Conectividade VNet a VNet entre instâncias do Azure Stack Hub com Fortinet FortiGate NVA

  • Artigo

Neste artigo, irá ligar uma VNET num Azure Stack Hub a uma VNET noutro Azure Stack Hub com a NVA Fortinet FortiGate, uma aplicação virtual de rede.

Este artigo aborda a limitação atual do Azure Stack Hub, que permite aos inquilinos configurar apenas uma ligação VPN em dois ambientes. Os utilizadores aprenderão a configurar um gateway personalizado numa máquina virtual do Linux que permitirá várias ligações VPN em diferentes Azure Stack Hub. O procedimento neste artigo implementa duas VNETs com uma NVA FortiGate em cada VNET: uma implementação por ambiente do Azure Stack Hub. Também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Os passos neste artigo devem ser repetidos para cada VNET em cada Azure Stack Hub.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.

    Nota

    Estas instruções não funcionarão com um Development Kit do Azure Stack (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, veja Requisitos e considerações do ASDK.

  • Uma solução de aplicação virtual de rede (NVA) transferida e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução de VM Única de Firewall de Próxima Geração fortinet FortiGate.

  • Pelo menos dois ficheiros de licença do FortiGate disponíveis para ativar a NVA fortiGate. Informações sobre como obter estas licenças, consulte o artigo Da Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

    Este procedimento utiliza a implementação FortiGate-VM Única. Pode encontrar passos sobre como ligar a NVA fortiGate à VNET do Azure Stack Hub na sua rede no local.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração active-passive (HA), veja o artigo da Biblioteca de Documentos da Fortinet HA para FortiGate-VM no Azure.

Parâmetros de implementação

A tabela seguinte resume os parâmetros que são utilizados nestas implementações para referência:

Implementação um: Forti1

Nome da Instância fortiGate Forti1
Licença/Versão BYOL 6.0.3
FortiGate nome de utilizador administrativo fortiadmin
Nome do Grupo de recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de Endereços da VNET 172.16.0.0/16*
Nome da sub-rede da VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Nome da sub-rede da VNET interior forti1-InsideSubnet
Prefixo de sub-rede dentro da VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 Padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implementação dois: Forti2

Nome da Instância fortiGate Forti2
Licença/Versão BYOL 6.0.3
FortiGate nome de utilizador administrativo fortiadmin
Nome do Grupo de recursos forti2-rg1
Nome da rede virtual forti2vnet1
Espaço de Endereços da VNET 172.17.0.0/16*
Nome da sub-rede da VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Nome da sub-rede da VNET interior Forti2-InsideSubnet
Prefixo de sub-rede dentro da VNET 172.17.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 Padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma ao ambiente de rede no local, incluindo o Conjunto VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.**

Implementar os Itens do Marketplace do NGFW do FortiGate

Repita estes passos para ambos os ambientes do Azure Stack Hub.

  1. Abra o portal de utilizador do Azure Stack Hub. Certifique-se de que utiliza credenciais que têm, pelo menos, direitos de Contribuidor para uma subscrição.

  2. Selecione Criar um recurso e procure FortiGate.

    A captura de ecrã mostra uma única linha de resultados da pesquisa de

  3. Selecione FortiGate NGFW e selecione Criar.

  4. Conclua as Noções Básicas com os parâmetros da tabela Parâmetros de implementação .

    O formulário deve conter as seguintes informações:

    As caixas de texto (como Nome da Instância e Licença BYOL) da caixa de diálogo Noções Básicas foram preenchidas com valores da Tabela de Implementação.

  5. Selecione OK.

  6. Indique os detalhes da rede virtual, das sub-redes e do tamanho da VM dos Parâmetros de implementação.

    Se quiser utilizar diferentes nomes e intervalos, tenha o cuidado de não utilizar parâmetros que entrem em conflito com os outros recursos da VNET e fortiGate no outro ambiente do Azure Stack Hub. Isto é especialmente verdade ao definir o intervalo de IP da VNET e os intervalos de sub-rede na VNET. Verifique se não se sobrepõem aos intervalos de IP da outra VNET que criar.

  7. Selecione OK.

  8. Configure o IP público que será utilizado para a NVA FortiGate:

    A caixa de texto

  9. Selecione OK e, em seguida, Selecione OK.

  10. Selecione Criar.

A implementação demorará cerca de 10 minutos. Agora, pode repetir os passos para criar a outra implementação de NVA e VNET FortiGate no outro ambiente do Azure Stack Hub.

Configurar rotas (UDRs) para cada VNET

Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.

  1. Navegue para o Grupo de Recursos forti1-rg1 no portal do Azure Stack Hub.

    Esta é uma captura de ecrã da lista de recursos no grupo de recursos forti1-rg1.

  2. Selecione no recurso "forti1-forti1-InsideSubnet-routes-xxxx".

  3. Selecione Rotas em Definições.

    A captura de ecrã mostra o item Rotas realçado das Definições.

  4. Elimine a Rota para a Internet .

    A captura de ecrã mostra a rota realçada para a Internet. Existe um botão eliminar.

  5. Selecione Yes (Sim).

  6. Selecione Adicionar.

  7. Atribua o nome Routeto-forti1 ou to-forti2. Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

  8. Introduza:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

  9. Selecione Aplicação virtual para o Tipo de salto seguinte.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

    A caixa de diálogo Editar rota para to-forti2 tem caixas de texto com valores.

  10. Selecione Guardar.

Repita os passos para cada rota InsideSubnet para cada grupo de recursos.

Ativar as NVAs fortiGate e Configurar uma ligação VPN IPSec em cada NVA

Precisará de um ficheiro de licença válido da Fortinet para ativar cada NVA FortiGate. As NVAs funcionarão quando tiver ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar a NVA, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

Serão necessários dois ficheiros de licença: um para cada NVA.

Criar uma VPN IPSec entre as duas NVAs

Assim que as NVAs tiverem sido ativadas, siga estes passos para criar uma VPN IPSec entre as duas NVAs.

Seguindo os passos abaixo para a NVA forti1 e forti2 NVA:

  1. Obtenha o endereço IP Público atribuído ao navegar para a página Descrição Geral da VM fortiX:

    A página de descrição geral forti1 mostra o grupo de recursos, o estado e assim sucessivamente.

  2. Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereço. O browser pode avisá-lo de que o certificado de segurança não é fidedigno. Continue mesmo assim.

  3. Introduza o nome de utilizador administrativo FortiGate e a palavra-passe que forneceu durante a implementação.

    A captura de ecrã é do ecrã de início de sessão, que tem um botão Iniciar sessão e caixas de texto para nome de utilizador e palavra-passe.

  4. Selecione Firmware do Sistema>.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A captura de ecrã do firmware

  6. Selecione Configuração de cópia de segurança e atualização e Continue quando lhe for pedido.

  7. A NVA atualiza o firmware para a compilação e reinícios mais recentes. O processo demora cerca de cinco minutos. Volte a iniciar sessão na consola Web FortiGate.

  8. Clique emAssistente ipSecde VPN>.

  9. Introduza um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  10. Selecione Este site está protegido por NAT.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no primeiro passo, Configuração da VPN. Os seguintes valores estão selecionados:

  11. Selecione Seguinte.

  12. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.

  13. Selecione a porta1 como a Interface de Envio.

  14. Selecione Chave Pré-partilhada e introduza (e registe) uma chave pré-partilhada.

    Nota

    Precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, têm de corresponder exatamente.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no segundo passo, a Autenticação e os valores selecionados estão realçados.

  15. Selecione Seguinte.

  16. Selecione a porta2 para a Interface Local.

  17. Introduza o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

  18. Introduza as Sub-redes Remotas adequadas que representam a rede no local à qual se ligará através do dispositivo VPN no local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no terceiro passo, Política & Encaminhamento, a mostrar os valores selecionados e introduzidos.

  19. Selecione Criar

  20. SelecioneInterfacesde Rede>.

    A lista de interfaces mostra duas interfaces: a porta1, que foi configurada e a porta2, que não o fez. Existem botões para criar, editar e eliminar interfaces.

  21. Faça duplo clique na porta2.

  22. Selecione LAN na Lista de funções e DHCP para o modo de Endereçamento.

  23. Selecione OK.

Repita os passos para a outra NVA.

Apresentar Todos os Seletores da Fase 2

Depois de concluída a versão acima para ambas as NVAs:

  1. Na consola Web forti2 FortiGate, selecione Monitorizar>Monitor IPsec.

    O monitor para a ligação VPN conn1 está listado. É mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Os Seletores de> Todasas Fases 2.

    O monitor e o Seletor de Fase 2 são apresentados como up.

Testar e validar a conectividade

Agora, deverá conseguir encaminhar entre cada VNET através das NVAs FortiGate. Para validar a ligação, crie uma VM do Azure Stack Hub na InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita através do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Azure Stack Hub são colocadas na InsideSubnet de cada VNET.

  • Não aplica NSGs à VM após a criação (ou seja, remova o NSG que é adicionado por predefinição se criar a VM a partir do portal.

  • Certifique-se de que as regras de firewall da VM permitem a comunicação que vai utilizar para testar a conectividade. Para fins de teste, é recomendado desativar completamente a firewall no SO, se possível.

Passos seguintes

Diferenças e considerações sobre a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate