VNet para VNet conectividade entre instâncias Azure Stack Hub com Fortinet FortiGate NVAVNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

Neste artigo, você vai ligar um VNET em um Azure Stack Hub a um VNET em outro Azure Stack Hub usando Fortinet FortiGate NVA, um aparelho virtual de rede.In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

Este artigo aborda a atual limitação do Azure Stack Hub, que permite aos inquilinos criar apenas uma ligação VPN em dois ambientes.This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. Os utilizadores aprenderão a configurar um gateway personalizado numa máquina virtual Linux que permitirá várias ligações VPN através de diferentes Azure Stack Hub.Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. O procedimento neste artigo implementa dois VNETs com um FortiGate NVA em cada VNET: uma implantação por ambiente Azure Stack Hub.The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. Também detalha as alterações necessárias para a criação de uma VPN IPSec entre os dois VNETs.It also details the changes required to set up an IPSec VPN between the two VNETs. Os passos deste artigo devem ser repetidos para cada VNET em cada Azure Stack Hub.The steps in this article should be repeated for each VNET in each Azure Stack Hub.

Pré-requisitosPrerequisites

  • Acesso a um Azure Stack Hub sistemas integrados com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    Nota

    Estas instruções não funcionarão com um Kit de Desenvolvimento de Pilhas Azure (ASDK) devido às limitações da rede na ASDK.These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. Para mais informações, consulte os requisitos e considerações da ASDK.For more information, see ASDK requirements and considerations.

  • Uma solução de aparelho virtual de rede (NVA) descarregada e publicada no Azure Stack Hub Marketplace.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. Este procedimento utiliza a Solução VM única de firewall fortinet Fortinet FortiGate de próxima geração.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Pelo menos dois ficheiros de licença FortiGate disponíveis para ativar o FortiGate NVA.At least two available FortiGate license files to activate the FortiGate NVA. Informações sobre como obter estas licenças, consulte o artigo da Biblioteca de Documentos Fortinet Registando e baixando a sua licença.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    Este procedimento utiliza a implantação única fortiGate-VM.This procedure uses the Single FortiGate-VM deployment. Pode encontrar etapas sobre como ligar o FortiGate NVA ao Azure Stack Hub VNET na sua rede no local.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração activa-passiva (HA), consulte o artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM em Azure.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

Parâmetros de implantaçãoDeployment parameters

O quadro que se segue resume os parâmetros utilizados nestas implementações para referência:The following table summarizes the parameters that are used in these deployments for reference:

Implantação um: Forti1Deployment one: Forti1

Nome da instância de FortiGateFortiGate Instance Name Forti1Forti1
Licença/versão BYOLBYOL License/Version 6.0.36.0.3
Nome de utilizador administrativo FortiGateFortiGate administrative username fortiadminfortiadmin
Nome do Grupo de RecursosResource Group name forti1-rg1forti1-rg1
Nome da rede virtualVirtual network name forti1vnet1forti1vnet1
Espaço de endereço VNETVNET Address Space 172.16.0.0/16*172.16.0.0/16*
Nome da sub-rede VNET públicaPublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Prefixo do endereço VNET públicoPublic VNET address prefix 172.16.0.0/24*172.16.0.0/24*
Dentro do nome da sub-rede VNETInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
Prefixo de sub-rede VNETInside VNET subnet prefix 172.16.1.0/24*172.16.1.0/24*
Tamanho VM do FortiGate NVAVM Size of FortiGate NVA F2s_v2 padrãoStandard F2s_v2
Nome do endereço IP públicoPublic IP address name forti1-publicip1forti1-publicip1
Tipo de endereço IP públicoPublic IP address type EstáticoStatic

Implantação dois: Forti2Deployment two: Forti2

Nome da instância de FortiGateFortiGate Instance Name Forti2Forti2
Licença/versão BYOLBYOL License/Version 6.0.36.0.3
Nome de utilizador administrativo FortiGateFortiGate administrative username fortiadminfortiadmin
Nome do Grupo de RecursosResource Group name forti2-rg1forti2-rg1
Nome da rede virtualVirtual network name forti2vnet1forti2vnet1
Espaço de endereço VNETVNET Address Space 172.17.0.0/16*172.17.0.0/16*
Nome da sub-rede VNET públicaPublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Prefixo do endereço VNET públicoPublic VNET address prefix 172.17.0.0/24*172.17.0.0/24*
Dentro do nome da sub-rede VNETInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
Prefixo de sub-rede VNETInside VNET subnet prefix 172.17.1.0/24*172.17.1.0/24*
Tamanho VM do FortiGate NVAVM Size of FortiGate NVA F2s_v2 padrãoStandard F2s_v2
Nome do endereço IP públicoPublic IP address name Forti2-publicip1Forti2-publicip1
Tipo de endereço IP públicoPublic IP address type EstáticoStatic

Nota

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se o acima se sobrepor de alguma forma com o ambiente de rede no local, incluindo o Pool VIP de qualquer um dos Azure Stack Hub.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.**Also ensure that the address ranges do not overlap with one another.**

Implementar os itens de mercado fortiGate NGFWDeploy the FortiGate NGFW Marketplace Items

Repita estes passos para ambos os ambientes do Azure Stack Hub.Repeat these steps for both Azure Stack Hub environments.

  1. Abra o portal de utilizadores Azure Stack Hub.Open the Azure Stack Hub user portal. Certifique-se de que utiliza credenciais que têm pelo menos direitos de colaborador a uma subscrição.Be sure to use credentials that have at least Contributor rights to a subscription.

  2. Selecione Criar um recurso e procurar. FortiGateSelect Create a resource and search for FortiGate.

    A imagem mostra uma única linha de resultados da procura de "fortigate".

  3. Selecione o FortiGate NGFW e selecione o Criar.Select the FortiGate NGFW and select the Create.

  4. Básicos completos utilizando os parâmetros da tabela de parâmetros de implantação.Complete Basics using the parameters from the Deployment parameters table.

    O seu formulário deve conter as seguintes informações:Your form should contain the following information:

    As caixas de texto (como o Nome de Instância e a Licença BYOL) da caixa de diálogo Basics foram preenchidas com valores da Tabela de Implantação.

  5. Selecione OK.Select OK.

  6. Forneça os detalhes de tamanho da rede virtual, sub-redes e tamanho VM a partir dos parâmetros de Implantação.Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    Se desejar utilizar diferentes nomes e gamas, tenha cuidado para não utilizar parâmetros que entrarão em conflito com os outros recursos VNET e FortiGate no outro ambiente do Azure Stack Hub.If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. Isto é especialmente verdade ao definir a gama IP VNET e as gamas de sub-redes dentro do VNET.This is especially true when setting the VNET IP range and subnet ranges within the VNET. Verifique se não se sobrepõem aos intervalos IP para o outro VNET que cria.Check that they don't overlap with the IP ranges for the other VNET you create.

  7. Selecione OK.Select OK.

  8. Configure o IP público que será utilizado para o FortiGate NVA:Configure the public IP that will be used for the FortiGate NVA:

    A caixa de texto "Nome de endereço IP público" da caixa de diálogo de atribuição IP mostra um valor de "forti1-publicip1" (a partir da Tabela de Implantação).

  9. Selecione OK e, em seguida, selecione OK.Select OK and then Select OK.

  10. Selecione Criar.Select Create.

A colocação levará cerca de 10 minutos.The deployment will take about 10 minutes. Pode agora repetir os passos para criar a outra implementação fortiGate NVA e VNET no outro ambiente Azure Stack Hub.You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

Configure rotas (UDRs) para cada VNETConfigure routes (UDRs) for each VNET

Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Navegue para o Grupo de Recursos Forti1-RG1 no portal Azure Stack Hub.Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    Esta é uma imagem da lista de recursos do grupo de recursos forti1-rg1.

