Conectividade VNet com VNet entre Azure Stack instâncias de Hub com a Fortinet FortiGate NVA

Neste artigo, você conectará uma VNET em um hub de Azure Stack a uma VNET em outro hub de Azure Stack usando a Fortinet FortiGate NVA, uma solução de virtualização de rede.

Este artigo aborda a limitação atual do hub de Azure Stack, que permite aos locatários configurar apenas uma conexão VPN entre dois ambientes. Os usuários aprenderão a configurar um gateway personalizado em uma máquina virtual Linux que permitirá várias conexões VPN entre diferentes Azure Stack Hub. O procedimento neste artigo implanta duas VNETs com um FortiGate NVA em cada VNET: uma implantação por ambiente de Hub de Azure Stack. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. As etapas neste artigo devem ser repetidas para cada VNET em cada Hub de Azure Stack.

Pré-requisitos

  • Acesso a um Azure Stack sistemas integrados de Hub com capacidade disponível para implantar os requisitos necessários de computação, rede e recursos necessários para essa solução.

    Observação

    Essas instruções não funcionarão com um kit de desenvolvimento do Azure Stack (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, consulte requisitos e considerações do ASDK.

  • Uma solução de dispositivo de virtualização de rede (NVA) baixada e publicada no Marketplace do hub de Azure Stack. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única do firewall da próxima geração do Fortinet FortiGate.

  • Pelo menos dois arquivos de licença do FortiGate disponíveis para ativar o FortiGate NVA. Informações sobre como obter essas licenças, consulte o artigo da biblioteca de documentos do Fortinet registrando e baixando sua licença.

    Este procedimento usa a única implantação FortiGate-VM. Você pode encontrar etapas sobre como conectar o FortiGate NVA à VNET do Hub Azure Stack para em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração de HA (Active-Passive), consulte o artigo da biblioteca de documentos Fortinet ha para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros que são usados nessas implantações para referência:

Implantação um: Forti1

Nome da instância de FortiGate Forti1
Licença/versão do BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de Recursos forti1-Rg1
Nome da rede virtual forti1vnet1
Espaço de endereço da VNET 172.16.0.0/16 *
Nome da sub-rede da VNET pública forti1-PublicFacingSubnet
Prefixo de endereço da VNET pública 172.16.0.0/24 *
Nome da sub-rede da VNET interna forti1-InsideSubnet
Prefixo de sub-rede da VNET interna 172.16.1.0/24 *
Tamanho da VM de FortiGate NVA F2s_v2 padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância de FortiGate Forti2
Licença/versão do BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de Recursos forti2-Rg1
Nome da rede virtual forti2vnet1
Espaço de endereço da VNET 172.17.0.0/16 *
Nome da sub-rede da VNET pública forti2-PublicFacingSubnet
Prefixo de endereço da VNET pública 172.17.0.0/24 *
Nome da sub-rede da VNET interna Forti2-InsideSubnet
Prefixo de sub-rede da VNET interna 172.17.1.0/24 *
Tamanho da VM de FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se a sobreposição acima de qualquer forma com o ambiente de rede local, incluindo o pool VIP de um dos Azure Stack Hub. Além disso, certifique-se de que os intervalos de endereços não se sobreponham entre si. * *

Implantar os itens do FortiGate NGFW Marketplace

Repita essas etapas para ambos os ambientes de Hub de Azure Stack.

  1. Abra o portal do usuário do hub de Azure Stack. Certifique-se de usar credenciais que tenham pelo menos direitos de colaborador para uma assinatura.

  2. Selecione criar um recurso e pesquise .

    A captura de tela mostra uma única linha de resultados da pesquisa por

  3. Selecione FORTIGATE NGFW e selecione criar.

  4. Noções básicas completas usando os parâmetros da tabela de parâmetros de implantação .

    Seu formulário deve conter as seguintes informações:

    As caixas de texto (como o nome da instância e a licença BYOL) da caixa de diálogo noções básicas foram preenchidas com valores da tabela de implantação.

  5. Selecione OK.

  6. Forneça a rede virtual, as sub-redes e os detalhes de tamanho da VM dos parâmetros de implantação.

    Se você quiser usar diferentes nomes e intervalos, tome cuidado para não usar parâmetros que entrarão em conflito com os outros recursos de VNET e FortiGate no ambiente de Hub de outros Azure Stack. Isso é especialmente verdadeiro ao definir o intervalo IP da VNET e os intervalos de sub-rede na VNET. Verifique se eles não se sobrepõem aos intervalos de IP para a outra VNET que você criar.

  7. Selecione OK.

  8. Configure o IP público que será usado para o FortiGate NVA:

    A caixa de texto

  9. Selecione OK e, em seguida, selecione OK.

  10. Selecione Criar.

A implantação levará cerca de 10 minutos. Agora você pode repetir as etapas para criar a outra implantação FortiGate NVA e VNET no outro ambiente de Hub de Azure Stack.

Configurar rotas (UDRs) para cada VNET

Execute estas etapas para as duas implantações, forti1-Rg1 e forti2-Rg1.

  1. Navegue até o grupo de recursos forti1-Rg1 no portal do hub de Azure Stack.

    Esta é uma captura de tela da lista de recursos no grupo de recursos forti1-Rg1.

  2. Selecione no recurso ' forti1-forti1-InsideSubnet-Routes-xxxx '.

  3. Selecione Rotas, em Configurações.

    a captura de tela mostra o item rotas realçadas de Configurações.

  4. Exclua a rota para a Internet .

    A captura de tela mostra a rota realçada para a Internet. Há um botão de exclusão.

  5. Selecione Sim na barra superior.

  6. Selecione Adicionar.

  7. Nomeie a rota ou to-forti2 . Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  8. Digite:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  9. Selecione dispositivo virtual para o tipo do próximo salto.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

    A caixa de diálogo Editar rota para forti2 tem caixas de texto com valores.

  10. Selecione Salvar.

Repita as etapas para cada rota InsideSubnet para cada grupo de recursos.

Ativar o FortiGate NVAs e configurar uma conexão VPN IPSec em cada NVA

Você precisará de um arquivo de licença válido de Fortinet para ativar cada NVA FortiGate. O NVAs não funcionará até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar o NVA, consulte o artigo da biblioteca de documentos do Fortinet registrando e baixando sua licença.

Dois arquivos de licença precisarão ser adquiridos-um para cada NVA.

Criar uma VPN IPSec entre as duas NVAs

Depois que o NVAs tiver sido ativado, siga estas etapas para criar uma VPN IPSec entre as duas NVAs.

Seguindo as etapas abaixo para forti1 NVA e forti2 NVA:

  1. Obtenha o endereço IP público atribuído navegando até a página Visão geral da VM fortiX:

    A página Visão geral do forti1 mostra o grupo de recursos, o status e assim por diante.

  2. Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo de que o certificado de segurança não é confiável. Continue mesmo assim.

  3. Insira o nome de usuário administrativo do FortiGate e a senha que você forneceu durante a implantação.

    A captura de tela é do ecrã de logon, que tem um botão de logon e caixas de texto para nome de usuário e senha.

  4. Selecione firmwaredo sistema.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866 .

    A captura de tela do firmware

  6. Selecione backup config e upgrade e continue quando solicitado.

  7. O NVA atualiza seu firmware para a compilação e reinicializações mais recentes. O processo leva cerca de cinco minutos. Faça logon novamente no console Web do FortiGate.

  8. Clique em assistente de VPNIPSec.

  9. Insira um nome para a VPN, por exemplo, conn1 no conn1.

  10. Selecione este site está protegido por Nat.

    A captura de tela do assistente de criação de VPN mostra que ele está na primeira etapa, configuração de VPN. Os seguintes valores são selecionados:

  11. Selecione Avançar.

  12. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  13. Selecione port1 como a interface de saída.

  14. Selecione chave pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, eles devem corresponder exatamente.

    A captura de tela do assistente de criação de VPN mostra que ele está na segunda etapa, a autenticação e os valores selecionados são realçados.

  15. Selecione Avançar.

  16. Selecione port2 para a interface local.

  17. Insira o intervalo de sub-rede local:

    • forti1:172.16.0.0/16
    • forti2:172.17.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  18. Insira as sub-redes (s) remotas apropriadas que representam a rede local, à qual você se conectará por meio do dispositivo VPN local.

    • forti1:172.16.0.0/16
    • forti2:172.17.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

    A captura de tela do assistente de criação de VPN mostra que ele está na terceira etapa, roteamento de política  , mostrando os valores selecionados e inseridos.

  19. Escolha Criar

  20. Selecione interfacesde rede.

    A lista interface mostra duas interfaces: port1, que foi configurada, e port2, que não tem. Há botões para criar, editar e excluir interfaces.

  21. Clique duas vezes em port2.

  22. Escolha LAN na lista de funções e DHCP para o modo de endereçamento.

  23. Selecione OK.

Repita as etapas para o outro NVA.

Exibir todos os seletores da fase 2

Depois que a acima tiver sido concluída para ambos os NVAs:

  1. No console Web do forti2 FortiGate, selecione para monitoraro Monitor IPSec.

    O monitor para a conexão VPN conn1 é listado. Ele é mostrado como sendo inativo, assim como o seletor da fase 2 correspondente.

  2. Realce conn1 e selecione o conn1>>.

    O seletor do monitor e da fase 2 são mostrados como ativos.

Testar e validar a conectividade

Agora você deve ser capaz de rotear entre cada VNET por meio de FortiGate NVAs. Para validar a conexão, crie uma VM de Hub de Azure Stack no InsideSubnet de cada VNET. A criação de uma VM de Hub de Azure Stack pode ser feita por meio do portal, do CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs de Hub de Azure Stack são colocadas em InsideSubnet de cada VNET.

  • Você não aplica nenhum NSGS à VM durante a criação (ou seja, remova o NSG que é adicionado por padrão se estiver criando a VM no Portal.

  • Verifique se as regras de firewall da VM permitem a comunicação que você pretende usar para testar a conectividade. Para fins de teste, é recomendável desabilitar o firewall completamente no sistema operacional, se possível.

Próximas etapas

Diferenças e considerações para a rede Azure Stack Hub
Oferecer uma solução de rede no Hub de Azure Stack com a Fortinet FortiGate