Hybride cloudconnectiviteit configureren met behulp van Azure en Azure Stack Hub

  • Artikel
  • 9 minuten om te lezen

U hebt toegang tot resources met beveiliging in Azure en Azure Stack Hub met behulp van het hybride connectiviteitspatroon.

In deze oplossing bouwt u een voorbeeldomgeving om:

  • Gegevens on-premises houden om te voldoen aan privacy- of regelgevingsvereisten, maar toegang houden tot globale Azure-resources.
  • Een verouderd systeem onderhouden tijdens het gebruik van app-implementaties en -resources op cloudschaal in Azure wereldwijd.

Tip

Diagram met hybride pijlers
Microsoft Azure Stack Hub is een uitbreiding van Azure. Azure Stack Hub brengt de flexibiliteit en innovatie van cloud-computing naar uw on-premises omgeving, waardoor u de enige hybride cloud hebt waarmee u hybride apps overal kunt bouwen en implementeren.

In het artikel Ontwerpoverwegingen voor hybride apps worden de pijlers van softwarekwaliteit (plaatsing, schaalbaarheid, beschikbaarheid, tolerantie, beheerbaarheid en beveiliging) voor het ontwerpen, implementeren en gebruiken van hybride apps beschreven. De ontwerpoverwegingen helpen bij het optimaliseren van het ontwerp van hybride apps, waardoor de uitdagingen in productieomgevingen worden geminimim hetzelfde.

Vereisten

Er zijn enkele onderdelen vereist voor het bouwen van een hybride connectiviteitsimplementatie. Sommige van deze onderdelen nemen de tijd om u voor te bereiden. Plan daarom dienovereenkomstig.

Azure

  • Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
  • Een web-app maken in Azure. Noteer de URL van de web-app omdat u deze nodig hebt in de oplossing.

Azure Stack Hub

Een OEM/hardwarepartner van Azure kan een productie-Azure Stack Hub en alle gebruikers kunnen een Azure Stack Development Kit (ASDK) implementeren.

  • Gebruik uw productie-Azure Stack Hub of implementeer de ASDK.

    Notitie

    Het implementeren van de ASDK kan tot 7 uur duren. Plan daarom dienovereenkomstig.

  • Implementeer App Service PaaS-services naar Azure Stack Hub.

  • Maak plannen en aanbiedingen in de Azure Stack Hub omgeving.

  • Maak een tenantabonnement binnen de Azure Stack Hub omgeving.

Azure Stack Hub onderdelen

Een Azure Stack Hub-operator moet de App Service implementeren, plannen en aanbiedingen maken, een tenantabonnement maken en de Windows Server 2016 toevoegen. Als u deze onderdelen al hebt, zorg er dan voor dat ze voldoen aan de vereisten voordat u met deze oplossing begint.

In dit voorbeeld van een oplossing wordt ervan uitgenomen dat u enige basiskennis hebt van Azure en Azure Stack Hub. Lees de volgende artikelen voor meer informatie voordat u de oplossing start:

Voordat u begint

Controleer of u aan de volgende criteria voldoet voordat u begint met het configureren van hybride cloudconnectiviteit:

  • U hebt een extern gericht openbaar IPv4-adres nodig voor uw VPN-apparaat. Dit IP-adres kan zich niet achter een NAT (Network Address Translation) bevinden.
  • Alle resources worden geïmplementeerd in dezelfde regio/locatie.

Voorbeeldwaarden van de oplossing

In de voorbeelden in deze oplossing worden de volgende waarden gebruikt. U kunt deze waarden gebruiken om een testomgeving te maken of ze te gebruiken voor een beter begrip van de voorbeelden. Zie About VPN Gateway Instellingen (Informatie over vpn-gatewayinstellingen) voor VPN Gateway Instellingen.

Verbindingsspecificaties:

  • VPN-type: op route gebaseerd
  • Verbindingstype: site-naar-site (IPsec)
  • Gatewaytype: VPN
  • Azure-verbindingsnaam: Azure-Gateway-AzureStack-S2SGateway (deze waarde wordt automatisch ingevuld in de portal)
  • Azure Stack Hub verbindingsnaam: AzureStack-Gateway-Azure-S2SGateway (deze waarde wordt automatisch ingevuld in de portal)
  • Gedeelde sleutel: alle sleutels die compatibel zijn met VPN-hardware, met overeenkomende waarden aan beide zijden van de verbinding
  • Abonnement: elk voorkeursabonnement
  • Resourcegroep: Test-Infra

NETWERK- en subnet-IP-adressen:

Azure-/Azure Stack Hub verbinding Name Subnet IP-adres
Azure vNet ApplicationvNet
10.100.102.9/23		 ApplicationSubnet
10.100.102.0/24
GatewaySubnet
10.100.103.0/24
Azure Stack Hub vNet ApplicationvNet
10.100.100.0/23		 ApplicationSubnet
10.100.100.0/24
GatewaySubnet
10.100101.0/24
Azure Virtual Network Gateway Azure-Gateway
Azure Stack Hub Virtual Network-gateway AzureStack-Gateway
Openbaar Azure-IP Azure-GatewayPublicIP Bepaald tijdens het maken
Azure Stack Hub openbare IP-adres AzureStack-GatewayPublicIP Bepaald tijdens het maken
Lokale Azure-netwerkgateway AzureStack-S2SGateway
10.100.100.0/23		 Azure Stack Hub openbare IP-waarde
Azure Stack Hub lokale netwerkgateway Azure-S2SGateway
10.100.102.0/23		 Azure Public IP Value

Een virtueel netwerk maken in Azure en Azure Stack Hub

Gebruik de volgende stappen om een virtueel netwerk te maken met behulp van de portal. U kunt deze voorbeeldwaarden gebruiken als u dit artikel als enige oplossing gebruikt. Als u dit artikel gebruikt om een productieomgeving te configureren, vervangt u de voorbeeldinstellingen door uw eigen waarden.

Belangrijk

U moet ervoor zorgen dat er geen overlap is van IP-adressen in Azure of Azure Stack Hub vNet-adresruimten.

Een vNet maken in Azure:

  1. Gebruik uw browser om verbinding te maken met de Azure Portal en meld u aan met uw Azure-account.
  2. Selecteer Een resource maken. Voer in het veld Marketplace doorzoeken 'virtueel netwerk' in. Selecteer Virtueel netwerk in de resultaten.
  3. Selecteer in de lijst Een implementatiemodel selecteren de Resource Manager en selecteer vervolgens Maken.
  4. Configureer in Virtueel netwerk maken de VNet-instellingen. De vereiste veldennamen worden vooraf laten gaan door een rood sterretje. Wanneer u een geldige waarde in typt, verandert het sterretje in een groen vinkje.

Een vNet maken in Azure Stack Hub:

  1. Herhaal de bovenstaande stappen (1-4) met behulp van Azure Stack Hub tenantportal.

Een gatewaysubnet toevoegen

Voordat u uw virtuele netwerk verbindt met een gateway, moet u het gatewaysubnet maken voor het virtuele netwerk dat u wilt verbinden. De gatewayservices gebruiken de IP-adressen die u opgeeft in het gatewaysubnet.

Navigeer Azure Portalin de Resource Manager het virtuele netwerk waar u een virtuele netwerkgateway wilt maken.

  1. Selecteer het vNet om de pagina Virtueel netwerk te openen.

  2. Selecteer subnetten in INSTELLINGEN.

  3. Selecteer op de pagina Subnetten de optie +Gatewaysubnet om de pagina Subnet toevoegen te openen.

    Gatewaysubnet toevoegen

  4. De naam voor het subnet wordt automatisch ingevuld met de waarde GatewaySubnet. Deze waarde is vereist voor Azure om het subnet te herkennen als het gatewaysubnet.

  5. Wijzig de opgegeven adresbereikwaarden zodat deze overeenkomen met uw configuratievereisten en selecteer vervolgens OK.

Een Virtual Network-gateway maken in Azure en Azure Stack

Gebruik de volgende stappen om een virtuele netwerkgateway te maken in Azure.

  1. Selecteer aan de linkerkant van de portalpagina de optie virtuele netwerkgateway en voer + deze in het zoekveld in.

  2. Selecteer in Resultaten de optie Virtuele netwerkgateway.

  3. Selecteer in Virtuele netwerkgateway de optie Maken om de pagina Virtuele netwerkgateway maken te openen.

  4. Geef in Virtuele netwerkgateway maken de waarden voor uw netwerkgateway op met behulp van de voorbeeldwaarden van de zelfstudie. Voeg de volgende aanvullende waarden toe:

    • SKU: basic
    • Virtual Network: selecteer het virtuele netwerk dat u eerder hebt gemaakt. Het gatewaysubnet dat u hebt gemaakt, wordt automatisch geselecteerd.
    • Eerste IP-configuratie: het openbare IP-adres van uw gateway.

      • Selecteer IP-configuratie voor gateway maken, waarmee u naar de pagina Openbaar IP-adres kiezen gaat.

      • Selecteer +Nieuwe maken om de pagina Openbaar IP-adres maken te openen.

      • Voer een Naam in voor uw openbare IP-adres. Laat de SKU op Basic en selecteer OK om uw wijzigingen op te slaan.

        Notitie

        Momenteel ondersteunt VPN Gateway alleen dynamische toewijzing van openbare IP-adressen. Dit betekent echter niet dat het IP-adres verandert nadat het is toegewezen aan uw VPN-gateway. De enige keer dat het openbare IP-adres verandert, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Wijzig het IP-adres niet als u de formaat, het opnieuw instellen of andere interne onderhoud/upgrades voor uw VPN-gateway wijzigt.

  5. Controleer de gatewayinstellingen.

  6. Selecteer Maken om de VPN-gateway te maken. De gatewayinstellingen worden gevalideerd en de tegel Virtuele netwerkgateway implementeren wordt weergegeven op uw dashboard.

    Notitie

    Het aanmaken van een gateway kan tot 45 minuten duren. U moet mogelijk uw portal-pagina vernieuwen om de voltooide status te kunnen zien.

    Nadat de gateway is gemaakt, kunt u het IP-adres zien dat aan de gateway is toegewezen door te kijken naar het virtuele netwerk in de portal. De gateway wordt weergegeven als verbonden apparaat. Selecteer het apparaat voor meer informatie over de gateway.

  7. Herhaal de vorige stappen (1-5) voor uw Azure Stack Hub implementatie.

De lokale netwerkgateway maken in Azure en Azure Stack Hub

De lokale netwerkgateway verwijst doorgaans naar uw on-premises locatie. U geeft de site een naam die azure of Azure Stack Hub kan verwijzen en geeft vervolgens het volgende op:

  • Het IP-adres van het on-premises VPN-apparaat waar u een verbinding voor maakt.

  • De IP-adres voorvoegsels die via de VPN-gateway naar het VPN-apparaat worden gerouteerd. De adresvoorvoegsels die u opgeeft, zijn de voorvoegsels die zich in uw on-premises netwerk bevinden.

    Notitie

    Als uw on-premises netwerk wordt gewijzigd of als u het openbare IP-adres voor het VPN-apparaat moet wijzigen, kunt u deze waarden later bijwerken.

  1. Selecteer in de portal +Een resource maken.

  2. Voer in het zoekvak Lokale netwerkgateway in en selecteer vervolgens Enter om te zoeken. Er wordt een lijst met resultaten weergegeven.

  3. Selecteer Lokale netwerkgateway en selecteer vervolgens Maken om de pagina Lokale netwerkgateway maken te openen.

  4. Geef in Lokale netwerkgateway maken de waarden voor uw lokale netwerkgateway op met behulp van de voorbeeldwaarden van de zelfstudie. Voeg de volgende aanvullende waarden toe:

    • IP-adres: het openbare IP-adres van het VPN-apparaat Azure Stack Hub azure-apparaat verbinding moet maken. Geef een geldig openbaar IP-adres op dat zich niet achter een NAT- zodat Azure het adres kan bereiken. Als u het IP-adres op dit moment niet hebt, kunt u een waarde uit het voorbeeld gebruiken als tijdelijke aanduiding. U moet teruggaan en de tijdelijke aanduiding vervangen door het openbare IP-adres van uw VPN-apparaat. Azure kan pas verbinding maken met het apparaat als u een geldig adres hebt verstrekt.
    • Adresruimte: het adresbereik voor het netwerk dat dit lokale netwerk vertegenwoordigt. U kunt meerdere adresruimtebereiken toevoegen. Zorg ervoor dat de door u opgegeven bereik niet overlapt met de andere netwerken die u wilt verbinden. Azure stuurt het adresbereik dat u opgeeft, door naar het IP-adres van het on-premises VPN-apparaat. Gebruik uw eigen waarden als u verbinding wilt maken met uw on-premises site, niet met een voorbeeldwaarde.
    • BGP-instellingen configureren: gebruik deze alleen bij het configureren van BGP. Anders selecteert u deze optie niet.
    • Abonnement: controleer of het juiste abonnement wordt weergegeven.
    • Resourcegroep: selecteer de resourcegroep die u wilt gebruiken. U kunt een nieuwe resourcegroep maken of een resourcegroep selecteren die u al hebt gemaakt.
    • Locatie: selecteer de locatie waarin dit object wordt gemaakt. Mogelijk wilt u dezelfde locatie selecteren waarin uw VNet zich bevindt, maar dit hoeft u niet te doen.

  5. Wanneer u klaar bent met het opgeven van de vereiste waarden, selecteert u Maken om de lokale netwerkgateway te maken.

  6. Herhaal deze stappen (1-5) op uw Azure Stack Hub implementatie.

Uw verbinding configureren

Voor site-naar-site-verbindingen met een on-premises netwerk is een VPN-apparaat vereist. Het VPN-apparaat dat u configureert, wordt een verbinding genoemd. Als u de verbinding wilt configureren, hebt u het volgende nodig:

  • Een gedeelde sleutel. Deze sleutel is dezelfde gedeelde sleutel die u opgeeft bij het maken van uw site-naar-site-VPN-verbinding. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel. We raden u aan een complexere sleutel te genereren.
  • Het openbare IP-adres van uw virtuele netwerkgateway. U kunt het openbare IP-adres weergeven met behulp van Azure Portal, PowerShell of de CLI. Als u het openbare IP-adres van uw VPN-gateway wilt vinden met behulp van de Azure Portal, gaat u naar gateways voor virtuele netwerken en selecteert u vervolgens de naam van uw gateway.

Gebruik de volgende stappen om een site-naar-site-VPN-verbinding te maken tussen uw virtuele netwerkgateway en uw on-premises VPN-apparaat.

  1. Selecteer in Azure Portal de optie +Een resource maken.

  2. Zoek naar verbindingen.

  3. Selecteer verbindingen in Resultaten.

  4. Selecteer bij Verbinding de optie Maken.

  5. Configureer in Verbinding maken de volgende instellingen:

    • Verbindingstype: selecteer site-naar-site (IPSec).
    • Resourcegroep: selecteer uw testresourcegroep.
    • Virtual Network Gateway: selecteer de virtuele netwerkgateway die u hebt gemaakt.
    • Lokale netwerkgateway: selecteer de lokale netwerkgateway die u hebt gemaakt.
    • Verbindingsnaam: deze naam wordt automatisch gebruikt met behulp van de waarden van de twee gateways.
    • Gedeelde sleutel: deze waarde moet overeenkomen met de waarde die u gebruikt voor uw lokale on-premises VPN-apparaat. In het voorbeeld van de zelfstudie wordt abc123 gebruikt, maar u moet iets ingewikkelders gebruiken. Het belangrijkste is dat deze waarde dezelfde waarde moet zijn die u opgeeft bij het configureren van uw VPN-apparaat.
    • De waarden voor Abonnement, Resourcegroep en Locatie zijn vast.

  6. Selecteer OK om uw verbinding te maken.

U kunt de verbinding bekijken op de pagina Verbindingen van de virtuele netwerkgateway. De status gaat van Onbekend naar Verbinding maken en vervolgens van Geslaagd.

Volgende stappen