VNet-naar-VNet-connectiviteit tussen Azure Stack Hub-exemplaren met Fortinet FortiGate NVA
In dit artikel verbindt u een VNET in een Azure Stack Hub met een VNET in een andere Azure Stack Hub met behulp van Fortinet FortiGate NVA, een virtueel netwerkapparaat.
In dit artikel wordt de huidige Azure Stack Hub-beperking behandeld, waardoor tenants slechts één VPN-verbinding in twee omgevingen kunnen instellen. Gebruikers leren hoe ze een aangepaste gateway kunnen instellen op een virtuele Linux-machine die meerdere VPN-verbindingen in verschillende Azure Stack Hub toestaat. Met de procedure in dit artikel worden twee VNET's met een FortiGate NVA geïmplementeerd in elk VNET: één implementatie per Azure Stack Hub-omgeving. Ook worden de wijzigingen beschreven die nodig zijn voor het instellen van een IPSec-VPN tussen de twee VNET's. De stappen in dit artikel moeten worden herhaald voor elk VNET in elke Azure Stack Hub.
Vereisten
Toegang tot geïntegreerde Azure Stack Hub-systemen met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.
Notitie
Deze instructies werken niet met een Azure Stack Development Kit (ASDK) vanwege de netwerkbeperkingen in de ASDK. Zie ASDK-vereisten en -overwegingen voor meer informatie.
Een NVA-oplossing (virtueel netwerkapparaat) die is gedownload en gepubliceerd naar de Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. In deze procedure wordt de Fortinet FortiGate Next-Generation Firewall Single VM-oplossing gebruikt.
Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor informatie over het verkrijgen van deze licenties.
Deze procedure maakt gebruik van de implementatie Single FortiGate-VM. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.
Zie het artikel Ha voor FortiGate-VM in Azure in de Fortinet-documentbibliotheek voor meer informatie over het implementeren van de FortiGate-oplossing in een instelling voor actief-passief (HA).
Implementatieparameters
De volgende tabel bevat een overzicht van de parameters die worden gebruikt in deze implementaties ter referentie:
Implementatie één: Forti1
Naam fortiGate-exemplaar | Forti1 |
---|---|
BYOL-licentie/-versie | 6.0.3 |
FortiGate-gebruikersnaam voor beheerdersrechten | fortiadmin |
Naam resourcegroep | forti1-rg1 |
Naam van virtueel netwerk | forti1vnet1 |
VNET-adresruimte | 172.16.0.0/16* |
Naam van openbaar VNET-subnet | forti1-PublicFacingSubnet |
Openbaar VNET-adresvoorvoegsel | 172.16.0.0/24* |
Naam van VNET-subnet | forti1-InsideSubnet |
Binnen VNET-subnetvoorvoegsel | 172.16.1.0/24* |
VM-grootte van FortiGate NVA | Standard F2s_v2 |
Naam openbaar IP-adres | forti1-publicip1 |
Type openbaar IP-adres | Statisch |
Implementatie twee: Forti2
Naam fortiGate-exemplaar | Forti2 |
---|---|
BYOL-licentie/-versie | 6.0.3 |
FortiGate-gebruikersnaam voor beheerdersrechten | fortiadmin |
Naam resourcegroep | forti2-rg1 |
Naam van virtueel netwerk | forti2vnet1 |
VNET-adresruimte | 172.17.0.0/16* |
Naam van openbaar VNET-subnet | forti2-PublicFacingSubnet |
Openbaar VNET-adresvoorvoegsel | 172.17.0.0/24* |
Naam van VNET-subnet | Forti2-InsideSubnet |
Binnen VNET-subnetvoorvoegsel | 172.17.1.0/24* |
VM-grootte van FortiGate NVA | Standard F2s_v2 |
Naam openbaar IP-adres | Forti2-publicip1 |
Type openbaar IP-adres | Statisch |
Notitie
* Kies een andere set adresruimten en subnetvoorvoegsels als het bovenstaande op een of andere manier overlapt met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hubs. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.**
De FortiGate NGFW Marketplace-items implementeren
Herhaal deze stappen voor beide Azure Stack Hub-omgevingen.
Open de Azure Stack Hub-gebruikersportal. Zorg ervoor dat u referenties gebruikt met ten minste inzenderrechten voor een abonnement.
Selecteer Een resource maken en zoek
FortiGate
naar .Selecteer de FortiGate NGFW en selecteer maken.
Voltooi Basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .
Het formulier moet de volgende gegevens bevatten:
Selecteer OK.
Geef de details van het virtuele netwerk, de subnetten en de VM-grootte op uit de implementatieparameters.
Als u verschillende namen en bereiken wilt gebruiken, moet u ervoor zorgen dat u geen parameters gebruikt die conflicteren met de andere VNET- en FortiGate-resources in de andere Azure Stack Hub-omgeving. Dit geldt met name bij het instellen van het IP- en subnetbereik van het VNET binnen het VNET. Controleer of ze niet overlappen met de IP-bereiken voor het andere VNET dat u maakt.
Selecteer OK.
Configureer het openbare IP-adres dat wordt gebruikt voor de FortiGate NVA:
Selecteer OK en selecteer vervolgens OK.
Selecteer Maken.
De implementatie duurt ongeveer 10 minuten. U kunt nu de stappen herhalen om de andere FortiGate NVA- en VNET-implementatie te maken in de andere Azure Stack Hub-omgeving.
Routes (UDR's) configureren voor elk VNET
Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.
Navigeer naar de resourcegroep forti1-rg1 in de Azure Stack Hub-portal.
Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx.
Selecteer Routes onder Instellingen.
Verwijder de route naar internet .
Selecteer Ja.
Selecteer Toevoegen.
Geef de route
to-forti1
ofto-forti2
de naam . Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Voer het volgende in:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
- forti1:
Selecteer Virtueel apparaat voor het type Volgende hop.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
- forti1:
Selecteer Opslaan.
Herhaal de stappen voor elke InsideSubnet-route voor elke resourcegroep.
De FortiGate-NVA's activeren en een IPSec VPN-verbinding configureren op elke NVA
U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor meer informatie over het verkrijgen van een licentiebestand en de stappen om de NVA te activeren.
Er moeten twee licentiebestanden worden verkregen: één voor elke NVA.
Een IPSec-VPN maken tussen de twee NVA's
Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec VPN tussen de twee NVA's te maken.
Volg de onderstaande stappen voor zowel de forti1 NVA als forti2 NVA:
Haal het toegewezen openbare IP-adres op door te navigeren naar de overzichtspagina van fortiX VM:
Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser kan u waarschuwen dat het beveiligingscertificaat niet wordt vertrouwd. Toch doorgaan.
Voer de FortiGate-gebruikersnaam en het wachtwoord voor beheerdersrechten in die u tijdens de implementatie hebt opgegeven.
Selecteer Systeemfirmware>.
Schakel het selectievakje in met de meest recente firmware,
FortiOS v6.2.0 build0866
bijvoorbeeld .Selecteer Back-upconfiguratie en upgraden en Doorgaan wanneer hierom wordt gevraagd.
De NVA werkt de firmware bij naar de nieuwste build en start opnieuw op. Het proces duurt ongeveer vijf minuten. Meld u opnieuw aan bij de FortiGate-webconsole.
Klik op WIZARD VPN>IPSec.
Voer een naam in voor het VPN, bijvoorbeeld
conn1
in de wizard VPN maken.Selecteer Deze site bevindt zich achter NAT.
Selecteer Next.
Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.
Selecteer poort1 als de uitgaande interface.
Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en noteer) .
Notitie
U hebt deze sleutel nodig om de verbinding op het on-premises VPN-apparaat in te stellen, dat wil gezegd dat ze precies overeenkomen.
Selecteer Next.
Selecteer poort2 voor de lokale interface.
Voer het lokale subnetbereik in:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
Selecteer Maken
SelecteerNetwerkinterfaces>.
Dubbelklik op poort2.
Kies LANin de rollenlijst en DHCP voor de adresseringsmodus.
Selecteer OK.
Herhaal de stappen voor de andere NVA.
Alle fase 2-selectors weergeven
Zodra het bovenstaande is voltooid voor beide NVA's:
Selecteer in de forti2 FortiGate-webconsole deoptieIPsec Monitor bewaken>.
Markeer
conn1
en selecteer alle fase>2-selectors weergeven.
Connectiviteit testen en valideren
U moet nu tussen elk VNET kunnen routeren via de FortiGate-NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in het InsideSubnet van elk VNET. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:
De Azure Stack Hub-VM's worden in het InsideSubnet van elk VNET geplaatst.
U past geen NSG's toe op de virtuele machine bij het maken (dat wil gezegd, verwijder de NSG die standaard wordt toegevoegd als u de VM vanuit de portal maakt.
Zorg ervoor dat de firewallregels van de VM de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig uit te schakelen binnen het besturingssysteem, indien mogelijk.
Volgende stappen
Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor