding.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • In Azure Stack-hub robuuste, wordt voor elke verbinding met de basis-VPN-gateway-SKU 100 Mbps van door Voer toegewezen.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

VPN-typenVPN types

Wanneer u de virtuele netwerk gateway voor een VPN-gateway configuratie maakt, moet u een VPN-type opgeven.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Welk VPN-type u kiest, is afhankelijk van de verbindings topologie die u wilt maken.The VPN type that you choose depends on the connection topology that you want to create. Een VPN-type kan ook afhankelijk zijn van de hardware die u gebruikt.A VPN type can also depend on the hardware that you're using. Voor S2S-configuraties is een VPN-apparaat vereist.S2S configurations require a VPN device. Sommige VPN-apparaten bieden alleen ondersteuning voor een bepaald VPN-type.Some VPN devices only support a certain VPN type.

Belangrijk

Op dit moment ondersteunt Azure Stack hub alleen het op route gebaseerd VPN-type.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Als uw apparaat alleen Vpn's op basis van beleid ondersteunt, worden verbindingen met deze apparaten uit Azure Stack hub niet ondersteund.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Daarnaast biedt Azure Stack hub robuust geen ondersteuning voor het gebruik van op beleid gebaseerde verkeers selecters voor op route gebaseerde gateways, omdat aangepaste IPSec/IKE-beleids configuraties niet worden ondersteund.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • PolicyBased: vpn's op basis van beleid versleutelen en direct pakketten via IPSec-tunnels op basis van IPSec-beleid.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. Beleids regels worden geconfigureerd met de combi Naties van adres voorvoegsels tussen uw on-premises netwerk en de Azure Stack hub robuuste VNet.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. Het beleid of de verkeers kiezer is doorgaans een toegangs lijst in de configuratie van het VPN-apparaat.The policy, or traffic selector, is usually an access list in the VPN device configuration. PolicyBased wordt ondersteund in azure, maar niet in azure stack hub robuust.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • RouteBased: op route gebaseerde vpn's gebruiken routes die zijn geconfigureerd in de door sturing of routerings tabel.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. De routes sturen direct pakketten naar de bijbehorende tunnel interfaces.The routes direct packets to their corresponding tunnel interfaces. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Het beleid, of de verkeers kiezer, voor RouteBased vpn's worden geconfigureerd als een wille keurig (of gebruik joker tekens).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). Standaard kunnen ze niet worden gewijzigd.By default, they can't be changed. De waarde voor een RouteBased VPN-type is RouteBased.The value for a RouteBased VPN type is RouteBased.

Een VPN-gateway configurerenConfiguring a VPN gateway

Een VPN-gateway verbinding is afhankelijk van verschillende bronnen die zijn geconfigureerd met specifieke instellingen.A VPN gateway connection relies on several resources that are configured with specific settings. De meeste van deze resources kunnen afzonderlijk worden geconfigureerd, maar in sommige gevallen moeten ze in een specifieke volg orde worden geconfigureerd.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

InstellingenSettings

De instellingen die u kiest voor elke resource zijn essentieel voor het maken van een geslaagde verbinding.The settings that you choose for each resource are critical for creating a successful connection.

In dit artikel leert u het volgende:This article helps you understand:

  • Gateway typen, VPN-typen en verbindings typen.Gateway types, VPN types, and connection types.
  • Gateway-subnetten, lokale netwerk gateways en andere bron instellingen die u mogelijk wilt overwegen.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Diagrammen over de verbindingstopologieConnection topology diagrams

Er zijn verschillende configuraties beschikbaar voor VPN-gateway verbindingen.There are different configurations available for VPN gateway connections. Bepaal welke configuratie het meest geschikt is voor uw behoeften.Determine which configuration best fits your needs. In de volgende secties kunt u informatie en topologie diagrammen bekijken over de volgende VPN-gateway verbindingen:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Beschikbaar implementatiemodelAvailable deployment model
  • Beschikbare configuratiehulpprogramma'sAvailable configuration tools
  • Rechtstreekse koppelingen naar een artikel, indien beschikbaarLinks that take you directly to an article, if available

De diagrammen en beschrijvingen in de volgende secties kunnen u helpen een verbindings topologie te selecteren die overeenkomt met uw vereisten.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. In de diagrammen worden de belangrijkste topologieën van de basis lijn weer gegeven, maar het is mogelijk om complexere configuraties te bouwen met behulp van de diagrammen als richt lijn.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Site-naar-site en multi-site (IPsec/IKE VPN-tunnel)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Site-naar-siteSite-to-site

Een site-naar-site -VPN-gateway verbinding (S2S) is een verbinding via een VPN-tunnel met IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Dit type verbinding vereist een VPN-apparaat dat on-premises is en waaraan een openbaar IP-adres is toegewezen.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Dit apparaat kan zich niet achter een NAT bevinden.This device can't be located behind a NAT. S2S-verbindingen kunnen worden gebruikt voor cross-premises en hybride configuraties.S2S connections can be used for cross-premises and hybrid configurations.

Meerdere locatiesMulti-site

Een verbinding tussen meerdere locaties is een variant van de site-naar-site-verbinding.A multi-site connection is a variation of the site-to-site connection. U maakt meer dan één VPN-verbinding vanaf uw virtuele netwerkgateway, meestal met verschillende on-premises sites.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Als u met meerdere verbindingen werkt, moet u een op route gebaseerd VPN-type gebruiken (ook wel een dynamische gateway genoemd bij het werken met klassieke VNets).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Omdat elk virtueel netwerk maar één VPN-gateway kan hebben, delen alle verbindingen via de gateway de beschikbare bandbreedte.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Gateway-SKU'sGateway SKUs

Wanneer u een virtuele netwerk gateway maakt voor de robuuste Azure Stack hub, geeft u de gateway-SKU op die u wilt gebruiken.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. De volgende VPN-gateway-Sku's worden ondersteund:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • Hoge prestatiesHigh Performance

Als u een hogere gateway-SKU selecteert, worden meer Cpu's en netwerk bandbreedte toegewezen aan de gateway.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. Als gevolg hiervan kan de gateway een hogere netwerk doorvoer ondersteunen voor het virtuele netwerk.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack hub is robuust, biedt geen ondersteuning voor de gateway-SKU met hoge prestaties, die uitsluitend wordt gebruikt met Express route.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Houd rekening met het volgende wanneer u de SKU selecteert:Consider the following when you select the SKU:

  • Azure Stack hub is robuust, ondersteunt geen op beleid gebaseerde gateways.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • BGP wordt niet ondersteund in de basis-SKU.BGP isn't supported on the Basic SKU.
  • ExpressRoute-VPN-gateway naast elkaar bestaande configuraties worden niet ondersteund in Azure Stack hub robuust.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Beschik baarheid van GatewayGateway availability

Scenario's met hoge Beschik baarheid kunnen alleen worden geconfigureerd op de SKU-verbinding met hoge prestaties van de gateway.High availability scenarios can only be configured on the High-Performance Gateway connection SKU. In tegens telling tot Azure, dat Beschik baarheid biedt via actieve/actieve en actieve/passieve configuraties, wordt Azure Stack hub robuuste ondersteuning alleen ondersteund door de configuratie actief/passief.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

FailoverFailover

Er zijn drie Vm's met een multi tenant-gateway infrastructuur in Azure Stack hub robuust.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Twee van deze virtuele machines bevinden zich in de actieve modus en de derde bevindt zich in de redundante modus.Two of these VMs are in active mode, and the third is in redundant mode. Met actieve Vm's kunnen VPN-verbindingen worden gemaakt en de redundante VM accepteert alleen VPN-verbindingen als er een failover plaatsvindt.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Als een actieve gateway-VM niet beschikbaar is, wordt de VPN-verbinding na een korte periode (enkele seconden) van het verbindings verlies overgeschakeld naar de redundante VM.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Geschatte geaggregeerde doorvoer per SKUEstimated aggregate throughput by SKU

In de volgende tabel ziet u de gateway typen en de geschatte geaggregeerde door Voer per gateway-SKU:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Doorvoer VPN-gateway (1)VPN Gateway throughput (1) Max. IPsec-tunnels VPN-gateway (2)VPN Gateway max IPsec tunnels (2)
Basis-SKU (3)Basic SKU (3) 100 Mbps100 Mbps 2020
Standaard SKUStandard SKU 100 Mbps100 Mbps 2020
SKU met hoge prestatiesHigh-Performance SKU 200 Mbps200 Mbps 1010

Tabel notitiesTable notes

(1) : de door Voer van de VPN is geen gegarandeerde door Voer voor cross-premises verbindingen via internet.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Dit is de Maxi maal mogelijke doorvoer meting.It's the maximum possible throughput measurement.
(2) -maximum aantal tunnels is het totale aantal gerobuuste implementaties per Azure stack hub voor alle abonnementen.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) -BGP-route ring wordt niet ondersteund voor de basis-SKU.(3) - BGP routing isn't supported for the Basic SKU.

Belangrijk

Er kan slechts één site-naar-site-VPN-verbinding worden gemaakt tussen twee Azure Stack hub robuuste implementaties.Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Dit wordt veroorzaakt door een beperking in het platform waarmee slechts één VPN-verbinding met hetzelfde IP-adres is toegestaan.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Omdat Azure Stack hub robuust gebruikmaakt van de multi tenant gateway, waarbij één enkel openbaar IP-adres wordt gebruikt voor alle VPN-gateways in het Azure Stack hub-robuust systeem, kan er slechts één VPN-verbinding tussen twee Azure Stack hub robuuste systemen zijn.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

Deze beperking geldt ook voor het verbinden van meer dan een site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack hub is robuust, staat niet toe dat er meer dan één lokale netwerk gateway resource wordt gemaakt met hetzelfde IP-adres. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

IPSec-/IKE-parametersIPsec/IKE parameters

Wanneer u een VPN-verbinding in Azure Stack hub hebt ingesteld, moet u beide uiteinden configureren voor de verbinding.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. Als u een VPN-verbinding configureert tussen een robuuste Azure Stack hub en een hardwareapparaat, kan dat apparaat u vragen om aanvullende instellingen.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Bijvoorbeeld een switch of router die fungeert als een VPN-gateway.For example, a switch or router that's acting as a VPN gateway.

In tegens telling tot Azure, dat ondersteuning biedt voor meerdere aanbiedingen als zowel een initiator als een responder, ondersteunt Azure Stack hub standaard slechts één aanbieding.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Als u verschillende IPSec/IKE-instellingen wilt gebruiken om te werken met uw VPN-apparaat, zijn er meer instellingen beschikbaar voor u om uw verbinding hand matig te configureren.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Parameters voor IKE Phase 1 (Main Mode)IKE Phase 1 (Main Mode) parameters

EigenschapProperty WaardeValue
IKE-versieIKE Version IKEv2IKEv2
Diffie-Hellman-groepDiffie-Hellman Group ECP384ECP384
VerificatiemethodeAuthentication Method Vooraf gedeelde sleutelPre-Shared Key
Versleutelings- en hash-algoritmenEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
SA-levensduur (tijd)SA Lifetime (Time) 28.800 seconden28,800 seconds

Parameters voor IKE Phase 2 (Quick Mode)IKE Phase 2 (Quick Mode) parameters

EigenschapProperty WaardeValue
IKE-versieIKE Version IKEv2IKEv2
Versleutelings & hash-algoritmen (versleuteling)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Versleutelings & hash-algoritmen (verificatie)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
SA-levensduur (tijd)SA Lifetime (Time) 27.000 seconden27,000 seconds
SA-levens duur (KB)SA Lifetime (Kilobytes) 33.553.40833,553,408
Perfect Forward Secrecy (PFS)Perfect Forward Secrecy (PFS) ECP384ECP384
Dead Peer DetectionDead Peer Detection OndersteundSupported

Aangepaste IPSec/IKE-verbindings beleidsregels configurerenConfigure custom IPSec/IKE connection policies

Het IPsec-en IKE-protocol standaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combi Naties.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Zie IPsec/IKE-para meters voor meer informatie over de para meters die worden ondersteund in Azure Stack hub, robuust om te voldoen aan de nalevings-of beveiligings vereisten.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

In dit artikel vindt u instructies voor het maken en configureren van een IPsec/IKE-beleid en het Toep assen op een nieuwe of bestaande verbinding.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

OverwegingenConsiderations

Houd rekening met de volgende belang rijke overwegingen bij het gebruik van deze beleids regels:Note the following important considerations when using these policies:

  • Het IPsec/IKE-beleid werkt alleen op de standaard -en High Performance -gateway-sku's (op route basis).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • U kunt maar één beleidscombinatie opgeven voor een bepaalde verbinding.You can only specify one policy combination for a given connection.
  • U moet alle algoritmen en para meters opgeven voor zowel IKE (hoofd modus) als IPsec (snelle modus).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Gedeeltelijke beleids specificatie is niet toegestaan.Partial policy specification isn't allowed.
  • Neem contact op met de specificaties van de leverancier van uw VPN-apparaat om ervoor te zorgen dat het beleid wordt ondersteund op uw on-premises VPN-apparaten.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Site-naar-site-verbindingen kunnen niet tot stand worden gebracht als het beleid niet compatibel is.Site-to-site connections can't be established if the policies are incompatible.

Werk stroom om IPsec/IKE-beleid te maken en in te stellenWorkflow to create and set IPsec/IKE policy

Deze sectie bevat een overzicht van de werk stroom die is vereist om het IPsec/IKE-beleid te maken en bij te werken op een site-naar-site-VPN-verbinding:This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Maak een virtueel netwerk en een VPN-gateway.Create a virtual network and a VPN gateway.
  2. Maak een lokale netwerk gateway voor cross-premises verbinding.Create a local network gateway for cross-premises connection.
  3. Maak een IPsec/IKE-beleid met geselecteerde algoritmen en para meters.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Maak een IPSec-verbinding met het IPsec/IKE-beleid.Create an IPSec connection with the IPsec/IKE policy.
  5. Een IPsec/IKE-beleid voor een bestaande verbinding toevoegen/bijwerken/verwijderen.Add/update/remove an IPsec/IKE policy for an existing connection.

Ondersteunde cryptografische algoritmen en sleutel sterktenSupported cryptographic algorithms and key strengths

De volgende tabel bevat de ondersteunde cryptografische algoritmen en sleutel sterkten die kunnen worden geconfigureerd door Azure Stack hub met robuuste klanten:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 OptiesOptions
IKEv2-versleutelingIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2-integriteitIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-groepDH Group ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, geenECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-versleutelingIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geenGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-integriteitIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groepPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geenPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-levensduurQM SA Lifetime (Optioneel: de standaard waarden worden gebruikt als er geen waarde is opgegeven)(Optional: default values are used if not specified)
Seconden (geheel getal; min. 300/standaard 27.000 seconden)Seconds (integer; min. 300/default 27,000 seconds)
KBytes (geheel getal; min. 1024/standaard 102.400.000 kB)KBytes (integer; min. 1024/default 102,400,000 KBytes)
VerkeersselectorTraffic Selector Op beleid gebaseerde verkeers selecties worden niet ondersteund in Azure Stack hub robuust.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE-versleutelings algoritme (hoofd modus/fase 1).IKE encryption algorithm (Main Mode / Phase 1).
  • IKE-integriteits algoritme (hoofd modus/fase 1).IKE integrity algorithm (Main Mode / Phase 1).
  • DH-groep (hoofd modus/fase 1).DH Group (Main Mode / Phase 1).
  • IPsec-versleutelings algoritme (snelle modus/fase 2).IPsec encryption algorithm (Quick Mode / Phase 2).
  • IPsec-integriteits algoritme (snelle modus/fase 2).IPsec integrity algorithm (Quick Mode / Phase 2).
  • PFS-groep (snelle modus/fase 2).PFS Group (Quick Mode / Phase 2).
  • De SA-levens duur is alleen lokale specificaties en hoeft niet overeen te komen.The SA lifetimes are local specifications only, they don't need to match.

Als GCMAES wordt gebruikt als voor IPsec-versleutelings algoritme, moet u hetzelfde GCMAES-algoritme en dezelfde sleutel lengte voor IPsec-integriteit selecteren.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Bijvoorbeeld: GCMAES128 gebruiken voor beide.For example: using GCMAES128 for both.

In de voor gaande tabel:In the preceding table:

  • IKEv2 komt overeen met de hoofd modus of fase 1.IKEv2 corresponds to Main Mode or Phase 1.
  • IPsec komt overeen met snelle modus of fase 2.IPsec corresponds to Quick Mode or Phase 2.
  • DH-groep Hiermee geeft u de Diffie-Hellmen groep op die wordt gebruikt in de hoofd modus of fase 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • PFS-groep specificeert de Diffie-Hellmen groep die wordt gebruikt in de snelle modus of fase 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • De levens duur van de SA-hoofd modus van IKEv2 is 28.800 seconden vastgesteld op de Azure Stack hub robuuste VPN-gateways.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

De volgende tabel bevat de overeenkomende Diffie-Hellman groepen die worden ondersteund door het aangepaste beleid:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman-groepDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup SleutellengteKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-bits MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-bits MODP1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 2048-bits MODP2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 256-bits ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384-bits ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048-bits MODP2048-bit MODP

Azure Stack hub die robuust is met Azure verbinden met behulp van Azure ExpressRouteConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Overzicht, hypo thesen en vereistenOverview, assumptions, and prerequisites

Met Azure ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de micro soft-Cloud.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. U gebruikt een persoonlijke verbinding die is opgegeven door een connectiviteits provider.You use a private connection supplied by a connectivity provider. ExpressRoute is geen VPN-verbinding via het open bare Internet.ExpressRoute isn't a VPN connection over the public Internet.

Zie het overzicht van ExpressRoute voor meer informatie over Azure ExpressRoute.For more information about Azure ExpressRoute, see the ExpressRoute overview.

AannamesAssumptions

In dit artikel wordt ervan uitgegaan dat:This article assumes that:

  • U hebt een werk ervaring met Azure.You have a working knowledge of Azure.
  • U hebt een basis informatie over de robuuste Azure Stack hub.You have a basic understanding of Azure Stack Hub ruggedized.
  • U hebt een basis memorandum van netwerken.You have a basic understanding of networking.

VereistenPrerequisites

Als u Azure Stack hub wilt verbinden met behulp van ExpressRoute, moet u voldoen aan de volgende vereisten:To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • Een ingericht ExpressRoute-circuit via een connectiviteits provider.A provisioned ExpressRoute circuit through a connectivity provider.
  • Een Azure-abonnement voor het maken van een ExpressRoute-circuit en VNets in Azure.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • Een router die ondersteuning biedt voor:A router that supports:
    • site-naar-site-VPN-verbindingen tussen de LAN-interface en Azure Stack hub robuuste multi tenant gateway.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • meerdere VRFs maken (virtuele route ring en door sturen) als er meer dan één Tenant is in uw Azure Stack hub robuuste implementatie.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • Een router met:A router that has:
    • Een WAN-poort die is verbonden met het ExpressRoute-circuit.A WAN port connected to the ExpressRoute circuit.
    • Een LAN-poort die is verbonden met de Azure Stack hub robuuste multi tenant gateway.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

ExpressRoute-netwerk architectuurExpressRoute network architecture

In de volgende afbeelding ziet u de Azure Stack hub robuuste en Azure-omgevingen nadat u de ExpressRoute hebt ingesteld met behulp van de voor beelden in dit artikel:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

ExpressRoute-netwerk architectuur

In de volgende afbeelding ziet u hoe meerdere tenants verbinding maken met behulp van de robuuste infra structuur van Azure Stack hub via de ExpressRoute-router naar Azure:The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

ExpressRoute netwerk architectuur met meerdere tenants