Centrum Azure Stack wzmocnione wprowadzenie do sieciAzure Stack Hub ruggedized network introduction

Projektowanie sieci — OmówienieNetwork design overview

Projekt sieci fizycznejPhysical Network design

Wzmocnione rozwiązanie Azure Stack Hub wymaga elastycznej i wysoce dostępnej infrastruktury fizycznej do obsługi jej operacji i usług.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. Linki z przełączników ToR do granicy są ograniczone do nośników SFP + i SFP28 oraz 1 GB, 10 GB lub 25 GB.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. Skontaktuj się z producentem sprzętu OEM, aby uzyskać dostęp.Check with your original equipment manufacturer (OEM) hardware vendor for availability.

Na poniższym diagramie przedstawiono zalecany projekt dla wzmocnionego centrum Azure Stack.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Sieć fizyczna w Azure Stack Hub

Projektowanie sieci logicznejLogical network design

Projekt sieci logicznej reprezentuje abstrakcję infrastruktury sieci fizycznej.A logical network design represents an abstraction of a physical network infrastructure. Są one używane do organizowania i uproszczenia przypisań sieciowych dla hostów, maszyn wirtualnych i usług.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. W ramach tworzenia sieci logicznej lokacje sieciowe są tworzone w celu zdefiniowania:As part of logical network creation, network sites are created to define the:

  • wirtualne sieci lokalne (VLAN)virtual local area networks (VLANs)
  • Podsieci IPIP subnets
  • Pary podsieci IP/sieci VLANIP subnet/VLAN pairs

Wszystkie z nich są skojarzone z siecią logiczną w każdej lokalizacji fizycznej.All of which are associated with the logical network in each physical location.

W poniższej tabeli przedstawiono sieci logiczne i skojarzone zakresy podsieci IPv4, dla których należy zaplanować:The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Sieć logicznaLogical Network OpisDescription RozmiarSize
Publiczny wirtualny adres IP (VIP)Public Virtual IP (VIP) Odporność na Azure Stack Hub używa łącznie 31 adresów z tej sieci.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Osiem publicznych adresów IP służy do niewielkiego zestawu wzmocnionych usług Azure Stack Hub, a pozostałe są używane przez maszyny wirtualne dzierżawcy.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Jeśli planujesz używać App Service i dostawców zasobów SQL, zostaną użyte 7 więcej adresów.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. Pozostałe 15 adresów IP są zarezerwowane dla przyszłych usług platformy Azure.The remaining 15 IPs are reserved for future Azure services. /26 (62 hostów) —/26 (62 hosts)-
/22 (1022 hostów)/22 (1022 hosts)

Zalecane =/24 (254 hostów)Recommended = /24 (254 hosts)
Przełącz infrastrukturęSwitch infrastructure Adresy IP punkt-punkt na potrzeby routingu, dedykowane interfejsy zarządzania przełącznikami i adresy sprzężenia zwrotnego przypisane do przełącznika.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
InfrastrukturaInfrastructure Używany do komunikowania się z usługą Azure Stack Hub.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
PrywatnyPrivate Używany w przypadku sieci magazynu, prywatnych adresów VIP, kontenerów infrastruktury i innych funkcji wewnętrznych.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Kontroler zarządzania płytą główną (BMC)Baseboard Management Controller (BMC) Używany do komunikowania się z kontrolerami zarządzania płytą główną na hostach fizycznych.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

Infrastruktura sieciNetwork Infrastructure

Infrastruktura sieci na potrzeby wzmocnionego centrum Azure Stack obejmuje kilka sieci logicznych skonfigurowanych na przełącznikach.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. Na poniższym diagramie przedstawiono te sieci logiczne oraz sposób ich integracji z przełącznikami (TOR), kontrolerem zarządzania płytą główną i granicami (sieciami klienta).The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Diagram sieci logicznej ze wzmocnionymi centrami Azure Stack:Azure Stack Hub ruggedized logical network diagram:

Sieć logiczna z wytrzymałą Azure Stack Hub

Sieć BMCBMC network

Ta sieć jest przeznaczona do łączenia wszystkich kontrolerów zarządzania płytą główną (nazywanych również kontrolerami BMC lub procesorami usług) z siecią zarządzania.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Przykłady obejmują: iDRAC, MOP, iBMC i tak dalej.Examples include: iDRAC, iLO, iBMC, and so on. Do komunikacji z dowolnym węzłem BMC służy tylko jedno konto BMC.Only one BMC account is used to communicate with any BMC node. Jeśli jest obecny, Host cyklu życia sprzętu (HLH) znajduje się w tej sieci i może zapewnić specyficzne dla producenta OEM oprogramowanie do obsługi sprzętu lub monitorowania.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

HLH również hostuje maszynę wirtualną wdrożenia (DVM).The HLH also hosts the Deployment VM (DVM). DVM jest używany podczas wdrażania wzmocnionego centrum Azure Stack Hub i zostaje usunięty po zakończeniu wdrażania.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. DVM wymaga dostępu do Internetu w połączonych scenariuszach wdrażania, aby przetestować, zweryfikować i uzyskać dostęp do wielu składników.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Te składniki mogą znajdować się wewnątrz sieci firmowej i poza nią (na przykład: NTP, DNS i Azure).These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). Więcej informacji o wymaganiach dotyczących łączności znajduje się w sekcji translator adresów sieciowych w temacie Azure Stack integracja z integracją zapory.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

Sieć prywatnaPrivate network

Sieć/20 (adresy IP hosta 4096) jest prywatna dla obszaru podpornego na Azure Stack centrum.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Nie jest on rozszerzany poza urządzeniami przełącznika obramowania w regionie Azure Stack w centrum.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Ta sieć jest podzielona na wiele podsieci, na przykład:This network is divided into multiple subnets, for example:

  • Sieć magazynowania: sieć/25 (128 adresów IP) służąca do obsługi ruchu usługi bezpośrednie miejsca do magazynowania i usługi blok komunikatów serwera (SMB) oraz migracji na żywo maszyn wirtualnych.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Wewnętrzna wirtualna sieć IP: sieć/25 przeznaczona wyłącznie do wewnętrznego adresu VIP dla usługi równoważenia obciążenia.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Sieć kontenerów: sieć z/23 (512 adresów IP) przeznaczona tylko do ruchu wewnętrznego między kontenerami z usługami infrastrukturyContainer network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

Rozmiar sieci prywatnej to/20 (4096 adresów IP) prywatnych przestrzeni adresowych.The size for the Private Network is /20 (4096 IPs) of private IP space. Ta sieć jest prywatna dla systemu z systemem Azure Stack Hub.This network is private to the Azure Stack Hub ruggedized system. Nie jest on kierowany poza urządzenia przełączników w systemie, w którym jest wzmocniony system Azure Stack Hub, i może być ponownie używany w wielu systemach Azure Stack Hub.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Sieć jest prywatna do Azure Stack Hub, ale nie może nakładać się na inne sieci w centrum danych.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. Aby uzyskać wskazówki dotyczące prywatnego obszaru adresów IP, zalecamy wykonanie specyfikacji RFC 1918.For guidance on Private IP space, we recommend following the RFC 1918.

Prywatne miejsce IP/20 jest podzielone na wiele sieci, co pozwala na uruchamianie wzmocnionej infrastruktury systemu Azure Stack Hub w kontenerach w przyszłych wersjach.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. Aby uzyskać szczegółowe informacje, zapoznaj się z informacjami o wersji 1910.Refer to the 1910 release notes for details. Ta nowa prywatna przestrzeń adresów IP umożliwia ciągłe podejmowanie działań w celu zredukowania wymaganej przestrzeni adresowej IP przed wdrożeniem.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Sieć infrastruktury Azure Stack HubAzure Stack Hub ruggedized infrastructure network

Sieć/24 jest przeznaczona do wewnętrznych składników centrów Azure Stack Hub, aby komunikować i wymieniać dane między sobą.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Ta podsieć może być w zewnętrznym zakresie routingiem z rozwiązania Azure Stack Hub do centrum danych.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. Nie zaleca się używania publicznych lub internetowych adresów IP w tej podsieci.We don't recommend using Public or Internet routable IP addresses on this subnet. Ta sieć jest anonsowana dla granicy, ale większość jej adresów IP jest chronionych przez listy Access Control (ACL).This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). Adresy IP dozwolone dla dostępu znajdują się w niewielkim zakresie, czyli równoważnej sieci.The IPs allowed for access are within a small range, equivalent in size to a /27 network. Usługi hosta adresów IP, takie jak PEP (Privileged End Point) i Azure Stack.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Sieć publicznych adresów VIPPublic VIP network

Sieć publicznych adresów VIP jest przypisana do kontrolera sieci w programie Azure Stack Hub.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. To nie jest sieć logiczna w przełączniku.It's not a logical network on the switch. Program korzysta z puli adresów i przypisuje/32 sieci do obciążeń dzierżawców.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. W tabeli routingu przełączników te/32 adresy IP są anonsowane jako dostępna trasa za pośrednictwem Border Gateway Protocol (BGP).On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Ta sieć zawiera adresy publiczne, które są dostępne z zewnątrz.This network contains public addresses that are externally accessible. Infrastruktura wzmocniona Azure Stack Hub rezerwuje pierwsze 31 adresów z tej publicznej sieci VIP, podczas gdy pozostała część jest używana przez maszyny wirtualne dzierżawcy.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. Rozmiar sieci w tej podsieci może być z zakresu od minimum do 26 (64 hostów) do maksymalnie 22 (1022 hostów).The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). Zalecamy zaplanowanie sieci na/24.We recommend you plan for a /24 network.

Przełącz sieć infrastrukturySwitch infrastructure network

Sieć/26 jest podsiecią zawierającą protokół IP/30 z obsługą routingu (dwie podsieci hosta) i sprzężenia zwrotne.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Są to dedykowane podsieci/32 dla zarządzania przełącznikami w paśmie i IDENTYFIKATORem routera BGP.These are dedicated /32 subnets for in-band switch management and BGP router ID. Ten zakres adresów IP musi obsłużyć Routing na zewnątrz rozwiązania Azure Stack Hub do centrum danych.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. Adresy IP mogą być prywatne lub publiczne.The IP addresses may be private or public.

Przełącz sieć zarządzaniaSwitch management network

Sieć/29 (sześć adresów IP hosta) jest przeznaczona do łączenia portów zarządzania przełączników.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Ta sieć umożliwia dostęp poza pasmem do wdrażania, zarządzania i rozwiązywania problemów.This network allows out-of-band access for deployment, management, and troubleshooting. Jest on obliczany na podstawie wyżej wymienionej sieci infrastruktury przełącznika.It's calculated from the switch infrastructure network mentioned above.

Przegląd projektowania DNSDNS design overview

Aby uzyskać dostęp do wzmocnionych punktów końcowych Azure Stack Hub (Portal, adminportal, adminmanagement) z zewnątrz systemu Azure Stack, należy Azure Stack zintegrować usługi systemu DNS z systemem, które są HOSTOWANe przez serwery DNS obsługujące strefy DNS, które mają być używane Azure Stack w Hub.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Przestrzeń nazw "Azure Stack" w usłudze HubAzure Stack Hub ruggedized DNS namespace

W przypadku wdrażania programu Azure Stack Hub wymagane jest podanie pewnych ważnych informacji dotyczących systemu DNS.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

PoleField OpisDescription PrzykładExample
Region (Region)Region Lokalizacja geograficzna z rozciągającym się wdrożeniem centrum Azure Stack.The geographic location of your Azure Stack Hub ruggedized deployment. wschódeast
Nazwa domeny zewnętrznejExternal Domain Name Nazwa strefy, która ma być używana dla wdrożenia z centrum Azure Stack.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Wewnętrzna nazwa domenyInternal Domain Name Nazwa strefy wewnętrznej, która jest używana na potrzeby usług infrastruktury w programie Azure Stack Hub.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. Jest ona zintegrowana z usługą katalogową i jest prywatna (nieosiągalna z zewnątrz wdrożenia Azure Stack Hub).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. Localazurestack.local
Usługi przesyłania dalej DNSDNS Forwarders Serwery DNS, które są używane do przesyłania dalej zapytań DNS, stref DNS i rekordów hostowanych poza usługą Azure Stack Hub, w intranecie lub publicznym Internecie.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. Wartość usługi przesyłania dalej DNS można edytować za pomocą polecenia cmdlet Set-AzSDnsForwarder po wdrożeniu.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Prefiks nazewnictwa (opcjonalnie)Naming Prefix (Optional) Prefiks nazewnictwa, dla którego ma zostać wykorzystana nazwa wystąpienia roli infrastruktury przez centrum Azure Stack.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Jeśli nie zostanie podany, wartością domyślną jest "AZS".If not provided, the default is "azs". azsazs

W pełni kwalifikowana nazwa domeny (FQDN), z którym jest złożone wdrożenie i punkty końcowe Azure Stack centrum, jest kombinacją parametru region i zewnętrznego parametru nazwy domeny.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Korzystając z wartości z przykładów z powyższej tabeli, nazwa FQDN dla tego Azure Stackego wdrożenia z East.Cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

W związku z tym przykłady niektórych punktów końcowych dla tego wdrożenia będą wyglądać podobnie do następujących adresów URL:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Aby użyć tego przykładowej przestrzeni nazw DNS dla wdrożenia z systemem Azure Stack Hub, wymagane są następujące warunki:To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • Strefa fabrikam.com jest zarejestrowana z rejestratorem domeny, wewnętrznym serwerem DNS firmy lub obu.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. Rejestracja zależy od wymagań dotyczących rozpoznawania nazw.Registration depends on your name resolution requirements.
  • Domena podrzędna cloud.fabrikam.com istnieje pod strefą fabrikam.com.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • Serwery DNS obsługujące strefy fabrikam.com i cloud.fabrikam.com można uzyskać od wdrożenia z systemem Azure Stack Hub.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Aby rozpoznać nazwy DNS dla Azure Stack centrów i wystąpień z nieznanego centrum Azure Stack, należy zintegrować serwery DNS.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. W tym serwery obsługujące zewnętrzną strefę DNS dla programu Azure Stack Hub z serwerami DNS, które obsługują strefę nadrzędną, której chcesz użyć.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

Etykiety nazw DNSDNS name labels

Wzmocniony centrum Azure Stack umożliwia dodanie etykiety nazwy DNS do publicznego adresu IP w celu umożliwienia rozpoznawania nazw dla publicznych adresów IP.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. Etykiety DNS są wygodnym sposobem uzyskiwania dostępu do aplikacji i usług hostowanych w Azure Stack Hub przez nazwę.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. Etykieta nazwy DNS używa nieco innej przestrzeni nazw niż punkty końcowe infrastruktury.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Zgodnie z poprzednią przykładową przestrzenią nazw dla etykiet nazw DNS można: * . East.cloudapp.Cloud.fabrikam.com.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Jeśli Dzierżawa określa wartość MojaApl w polu Nazwa DNS zasobu publicznego adresu IP, tworzy rekord a dla mojaapl w strefie East.cloudapp.Cloud.fabrikam.com na serwerze z niezależnym serwerem DNS w centrum Azure Stack.If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. W pełni kwalifikowana nazwa domeny powinna być: MyApp.East.cloudapp.Cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Jeśli chcesz korzystać z tej funkcji i używać tej przestrzeni nazw, musisz zintegrować serwery DNS.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. W tym serwery obsługujące zewnętrzną strefę DNS dla wzmocnionego centrum Azure Stack i serwery DNS, które obsługują strefę nadrzędną, której chcesz użyć.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Ta przestrzeń nazw jest inna niż używana dla punktów końcowych usługi Azure Stack Hub, dlatego należy utworzyć dodatkową delegację lub regułę przekazywania warunkowego.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

Aby uzyskać więcej informacji o tym, jak działa etykieta nazwy DNS, zobacz "Używanie systemu DNS" w Azure Stack centrum.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Rozpoznawanie i delegowanieResolution and delegation

Istnieją dwa typy serwerów DNS:There are two types of DNS servers:

  • Autorytatywny serwer DNS hostuje strefy DNS.An authoritative DNS server hosts DNS zones. Odpowiada na zapytania DNS dotyczące rekordów tylko w tych strefach.It answers DNS queries for records in those zones only.
  • Rekursywny serwer DNS nie obsługuje stref DNS.A recursive DNS server doesn't host DNS zones. Odpowiada na zapytania DNS, wywołując autorytatywne serwery DNS w celu zebrania danych, których potrzebuje.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

Wzmocniony centrum Azure Stack obejmuje zarówno autorytatywne, jak i rekursywny serwer DNS.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. Serwery cykliczne służą do rozpoznawania nazw wszystkich elementów oprócz wewnętrznej strefy prywatnej i zewnętrznej publicznej strefy DNS na potrzeby wdrożenia z systemem Azure Stack Hub.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Rozpoznawanie zewnętrznych nazw DNS z programu Azure Stack HubResolving external DNS names from Azure Stack Hub ruggedized

Aby rozpoznawać nazwy DNS dla punktów końcowych poza wzmocnionym centrum Azure Stack (na przykład: www.bing.com), należy zapewnić serwerom DNS dla Azure Stack Hub wzmocnione żądania DNS, dla których wzmocnione centrum Azure Stack nie jest autorytatywne.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. Serwery DNS, do których odporne są żądania przesyłania dalej do programu Azure Stack, są wymagane w arkuszu wdrożenia (w polu usługi przesyłania dalej DNS).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). Podaj co najmniej dwa serwery w tym polu pod kątem odporności na uszkodzenia.Provide at least two servers in this field for fault tolerance. Bez tych wartości, Azure Stack wdrożenie nie powiedzie się.Without these values, Azure Stack Hub ruggedized deployment fails. Wartości usługi przesyłania dalej DNS można edytować za pomocą polecenia cmdlet Set-AzSDnsForwarder po wdrożeniu.You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

Omówienie projektowania zaporyFirewall design overview

Zaleca się użycie urządzenia zapory, aby pomóc w zabezpieczeniu centrum Azure Stack.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. Zapory mogą pomóc w obrony przed takimi atakami, jak rozproszone ataki typu "odmowa usługi" (DDOS), wykrywanie wtargnięcia i inspekcja zawartości.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Mogą być jednak również wąskie gardła przepływności dla usług Azure Storage, takich jak obiekty blob, tabele i kolejki.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Jeśli używany jest tryb rozłączenia wdrożenia, należy opublikować punkt końcowy AD FS.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Aby uzyskać więcej informacji, zobacz artykuł dotyczący tożsamości centrum danych.For more information, see the datacenter integration identity article.

Punkty końcowe Azure Resource Manager (Administrator), Portal administratora i Key Vault (Administrator) nie wymagają konieczności publikowania zewnętrznego.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Na przykład jako usługodawca można ograniczyć podatność na ataki przez administrację Azure Stack Hub, które zostały wzmocnione z wnętrza sieci, a nie z Internetu.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

W przypadku organizacji przedsiębiorstwa zewnętrzna sieć może być istniejącą siecią firmową.For enterprise organizations, the external network can be the existing corporate network. W tym scenariuszu należy opublikować punkty końcowe do działania centrum Azure Stack z sieci firmowej.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

Translator adresów sieciowychNetwork Address Translation

Jest to zalecana metoda translacji adresów sieciowych (NAT), aby umożliwić maszynie wirtualnej wdrożenia (DVM) dostęp do zasobów zewnętrznych podczas wdrażania.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. Także dla maszyn wirtualnych (ERCS) z konsolą odzyskiwania awaryjnego (PEP) podczas rejestracji i rozwiązywania problemów.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

Translator adresów sieciowych może również stanowić alternatywę dla publicznych adresów IP w sieci zewnętrznej lub publicznych adresach VIP.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Nie jest to jednak zalecane, ponieważ ogranicza środowisko użytkownika dzierżawy i zwiększa złożoność.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Jedną z opcji jest jeden do jednego translatora adresów sieciowych, który nadal wymaga jednego publicznego adresu IP na adres IP użytkownika w puli.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Kolejną opcją jest wiele do jednego translatora adresów sieciowych, który wymaga reguły NAT dla każdego adresu VIP dla każdego z portów, które mogą być używane przez użytkownika.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Niektóre downsides korzystania z translatora adresów sieciowych dla publicznego adresu VIP są następujące:Some of the downsides of using NAT for Public VIP are:

  • Narzuty za zarządzanie regułami zapory, ponieważ użytkownicy kontrolują własne punkty końcowe i publikują reguły w stosie zdefiniowanym przez oprogramowanie sieci (SDN).Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. Aby można było opublikować wirtualne adresy IP i zaktualizować listę portów, użytkownicy muszą skontaktować się z pomocą techniczną operatora Azure Stack Hub.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • Podczas gdy użycie NAT ogranicza środowisko użytkownika, zapewnia pełną kontrolę nad żądaniami publikacji.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • W przypadku scenariuszy chmury hybrydowej z platformą Azure należy rozważyć, że platforma Azure nie obsługuje konfigurowania tunelu sieci VPN do punktu końcowego przy użyciu translatora adresów sieciowych.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

Przechwycenie protokołu SSLSSL interception

Obecnie zaleca się wyłączenie dowolnego przechwycenia protokołu SSL (na przykład odciążania odszyfrowywania) we wszystkich systemach Azure Stack.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Jeśli jest ona obsługiwana w przyszłych aktualizacjach, zostaną podane wskazówki dotyczące sposobu włączania przechwycenia protokołu SSL dla wzmocnionego centrum Azure Stack.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Scenariusz zapory wdrożenia EdgeEdge deployment firewall scenario

W przypadku wdrożenia brzegowego wzmocnione centrum Azure Stack jest wdrażane bezpośrednio za routerem brzegowym lub zaporą.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. W tych scenariuszach jest obsługiwana w przypadku, gdy Zapora znajduje się powyżej obramowania (scenariusz 1), gdzie obsługuje konfiguracje zapory aktywne-aktywne i aktywne-pasywne.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. Może również działać jako urządzenie obramowania (scenariusz 2), które obsługuje tylko konfigurację zapory Active-Active.It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. Scenariusz 2 opiera się na ECMP z protokołem BGP lub trasą statyczną dla trybu failover.Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Publiczne adresy IP routingu są określone dla puli publicznych adresów VIP z sieci zewnętrznej w czasie wdrażania.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. Ze względów bezpieczeństwa publiczne Routing adresów IP nie jest zalecane w żadnej innej sieci w scenariuszu granicznym.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Ten scenariusz umożliwia użytkownikowi korzystanie z pełnego, samokontrolowanego środowiska chmury tak jak w przypadku chmury publicznej, takiej jak platforma Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Scenariusz zapory z odpornością na Azure Stack Hub

Scenariusz zapory intranetowej przedsiębiorstwa lub sieci obwodowejEnterprise intranet or perimeter network firewall scenario

W przypadku przedsiębiorstwa intranetowego lub wdrożenia obwodowego Program Azure Stack wzmocniony Hub jest wdrażany w zaporze wielostrefowej lub między zaporą brzegową i wewnętrzną zaporą sieci firmowej.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Ruch jest następnie dystrybuowany między bezpieczną, sieci obwodowej (strefą DMZ) i niezabezpieczonymi strefami, zgodnie z poniższym opisem:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Bezpieczna strefa: Sieć wewnętrzna, która używa wewnętrznych lub korporacyjnych adresów IP z obsługą routingu.Secure zone: The internal network that uses internal or corporate routable IP addresses. Bezpieczna sieć może być podzielona.The secure network can be divided. Może mieć dostęp do Internetu za pomocą translatora adresów sieciowych zapory.It can have Internet outbound access through the Firewall NAT. Jest ona zwykle dostępna z wnętrza centrum danych za pośrednictwem sieci wewnętrznej.It's normally accessible from inside your datacenter via the internal network. Wszystkie sieci wzmocnione w centrum Azure Stack powinny znajdować się w bezpiecznej strefie, z wyjątkiem puli publicznych adresów VIP sieci zewnętrznej.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • Strefa obwodowa.Perimeter zone. Sieć obwodowa to miejsce, w którym są zwykle wdrażane aplikacje zewnętrzne lub internetowe, takie jak serwery sieci Web.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Zwykle jest monitorowane przez zaporę, aby uniknąć ataków, takich jak DDoS i wtargnięcie (działanie hakerskie), a jednocześnie zezwalać na określony ruch przychodzący z Internetu.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. W strefie DMZ powinna znajdować się tylko Pula publicznych adresów VIP sieci zewnętrznej z Azure Stack Hub.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Niezabezpieczona strefa.Unsecure zone. Sieć zewnętrzna, Internet.The external network, the Internet. Nie zaleca się wdrażania centrum Azure Stack w niezabezpieczonym obszarze.Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Scenariusz zapory sieci obwodowej

Projektowanie sieci VPN — OmówienieVPN design overview

Mimo że sieć VPN jest koncepcją użytkownika, istnieją pewne ważne kwestie, które muszą znać właściciel i operator rozwiązania.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Aby można było wysyłać ruch sieciowy między siecią wirtualną platformy Azure i lokacją lokalną, musisz utworzyć bramę sieci wirtualnej (VPN) dla sieci wirtualnej.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Brama sieci VPN jest typem bramy sieci wirtualnej, który wysyła zaszyfrowany ruch sieciowy przez połączenie publiczne.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Za pomocą bram sieci VPN można bezpiecznie przesyłać ruch sieciowy między siecią wirtualną w programie Azure Stack Hub i sieci wirtualnej na platformie Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. Możesz również bezpiecznie wysyłać ruch sieciowy między siecią wirtualną a inną siecią połączoną z urządzeniem sieci VPN.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Podczas tworzenia bramy sieci wirtualnej musisz wybrać typ bramy do utworzenia.When you create a virtual network gateway, you specify the gateway type that you want to create. Wzmocniony centrum Azure Stack obsługuje jeden typ bramy sieci wirtualnej: typ sieci VPN .Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

Każda sieć wirtualna może mieć tylko dwie bramy sieci wirtualnych, ale może istnieć tylko jedna brama danego typu.Each virtual network can have two virtual network gateways, but only one of each type. W zależności od wybranych ustawień można utworzyć wiele połączeń z jedną bramą sieci VPN.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Przykładem tego rodzaju konfiguracji jest konfiguracja połączenia między lokacjami.An example of this kind of setup is a multi-site connection configuration.

Przed utworzeniem i skonfigurowaniem bram sieci VPN dla programu Azure Stack Hub, zapoznaj się z zagadnieniami dotyczącymi Azure Stack sieciową z obsługą centrum.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. Dowiesz się, jak konfiguracje programu Azure Stack Hub różnią się w zależności od platformy Azure.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

Na platformie Azure przepustowość dla wybranej jednostki SKU bramy sieci VPN musi być podzielona na wszystkie połączenia połączone z bramą.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. W programie Azure Stack Hub jednak wartość przepustowości dla jednostki SKU bramy sieci VPN jest stosowana do każdego zasobu połączenia, który jest połączony z bramą.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Na przykład:For example:

  • Na platformie Azure podstawowa jednostka SKU bramy sieci VPN może obsłużyć około 100 MB/s przepustowości zagregowanej.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Jeśli utworzysz dwa połączenia z tą bramą sieci VPN, a jedno połączenie korzysta z 50 MB/s przepustowości, to dla drugiego połączenia będzie dostępne 50 MB/s.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • W przypadku wzmocnionego centrum Azure Stack każde połączenie z podstawową jednostką SKU bramy sieci VPN jest przydzielono 100 MB/s przepustowości.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Typy sieci VPNVPN types

Podczas tworzenia bramy sieci wirtualnej dla konfiguracji bramy sieci VPN należy określić typ sieci VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Wybrany typ sieci VPN zależy od topologii połączenia, która ma zostać utworzona.The VPN type that you choose depends on the connection topology that you want to create. Typ sieci VPN może także zależeć od używanego sprzętu.A VPN type can also depend on the hardware that you're using. Konfiguracje S2S wymagają urządzenia sieci VPN.S2S configurations require a VPN device. Niektóre urządzenia sieci VPN obsługują tylko określony typ sieci VPN.Some VPN devices only support a certain VPN type.

Ważne

Obecnie w centrum Azure Stack są obsługiwane tylko typy sieci VPN oparte na trasach.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Jeśli urządzenie obsługuje tylko sieci VPN oparte na zasadach, połączenia z tymi urządzeniami z programu Azure Stack Hub nie są obsługiwane.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Ponadto wzmocnione centrum Azure Stack nie obsługuje używania selektorów ruchu opartych na zasadach dla bram opartych na trasach, ponieważ niestandardowe konfiguracje zasad protokołu IPSec/IKE nie są obsługiwane.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • PolicyBased: sieci VPN oparte na zasadach szyfrują pakiety i kierują je bezpośrednio przez tunele IPSec na podstawie zasad protokołu IPSec.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. Zasady są konfigurowane przy użyciu kombinacji prefiksów adresów między siecią lokalną i sieci wirtualnej z systemem Azure Stack Hub.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. Zasady lub selektor ruchu są zazwyczaj listą dostępu w konfiguracji urządzenia sieci VPN.The policy, or traffic selector, is usually an access list in the VPN device configuration. PolicyBased jest obsługiwana na platformie Azure, ale nie jest to wzmocnione w centrum Azure Stack.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • RouteBased: sieci VPN oparte na trasach używają tras skonfigurowanych w ramach przesyłania dalej IP lub tabeli routingu.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. Kieruje pakiety bezpośrednio do odpowiednich interfejsów tuneli.The routes direct packets to their corresponding tunnel interfaces. W dalszej kolejności interfejsy tuneli szyfrują lub odszyfrowują pakiety wchodzące do tuneli lub wychodzące z nich.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Zasady lub selektor ruchu dla sieci VPN RouteBased są konfigurowane jako dowolne (lub używają symboli wieloznacznych).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). Domyślnie nie można ich zmienić.By default, they can't be changed. Wartość dla typu sieci VPN RouteBased to RouteBased.The value for a RouteBased VPN type is RouteBased.

Konfigurowanie bramy sieci VPNConfiguring a VPN gateway

Połączenie bramy sieci VPN jest oparte na kilku zasobach, które są skonfigurowane przy użyciu określonych ustawień.A VPN gateway connection relies on several resources that are configured with specific settings. Większość z tych zasobów można skonfigurować osobno, ale w niektórych przypadkach muszą one być skonfigurowane w określonej kolejności.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

UstawieniaSettings

Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla tworzenia pomyślnego połączenia.The settings that you choose for each resource are critical for creating a successful connection.

Ten artykuł pomaga zrozumieć następujące informacje:This article helps you understand:

  • Typy bram, typy sieci VPN i typy połączeń.Gateway types, VPN types, and connection types.
  • Podsieci bramy, bramy sieci lokalnej i inne ustawienia zasobów, które warto wziąć pod uwagę.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Diagramy topologii połączeńConnection topology diagrams

Istnieją różne konfiguracje dla połączeń bramy sieci VPN.There are different configurations available for VPN gateway connections. Określ, która konfiguracja najlepiej odpowiada Twoim potrzebom.Determine which configuration best fits your needs. W poniższych sekcjach znajdują się informacje i diagramy topologii dotyczące następujących połączeń bramy sieci VPN:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Dostępny model wdrażaniaAvailable deployment model
  • Dostępne narzędzia konfiguracjiAvailable configuration tools
  • Linki prowadzące bezpośrednio do artykułu, jeśli jest dostępnyLinks that take you directly to an article, if available

Diagramy i opisy w poniższych sekcjach mogą ułatwić wybór topologii połączenia w celu dopasowania do wymagań.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. Na diagramach są wyświetlane podstawowe topologie linii bazowej, ale istnieje możliwość tworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako przewodnika.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Lokacja-lokacja i wiele lokacji (tunel VPN protokołu IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Lokacja-lokacjaSite-to-site

Połączenie bramy sieci VPN typu lokacja-lokacja to połączenie za pośrednictwem tunelu sieci VPN protokołu IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Ten typ połączenia wymaga, aby urządzenie sieci VPN zlokalizowane lokalnie i miało przypisany publiczny adres IP.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. To urządzenie nie może znajdować się za translatorem adresów sieciowych.This device can't be located behind a NAT. Z połączeń typu lokacja-lokacja (S2S) można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji.S2S connections can be used for cross-premises and hybrid configurations.

Wiele lokacjiMulti-site

Połączenie między lokacjami to odmiana połączenia typu lokacja-lokacja.A multi-site connection is a variation of the site-to-site connection. W tym przypadku tworzysz więcej niż jedno połączenie VPN z bramy sieci wirtualnej — zwykle do nawiązywania połączenia z wieloma lokacjami lokalnymi.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Podczas pracy z wieloma połączeniami należy użyć typu sieci VPN opartego na trasach (nazywanej bramą dynamiczną podczas pracy z sieci wirtualnych klasycznym).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Jednostki SKU bramyGateway SKUs

Podczas tworzenia bramy sieci wirtualnej na potrzeby wzmocnionego centrum Azure Stack należy określić jednostkę SKU bramy, która ma być używana.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. Obsługiwane są następujące jednostki SKU bramy sieci VPN:The following VPN gateway SKUs are supported:

  • PodstawowaBasic
  • Standardowa (Standard)Standard
  • Wysoka wydajnośćHigh Performance

Wybranie jednostki SKU bramy wyższej przydziela więcej procesorów CPU i przepustowość sieci do bramy.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. W związku z tym Brama może obsługiwać większą przepływność sieci do sieci wirtualnej.As a result, the gateway can support higher network throughput to the virtual network.

Wzmocniony centrum Azure Stack nie obsługuje jednostki SKU bramy Ultra Performance, która jest używana wyłącznie z usługą Express Route.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Podczas wybierania jednostki SKU należy wziąć pod uwagę następujące kwestie:Consider the following when you select the SKU:

  • Wzmocniony centrum Azure Stack nie obsługuje bram opartych na zasadach.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • Protokół BGP nie jest obsługiwany w podstawowej jednostce SKU.BGP isn't supported on the Basic SKU.
  • ExpressRoute — współistniejące konfiguracje bramy sieci VPN nie są obsługiwane w nieobsługiwanym centrum Azure Stack.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Dostępność bramyGateway availability

Scenariusze wysokiej dostępności można skonfigurować tylko w jednostkach SKU połączenia bramy o wysokiej wydajności .High availability scenarios can only be configured on the High-Performance Gateway connection SKU. W przeciwieństwie do platformy Azure, która zapewnia dostępność zarówno w konfiguracjach aktywnych, jak i aktywnych/pasywnych, Azure Stacky Hub obsługuje tylko konfigurację aktywną/pasywną.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

Tryb failoverFailover

Istnieją trzy maszyny wirtualne infrastruktury bramy wielodostępnej w usłudze Azure Stack Hub.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Dwie z tych maszyn wirtualnych znajdują się w trybie aktywnym, a trzecia jest w trybie nadmiarowym.Two of these VMs are in active mode, and the third is in redundant mode. Aktywne maszyny wirtualne umożliwiają tworzenie połączeń sieci VPN na nich, a nadmiarowa maszyna wirtualna akceptuje połączenia sieci VPN tylko wtedy, gdy wystąpi awaria.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Jeśli maszyna wirtualna bramy Active Gateway będzie niedostępna, połączenie sieci VPN zostanie przełączone do nadmiarowej maszyny wirtualnej po krótkim okresie (kilka sekund) utraty połączenia.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Szacowana agregowana przepływność według jednostki SKUEstimated aggregate throughput by SKU

W poniższej tabeli przedstawiono typy bram i szacowaną agregowaną przepływność według jednostki SKU bramy:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Przepływność usługi VPN Gateway (1)VPN Gateway throughput (1) Maksymalna liczba tuneli protokołu IPsec bramy sieci VPN (2)VPN Gateway max IPsec tunnels (2)
Podstawowa jednostka SKU (3)Basic SKU (3) 100 Mb/s100 Mbps 2020
Standardowy SKUStandard SKU 100 Mb/s100 Mbps 2020
Jednostka SKU o wysokiej wydajnościHigh-Performance SKU 200 Mb/s200 Mbps 1010

Uwagi dotyczące tabeliTable notes

(1) — przepływność sieci VPN nie ma gwarantowanej przepływności dla połączeń obejmujących wiele lokalizacji przez Internet.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Jest to maksymalny możliwy pomiar przepływności.It's the maximum possible throughput measurement.
(2) — Maksymalna liczba tuneli to łączne wdrożenie usługi Azure Stack Hub dla wszystkich subskrypcji.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) — Routing BGP nie jest obsługiwany w przypadku podstawowej jednostki SKU.(3) - BGP routing isn't supported for the Basic SKU.

Ważne

Można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja między dwoma niezależnymi wdrożeniami centrum Azure Stack.Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Jest to spowodowane ograniczeniami na platformie, które umożliwiają tylko pojedyncze połączenie sieci VPN z tym samym adresem IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Ponieważ usługa Azure Stack Hub korzysta z bramy wielodostępnej, która używa jednego publicznego adresu IP dla wszystkich bram sieci VPN w systemie, w którym jest wzmocniony centrum Azure Stack, może istnieć tylko jedno połączenie sieci VPN między dwoma systemami Azure Stack.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

To ograniczenie ma zastosowanie również do łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN używającą pojedynczego adresu IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Wzmocniony centrum Azure Stack nie zezwala na tworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

Parametry protokołu IPsec/IKEIPsec/IKE parameters

Po skonfigurowaniu połączenia sieci VPN w programie Azure Stack Hub należy skonfigurować połączenie na obu końcach.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. W przypadku konfigurowania połączenia sieci VPN między urządzeniami z systemem Azure Stack Hub a urządzeniem sprzętowym urządzenie może zażądać dodatkowych ustawień.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Na przykład przełącznik lub router, który działa jako Brama sieci VPN.For example, a switch or router that's acting as a VPN gateway.

W przeciwieństwie do platformy Azure, która obsługuje wiele ofert jako inicjator i obiekt odpowiadający, Azure Stacke Hub domyślnie obsługuje tylko jedną ofertę.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Jeśli musisz użyć innych ustawień protokołu IPSec/IKE do pracy z urządzeniem sieci VPN, dostępne są więcej ustawień, aby skonfigurować połączenie ręcznie.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Parametry protokołu IKE — faza 1 (tryb główny)IKE Phase 1 (Main Mode) parameters

WłaściwośćProperty WartośćValue
Wersja IKEIKE Version IKEv2IKEv2
Grupa Diffie’ego-HellmanaDiffie-Hellman Group ECP384ECP384
Metoda uwierzytelnianiaAuthentication Method Klucz wstępnyPre-Shared Key
Szyfrowanie i algorytmy wyznaczania wartości skrótuEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
Okres istnienia skojarzeń zabezpieczeń (czas)SA Lifetime (Time) 28 800 sekund28,800 seconds

Parametry protokołu IKE — faza 2 (tryb szybki)IKE Phase 2 (Quick Mode) parameters

WłaściwośćProperty WartośćValue
Wersja IKEIKE Version IKEv2IKEv2
Algorytmy wyznaczania wartości skrótu & szyfrowania (szyfrowanie)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Algorytmy wyznaczania wartości skrótu & szyfrowania (uwierzytelnianie)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
Okres istnienia skojarzeń zabezpieczeń (czas)SA Lifetime (Time) 27 000 sekund27,000 seconds
Okres istnienia skojarzenia zabezpieczeń (w kilobajtach)SA Lifetime (Kilobytes) 33 553 40833,553,408
Doskonałe utajnienie przekazywania (PFS)Perfect Forward Secrecy (PFS) ECP384ECP384
Wykrywanie nieaktywnych elementów równorzędnychDead Peer Detection ObsługiwaneSupported

Konfigurowanie niestandardowych zasad połączeń protokołu IPSec/IKEConfigure custom IPSec/IKE connection policies

Standard protokołu IPsec i IKE obsługuje szeroką gamę algorytmów kryptograficznych w różnych kombinacjach.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Aby sprawdzić, które parametry są obsługiwane w centrum Azure Stack w celu spełnienia wymagań dotyczących zgodności lub zabezpieczeń, zobacz Parametry protokołu IPsec/IKE.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

Ten artykuł zawiera instrukcje dotyczące tworzenia i konfigurowania zasad protokołu IPsec/IKE i stosowania ich do nowego lub istniejącego połączenia.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

Zagadnienia do rozważeniaConsiderations

Należy pamiętać o następujących kwestiach dotyczących używania tych zasad:Note the following important considerations when using these policies:

  • Zasady protokołu IPsec/IKE działają tylko w przypadku jednostek SKU bramy standardowej i HighPerformance (opartej na trasach).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • Można określić tylko jedną kombinację zasad dla danego połączenia.You can only specify one policy combination for a given connection.
  • Należy określić wszystkie algorytmy i parametry dla IKE (tryb główny) i IPsec (tryb szybki).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Niedozwolona Specyfikacja zasad częściowych.Partial policy specification isn't allowed.
  • Zapoznaj się z wymaganiami dostawcy urządzeń sieci VPN, aby upewnić się, że zasady są obsługiwane na lokalnych urządzeniach sieci VPN.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Nie można nawiązać połączenia lokacja-lokacja, jeśli zasady są niezgodne.Site-to-site connections can't be established if the policies are incompatible.

Przepływ pracy do tworzenia i ustawiania zasad protokołu IPsec/IKEWorkflow to create and set IPsec/IKE policy

W tej sekcji opisano przepływ pracy wymagany do tworzenia i aktualizowania zasad protokołu IPsec/IKE w połączeniu sieci VPN typu lokacja-lokacja:This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Tworzenie sieci wirtualnej i bramy sieci VPN.Create a virtual network and a VPN gateway.
  2. Utwórz bramę sieci lokalnej dla połączenia między lokalizacjami.Create a local network gateway for cross-premises connection.
  3. Utwórz zasady protokołu IPsec/IKE z wybranymi algorytmami i parametrami.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Utwórz połączenie IPSec z zasadami protokołu IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.
  5. Dodawanie/aktualizowanie/usuwanie zasad protokołu IPsec/IKE dla istniejącego połączenia.Add/update/remove an IPsec/IKE policy for an existing connection.

Obsługiwane algorytmy kryptograficzne i siły kluczaSupported cryptographic algorithms and key strengths

W poniższej tabeli wymieniono obsługiwane algorytmy kryptograficzne i siły klucza konfigurowalne przez klientów z możliwością Azure Stack Hub:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 OpcjeOptions
Szyfrowanie IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integralność IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Grupa DHDH Group ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, brakECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Szyfrowanie IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, BrakGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integralność IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grupa PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, BrakPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Okres istnienia skojarzeń zabezpieczeń QMQM SA Lifetime (Opcjonalnie: wartości domyślne są używane, jeśli nie zostaną określone)(Optional: default values are used if not specified)
Sekundy (liczba całkowita; min. 300/domyślnie 27 000 s)Seconds (integer; min. 300/default 27,000 seconds)
Kilobajty (liczba całkowita; min. 1024/domyślne 102 400 000 kilobajtów)KBytes (integer; min. 1024/default 102,400,000 KBytes)
Selektor ruchuTraffic Selector Selektory ruchu oparte na zasadach nie są obsługiwane w przypadku nieobsługiwanych centrów Azure Stack.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

Konfiguracja lokalnego urządzenia sieci VPN musi być zgodna z następującymi algorytmami (lub je zawierać) oraz z następującymi parametrami określonymi w zasadach protokołu IPsec/IKE platformy Azure (lub je zawierać):Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algorytm szyfrowania IKE (tryb główny/faza 1).IKE encryption algorithm (Main Mode / Phase 1).
  • Algorytm integralności IKE (tryb główny/faza 1).IKE integrity algorithm (Main Mode / Phase 1).
  • Grupa DH (tryb główny/faza 1).DH Group (Main Mode / Phase 1).
  • Algorytm szyfrowania IPsec (tryb szybki/faza 2).IPsec encryption algorithm (Quick Mode / Phase 2).
  • Algorytm integralności protokołu IPsec (tryb szybki/faza 2).IPsec integrity algorithm (Quick Mode / Phase 2).
  • Grupa PFS (tryb szybki/faza 2).PFS Group (Quick Mode / Phase 2).
  • Okresy istnienia skojarzenia zabezpieczeń są tylko specyfikacjami lokalnymi, ale nie muszą być zgodne.The SA lifetimes are local specifications only, they don't need to match.

Jeśli GCMAES jest używany jako algorytm szyfrowania IPsec, należy wybrać ten sam algorytm GCMAES i długość klucza dla integralności protokołu IPsec.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Na przykład: używanie GCMAES128 dla obu.For example: using GCMAES128 for both.

W powyższej tabeli:In the preceding table:

  • Protokół IKEv2 odpowiada trybowi głównemu lub fazie 1.IKEv2 corresponds to Main Mode or Phase 1.
  • Protokół IPsec odnosi się do trybu szybkiego lub fazy 2.IPsec corresponds to Quick Mode or Phase 2.
  • Grupa DH określa grupę Diffie-Hellmen używaną w trybie głównym lub w fazie 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • Grupa PFS określa grupę Diffie-Hellmen używaną w trybie szybkim lub fazie 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • Okres istnienia skojarzenia zabezpieczeń trybu głównego protokołu IKEv2 jest ustalony na 28 800 sekund w przypadku sieci VPN, które zostały wzmocnione przez centrum Azure Stack.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

Poniższa tabela zawiera listę odpowiednich grup Diffie-Hellman obsługiwanych przez zasady niestandardowe:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Grupa Diffie’ego-HellmanaDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Długość kluczaKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP, 768-bitowy768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP, 1024-bitowy1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 MODP, 2048-bitowy2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 ECP, 256-bitowy256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP, 384-bitowy384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP, 2048-bitowy2048-bit MODP

Łączenie Azure Stack Hub na platformie Azure przy użyciu usługi Azure ExpressRouteConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Przegląd, założenia i wymagania wstępneOverview, assumptions, and prerequisites

Usługa Azure ExpressRoute umożliwia poszerzanie sieci lokalnych w chmurze firmy Microsoft.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. Używasz połączenia prywatnego dostarczonego przez dostawcę połączenia.You use a private connection supplied by a connectivity provider. ExpressRoute nie jest połączeniem sieci VPN przez publiczny Internet.ExpressRoute isn't a VPN connection over the public Internet.

Aby uzyskać więcej informacji na temat usługi Azure ExpressRoute, zobacz Omówienie funkcji ExpressRoute.For more information about Azure ExpressRoute, see the ExpressRoute overview.

ZałożeniaAssumptions

W tym artykule przyjęto założenie, że:This article assumes that:

  • Masz praktyczną wiedzę na temat platformy Azure.You have a working knowledge of Azure.
  • Masz podstawową wiedzę na temat Azure Stack centrum.You have a basic understanding of Azure Stack Hub ruggedized.
  • Masz podstawową wiedzę na temat sieci.You have a basic understanding of networking.

Wymagania wstępnePrerequisites

Aby połączyć Azure Stack Hub i platformę Azure przy użyciu ExpressRoute, musisz spełnić następujące wymagania:To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • Zainicjowany obwód usługi ExpressRoute przez dostawcę połączenia.A provisioned ExpressRoute circuit through a connectivity provider.
  • Subskrypcja platformy Azure do tworzenia obwodu usługi ExpressRoute i sieci wirtualnych na platformie Azure.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • Router, który obsługuje:A router that supports:
    • połączenia sieci VPN typu lokacja-lokacja między interfejsem sieci LAN a Azure Stack koncentratorem z integracją wielodostępną bramą.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • Tworzenie wielu VRFs (wirtualnego routingu i przesyłania dalej), jeśli istnieje więcej niż jedna dzierżawa w rozmieszczeniu Azure Stack Hub.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • Router, który ma:A router that has:
    • Port sieci WAN podłączony do obwodu ExpressRoute.A WAN port connected to the ExpressRoute circuit.
    • Port sieci LAN połączony z koncentratorem Azure Stack wzmocnioną bramą z wieloma dzierżawcami.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

Architektura sieci ExpressRouteExpressRoute network architecture

Na poniższej ilustracji Azure Stack przedstawiono ExpressRoutee centrum i środowiska platformy Azure po zakończeniu konfigurowania usług, korzystając z przykładów w tym artykule:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

Architektura sieci ExpressRoute

Na poniższej ilustracji przedstawiono, jak wiele dzierżawców nawiązuje połączenie z wzmocnioną infrastrukturą Azure Stack Hub za pośrednictwem routera ExpressRoute na platformie Azure:The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

Wielodostępna architektura sieci ExpressRoute