Hybride cloudconnectiviteit configureren met behulp van Azure en Azure Stack Hub

U hebt toegang tot resources met beveiliging in wereldwijde Azure en Azure Stack Hub met behulp van het hybride connectiviteitspatroon.

In deze oplossing bouwt u een voorbeeldomgeving voor het volgende:

• Houd gegevens on-premises om te voldoen aan privacy- of regelgevingsvereisten, maar houd toegang tot wereldwijde Azure-resources.
• Een verouderd systeem onderhouden tijdens het gebruik van app-implementatie op cloudschaal en resources in wereldwijde Azure.

Tip

Microsoft Azure Stack Hub is een uitbreiding van Azure. Azure Stack Hub brengt de flexibiliteit en innovatie van cloud-computing naar uw on-premises omgeving, waardoor de enige hybride cloud mogelijk is waarmee u overal hybride apps kunt bouwen en implementeren.

In het artikel Overwegingen bij het ontwerpen van hybride apps worden pijlers van softwarekwaliteit (plaatsing, schaalbaarheid, beschikbaarheid, tolerantie, beheerbaarheid en beveiliging) besproken voor het ontwerpen, implementeren en gebruiken van hybride apps. De ontwerpoverwegingen helpen bij het optimaliseren van hybride app-ontwerp, waardoor uitdagingen in productieomgevingen worden geminimaliseerd.

Vereisten

Er zijn enkele onderdelen vereist voor het bouwen van een hybride connectiviteitsimplementatie. Sommige van deze onderdelen nemen tijd in beslag om zich voor te bereiden, dus plan dienovereenkomstig.

Azure

• Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
• Een web-app maken in Azure. Noteer de URL van de web-app, omdat u deze nodig hebt in de oplossing.

Azure Stack Hub

Een Azure OEM/hardwarepartner kan een Productie-Azure Stack Hub implementeren en alle gebruikers kunnen een Azure Stack Development Kit (ASDK) implementeren.

• Gebruik uw productie-Azure Stack Hub of implementeer de ASDK.

  Notitie

  Het implementeren van de ASDK kan maximaal 7 uur duren, dus plan dienovereenkomstig.

• Implementeer App Service PaaS-services in Azure Stack Hub.

• Maak plannen en aanbiedingen in de Azure Stack Hub-omgeving.

• Maak een tenantabonnement binnen de Azure Stack Hub-omgeving.

Azure Stack Hub-onderdelen

Een Azure Stack Hub-operator moet de App Service implementeren, plannen en aanbiedingen maken, een tenantabonnement maken en de Windows Server 2016-installatiekopieën toevoegen. Als u deze onderdelen al hebt, moet u ervoor zorgen dat ze voldoen aan de vereisten voordat u deze oplossing start.

In dit oplossingsvoorbeeld wordt ervan uitgegaan dat u enige basiskennis hebt van Azure en Azure Stack Hub. Lees de volgende artikelen voor meer informatie voordat u de oplossing start:

• Inleiding tot Azure
• Belangrijke concepten van Azure Stack Hub

Voordat u begint

Controleer of u voldoet aan de volgende criteria voordat u begint met het configureren van hybride cloudconnectiviteit:

• U hebt een extern gericht openbaar IPv4-adres nodig voor uw VPN-apparaat. Dit IP-adres kan zich niet achter een NAT (Network Address Translation) bevinden.
• Alle resources worden geïmplementeerd in dezelfde regio/locatie.

Voorbeeldwaarden van oplossing

In de voorbeelden in deze oplossing worden de volgende waarden gebruikt. U kunt deze waarden gebruiken om een testomgeving te maken of ze te raadplegen voor een beter begrip van de voorbeelden. Zie Over VPN Gateway instellingen voor meer informatie over vpn-gatewayinstellingen.

Verbindingsspecificaties:

• VPN-type: op route gebaseerd
• Verbindingstype: site-naar-site (IPsec)
• Gatewaytype: VPN
• Naam van Azure-verbinding: Azure-Gateway-AzureStack-S2SGateway (deze waarde wordt automatisch ingevuld in de portal)
• Naam van Azure Stack Hub-verbinding: AzureStack-Gateway-Azure-S2SGateway (deze waarde wordt automatisch ingevuld door de portal)
• Gedeelde sleutel: elk compatibel met VPN-hardware, met overeenkomende waarden aan beide zijden van de verbinding
• Abonnement: elk gewenst abonnement
• Resourcegroep: Test-Infra

IP-adressen van netwerk en subnet:

Verbinding met Azure/Azure Stack Hub	Naam	Subnet	IP-adres
Azure vNet	ApplicationvNet 10.100.102.9/23	ApplicationSubnet 10.100.102.0/24
		GatewaySubnet 10.100.103.0/24
Azure Stack Hub vNet	ApplicationvNet 10.100.100.0/23	ApplicationSubnet 10.100.100.0/24
		GatewaySubnet 10.100101.0/24
Azure Virtual Network Gateway	Azure-Gateway
Azure Stack Hub Virtual Network Gateway	AzureStack-Gateway
Openbaar Azure-IP	Azure-GatewayPublicIP		Bepaald bij het maken
Openbaar IP-adres van Azure Stack Hub	AzureStack-GatewayPublicIP		Bepaald bij het maken
Lokale Azure-netwerkgateway	AzureStack-S2SGateway 10.100.100.0/23		Openbare IP-waarde van Azure Stack Hub
Lokale netwerkgateway van Azure Stack Hub	Azure-S2SGateway 10.100.102.0/23		Openbare IP-waarde van Azure

Een virtueel netwerk maken in wereldwijde Azure en Azure Stack Hub

Gebruik de volgende stappen om een virtueel netwerk te maken met behulp van de portal. U kunt deze voorbeeldwaarden gebruiken als u dit artikel alleen als oplossing gebruikt. Als u dit artikel gebruikt om een productieomgeving te configureren, vervangt u de voorbeeldinstellingen door uw eigen waarden.

Belangrijk

U moet ervoor zorgen dat er geen overlap is tussen IP-adressen in Azure of Azure Stack Hub vNet-adresruimten.

Een vNet maken in Azure:

1. Gebruik uw browser om verbinding te maken met de Azure Portal en meld u aan met uw Azure-account.
2. Selecteer Een resource maken. Voer in het veld Marketplace doorzoeken ' virtueel netwerk' in. Selecteer Virtueel netwerk in de resultaten.
3. Selecteer in de lijst Een implementatiemodel selecterende optie Resource Manager en selecteer vervolgens Maken.
4. Configureer in Virtueel netwerk maken de VNet-instellingen. De namen van de vereiste velden worden voorafgegaan door een rood sterretje. Wanneer u een geldige waarde invoert, verandert het sterretje in een groen vinkje.

Een vNet maken in Azure Stack Hub:

1. Herhaal de bovenstaande stappen (1-4) met behulp van de Azure Stack Hub-tenantportal.

Een gatewaysubnet toevoegen

Voordat u uw virtuele netwerk verbindt met een gateway, moet u het gatewaysubnet maken voor het virtuele netwerk waarmee u verbinding wilt maken. De gatewayservices gebruiken de IP-adressen die u opgeeft in het gatewaysubnet.

Navigeer in de Azure Portal naar het Resource Manager virtuele netwerk waar u een virtuele netwerkgateway wilt maken.

1. Selecteer het vNet om de pagina Virtueel netwerk te openen.

2. Selecteer subnetten in INSTELLINGEN.

3. Selecteer op de pagina Subnetten de optie +Gatewaysubnet om de pagina Subnet toevoegen te openen.

   

4. De naam voor het subnet wordt automatisch ingevuld met de waarde GatewaySubnet. Deze waarde is vereist voor Azure om het subnet te herkennen als het gatewaysubnet.

5. Wijzig de waarden van het adresbereik die worden opgegeven om aan uw configuratievereisten te voldoen en selecteer vervolgens OK.

Een Virtual Network-gateway maken in Azure en Azure Stack

Gebruik de volgende stappen om een virtuele netwerkgateway in Azure te maken.

1. Selecteer aan de linkerkant + van de portalpagina virtuele netwerkgateway en voer deze in het zoekveld in.

2. Selecteer in Resultatende optie Gateway van virtueel netwerk.

3. Selecteer in Gateway van virtueel netwerkde optie Maken om de pagina Gateway voor een virtueel netwerk maken te openen.

4. Geef in Virtuele netwerkgateway maken de waarden voor uw netwerkgateway op met behulp van de voorbeeldwaarden van de zelfstudie. Neem de volgende aanvullende waarden op:

   • SKU: basic
   • Virtual Network: selecteer het virtuele netwerk dat u eerder hebt gemaakt. Het gatewaysubnet dat u hebt gemaakt, wordt automatisch geselecteerd.
   • Eerste IP-configuratie: het openbare IP-adres van uw gateway.

     • Selecteer IP-configuratie voor gateway maken. Hiermee gaat u naar de pagina Openbaar IP-adres kiezen .

     • Selecteer +Nieuwe maken om de pagina Openbaar IP-adres maken te openen.

     • Voer een naam in voor uw openbare IP-adres. Laat de SKU staan op Basis en selecteer OK om uw wijzigingen op te slaan.

       Notitie

       Momenteel ondersteunt VPN Gateway alleen dynamische toewijzing van openbare IP-adressen. Dit betekent echter niet dat het IP-adres verandert nadat het is toegewezen aan uw VPN-gateway. De enige keer dat het openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het IP-adres wordt niet gewijzigd door het wijzigen van het formaat, het opnieuw instellen of andere interne onderhoud/upgrades van uw VPN-gateway.

5. Controleer de gatewayinstellingen.

6. Selecteer Maken om de VPN-gateway te maken. De gatewayinstellingen worden gevalideerd en de tegel 'Virtuele netwerkgateway implementeren' wordt weergegeven op uw dashboard.

   Notitie

   Het aanmaken van een gateway kan tot 45 minuten duren. U moet mogelijk uw portal-pagina vernieuwen om de voltooide status te kunnen zien.

   Nadat de gateway is gemaakt, kunt u het IP-adres zien dat eraan is toegewezen door te kijken naar het virtuele netwerk in de portal. De gateway wordt weergegeven als verbonden apparaat. Selecteer het apparaat voor meer informatie over de gateway.

7. Herhaal de vorige stappen (1-5) voor uw Azure Stack Hub-implementatie.

De lokale netwerkgateway maken in Azure en Azure Stack Hub

De lokale netwerkgateway verwijst doorgaans naar uw on-premises locatie. U geeft de site een naam waarnaar Azure of Azure Stack Hub kan verwijzen en geeft vervolgens het volgende op:

• Het IP-adres van het on-premises VPN-apparaat waarvoor u een verbinding maakt.

• De IP-adresvoorvoegsels die via de VPN-gateway naar het VPN-apparaat worden doorgestuurd. De adresvoorvoegsels die u opgeeft, zijn de voorvoegsels die zich in uw on-premises netwerk bevinden.

  Notitie

  Als uw on-premises netwerk verandert of als u het openbare IP-adres voor het VPN-apparaat moet wijzigen, kunt u deze waarden later bijwerken.

1. Selecteer in de portal +Een resource maken.

2. Voer in het zoekvak Lokale netwerkgateway in en selecteer vervolgens Enter om te zoeken. Er wordt een lijst met resultaten weergegeven.

3. Selecteer Lokale netwerkgateway en selecteer vervolgens Maken om de pagina Lokale netwerkgateway maken te openen.

4. Geef in Lokale netwerkgateway maken de waarden voor uw lokale netwerkgateway op met behulp van de voorbeeldwaarden van de zelfstudie. Neem de volgende aanvullende waarden op:

   • IP-adres: het openbare IP-adres van het VPN-apparaat waarmee Azure of Azure Stack Hub verbinding moet maken. Geef een geldig openbaar IP-adres op dat zich niet achter een NAT bevindt, zodat Azure het adres kan bereiken. Als u het IP-adres momenteel niet hebt, kunt u een waarde uit het voorbeeld gebruiken als tijdelijke aanduiding. U moet teruggaan en de tijdelijke aanduiding vervangen door het openbare IP-adres van uw VPN-apparaat. Azure kan pas verbinding maken met het apparaat als u een geldig adres hebt opgegeven.
   • Adresruimte: het adresbereik voor het netwerk dat dit lokale netwerk vertegenwoordigt. U kunt meerdere adresruimtebereiken toevoegen. Zorg ervoor dat de bereiken die u opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken. Azure stuurt het adresbereik dat u opgeeft, door naar het IP-adres van het on-premises VPN-apparaat. Gebruik uw eigen waarden als u verbinding wilt maken met uw on-premises site, niet een voorbeeldwaarde.
   • BGP-instellingen configureren: alleen gebruiken bij het configureren van BGP. Selecteer anders deze optie niet.
   • Abonnement: controleer of het juiste abonnement wordt weergegeven.
   • Resourcegroep: selecteer de resourcegroep die u wilt gebruiken. U kunt een nieuwe resourcegroep maken of een resourcegroep selecteren die u al hebt gemaakt.
   • Locatie: selecteer de locatie waarin dit object wordt gemaakt. U kunt dezelfde locatie selecteren als uw VNet, maar u bent niet verplicht om dit te doen.

5. Wanneer u klaar bent met het opgeven van de vereiste waarden, selecteert u Maken om de lokale netwerkgateway te maken.

6. Herhaal deze stappen (1-5) in uw Azure Stack Hub-implementatie.

Uw verbinding configureren

Voor site-naar-site-verbindingen met een on-premises netwerk is een VPN-apparaat vereist. Het VPN-apparaat dat u configureert, wordt een verbinding genoemd. Als u uw verbinding wilt configureren, hebt u het volgende nodig:

• Een gedeelde sleutel. Deze sleutel is dezelfde gedeelde sleutel die u opgeeft bij het maken van uw site-naar-site-VPN-verbinding. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel. We raden u aan een complexere sleutel te genereren.
• Het openbare IP-adres van de gateway van uw virtuele netwerk. U kunt het openbare IP-adres weergeven met behulp van Azure Portal, PowerShell of de CLI. Als u het openbare IP-adres van uw VPN-gateway wilt vinden met behulp van de Azure Portal, gaat u naar virtuele netwerkgateways en selecteert u de naam van uw gateway.

Gebruik de volgende stappen om een site-naar-site-VPN-verbinding te maken tussen uw virtuele netwerkgateway en uw on-premises VPN-apparaat.

1. Selecteer +Een resource maken in de Azure Portal.

2. Zoeken naar verbindingen.

3. Selecteer in Resultatende optie Verbindingen.

4. Selecteer bij Verbindingde optie Maken.

5. Configureer in Verbinding maken de volgende instellingen:

   • Verbindingstype: selecteer site-naar-site (IPSec).
   • Resourcegroep: selecteer uw testresourcegroep.
   • Virtual Network-gateway: selecteer de virtuele netwerkgateway die u hebt gemaakt.
   • Lokale netwerkgateway: selecteer de lokale netwerkgateway die u hebt gemaakt.
   • Verbindingsnaam: deze naam wordt automatisch ingevuld met behulp van de waarden van de twee gateways.
   • Gedeelde sleutel: deze waarde moet overeenkomen met de waarde die u gebruikt voor uw lokale on-premises VPN-apparaat. In het voorbeeld van de zelfstudie wordt 'abc123' gebruikt, maar u moet iets complexers gebruiken. Het belangrijkste is dat deze waarde dezelfde waarde moet zijn die u opgeeft bij het configureren van uw VPN-apparaat.
   • De waarden voor Abonnement, Resourcegroep en Locatie zijn vast.

6. Selecteer OK om uw verbinding te maken.

U kunt de verbinding zien op de pagina Verbindingen van de virtuele netwerkgateway. De status gaat van Onbekend naar Verbinding maken en vervolgens naar Geslaagd.

Volgende stappen

• Zie Cloudontwerppatronen voor meer informatie over Azure-cloudpatronen.