VNet para VNet conectividade entre instâncias Azure Stack Hub com Fortinet FortiGate NVA

Neste artigo, você vai ligar um VNET em um Azure Stack Hub a um VNET em outro Azure Stack Hub usando Fortinet FortiGate NVA, um aparelho virtual de rede.

Este artigo aborda a atual limitação do Azure Stack Hub, que permite aos inquilinos criar apenas uma ligação VPN em dois ambientes. Os utilizadores aprenderão a configurar um gateway personalizado numa máquina virtual Linux que permitirá várias ligações VPN através de diferentes Azure Stack Hub. O procedimento neste artigo implementa dois VNETs com um FortiGate NVA em cada VNET: uma implantação por ambiente Azure Stack Hub. Também detalha as alterações necessárias para a criação de uma VPN IPSec entre os dois VNETs. Os passos deste artigo devem ser repetidos para cada VNET em cada Azure Stack Hub.

Pré-requisitos

  • Acesso a um Azure Stack Hub sistemas integrados com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.

    Nota

    Estas instruções não funcionarão com um Kit de Desenvolvimento de Pilhas Azure (ASDK) devido às limitações da rede na ASDK. Para mais informações, consulte os requisitos e considerações da ASDK.

  • Uma solução de aparelho virtual de rede (NVA) descarregada e publicada no Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução VM única de firewall fortinet Fortinet FortiGate de próxima geração.

  • Pelo menos dois ficheiros de licença FortiGate disponíveis para ativar o FortiGate NVA. Informações sobre como obter estas licenças, consulte o artigo da Biblioteca de Documentos Fortinet Registando e descarregando a sua licença.

    Este procedimento utiliza a implantação fortiGate-VM única. Pode encontrar etapas sobre como ligar o FortiGate NVA ao Azure Stack Hub VNET na sua rede no local.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração activa-passiva (HA), consulte o artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM em Azure.

Parâmetros de implantação

O quadro que se segue resume os parâmetros utilizados nestas implementações para referência:

Implantação um: Forti1

Nome da instância de FortiGate Forti1
Licença/versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de endereço VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Prefixo de sub-rede VNET 172.16.1.0/24*
Tamanho VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância de FortiGate Forti2
Licença/versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti2-rg1
Nome da rede virtual forti2vnet1
Espaço de endereço VNET 172.17.0.0/16*
Nome da sub-rede VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Dentro do nome da sub-rede VNET Forti2-InsideSubnet
Prefixo de sub-rede VNET 172.17.1.0/24*
Tamanho VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma com o ambiente de rede no local, incluindo o Pool VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.**

Implementar os itens de mercado fortiGate NGFW

Repita estes passos para ambos os ambientes do Azure Stack Hub.

  1. Abra o portal de utilizadores Azure Stack Hub. Certifique-se de que utiliza credenciais que têm pelo menos direitos de colaborador a uma subscrição.

  2. Selecione Criar um recurso e procurar .

    The screenshot shows a single line of results from the search for

  3. Selecione o FortiGate NGFW e selecione o Criar.

  4. Básicos completos utilizando os parâmetros da tabela de parâmetros de implantação.

    O seu formulário deve conter as seguintes informações:

    The text boxes (such as Instance Name and BYOL License) of the Basics dialog box have been filled in with values from the Deployment Table.

  5. Selecione OK.

  6. Forneça os detalhes de tamanho da rede virtual, sub-redes e tamanho VM a partir dos parâmetros de Implantação.

    Se desejar utilizar diferentes nomes e gamas, tenha cuidado para não utilizar parâmetros que irão entrar em conflito com os outros recursos VNET e FortiGate no outro ambiente Azure Stack Hub. Isto é especialmente verdade ao definir a gama IP VNET e as gamas de sub-redes dentro do VNET. Verifique se não se sobrepõem aos intervalos IP para o outro VNET que cria.

  7. Selecione OK.

  8. Configure o IP público que será utilizado para o FortiGate NVA:

    The

  9. Selecione OK e, em seguida, selecione OK.

  10. Selecione Criar.

A colocação levará cerca de 10 minutos. Agora pode repetir os passos para criar a outra implementação FortiGate NVA e VNET no outro ambiente Azure Stack Hub.

Configure rotas (UDRs) para cada VNET

Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.

