VNet-naar-VNet-connectiviteit tussen Azure Stack Hub-exemplaren met Fortinet FortiGate NVA

  • Artikel
  • 6 minuten om te lezen

In dit artikel verbindt u een VNET in één Azure Stack Hub met een VNET in een andere Azure Stack Hub met behulp van Fortinet FortiGate NVA, een virtueel netwerkapparaat.

In dit artikel wordt de huidige beperking van Azure Stack Hub behandeld, waarmee tenants slechts één VPN-verbinding in twee omgevingen kunnen instellen. Gebruikers leren hoe u een aangepaste gateway instelt op een virtuele Linux-machine die meerdere VPN-verbindingen in verschillende Azure Stack Hub toestaat. Met de procedure in dit artikel worden twee VNET's geïmplementeerd met een FortiGate NVA in elk VNET: één implementatie per Azure Stack Hub-omgeving. Ook worden de wijzigingen die nodig zijn voor het instellen van een IPSec VPN tussen de twee VNET's, in detail weergegeven. De stappen in dit artikel moeten worden herhaald voor elk VNET in elke Azure Stack Hub.

Vereisten

  • Toegang tot geïntegreerde Azure Stack Hub-systemen met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.

    Notitie

    Deze instructies werken niet met een Azure Stack Development Kit (ASDK) vanwege de netwerkbeperkingen in de ASDK. Zie ASDK-vereisten en -overwegingen voor meer informatie.

  • Een NVA-oplossing (virtueel netwerkapparaat) is gedownload en gepubliceerd naar de Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. Deze procedure maakt gebruik van de Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Fortinet-documentbibliotheek registreren en downloaden van uw licentie voor informatie over het verkrijgen van deze licenties.

    Deze procedure maakt gebruik van de implementatie van single FortiGate-VM. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.

    Zie het fortinet-documentbibliotheekartikel ha voor FortiGate-VM in Azure voor meer informatie over het implementeren van de FortiGate-oplossing in een actief-passieve (HA).

Implementatieparameters

De volgende tabel bevat een overzicht van de parameters die in deze implementaties worden gebruikt voor referentie:

Implementatie één: Forti1

Naam van fortiGate-exemplaar Forti1
BYOL-licentie/-versie 6.0.3
FortiGate-beheerdersnaam fortiadmin
Naam resourcegroep forti1-rg1
Naam van virtueel netwerk forti1vnet1
VNET-adresruimte 172.16.0.0/16*
Naam van openbaar VNET-subnet forti1-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.16.0.0/24*
Naam van VNET-subnet forti1-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.16.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres forti1-publicip1
Type openbaar IP-adres Statisch

Implementatie twee: Forti2

Naam van fortiGate-exemplaar Forti2
BYOL-licentie/-versie 6.0.3
FortiGate-beheerdersnaam fortiadmin
Naam resourcegroep forti2-rg1
Naam van virtueel netwerk forti2vnet1
VNET-adresruimte 172.17.0.0/16*
Naam van openbaar VNET-subnet forti2-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.17.0.0/24*
Naam van VNET-subnet Forti2-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.17.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres Forti2-publicip1
Type openbaar IP-adres Statisch

Notitie

* Kies een andere set adresruimten en subnetvoorvoegsels als het bovenstaande op een willekeurige manier overlapt met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hub. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.**

De FortiGate NGFW Marketplace-items implementeren

Herhaal deze stappen voor beide Azure Stack Hub-omgevingen.

  1. Open de Azure Stack Hub-gebruikersportal. Zorg ervoor dat u referenties gebruikt met ten minste inzenderrechten voor een abonnement.

  2. Selecteer Een resource maken en zoek naar FortiGate.

    The screenshot shows a single line of results from the search for

  3. Selecteer de FortiGate NGFW en selecteer de optie Maken.

  4. Basisbeginselen voltooien met behulp van de parameters uit de tabel Implementatieparameters.

    Uw formulier moet de volgende informatie bevatten:

    The text boxes (such as Instance Name and BYOL License) of the Basics dialog box have been filled in with values from the Deployment Table.

  5. Selecteer OK.

  6. Geef de details van het virtuele netwerk, subnetten en vm-grootte op uit de implementatieparameters.

    Als u verschillende namen en bereiken wilt gebruiken, moet u ervoor zorgen dat u geen parameters gebruikt die conflicteren met de andere VNET- en FortiGate-resources in de andere Azure Stack Hub-omgeving. Dit geldt met name bij het instellen van het VNET-IP-bereik en subnetbereiken binnen het VNET. Controleer of ze niet overlappen met de IP-bereiken voor het andere VNET dat u maakt.

  7. Selecteer OK.

  8. Configureer het openbare IP-adres dat wordt gebruikt voor de FortiGate NVA:

    The

  9. Selecteer OK en selecteer OK.

  10. Selecteer Maken.

De implementatie duurt ongeveer 10 minuten. U kunt nu de stappen herhalen om de andere FortiGate NVA- en VNET-implementatie te maken in de andere Azure Stack Hub-omgeving.

Routes (UDR's) configureren voor elk VNET

Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.

  1. Navigeer naar de forti1-rg1-resourcegroep in de Azure Stack Hub-portal.

    This is a screenshot of the list of resources in the forti1-rg1 resource group.

  2. Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx.

  3. Selecteer Routes onder Instellingen.

    The screenshot shows the highlighted Routes item of Settings.

  4. Verwijder de route naar internet .

    The screenshot shows the highlighted to-Internet route. There is a delete button.

  5. Selecteer Ja.

  6. Selecteer Toevoegen.

  7. Geef de routeto-forti1 of to-forti2de naam . Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  8. Voer het volgende in:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  9. Selecteer Virtueel apparaat voor het type Volgende hop.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    The Edit route dialog box for to-forti2 has text boxes with values.

  10. Selecteer Opslaan.

Herhaal de stappen voor elke InsideSubnet-route voor elke resourcegroep.

Activeer de FortiGate NVA's en configureer een IPSec VPN-verbinding op elke NVA

U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Fortinet-documentbibliotheek registreren en downloaden van uw licentie voor meer informatie over het verkrijgen van een licentiebestand en stappen voor het activeren van de NVA.

Er moeten twee licentiebestanden worden aangeschaft: één voor elke NVA.

Een IPSec-VPN tussen de twee NVA's maken

Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec VPN tussen de twee NVA's te maken.

Volg de onderstaande stappen voor zowel de FORTI1 NVA als forti2 NVA:

  1. Haal het toegewezen openbare IP-adres op door naar de overzichtspagina van de fortiX-VM te gaan:

    The forti1 overview page shows the resource group, status, and so on.

  2. Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser waarschuwt u mogelijk dat het beveiligingscertificaat niet wordt vertrouwd. Ga toch verder.

  3. Voer de gebruikersnaam en het wachtwoord van de FortiGate-beheerder in die u tijdens de implementatie hebt opgegeven.

    The screenshot is of the login screen, which has a Login button and text boxes for user name and password.

  4. Selecteer SystemFirmware>.

  5. Selecteer het vak met de meest recente firmware, bijvoorbeeld FortiOS v6.2.0 build0866.

    The screenshot for the

  6. Selecteer back-upconfiguratie en voer een upgrade uit en ga door wanneer u hierom wordt gevraagd.

  7. De NVA werkt de firmware bij naar de nieuwste build en wordt opnieuw opgestart. Het proces duurt ongeveer vijf minuten. Meld u weer aan bij de FortiGate-webconsole.

  8. Klik op de wizard VPNIPSec>.

  9. Voer een naam in voor het VPN, conn1 bijvoorbeeld in de wizard VPN maken.

  10. Selecteer Deze site bevindt zich achter NAT.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Selecteer Next.

  12. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.

  13. Selecteer poort1 als de uitgaande interface.

  14. Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en record).

    Notitie

    U hebt deze sleutel nodig om de verbinding in te stellen op het on-premises VPN-apparaat, dat wil gezegd, ze moeten exact overeenkomen.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Selecteer Next.

  16. Selecteer poort2 voor de lokale interface.

  17. Voer het lokale subnetbereik in:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  18. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing, showing the selected and entered values.

  19. Selecteer Maken

  20. Selecteer NetworkInterfaces>.

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Dubbelklik op poort2.

  22. Kies LAN in de lijst met rollen en DHCP voor de adresseringsmodus.

  23. Selecteer OK.

Herhaal de stappen voor de andere NVA.

Alle fase 2-selectors weergeven

Zodra het bovenstaande is voltooid voor beide NVA's:

  1. Selecteer in de forti2 FortiGate-webconsole de optie MonitorIPsec Monitor>.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Markeer conn1 en selecteer de Bring UpAll>Phase 2 Selectors.

    The monitor and Phase 2 Selector are both shown as up.

Connectiviteit testen en valideren

U moet nu tussen elk VNET kunnen routeren via de FortiGate NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in elk VNET InsideSubnet. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:

  • De Azure Stack Hub-VM's worden op het InsideSubnet van elk VNET geplaatst.

  • U past geen NSG's toe op de VIRTUELE machine bij het maken (dat wil gezegd: verwijder de NSG die standaard wordt toegevoegd als u de VIRTUELE machine maakt vanuit de portal.

  • Zorg ervoor dat de firewallregels van de VM de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig in het besturingssysteem uit te schakelen, indien mogelijk.

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate