Połączenie sieci wirtualnej z siecią wirtualną między wystąpieniami Azure Stack Hub za pomocą platformy Fortinet FortiGate urządzenie WUSVNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

W tym artykule nawiążesz połączenie sieci wirtualnej w jednym centrum Azure Stack z siecią wirtualną w innym centrum Azure Stack przy użyciu Fortinet FortiGate urządzenie WUS, sieciowego urządzenia wirtualnego.In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

Ten artykuł dotyczy bieżącego ograniczenia centrum Azure Stack, które umożliwia dzierżawcom skonfigurowanie tylko jednego połączenia sieci VPN w dwóch środowiskach.This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. Użytkownicy będą dowiedzieć się, jak skonfigurować bramę niestandardową na maszynie wirtualnej z systemem Linux, która będzie zezwalać na wiele połączeń sieci VPN między różnymi centrami Azure Stack.Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. Procedura opisana w tym artykule wdraża dwie sieci wirtualnych z FortiGate urządzenie WUS w każdej sieci wirtualnej: jedno wdrożenie na Azure Stack środowisku centrum.The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. Szczegółowo wprowadzono również zmiany wymagane do skonfigurowania sieci VPN IPSec między tymi dwoma sieci wirtualnych.It also details the changes required to set up an IPSec VPN between the two VNETs. Kroki opisane w tym artykule należy powtórzyć dla każdej sieci wirtualnej w każdym centrum Azure Stack.The steps in this article should be repeated for each VNET in each Azure Stack Hub.

Wymagania wstępnePrerequisites

  • Dostęp do zintegrowanych systemów Azure Stack Hub z dostępną pojemnością w celu wdrożenia wymaganych wymagań dotyczących obliczeń, sieci i zasobów wymaganych dla tego rozwiązania.Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    Uwaga

    Te instrukcje nie będą działały z Azure Stack Development Kit (ASDK) z powodu ograniczeń sieci w ASDK.These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. Aby uzyskać więcej informacji, zobacz wymagania i zagadnienia dotyczące ASDK.For more information, see ASDK requirements and considerations.

  • Rozwiązanie sieciowego urządzenia wirtualnego (urządzenie WUS) pobrane i opublikowane w witrynie Centrum Azure Stack Hub.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. URZĄDZENIE WUS steruje przepływem ruchu sieciowego między siecią obwodową a innymi sieciami lub podsieciami.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. W tej procedurze jest stosowane pojedyncze rozwiązanie maszyny wirtualnej zapory Fortinet Fortigate nowej generacji.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Co najmniej dwa dostępne pliki licencji FortiGate do aktywowania urządzenie WUS FortiGate.At least two available FortiGate license files to activate the FortiGate NVA. Informacje o tym, jak uzyskać te licencje, można znaleźć w artykule dotyczącym biblioteki dokumentów Fortinet Rejestrowanie i pobieranie licencji.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    W tej procedurze jest stosowane pojedyncze wdrożenie Fortigate-VM.This procedure uses the Single FortiGate-VM deployment. Procedurę łączenia FortiGate urządzenie WUS z siecią wirtualną Azure Stack Hub można znaleźć w sieci lokalnej.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    Aby uzyskać więcej informacji na temat sposobu wdrażania rozwiązania FortiGate w konfiguracji Active-pasywny (HA), zobacz artykuł Biblioteka Fortinet Document Library w artykule ha dla Fortigate-VM na platformie Azure.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

Parametry wdrożeniaDeployment parameters

Poniższa tabela zawiera podsumowanie parametrów, które są używane w tych wdrożeniach dla celów referencyjnych:The following table summarizes the parameters that are used in these deployments for reference:

Wdrożenie jeden: Forti1Deployment one: Forti1

Nazwa wystąpienia FortiGateFortiGate Instance Name Forti1Forti1
BYOL licencja/wersjaBYOL License/Version 6.0.36.0.3
Nazwa użytkownika administracyjnego FortiGateFortiGate administrative username fortiadminfortiadmin
Nazwa grupy zasobówResource Group name forti1-rg1forti1-rg1
Nazwa sieci wirtualnejVirtual network name forti1vnet1forti1vnet1
Przestrzeń adresowa sieci wirtualnejVNET Address Space 172.16.0.0/16 *172.16.0.0/16*
Nazwa podsieci publicznej sieci wirtualnejPublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Prefiks adresu publicznej sieci wirtualnejPublic VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
Nazwa wewnątrz podsieci sieci wirtualnejInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
Wewnątrz prefiksu podsieci wirtualnejInside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
Rozmiar maszyny wirtualnej FortiGate urządzenie WUSVM Size of FortiGate NVA Standardowa F2s_v2Standard F2s_v2
Nazwa publicznego adresu IPPublic IP address name forti1-publicip1forti1-publicip1
Typ publicznego adresu IPPublic IP address type StaticStatic

Wdrożenie dwa: Forti2Deployment two: Forti2

Nazwa wystąpienia FortiGateFortiGate Instance Name Forti2Forti2
BYOL licencja/wersjaBYOL License/Version 6.0.36.0.3
Nazwa użytkownika administracyjnego FortiGateFortiGate administrative username fortiadminfortiadmin
Nazwa grupy zasobówResource Group name forti2-rg1forti2-rg1
Nazwa sieci wirtualnejVirtual network name forti2vnet1forti2vnet1
Przestrzeń adresowa sieci wirtualnejVNET Address Space 172.17.0.0/16 *172.17.0.0/16*
Nazwa podsieci publicznej sieci wirtualnejPublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Prefiks adresu publicznej sieci wirtualnejPublic VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
Nazwa wewnątrz podsieci sieci wirtualnejInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
Wewnątrz prefiksu podsieci wirtualnejInside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
Rozmiar maszyny wirtualnej FortiGate urządzenie WUSVM Size of FortiGate NVA Standardowa F2s_v2Standard F2s_v2
Nazwa publicznego adresu IPPublic IP address name Forti2-publicip1Forti2-publicip1
Typ publicznego adresu IPPublic IP address type StaticStatic

Uwaga

* Wybierz inny zestaw przestrzeni adresowych i prefiksy podsieci, jeśli powyższe nakładają się w dowolny sposób z lokalnym środowiskiem sieciowym, w tym pulę adresów VIP jednego z Azure Stack Hub.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Upewnij się również, że zakresy adresów nie nakładają się na siebie. * *Also ensure that the address ranges do not overlap with one another.**

Wdrażanie elementów portalu FortiGate zapory następnej generacjiDeploy the FortiGate NGFW Marketplace Items

Powtórz te kroki dla obu Azure Stack środowiska centrum.Repeat these steps for both Azure Stack Hub environments.

  1. Otwórz Portal użytkowników centrum Azure Stack.Open the Azure Stack Hub user portal. Upewnij się, że używasz poświadczeń, które mają co najmniej uprawnienia współautora do subskrypcji.Be sure to use credentials that have at least Contributor rights to a subscription.

  2. Wybierz pozycję Utwórz zasób i Wyszukaj FortiGate .Select Create a resource and search for FortiGate.

    Zrzut ekranu pokazuje pojedynczy wiersz wyników wyszukiwania "Fortigate".

  3. Wybierz pozycję FORTIGATE zapory następnej generacji i wybierz pozycję Utwórz.Select the FortiGate NGFW and select the Create.

  4. Wykonaj podstawowe czynności przy użyciu parametrów z tabeli parametrów wdrożenia .Complete Basics using the parameters from the Deployment parameters table.

    Formularz powinien zawierać następujące informacje:Your form should contain the following information:

    Pola tekstowe (takie jak nazwa wystąpienia i licencja BYOL) okna dialogowego podstawowe zostały wypełnione wartościami z tabeli wdrożenia.

  5. Wybierz przycisk OK.Select OK.

  6. Podaj szczegóły dotyczące sieci wirtualnej, podsieci i rozmiaru maszyny wirtualnej z parametrów wdrożenia.Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    Jeśli chcesz używać różnych nazw i zakresów, pamiętaj, aby nie używać parametrów, które będą powodować konflikt z innymi zasobami sieci wirtualnej i FortiGate w innym środowisku centrum Azure Stack.If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. Jest to szczególnie ważne w przypadku ustawiania zakresu adresów IP sieci wirtualnej i zakresów podsieci w ramach połączenia z siecią wirtualną.This is especially true when setting the VNET IP range and subnet ranges within the VNET. Sprawdź, czy nie nakładają się na zakresy adresów IP dla innej sieci wirtualnej, którą utworzysz.Check that they don't overlap with the IP ranges for the other VNET you create.

  7. Wybierz przycisk OK.Select OK.

  8. Skonfiguruj publiczny adres IP, który będzie używany przez FortiGate urządzenie WUS:Configure the public IP that will be used for the FortiGate NVA:

    Pole tekstowe "Nazwa publicznego adresu IP" w oknie dialogowym przypisania protokołu IP zawiera wartość "forti1-publicip1" (z tabeli wdrożenia).

  9. Wybierz przycisk OK , a następnie wybierz przycisk OK.Select OK and then Select OK.

  10. Wybierz przycisk Utwórz.Select Create.

Wdrożenie zajmie około 10 minut.The deployment will take about 10 minutes. Teraz można powtórzyć kroki, aby utworzyć inne FortiGate urządzenie WUS i wirtualne wdrożenie w innym środowisku centrum Azure Stack.You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

Skonfiguruj trasy (UDR) dla każdej sieci wirtualnejConfigure routes (UDRs) for each VNET

Wykonaj następujące kroki dla obu wdrożeń, forti1-RG1 i forti2-RG1.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Przejdź do grupy zasobów forti1-RG1 w portalu Centrum Azure Stack.Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    Jest to zrzut ekranu przedstawiający listę zasobów w grupie zasobów forti1-RG1.

  2. Wybierz pozycję "forti1-forti1-InsideSubnet-Routes-XXXX".Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. Wybierz pozycję trasy w obszarze Ustawienia.Select Routes under Settings.

    Zrzut ekranu pokazuje wyróżniony element tras ustawień.

  4. Usuń trasę do-Internetu .Delete the to-Internet Route.

    Zrzut ekranu przedstawia wyróżnioną trasę do Internetu.

  5. Wybierz pozycję Tak.Select Yes.

  6. Wybierz pozycję Dodaj.Select Add.

  7. Nadaj nazwę marszrucie to-forti1 lub to-forti2 .Name the Route to-forti1 or to-forti2. Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.Use your IP range if you are using a different IP range.

  8. Wprowadź:Enter:

    • forti1: 172.17.0.0/16forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16forti2: 172.16.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.Use your IP range if you are using a different IP range.

  9. Wybierz pozycję urządzenie wirtualne dla typu następnego przeskoku.Select Virtual appliance for the Next hop type.

    • forti1: 172.16.1.4forti1: 172.16.1.4
    • forti2: 172.17.0.4forti2: 172.17.0.4

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.Use your IP range if you are using a different IP range.

    Okno dialogowe Edytowanie trasy dla elementu-forti2 zawiera pola tekstowe z wartościami.

  10. Wybierz pozycję Zapisz.Select Save.

Powtórz kroki dla każdej trasy InsideSubnet dla każdej grupy zasobów.Repeat the steps for each InsideSubnet route for each resource group.

Aktywuj FortiGate urządzeń WUS i skonfiguruj połączenie sieci VPN IPSec na każdym urządzenie WUSActivate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

Wymagany jest prawidłowy plik licencji od firmy Fortinet, aby aktywować każdy FortiGate urządzenie WUS.You will require a valid license file from Fortinet to activate each FortiGate NVA. Urządzeń WUS nie będzie działać dopóki każdy urządzenie WUS nie zostanie aktywowany.The NVAs will not function until you have activated each NVA. Aby uzyskać więcej informacji na temat sposobu pobierania pliku licencji i kroków aktywacji programu urządzenie WUS, zobacz artykuł Biblioteka dokumentów Fortinet Rejestrowanie i pobieranie licencji.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Należy nabyć dwa pliki licencji — jeden dla każdego urządzenie WUSu.Two license files will need to be acquired – one for each NVA.

Tworzenie sieci VPN IPSec między tymi dwoma urządzeń WUSCreate an IPSec VPN between the two NVAs

Po aktywowaniu urządzeń WUS wykonaj następujące kroki, aby utworzyć sieci VPN IPSec między tymi dwoma urządzeń WUS.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

Postępując zgodnie z poniższymi krokami zarówno dla forti1 urządzenie WUS, jak i forti2 urządzenie WUS:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. Uzyskaj przypisany publiczny adres IP, przechodząc do strony omówienia fortiX VM:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    Na stronie Przegląd forti1u wyświetlana jest Grupa zasobów, stan i tak dalej.

  2. Skopiuj przypisany adres IP, Otwórz przeglądarkę i wklej adres na pasku adresu.Copy the assigned IP address, open a browser, and paste the address into the address bar. Przeglądarka może ostrzec, że certyfikat zabezpieczeń nie jest zaufany.Your browser may warn you that the security certificate is not trusted. Kontynuuj mimo to.Continue anyway.

  3. Wprowadź nazwę użytkownika i hasło administratora FortiGate podane podczas wdrażania.Enter the FortiGate administrative user name and password you provided during the deployment.

    Zrzut ekranu znajduje się na ekranie logowania, który ma przycisk Zaloguj i pola tekstowe dla nazwy użytkownika i hasła.

  4. Wybierz System pozycję > oprogramowanie układowe systemu.Select System > Firmware.

  5. Zaznacz pole zawierające najnowsze oprogramowanie układowe, na przykład FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    Zrzut ekranu dla oprogramowania układowego "FortiOS v 6.2.0 build0866" zawiera link do informacji o wersji i dwa przyciski: "kopia zapasowa konfiguracji i uaktualnienie" oraz "uaktualnienie".

  6. Wybierz pozycję Konfiguracja kopii zapasowej i Uaktualnij i Kontynuuj po wyświetleniu monitu.Select Backup config and upgrade and Continue when prompted.

  7. URZĄDZENIE WUS aktualizuje oprogramowanie układowe do najnowszej kompilacji i ponownych uruchomień.The NVA updates its firmware to the latest build and reboots. Proces trwa około pięciu minut.The process takes about five minutes. Zaloguj się ponownie do konsoli sieci Web FortiGate.Log back into the FortiGate web console.

  8. Kliknij VPN pozycję > Kreator IPSec sieci VPN.Click VPN > IPSec Wizard.

  9. Wprowadź nazwę sieci VPN, na przykład conn1 w Kreatorze tworzenia sieci VPN.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Wybierz tę lokację za translatorem adresów sieciowych.Select This site is behind NAT.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że zostanie on wyświetlony pierwszy krok, konfiguracja sieci VPN.

  11. Wybierz opcję Dalej.Select Next.

  12. Wprowadź zdalny adres IP lokalnego urządzenia sieci VPN, z którym ma zostać nawiązane połączenie.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. Wybierz pozycję PORT1 jako interfejs wychodzący.Select port1 as the Outgoing Interface.

  14. Wybierz klucz wstępny , a następnie wprowadź (i zarejestruj) klucz wstępny.Select Pre-shared Key and enter (and record) a pre-shared key.

    Uwaga

    Ten klucz będzie potrzebny do skonfigurowania połączenia na lokalnym urządzeniu sieci VPN, czyli musi być dokładnie taki sam.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on wyświetlany w drugim kroku, uwierzytelnianie i wybrane wartości są wyróżnione.

  15. Wybierz opcję Dalej.Select Next.

  16. Wybierz pozycję PORT2 dla interfejsu lokalnego.Select port2 for the Local Interface.

  17. Wprowadź zakres podsieci lokalnej:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.Use your IP range if you are using a different IP range.

  18. Wprowadź odpowiednie podsieci zdalne, które reprezentują sieć lokalną, z którą będziesz się łączyć za pośrednictwem lokalnego urządzenia sieci VPN.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.Use your IP range if you are using a different IP range.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że będzie on znajdował się w trzecim kroku, zasady & routingu, pokazując wybrane i wprowadzone wartości.

  19. Wybierz pozycję UtwórzSelect Create

  20. Wybierz Network pozycję > interfejsy sieciowe.Select Network > Interfaces.

    Lista interfejsów zawiera dwa interfejsy: PORT1, które zostały skonfigurowane i PORT2, które nie.

  21. Kliknij dwukrotnie pozycję PORT2.Double-click port2.

  22. Wybierz pozycję LAN na liście ról i DHCP dla trybu adresowania.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Wybierz przycisk OK.Select OK.

Powtórz kroki dla innych urządzenie WUS.Repeat the steps for the other NVA.

Wywołaj wszystkie selektory fazy 2Bring Up All Phase 2 Selectors

Po wykonaniu powyższych operacji dla obu urządzeń WUS:Once the above has been completed for both NVAs:

  1. W konsoli sieci Web forti2 Fortigate wybierz opcję monitorowania > monitora IPSec.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    Zostanie wyświetlona lista monitorów conn1 połączeń sieci VPN.

  2. Zaznacz conn1 i wybierz selektory Wywołaj > wszystko faza 2.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    Selektor monitora i fazy 2 są wyświetlane jak w górę.

Testowanie i weryfikowanie łącznościTest and validate connectivity

Teraz powinno być możliwe kierowanie między poszczególnymi sieciami WIRTUALNYmi za pośrednictwem FortiGate urządzeń WUS.You should now be able to route in between each VNET via the FortiGate NVAs. Aby sprawdzić poprawność połączenia, Utwórz maszynę wirtualną Azure Stack Hub w InsideSubnetach każdej sieci wirtualnej.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Tworzenie maszyny wirtualnej Azure Stack Hub można przeprowadzić za pomocą portalu, interfejsu wiersza polecenia lub programu PowerShell.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Podczas tworzenia maszyn wirtualnych:When creating the VMs:

  • Maszyny wirtualne Azure Stack Hub są umieszczane na InsideSubnet każdej sieci wirtualnej.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • Nie stosuje się żadnych sieciowych grup zabezpieczeń do maszyny wirtualnej podczas tworzenia (to oznacza, że w przypadku tworzenia maszyny wirtualnej z poziomu portalu zostanie usunięte sieciowej grupy zabezpieczeń dodane domyślnie przez program.You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • Upewnij się, że reguły zapory maszyny wirtualnej umożliwiają komunikację, która ma być używana do testowania łączności.Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. W celach testowych zaleca się wyłączenie zapory w całości w systemie operacyjnym, jeśli jest to możliwe.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

Następne krokiNext steps

Różnice i zagadnienia dotyczące Azure Stack sieci centrówDifferences and considerations for Azure Stack Hub networking
Oferowanie rozwiązania sieciowego w centrum Azure Stack przy użyciu platformy Fortinet FortiGateOffer a network solution in Azure Stack Hub with Fortinet FortiGate