  2. Selecione no recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. Selecione Rotas em Definições.Select Routes under Settings.

    A imagem mostra o item de Rotas de Definições realçado.

  4. Elimine a Rota para a Internet.Delete the to-Internet Route.

    A imagem mostra a rota para a Internet realçada.

  5. Selecione Yes (Sim).Select Yes.

  6. Selecione Adicionar.Select Add.

  7. Nomeie a Rota to-forti1 ou to-forti2 .Name the Route to-forti1 or to-forti2. Utilize o seu intervalo de IP se estiver a utilizar um intervalo de IP diferente.Use your IP range if you are using a different IP range.

  8. Introduza:Enter:

    • forti1: 172.17.0.0/16forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16forti2: 172.16.0.0/16

    Utilize o seu intervalo de IP se estiver a utilizar um intervalo de IP diferente.Use your IP range if you are using a different IP range.

  9. Selecione o aparelho virtual para o tipo de lúpulo Seguinte.Select Virtual appliance for the Next hop type.

    • forti1: 172.16.1.4forti1: 172.16.1.4
    • forti2: 172.17.0.4forti2: 172.17.0.4

    Utilize o seu intervalo de IP se estiver a utilizar um intervalo de IP diferente.Use your IP range if you are using a different IP range.

    A caixa de diálogo de rota editar para forti2 tem caixas de texto com valores.

  10. Selecione Guardar.Select Save.

Repita os passos para cada rota InsideSubnet para cada grupo de recursos.Repeat the steps for each InsideSubnet route for each resource group.

Ativar as NVAs fortiGate e configurar uma ligação IPSec VPN em cada NVAActivate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

Necessitará de um ficheiro de licença válido da Fortinet para ativar cada NVA fortiGate.You will require a valid license file from Fortinet to activate each FortiGate NVA. As NVAs não funcionarão até que tenha ativado cada NVA.The NVAs will not function until you have activated each NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar o NVA, consulte o artigo da Biblioteca de Documentos Fortinet Registando e baixando a sua licença.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Dois ficheiros de licença terão de ser adquiridos – um para cada NVA.Two license files will need to be acquired – one for each NVA.

Criar uma VPN IPSec entre os dois NVAsCreate an IPSec VPN between the two NVAs

Uma vez ativados os NVAs, siga estes passos para criar uma VPN IPSec entre as duas NVAs.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

Seguindo os passos abaixo para o forti1 NVA e forti2 NVA:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. Obtenha o endereço IP público atribuído navegando na página fortiX VM Overview:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    A página de visão geral forti1 mostra o grupo de recursos, estado, e assim por diante.

  2. Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereços.Copy the assigned IP address, open a browser, and paste the address into the address bar. O seu navegador poderá avisá-lo de que o certificado de segurança não é de confiança.Your browser may warn you that the security certificate is not trusted. Continue de qualquer forma.Continue anyway.

  3. Introduza o nome de utilizador administrativo fortiGate e a palavra-passe que forneceu durante a implementação.Enter the FortiGate administrative user name and password you provided during the deployment.

    A imagem é do ecrã de login, que tem um botão de login e caixas de texto para nome de utilizador e senha.

  4. Selecione System > Firmware de sistema.Select System > Firmware.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    A imagem do firmware "FortiOS v6.2.0 build0866" tem uma ligação para as notas de lançamento, e dois botões: "Backup config and upgrade", e "Upgrade".

  6. Selecione Backup config e upgrade e Continue quando solicitado.Select Backup config and upgrade and Continue when prompted.

  7. A NVA atualiza o seu firmware para as mais recentes construções e reboots.The NVA updates its firmware to the latest build and reboots. O processo leva cerca de cinco minutos.The process takes about five minutes. Volte a entrar na consola web FortiGate.Log back into the FortiGate web console.

  8. Clique no VPN > IPSec Wizard.Click VPN > IPSec Wizard.

  9. Introduza um nome para a VPN, por exemplo, conn1 no Assistente de Criação VPN.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Selecione Este site está por trás do NAT.Select This site is behind NAT.

    A imagem do Assistente de Criação VPN mostra que está no primeiro passo, configuração VPN.

  11. Selecione Seguinte.Select Next.

  12. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. Selecione a porta1 como interface de saída.Select port1 as the Outgoing Interface.

  14. Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.Select Pre-shared Key and enter (and record) a pre-shared key.

    Nota

    Você precisará desta chave para configurar a ligação no dispositivo VPN no local, isto é, eles devem corresponder exatamente.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    A imagem do Assistente de Criação VPN mostra que está no segundo passo, autenticação, e os valores selecionados são destacados.

  15. Selecione Seguinte.Select Next.

  16. Selecione a porta2 para a Interface Local.Select port2 for the Local Interface.

  17. Insira a gama de sub-redes local:Enter the local subnet range:

    • forti1: 172.16.0.0/16forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16forti2: 172.17.0.0/16

    Utilize o seu intervalo de IP se estiver a utilizar um intervalo de IP diferente.Use your IP range if you are using a different IP range.

  18. Introduza os sub-redes remotos apropriados que representam a rede no local, à qual irá ligar através do dispositivo VPN no local.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1: 172.16.0.0/16forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16forti2: 172.17.0.0/16

    Utilize o seu intervalo de IP se estiver a utilizar um intervalo de IP diferente.Use your IP range if you are using a different IP range.

    A imagem do Assistente de Criação VPN mostra que está no terceiro passo, Policy & Encaminhamento, mostrando os valores selecionados e introduzidos.

  19. Selecione CriarSelect Create

  20. Selecione Network > Interfaces de Rede .Select Network > Interfaces.

    A lista de interfaces mostra duas interfaces: a porta1, que foi configurada, e a porta2, que não o fez.

  21. Porta de dois cliques.Double-click port2.

  22. Escolha LAN na lista de funções e DHCP para o modo de endereçamento.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Selecione OK.Select OK.

Repita os passos para a outra NVA.Repeat the steps for the other NVA.

Traga todos os seletores da Fase 2Bring Up All Phase 2 Selectors

Uma vez que o acima foi concluído para ambos os NVAs:Once the above has been completed for both NVAs:

  1. Na consola forti2 FortiGate, selecione para Monitor > IPsec Monitor.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    O monitor da ligação VPN conn1 está listado.

  2. Realce conn1 e selecione os Seletores Bring Up All Phase > 2.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    O monitor e o Seletor fase 2 são ambos apresentados como para cima.

Testar e validar conectividadeTest and validate connectivity

Deverá agora ser capaz de fazer a rota entre cada VNET através dos NVAs FortiGate.You should now be able to route in between each VNET via the FortiGate NVAs. Para validar a ligação, crie um Azure Stack Hub VM em cada Subscrição do InsideSubnet.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. A criação de um Azure Stack Hub VM pode ser feita através do portal, CLI ou PowerShell.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Ao criar os VMs:When creating the VMs:

  • Os VM do Hub Azure Stack são colocados no InsideSubnet de cada VNET.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • Não aplica quaisquer NSGs ao VM após a criação (isto é, remova o NSG que é adicionado por padrão se criar o VM a partir do portal.You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • Certifique-se de que as regras de firewall VM permitem a comunicação que vai utilizar para testar a conectividade.Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. Para efeitos de teste, é aconselhável desativar completamente a firewall dentro do sistema operativo, se possível.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

Passos seguintesNext steps

Diferenças e considerações para a rede Azure Stack HubDifferences and considerations for Azure Stack Hub networking
Ofereça uma solução de rede no Azure Stack Hub com Fortinet FortiGateOffer a network solution in Azure Stack Hub with Fortinet FortiGate