  1. Navegue para o Grupo de Recursos Forti1-RG1 no portal Azure Stack Hub.

    This is a screenshot of the list of resources in the forti1-rg1 resource group.

  2. Selecione no recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  3. Selecione Rotas em Definições.

    The screenshot shows the highlighted Routes item of Settings.

  4. Elimine a Rota para a Internet.

    The screenshot shows the highlighted to-Internet route. There is a delete button.

  5. Selecione Yes (Sim).

  6. Selecione Adicionar.

  7. Nomeie a Rota ou to-forti2 . Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

  8. Introduza:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

  9. Selecione o aparelho Virtual para o próximo tipo de lúpulo.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

    The Edit route dialog box for to-forti2 has text boxes with values.

  10. Selecione Guardar.

Repita os passos para cada rota InsideSubnet para cada grupo de recursos.

Ativar as NVAs fortiGate e configurar uma ligação IPSec VPN em cada NVA

Necessitará de um ficheiro de licença válido da Fortinet para ativar cada NVA fortiGate. Os NVAs não funcionarão até que tenha ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar o NVA, consulte o artigo da Biblioteca de Documentos Fortinet Registando e baixando a sua licença.

Dois ficheiros de licença terão de ser adquiridos - um para cada NVA.

Criar uma VPN IPSec entre os dois NVAs

Uma vez ativados os NVAs, siga estes passos para criar uma VPN IPSec entre as duas NVAs.

Seguindo os passos abaixo para o forti1 NVA e forti2 NVA:

  1. Obtenha o endereço IP público atribuído navegando na página fortiX VM Overview:

    The forti1 overview page shows the resource group, status, and so on.

  2. Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereços. O seu navegador poderá avisá-lo de que o certificado de segurança não é de confiança. Continue de qualquer forma.

  3. Introduza o nome de utilizador administrativo fortiGate e a palavra-passe que forneceu durante a implementação.

    The screenshot is of the login screen, which has a Login button and text boxes for user name and password.

  4. Selecione Firmware de sistema.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866 .

    The screenshot for the

  6. Selecione Backup config e upgrade e Continue quando solicitado.

  7. A NVA atualiza o seu firmware para as mais recentes construções e reboots. O processo leva cerca de cinco minutos. Volte a entrar na consola web FortiGate.

  8. Clique no VPNIPSec Wizard.

  9. Introduza um nome para a VPN, por exemplo, conn1 no conn1.

  10. Selecione Este site está por trás do NAT.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Selecione Seguinte.

  12. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.

  13. Selecione a porta1 como interface de saída.

  14. Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.

    Nota

    Você precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, eles devem corresponder exatamente.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Selecione Seguinte.

  16. Selecione a porta2 para a Interface Local.

  17. Insira a gama de sub-redes local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

  18. Introduza os subnetas remotos apropriados que representam a rede no local, à qual irá ligar através do dispositivo VPN no local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing, showing the selected and entered values.

  19. Selecione Criar

  20. Selecione Interfaces deRede .

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Porta de duplo clique2.

  22. Escolha LAN na lista de funções e DHCP para o modo de endereço.

  23. Selecione OK.

Repita os passos para a outra NVA.

Trazer todos os seletores da fase 2

Uma vez que o acima foi concluído para ambos os NVAs:

  1. Na consola forti2 FortiGate, selecione para MonitorIPsec Monitor.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Realce conn1 e selecione os Seletores conn1All Phase >>.

    The monitor and Phase 2 Selector are both shown as up.

Testar e validar a conectividade

Deverá agora ser capaz de fazer a rota entre cada VNET através dos NVAs fortiGate. Para validar a ligação, crie um Azure Stack Hub VM em cada Subscrição de Cada Subscrição do Interior. A criação de um Azure Stack Hub VM pode ser feita através do portal, Azure CLI ou PowerShell. Ao criar os VMs:

  • Os VMs do Hub Azure Stack são colocados no InsideSubnet de cada VNET.

  • Não aplica quaisquer NSGs ao VM após a criação (isto é, remova o NSG que é adicionado por padrão se criar o VM a partir do portal.

  • Certifique-se de que as regras de firewall VM permitem a comunicação que vai utilizar para testar a conectividade. Para efeitos de teste, recomenda-se desativar completamente a firewall dentro do sistema operativo, se possível.

Passos seguintes

Diferenças e considerações para a rede Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate