Общие сведения о сети износоустойчивое центра Azure StackAzure Stack Hub ruggedized network introduction

Общие сведения о проектировании сетиNetwork design overview

Структура физической сетиPhysical Network design

Для поддержки работы и служб в решении Azure Stack Hub износоустойчивое требуется устойчивая и высокодоступная физическая инфраструктура.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. Каналы исходящей связи от коммутаторов ToR к пограничным коммутаторам ограничены носителями SFP+ или SFP28 и скоростями 1 ГБ, 10 ГБ или 25 ГБ.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. Обратитесь к поставщику оборудования OEM, чтобы получить сведения о доступности.Check with your original equipment manufacturer (OEM) hardware vendor for availability.

На следующей схеме представлена рекомендуемая структура для Azure Stack центра износоустойчивое.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Физическая сеть износоустойчивое концентратора Azure Stack

Структура логической сетиLogical network design

Структура логической сети представляет абстракцию физической сетевой инфраструктуры.A logical network design represents an abstraction of a physical network infrastructure. Они используются, чтобы упорядочить и упростить назначение сетей для узлов, виртуальных машин и служб.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. При создании логической сети создаются сайты сети для определения:As part of logical network creation, network sites are created to define the:

  • виртуальные локальные сети (VLAN)virtual local area networks (VLANs)
  • IP-подсетиIP subnets
  • Пары IP-подсетей и виртуальных ЛСIP subnet/VLAN pairs

Все они связаны с логической сетью в каждом физическом расположении.All of which are associated with the logical network in each physical location.

В следующей таблице показаны логические сети и соответствующие диапазоны подсети IPv4, которые необходимо выбрать.The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Логическая сетьLogical Network ОписаниеDescription РазмерSize
Общедоступный виртуальный IP-адрес (VIP)Public Virtual IP (VIP) В Azure Stack Hub износоустойчивое используется 31 адрес из этой сети.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Восемь общедоступных IP-адресов используются для небольшого набора служб износоустойчивое центра Azure Stack, а остальные используются виртуальными машинами клиента.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Если вы планируете использовать службу приложений и поставщики ресурсов SQL, потребуется еще 7 адресов.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. Оставшиеся 15 IP-адресов зарезервированы для будущих служб Azure.The remaining 15 IPs are reserved for future Azure services. /26 (62 узлов) —/26 (62 hosts)-
/22 (1022 узлов)/22 (1022 hosts)

Рекомендуется —  /24 (254 узла)Recommended = /24 (254 hosts)
Инфраструктура коммутаторовSwitch infrastructure IP-адреса типа "точка —точка" для целей маршрутизации, выделенные интерфейсы управления коммутаторами и петлевые адреса, назначенные коммутатору.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
ИнфраструктураInfrastructure Используется для обмена данными с внутренними компонентами износоустойчивое центра Azure Stack.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
PrivatePrivate Используется для сети хранения данных, частных виртуальных IP-адресов, контейнеров инфраструктуры и других внутренних функций.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Контроллер управления основной платой (BMC)Baseboard Management Controller (BMC) Используется для связи с контроллерами управления основной платой на физических узлах.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

Сетевая инфраструктураNetwork Infrastructure

Сетевая инфраструктура для концентратора Azure Stack Hub износоустойчивое состоит из нескольких логических сетей, настроенных на коммутаторах.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. На следующей схеме показаны эти логические сети и их интеграция с коммутаторами верхнего уровня (TOR), контроллером управления основной платой и параметрами границы (сеть клиента).The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Схема логической сети износоустойчивое концентратора Azure Stack:Azure Stack Hub ruggedized logical network diagram:

Логическая сеть износоустойчивое концентратора Azure Stack

Сеть BMCBMC network

Эта сеть предназначена для подключения всех контроллеров управления основной платой (также называются BMC или служебными процессорами) к сети управления.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Например: iDRAC, iLO, iBMC и т. д.Examples include: iDRAC, iLO, iBMC, and so on. Для взаимодействия с любым узлом BMC используется только одна учетная запись BMC.Only one BMC account is used to communicate with any BMC node. Узел жизненного цикла оборудования (HLH) (при наличии) размещается в этой сети и может предоставлять предназначенное для изготовителей оборудования программное обеспечение для обслуживания или мониторинга оборудования.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

Также в HLH размещена виртуальная машина для развертывания (DVM).The HLH also hosts the Deployment VM (DVM). DVM используется во время развертывания износоустойчивое центра Azure Stack и удаляется после завершения развертывания.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. Для DVM требуется доступ к Интернету в сценариях развертывания с подключением для тестирования, проверки и доступа к нескольким компонентам.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Эти компоненты могут находиться внутри корпоративной сети и вне ее (например, NTP, DNS и Azure).These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). Дополнительные сведения о требованиях к подключению см. в разделе NAT в статье интеграция брандмауэра Azure Stack Hub износоустойчивое.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

Частная сетьPrivate network

Сеть/20 (4096 IP-адресов узлов) является частной для Azure Stack центра износоустойчивое Hub.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Он не выходит за рамки коммутаторов Azure Stack центра износоустойчивое Hub.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Эта сеть делится на несколько подсетей, например:This network is divided into multiple subnets, for example:

  • Сеть хранения: A/25 (128 IP-адреса), используемая для поддержки использования локальных дисковых пространств и трафика хранилища SMB и динамической миграции виртуальной машины.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Внутренняя виртуальная сеть IP-адресов: сеть/25, выделенная только для внутренних IP-адресов для балансировщика нагрузки программного обеспечения.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Сеть контейнера: сеть/23 (512 IP-адресов), выделенная только для внутреннего трафика между контейнерами, на которых выполняются службы инфраструктуры.Container network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

Размер частной сети составляет/20 (4096 IP-адресов) пространства частных IP.The size for the Private Network is /20 (4096 IPs) of private IP space. Эта сеть является частной для системы износоустойчивое концентратора Azure Stack.This network is private to the Azure Stack Hub ruggedized system. Он не направляется за границы коммутатора износоустойчивое системы концентратора Azure Stack и может быть использован повторно в нескольких системах износоустойчивое центра Azure Stack.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Так как сеть является частной для Azure Stack Hub износоустойчивое, она не должна перекрываться с другими сетями в центре обработки данных.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. Для получения рекомендаций по частному IP-адресу рекомендуется использовать RFC 1918.For guidance on Private IP space, we recommend following the RFC 1918.

Общедоступное пространство частного IP-адреса делится на несколько сетей, что позволяет выполнять износоустойчивоеную системную инфраструктуру концентратора Azure Stack в контейнерах в будущих выпусках.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. Дополнительные сведения см. в заметках о выпуске 1910.Refer to the 1910 release notes for details. Это новое пространство частного IP-адреса позволяет выполнять текущие действия по сокращению необходимого маршрутизируемого IP-пространства перед развертыванием.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Сеть инфраструктуры износоустойчивое концентратора Azure StackAzure Stack Hub ruggedized infrastructure network

Сеть/24 выделяется внутренним компонентам износоустойчивое концентратора Azure Stack для взаимодействия и обмена данными между собой.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Эта подсеть может маршрутизироваться извне решения Azure Stack Hub износоустойчивое в центре обработки данных.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. В этой подсети не рекомендуется использовать общедоступные IP-адреса с маршрутизацией в Интернете или через Интернет.We don't recommend using Public or Internet routable IP addresses on this subnet. Эта сеть объявляется границей, но большая часть ее IP-адресов защищена списками управления доступом (ACL).This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). IP-адреса, разрешенные для доступа, находятся в небольшом диапазоне, что соответствует размеру сети/27.The IPs allowed for access are within a small range, equivalent in size to a /27 network. Службы узла IP-адресов, такие как привилегированная конечная точка (PEP) и резервная копия износоустойчивое центра Azure Stack.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Открытая сеть VIPPublic VIP network

Сеть общедоступных виртуальных IP-адресов назначается сетевому контроллеру в Azure Stack Hub износоустойчивое.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. Это не логическая сеть на коммутаторах.It's not a logical network on the switch. SLB использует пул адресов и назначает сети типа /32 для рабочих нагрузок клиента.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. В таблице коммутатора маршрутизации эти IP-адреса (/32) объявляются как доступный маршрут через протокол BGP (BGP).On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Эта сеть содержит общедоступные адреса, доступные извне.This network contains public addresses that are externally accessible. Инфраструктура Azure Stack Hub износоустойчивое резервирует первые 31 адреса из этой сети общедоступных виртуальных IP-адресов, а остаток используется виртуальными машинами клиента.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. Размер сети в этой подсети может варьироваться от минимум /26 (64 узла) до максимального значения /22 (1022 узла).The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). Мы рекомендуем спланировать сеть/24.We recommend you plan for a /24 network.

Сеть инфраструктуры коммутаторовSwitch infrastructure network

Сеть/26 — это подсеть, которая содержит подсети IP/30 (два IP-адреса узлов) с маршрутизацией и обратной связи.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Это выделенные подсети/32 для управления коммутаторами с нестандартным доступом и ИДЕНТИФИКАТОРом маршрутизатора BGP.These are dedicated /32 subnets for in-band switch management and BGP router ID. Этот диапазон IP-адресов должен поддерживать маршрутизацию за пределами решения Azure Stack Hub износоустойчивое для вашего центра обработки данных.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. IP-адреса могут быть частными или общедоступными.The IP addresses may be private or public.

Сеть управления коммутаторамиSwitch management network

Сеть/29 (шесть IP-адресов узлов) выделяется для подключения портов управления коммутаторами.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Эта сеть обеспечивает нестандартный доступ к развертыванию, управлению и устранению неполадок.This network allows out-of-band access for deployment, management, and troubleshooting. Она вычисляется на основе сети инфраструктуры коммутаторов, упомянутой выше.It's calculated from the switch infrastructure network mentioned above.

Общие сведения о проектировании DNSDNS design overview

Чтобы Azure Stack получить доступ к конечным точкам износоустойчивое концентратора (порталу, adminportal, управлению, adminmanagement) из внешних Azure Stack центра ИЗНОСОУСТОЙЧИВОЕ, необходимо интегрировать службы Azure Stack центра износоустойчивое DNS с DNS-серверами, на которых размещены зоны DNS, которые вы хотите использовать в Azure Stack концентратора износоустойчивое.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Пространство имен DNS износоустойчивое Hub Azure StackAzure Stack Hub ruggedized DNS namespace

При развертывании Azure Stack Hub износоустойчивое необходимо предоставить важные сведения, связанные с DNS.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

ПолеField ОписаниеDescription ПримерExample
РегионRegion Географическое расположение развертывания износоустойчивое центра Azure Stack.The geographic location of your Azure Stack Hub ruggedized deployment. восточныйeast
Имя внешнего доменаExternal Domain Name Имя зоны, которую вы хотите использовать для развертывания износоустойчивое центра Azure Stack.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Имя внутреннего доменаInternal Domain Name Имя внутренней зоны, используемой для служб инфраструктуры в Azure Stack Hub износоустойчивое.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. Это интегрированная и частная служба каталогов (недоступная из-за пределов развертывания износоустойчивое центра Azure Stack).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. localazurestack.local
DNS-серверы пересылкиDNS Forwarders DNS-серверы, которые используются для перенаправления запросов DNS, зон DNS и записей, размещенных за пределами Azure Stack Hub износоустойчивое, в корпоративной интрасети или в Интернете.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. После развертывания значение DNS-сервера пересылки можно изменить с помощью командлета Set-AzSDnsForwarder.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Префикс имени (необязательно)Naming Prefix (Optional) Префикс имени, который должен иметь имя компьютера экземпляра роли инфраструктуры Azure Stack Hub износоустойчивое.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Если параметр не указан, по умолчанию используется значение "AZS".If not provided, the default is "azs". AZSazs

Полное доменное имя (FQDN) развертывания износоустойчивое центра Azure Stack, а также конечные точки — это сочетание параметра Region и внешнего имени домена.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Используя значения из примеров в предыдущей таблице, полное доменное имя для этого Azure Stackного развертывания центра износоустойчивое будет выглядеть следующим образом: East.Cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

Таким образом примеры некоторых конечных точек для этого развертывания будут выглядеть как следующие URL-адреса:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Чтобы использовать этот пример пространства имен DNS для развертывания износоустойчивое центра Azure Stack, необходимы следующие условия.To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • Зона fabrikam.com регистрируется в регистраторе домена, на внутреннем корпоративном DNS-сервере или в обоих случаях.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. Регистрация зависит от требований к разрешению имен.Registration depends on your name resolution requirements.
  • Дочерний домен cloud.fabrikam.com существует в зоне fabrikam.com.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • DNS-серверы, на которых размещены зоны fabrikam.com и cloud.fabrikam.com, можно получить из Azure Stack развертывания износоустойчивое центра.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Чтобы разрешить DNS-имена для конечных точек износоустойчивое и экземпляров концентратора Azure Stack из-за пределов износоустойчивое центра Azure Stack, необходимо интегрировать DNS-серверы.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. Включая серверы, на которых размещена внешняя зона DNS для Azure Stack Hub износоустойчивое, с DNS-серверами, на которых размещается родительская зона, которую вы хотите использовать.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

Метки DNS-именDNS name labels

Azure Stack Hub износоустойчивое поддерживает добавление метки DNS-имени к общедоступному IP-адресу, чтобы разрешить разрешение имен для общедоступных IP-адресов.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. Метки DNS — это удобный способ доступа пользователей к приложениям и службам, размещенным в Azure Stack износоустойчивое центра по имени.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. Метка DNS-имени использует пространство имен, которое немного отличается от конечных точек инфраструктуры.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Пространство имен для меток DNS-имен, следующее за предыдущим примером пространства имен: * . East.cloudapp.Cloud.fabrikam.com.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Если клиент указывает в поле имя DNS ресурса общедоступного IP-адреса значение MyApp , оно создает запись a для Myapp в зоне East.cloudapp.Cloud.fabrikam.com на внешнем DNS-сервере износоустойчивое центра Azure Stack.If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. Полученное полное доменное имя будет иметь вид: MyApp.East.cloudapp.Cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Если вы хотите использовать эту функцию и это пространство имен, необходимо интегрировать DNS-серверы.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. Включая серверы, на которых размещена внешняя зона DNS для Azure Stack Hub износоустойчивое, а также DNS-серверы, на которых размещается родительская зона, которую вы хотите использовать.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Это пространство имен отличается от того, которое используется для конечных точек службы износоустойчивое концентратора Azure Stack, поэтому необходимо создать дополнительное делегирование или правило условного перенаправления.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

Дополнительные сведения о том, как работает метка DNS-имени, см. в разделе "использование DNS" раздела Azure Stack Hub износоустойчивое.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Разрешение и делегированиеResolution and delegation

Существует два следующих типа DNS-серверов.There are two types of DNS servers:

  • Полномочный DNS-сервер содержит зоны DNS.An authoritative DNS server hosts DNS zones. Он отвечает на запросы DNS для записей только в этих зонах.It answers DNS queries for records in those zones only.
  • Рекурсивный DNS-сервер не содержит зоны DNS.A recursive DNS server doesn't host DNS zones. Он отвечает на все запросы DNS, вызывая полномочные DNS-серверы для сбора необходимых данных.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

Azure Stack Hub износоустойчивое включает как полномочные, так и рекурсивные DNS-серверы.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. Серверы рекурсии используются для разрешения имен всех, кроме внутренней частной зоны, и внешней общедоступной зоны DNS для Azure Stack центра развертывания износоустойчивое.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Разрешение внешних DNS-имен из износоустойчивое концентратора Azure StackResolving external DNS names from Azure Stack Hub ruggedized

Чтобы разрешить DNS-имена для конечных точек за пределами Azure Stack центра износоустойчивое (например: www.bing.com), необходимо предоставить DNS-серверы для износоустойчивое центра Azure Stack, чтобы пересылать DNS-запросы, для которых Azure Stack концентратора износоустойчивое не является полномочным.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. DNS-серверы, Azure Stack Hub износоустойчивое, должны пересылать запросы в журнал развертывания (в поле DNS-сервера пересылки).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). Для обеспечения отказоустойчивости укажите по крайней мере два сервера в этом поле.Provide at least two servers in this field for fault tolerance. Без этих значений Azure Stack развертывание центра износоустойчивое завершается сбоем.Without these values, Azure Stack Hub ruggedized deployment fails. После развертывания значения DNS-сервера пересылки можно изменить с помощью командлета Set-AzSDnsForwarder.You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

Общие сведения о разработке брандмауэраFirewall design overview

Рекомендуется использовать устройство брандмауэра, чтобы обеспечить безопасность Azure Stack центра износоустойчивое.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. Брандмауэры могут помочь в защите от распределенных атак, например отказ в обслуживании (DDOS), обнаружение вторжений и проверка содержимого.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Тем не менее они могут ограничивать пропускную способность для служб хранилища Azure, например для больших двоичных объектов, таблиц и очередей.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Если используется автономный режим развертывания, необходимо опубликовать конечную точку службы федерации Active Directory.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Дополнительные сведения см. в статье об удостоверениях для интеграции центра обработки данных.For more information, see the datacenter integration identity article.

Конечные точки Azure Resource Manager (для администратора), портала администрирования и Key Vault (для администратора) необязательно публиковать для внешнего доступа.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Например, в качестве поставщика услуг можно ограничить уязвимую зону, только администрирование износоустойчивое центра Azure Stack из сети, а не из Интернета.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

В крупной организации внешняя сеть может являться корпоративной.For enterprise organizations, the external network can be the existing corporate network. В этом сценарии необходимо опубликовать конечные точки для работы Azure Stack Hub износоустойчивое из корпоративной сети.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

Преобразование сетевых адресовNetwork Address Translation

Преобразование сетевых адресов (NAT) является рекомендуемым методом, позволяющим виртуальной машине развертывания (DVM) получать доступ к внешним ресурсам во время развертывания.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. Кроме того, для виртуальных машин (ERCS) или привилегированной конечной точки (PEP) во время регистрации и устранения неполадок.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT также может быть альтернативой общедоступным IP-адресам во внешней сети или общедоступным виртуальным IP-адресам.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Однако делать это не рекомендуется, так как это ограничивает возможности взаимодействия с пользователем клиента и увеличивает сложность.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Возможен один вариант: NAT типа "1 к 1", при котором по-прежнему требуется один общедоступный IP-адрес для каждого IP-адреса пользователя в пуле.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Другой вариант — "многие к 1", при котором для каждого виртуального IP-адреса пользователя требуется правило NAT для всех портов, которые может применять пользователь.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Ниже приведены некоторые недостатки использования NAT для общедоступных виртуальных IP-адресов.Some of the downsides of using NAT for Public VIP are:

  • Издержки при управлении правилами брандмауэра, когда пользователи управляют собственными конечными точками и правилами публикации в стеке программно-определяемой сети (SDN).Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. Пользователи должны обратиться к оператору износоустойчивое центра Azure Stack, чтобы получить опубликованные виртуальные IP-адреса и обновить список портов.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • Использование NAT ухудшает взаимодействие с пользователем, но дает оператору полный контроль над публикацией запросов.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Для гибридных облачных сценариев с Azure следует учитывать, что Azure не поддерживает настройку VPN-туннеля к конечной точке, использующей NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

Перехват SSLSSL interception

В настоящее время рекомендуется отключить все перехваты SSL (например, разгрузку расшифровки) во всех Azure Stackном трафике центра износоустойчивое.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Если оно поддерживается в будущих обновлениях, будут предоставлены инструкции по включению перехвата SSL для Azure Stack центра износоустойчивое.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Сценарий развертывания пограничных брандмауэровEdge deployment firewall scenario

В развертывании пограничной Azure Stack центр износоустойчивое развертывается непосредственно за граничным маршрутизатором или брандмауэром.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. В этих сценариях брандмауэр должен находиться над границей (сценарий 1), где он поддерживает конфигурации брандмауэра "активный — активный" и "активный — пассивный".In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. Он также может действовать в качестве граничного устройства (сценарий 2), где он поддерживает только конфигурацию брандмауэра "активный — активный".It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. В сценарии 2 используется несколько путей (ECMP) с одинаковыми затратами (BGP или статическая маршрутизация для отработки отказа).Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Для пула общедоступных виртуальных IP-адресов во время развертывания указываются общедоступные маршрутизируемые IP адреса.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. В целях безопасности общедоступные направляемые IP-адреса не рекомендуются в какой-либо другой сети в пограничном сценарии.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Этот сценарий позволяет пользователю работать в полностью контролируемой облачной среде как в обычном общедоступном облаке типа Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Сценарий брандмауэра пограничной износоустойчивое центра Azure Stack

Сценарий с брандмауэром в сети периметра или корпоративной интрасетиEnterprise intranet or perimeter network firewall scenario

В корпоративной интрасети или в развертывании периметра Azure Stack центр износоустойчивое развертывается в брандмауэре с несколькими зонами или между граничным брандмауэром и внутренним брандмауэром корпоративной сети.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Затем его трафик распределяется между защищенной сетью периметра и незащищенными зонами, как описано ниже.Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Безопасная зона. Внутренняя сеть, использующая внутренние или корпоративные IP-адреса с маршрутизацией.Secure zone: The internal network that uses internal or corporate routable IP addresses. Безопасную сеть можно разделить.The secure network can be divided. Он может иметь исходящий доступ к Интернету через брандмауэр NAT.It can have Internet outbound access through the Firewall NAT. Обычно он доступен из центра обработки данных через внутреннюю сеть.It's normally accessible from inside your datacenter via the internal network. Все сети Azure Stack Hub износоустойчивое должны находиться в безопасной зоне, за исключением пула общедоступных виртуальных IP-адресов внешней сети.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • Зона периметра.Perimeter zone. Сеть периметра — это место, где обычно развертываются внешние или Интернет-приложения, такие как веб-серверы.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Обычно он отслеживается брандмауэром во избежание таких атак, как от атак DDoS и вторжение (взлом), и по-прежнему разрешают указанный входящий трафик из Интернета.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. В зоне DMZ должен находиться только пул общедоступных виртуальных IP-адресов износоустойчивое концентратора Azure Stack центра.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Незащищенная зона.Unsecure zone. Внешняя сеть, Интернет.The external network, the Internet. Развертывание износоустойчивое центра Azure Stack в небезопасной зоне не рекомендуется.Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Сценарий брандмауэра сети периметра

Общие сведения о проектировании VPNVPN design overview

Хотя VPN является концепцией пользователя, существует ряд важных факторов, которые необходимо знать владельцу и оператору решения.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Прежде чем начать обмен сетевым трафиком между виртуальной сетью Azure и локальным сайтом, необходимо создать шлюз для виртуальной сети.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

VPN-шлюз — это тип шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. VPN-шлюзы можно использовать для безопасной передачи трафика между виртуальной сетью в Azure Stack центра износоустойчивое и виртуальной сетью в Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. Вы также можете безопасно отправлять трафик между виртуальной сети и другой сетью, подключенной к VPN-устройству.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

При создании шлюза виртуальной сети нужно указать тип шлюза, который вы хотите использовать.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack Hub износоустойчивое поддерживает один тип шлюза виртуальной сети: тип VPN .Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

У каждой виртуальной сети может быть два шлюза виртуальной сети, но обязательно разных типов.Each virtual network can have two virtual network gateways, but only one of each type. В зависимости от выбранных параметров можно создать несколько подключений к одному VPN-шлюзу.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Примером такой конфигурации является многосайтовое подключение.An example of this kind of setup is a multi-site connection configuration.

Перед созданием и настройкой VPN-шлюзов для Azure Stack центра износоустойчивое см. рекомендации по работе с износоустойчивое центра Azure Stack.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. Вы узнаете, как конфигурации износоустойчивое центра Azure Stack отличаются от Azure.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

В Azure пропускная способность для выбранного номера SKU VPN-шлюза должна разделяться между всеми подключениями к шлюзу.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. Однако в Azure Stack концентратора износоустойчивое значение пропускной способности для SKU VPN-шлюза применяется к каждому ресурсу подключения, подключенному к шлюзу.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Пример:For example:

  • В Azure номер SKU "Базовый" VPN-шлюза может включать приблизительно 100 Мбит/с суммарной пропускной способности.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Если создать два подключения к этому VPN-шлюзу, для одного из которых используется 50 Мбит/с пропускной способности, то для другого будет доступно 50 Мбит/с.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • В Azure Stack Hub износоустойчивое для каждого подключения к основному SKU VPN-шлюза выделяется 100 Мбит/с пропускной способности.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Типы VPNVPN types

При создании шлюза виртуальной сети для конфигурации VPN-шлюза необходимо указать тип VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Выбор типа VPN зависит от топологии подключений, которую вы хотите создать.The VPN type that you choose depends on the connection topology that you want to create. Тип VPN может также зависеть от используемого оборудования.A VPN type can also depend on the hardware that you're using. Для конфигураций "сеть — сеть" требуется VPN-устройство.S2S configurations require a VPN device. Некоторые VPN-устройства поддерживают только определенный тип VPN.Some VPN devices only support a certain VPN type.

Важно!

В настоящее время Azure Stack Hub износоустойчивое поддерживает только тип VPN на основе маршрута.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Если устройство поддерживает только VPN на основе политик, то подключения к этим устройствам из центра Azure Stack Hub износоустойчивое не поддерживаются.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Кроме того, Azure Stack Hub износоустойчивое не поддерживает использование селекторов трафика на основе политик для шлюзов на основе маршрутов в настоящее время, так как настраиваемые конфигурации политики IPSec/IKE не поддерживаются.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • PolicyBased: VPN на основе политик шифруют и прямые пакеты через туннели IPSec на основе политик IPSec.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. Политики настраиваются с помощью сочетаний префиксов адресов между локальной сетью и Azure Stack виртуальной сети износоустойчивое Hub.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. Политика (или селектор трафика) обычно представляет собой список доступа в конфигурации VPN-устройства.The policy, or traffic selector, is usually an access list in the VPN device configuration. PolicyBased поддерживается в Azure, но не в центре Azure Stack износоустойчивое.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • RouteBased. виртуальные частные сети на основе маршрутов используют маршруты, настроенные в таблице IP-пересылки или маршрутизации.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. Перенаправляет пакеты в соответствующие интерфейсы туннелирования.The routes direct packets to their corresponding tunnel interfaces. Затем интерфейсы туннелей шифруют пакеты в туннели или расшифровывают их из туннелей.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Политика или селектор трафика для VPN RouteBased настроены как Any-To-Any (или использовать подстановочные знаки).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). По умолчанию их нельзя изменить.By default, they can't be changed. Значение для VPN типа RouteBased — RouteBased.The value for a RouteBased VPN type is RouteBased.

Настройка VPN-шлюзаConfiguring a VPN gateway

При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами.A VPN gateway connection relies on several resources that are configured with specific settings. Большинство этих ресурсов можно настроить по отдельности, но в некоторых случаях их следует настраивать в определенном порядке.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

НастройкиSettings

Параметры, выбранные для каждого ресурса, являются критически важными для успешного создания подключения.The settings that you choose for each resource are critical for creating a successful connection.

В этой статье подробно описываются:This article helps you understand:

  • типы шлюзов, типы VPN и типы подключений;Gateway types, VPN types, and connection types.
  • подсети шлюзов, локальные сетевые шлюзы и другие параметры ресурсов, которые стоит рассмотреть.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Схемы топологий подключенияConnection topology diagrams

Существуют различные конфигурации подключения к VPN-шлюзу.There are different configurations available for VPN gateway connections. Определите, какая из конфигураций наилучшим образом соответствует вашим требованиям.Determine which configuration best fits your needs. Далее приведены сведения и топологии для следующих типов подключения VPN-шлюза:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • доступная модель развертывания;Available deployment model
  • доступные средства настройки;Available configuration tools
  • ссылки, по которым можно перейти непосредственно к соответствующей статье (если она есть).Links that take you directly to an article, if available

Представленные в следующих разделах схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Подключение типа "сеть — сеть" и многосайтовое подключение (через VPN-туннель IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Подключение типа сайт — сайтSite-to-site

Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Для этого типа подключения требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Это устройство не может быть за пределами NAT.This device can't be located behind a NAT. Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций.S2S connections can be used for cross-premises and hybrid configurations.

Многосайтовые подключенияMulti-site

Многосайтовое подключение является вариантом подключения типа "сеть — сеть".A multi-site connection is a variation of the site-to-site connection. В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. При работе с несколькими подключениями следует использовать VPN на основе маршрутов (динамический шлюз для работы с классическими виртуальными сетями).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Номера SKU шлюзаGateway SKUs

При создании шлюза виртуальной сети для Azure Stack Hub износоустойчивое необходимо указать номер SKU шлюза, который вы хотите использовать.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. Поддерживаются следующие номера SKU VPN-шлюзов:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • высокопроизводительнаяHigh Performance

Выбор более высокого номера SKU шлюза выделяет больше ЦП и пропускную способность сети для шлюза.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack Hub износоустойчивое не поддерживает SKU шлюза Ultra Performance, который используется исключительно с Express Route.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

При выборе номера SKU учитывайте следующие факторы.Consider the following when you select the SKU:

  • Azure Stack Hub износоустойчивое не поддерживает шлюзы на основе политик.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • BGP не поддерживается в SKU "базовый".BGP isn't supported on the Basic SKU.
  • ExpressRoute — существующие конфигурации VPN-шлюза не поддерживаются в Azure Stack центра износоустойчивое.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Доступность шлюзаGateway availability

Сценарии высокого уровня доступности можно настроить только в номере SKU высокопроизводительного подключения к шлюзу .High availability scenarios can only be configured on the High-Performance Gateway connection SKU. В отличие от Azure, которая обеспечивает доступность с помощью конфигураций "активный/активный" и "активный/пассивный", Azure Stack Hub износоустойчивое поддерживает только конфигурацию "активный/пассивный".Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

Отработка отказаFailover

В Azure Stack Hub износоустойчивое есть три виртуальные машины инфраструктуры многоклиентского шлюза.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Две из этих виртуальных машин работают в активном режиме, а третья — в избыточном.Two of these VMs are in active mode, and the third is in redundant mode. Активные виртуальные машины позволяют создавать на них VPN-подключения, а избыточная виртуальная машина принимает VPN-подключения только в случае отработки отказа.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Если активная виртуальная машина шлюза становится недоступной, VPN-подключение через некоторое время после утраты связи (несколько секунд) выполняет отработку отказа на избыточную виртуальную машину.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Расчетная суммарная пропускная способность в зависимости от SKUEstimated aggregate throughput by SKU

В следующей таблице приведены типы шлюзов с приблизительной суммарной пропускной способностью в зависимости от SKU шлюза.The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Пропускная способность VPN-шлюза (1)VPN Gateway throughput (1) Максимальное число туннелей IPsec для VPN-шлюза (2)VPN Gateway max IPsec tunnels (2)
Номер SKU "Базовый" (3)Basic SKU (3) 100 Мбит/с100 Mbps 2020
SKU "Стандартный"Standard SKU 100 Мбит/с100 Mbps 2020
SKU с высокой производительностьюHigh-Performance SKU 200 Мбит/с200 Mbps 1010

Примечания к таблицеTable notes

(1) — пропускная способность VPN не обеспечивает гарантированную пропускную способность для подключений между организациями через Интернет.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Это максимально возможное значение пропускной способности.It's the maximum possible throughput measurement.
(2) — максимальное число туннелей в износоустойчивое центра Azure Stack для всех подписок.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) — маршрутизация BGP не поддерживается для SKU "базовый".(3) - BGP routing isn't supported for the Basic SKU.

Важно!

Между двумя развертываниями износоустойчивое центра Azure Stack может быть создано только одно VPN-подключение типа "сеть — сеть".Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Это связано с ограничением платформы, в соответствии с которым разрешается создавать только одно VPN-подключение с использованием одного и того же IP-адреса.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Так как Azure Stack Hub износоустойчивое использует многоклиентский шлюз, использующий один общедоступный IP-адрес для всех VPN-шлюзов в системе износоустойчивое центра Azure Stack, между двумя системами Azure Stack центра износоустойчивое может быть только одно VPN-подключение.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack Hub износоустойчивое не позволяет создавать несколько ресурсов шлюза локальной сети, используя один и тот же IP-адрес. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

Параметры IPsec/IKEIPsec/IKE parameters

При настройке VPN-подключения в Azure Stack Hub износоустойчивое необходимо настроить подключение на обоих концах.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. Если вы настраиваете VPN-подключение между износоустойчивое центра Azure Stack и устройством оборудования, это устройство может запросить дополнительные параметры.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Например, коммутатор или маршрутизатор, выступающий в качестве VPN-шлюза.For example, a switch or router that's acting as a VPN gateway.

В отличие от Azure, которая поддерживает несколько предложений как для инициатора, так и для респондента, Azure Stack Hub износоустойчивое поддерживает только одно предложение по умолчанию.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Если вам нужно использовать разные параметры IPSec/IKE для работы с VPN-устройством, доступны дополнительные параметры для настройки подключения вручную.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Параметры этапа 1 IKE (главный режим)IKE Phase 1 (Main Mode) parameters

СвойствоProperty ЗначениеValue
Версия IKEIKE Version IKEv2IKEv2
Группа Диффи — ХелманаDiffie-Hellman Group ECP384ECP384
Метод проверки подлинностиAuthentication Method Общий ключPre-Shared Key
Алгоритмы шифрования и хэшированияEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
Срок действия SA (время)SA Lifetime (Time) 28 800 сек28,800 seconds

Параметры этапа 2 IKE (быстрый режим)IKE Phase 2 (Quick Mode) parameters

СвойствоProperty ЗначениеValue
Версия IKEIKE Version IKEv2IKEv2
Алгоритмы шифрования и хэширования (шифрование)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Алгоритмы шифрования и хэширования (аутентификация)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
Срок действия SA (время)SA Lifetime (Time) 27 000 секунд27,000 seconds
Срок действия SA (килобайты)SA Lifetime (Kilobytes) 33 553 40833,553,408
Полная безопасность пересылки (PFS)Perfect Forward Secrecy (PFS) ECP384ECP384
Обнаружение неиспользуемых одноранговых узловDead Peer Detection ПоддерживаетсяSupported

Настройка пользовательских политик подключения IPSec/IKEConfigure custom IPSec/IKE connection policies

Стандарт протоколов IPsec и IKE поддерживает широкий набор алгоритмов шифрования в разных комбинациях.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Сведения о том, какие параметры поддерживаются в Azure Stack центра износоустойчивое для удовлетворения требований к соответствию или безопасности, см. в разделе Параметры IPsec/IKE.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

Эта статья содержит инструкции по созданию и настройке политики IPsec/IKE, а также ее применению к новому или существующему подключению.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

РекомендацииConsiderations

Учитывайте следующие рекомендации при использовании этих политик:Note the following important considerations when using these policies:

  • Политика IPsec/IKE поддерживается только номерами SKU шлюзов уровня Стандартный и Высокопроизводительный (на основе маршрутов).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • Можно указать только одну комбинацию политик для каждого подключения.You can only specify one policy combination for a given connection.
  • Вам следует указать все алгоритмы и параметры для IKE (основной режим) и IPsec (быстрый режим).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Указать частичную спецификацию политики невозможно.Partial policy specification isn't allowed.
  • Ознакомьтесь со спецификациями поставщиков VPN-устройств, чтобы убедиться, что политика поддерживается на локальных VPN-устройствах.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Если политики несовместимы, невозможно будет установить подключения типа "сеть — сеть".Site-to-site connections can't be established if the policies are incompatible.

Рабочий процесс для создания и задания политики IPsec/IKEWorkflow to create and set IPsec/IKE policy

В этом разделе описывается рабочий процесс создания и обновления политики IPsec/IKE для VPN-подключений типа "сеть — сеть":This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Создание виртуальной сети и VPN-шлюза.Create a virtual network and a VPN gateway.
  2. Создание шлюза локальной сети для распределенного подключения.Create a local network gateway for cross-premises connection.
  3. Создание политики IPsec/IKE с выбранными алгоритмами и параметрами.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Создание VPN-подключения типа "сеть — сеть" с использованием политики IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.
  5. Добавление, обновление и удаление политики IPsec/IKE для существующего подключения.Add/update/remove an IPsec/IKE policy for an existing connection.

Поддерживаемые алгоритмы шифрования и сильные ключиSupported cryptographic algorithms and key strengths

В следующей таблице перечислены поддерживаемые алгоритмы шифрования и сильные ключи, настраиваемые клиентами центра Azure Stack Hub износоустойчивое:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 ПараметрыOptions
Шифрование IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Проверка целостности IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Группа DHDH Group ECP384, ECP256, DHGroup14, DHGroup2048 (DHGroup2), DHGroup1, DHGroup1, нетECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Шифрование IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, нетGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Целостность IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Группа PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, нетPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Время существования QM SAQM SA Lifetime (Необязательно — используются значения по умолчанию, если не заданы другие значения.)(Optional: default values are used if not specified)
Секунды (целое число; min. 300/по умолчанию 27 000 секунд)Seconds (integer; min. 300/default 27,000 seconds)
КБ (целое число; min. 1024/по умолчанию 102 400 000 КБ)KBytes (integer; min. 1024/default 102,400,000 KBytes)
Селектор трафикаTraffic Selector Селекторы трафика на основе политик не поддерживаются в Azure Stack центра износоустойчивое.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

Ваша конфигурация локальных VPN-устройств должна совпадать со следующими алгоритмами и параметрами, указанными в политике Azure IPsec/IKE, или содержать их.Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • алгоритм шифрования IKE (основной режим или фаза 1);IKE encryption algorithm (Main Mode / Phase 1).
  • алгоритм обеспечения целостности IKE (основной режим или фаза 1);IKE integrity algorithm (Main Mode / Phase 1).
  • группа DH (основной режим или фаза 1);DH Group (Main Mode / Phase 1).
  • алгоритм шифрования IKE (основной режим или фаза 2);IPsec encryption algorithm (Quick Mode / Phase 2).
  • алгоритм обеспечения целостности IPsec (быстрый режим или фаза 2);IPsec integrity algorithm (Quick Mode / Phase 2).
  • группа PFS (быстрый режим или фаза 2).PFS Group (Quick Mode / Phase 2).
  • Время существования SA — только локальные спецификации, они не должны совпадать.The SA lifetimes are local specifications only, they don't need to match.

Если для шифрования IPsec используется алгоритм GCMAES, необходимо указать одинаковую длину алгоритма и ключа для проверки целостности IPsec.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Например, для обоих можно использовать GCMAES128.For example: using GCMAES128 for both.

В приведенной выше таблице:In the preceding table:

  • IKEv2 соответствует основному режиму или фазе 1;IKEv2 corresponds to Main Mode or Phase 1.
  • IPsec соответствует быстрому режиму или фазе 2;IPsec corresponds to Quick Mode or Phase 2.
  • группа DH определяет группу Диффи — Хеллмана, которая используется в основном режиме или фазе 1;DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • группа PFS определяет группу Диффи — Хеллмана, которая используется в быстром режиме или фазе 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • Время жизни SA в основном режиме зафиксировано в 28 800 секунд на VPN-шлюзах износоустойчивое концентратора Azure Stack.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

В следующей таблице перечислены соответствующие группы Диффи — Хеллмана, поддерживаемые пользовательскими политиками.The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Группа Диффи-ХелманаDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Длина ключаKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP (768 бит)768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP (1024 бит)1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 MODP (2048 бит)2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 ECP (256 бит)256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP (384 бит)384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP (2048 бит)2048-bit MODP

Подключение Azure Stack Hub износоустойчивое к Azure с помощью Azure ExpressRouteConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Обзор, предположения и предварительные требованияOverview, assumptions, and prerequisites

Azure ExpressRoute позволяет расширить локальные сети в Microsoft Cloud.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. Используется частное подключение, предоставляемое поставщиком услуг подключения.You use a private connection supplied by a connectivity provider. ExpressRoute не является VPN-подключением через общедоступный Интернет.ExpressRoute isn't a VPN connection over the public Internet.

Дополнительные сведения об Azure ExpressRoute см. в этой статье.For more information about Azure ExpressRoute, see the ExpressRoute overview.

ДопущенияAssumptions

В этой статье предполагается, что:This article assumes that:

  • у вас есть опыт работы с Azure;You have a working knowledge of Azure.
  • Вы получите базовое представление о Azure Stack Hub износоустойчивое.You have a basic understanding of Azure Stack Hub ruggedized.
  • у вас есть базовое представление о сетевых подключениях.You have a basic understanding of networking.

Предварительные требованияPrerequisites

Для подключения Azure Stack Hub износоустойчивое и Azure с помощью ExpressRoute необходимо соблюдать следующие требования.To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • Канал ExpressRoute, подготовленный через поставщика услуг.A provisioned ExpressRoute circuit through a connectivity provider.
  • Подписка Azure, используемая при создании канала ExpressRoute и виртуальных сетей в Azure.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • Маршрутизатор, поддерживающий:A router that supports:
    • VPN-подключения типа "сеть — сеть" между локальным интерфейсом локальной сети и шлюзом Azure Stack Hub износоустойчивое с несколькими клиентами.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • Создание нескольких Врфс (виртуальная Маршрутизация и пересылка), если в развертывании износоустойчивое центра Azure Stack больше одного клиента.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • Маршрутизатор с:A router that has:
    • портом WAN, подключенным к каналу ExpressRoute;A WAN port connected to the ExpressRoute circuit.
    • Порт локальной сети, подключенный к шлюзу Azure Stack концентратора износоустойчивое с несколькими клиентами.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

Сетевая архитектура ExpressRouteExpressRoute network architecture

На следующем рисунке показаны износоустойчивое центра Azure Stack и среды Azure после завершения настройки ExpressRoute с помощью примеров в этой статье:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

Сетевая архитектура ExpressRoute

На следующем рисунке показано, как несколько клиентов подключаются из инфраструктуры Azure Stack Hub износоустойчивое через маршрутизатор ExpressRoute к Azure.The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

Архитектура сети ExpressRoute с несколькими клиентами