Подключение виртуальной сети к виртуальной сети между экземплярами Azure Stack Hub с помощью NVA Fortinet FortiGate

  • Статья

В этой статье показано, как подключить виртуальную сеть в одном экземпляре Azure Stack Hub к виртуальной сети в другом экземпляре Azure Stack Hub с помощью виртуального сетевого модуля (NVA) Fortinet FortiGate.

В этой статье рассматривается текущее ограничение Azure Stack Hub, которое позволяет клиентам настраивать только одно VPN-подключение в двух средах. Пользователи узнают, как настроить на виртуальной машине Linux пользовательский шлюз, который позволит использовать несколько VPN-подключений между разными средами Azure Stack Hub. Процедура, описанная в этой статье, развертывает две виртуальные сети с NVA FortiGate в каждой: по одному развертыванию для каждой среды Azure Stack Hub. В ней также подробно описаны изменения, необходимые для настройки VPN-подключения IPSec между двумя виртуальными сетями. Действия, описанные в этой статье, следует повторить для каждой виртуальной сети в каждом экземпляре Azure Stack Hub.

Предварительные требования

  • Доступ к интегрированным системам Azure Stack Hub с доступной емкостью для развертывания обязательных ресурсов вычисления, сети и других ресурсов, необходимых для этого решения.

    Примечание

    Эти инструкции не будут работать с пакетом средств разработки Azure Stack (ASDK) из-за сетевых ограничений в ASDK. Дополнительные сведения см. в статье Требования и рекомендации для ASDK.

  • Решение виртуального сетевого модуля (NVA), которое скачано и опубликовано в Azure Stack Hub Marketplace. Виртуальный сетевой модуль используется для управления передачей сетевого трафика из сети периметра к другим сетям и подсетям. В этой процедуре используется решение с одной виртуальной машиной с брандмауэром следующего поколения Fortinet FortiGate.

  • Чтобы активировать NVA FortiGate, потребуется по крайней мере один доступный файл лицензии FortiGate. Сведения о том, как получить эти лицензии, см. в библиотеке документации Fortinet.

    В этой процедуре используется развертывание одной виртуальной машины FortiGate-VM. Вы узнаете, как подключить NVA FortiGate к виртуальной сети Azure Stack Hub в вашей локальной сети.

    Дополнительные сведения о развертывании решения FortiGate в режиме "активный — пассивный" (высокий уровень доступность) см. в документации по высокому уровню доступности FortiGate-VM в Azure.

Параметры развертывания

В следующей таблице для справки перечислены параметры, которые используются в этих развертываниях.

Развертывание одно: Forti1

Имя экземпляра FortiGate Forti1
Лицензия BYOL, версия 6.0.3
Имя пользователя с правами администратора FortiGate fortiadmin
Имя группы ресурсов forti1-rg1
Имя виртуальной сети forti1vnet1
Адресное пространство виртуальной сети 172.16.0.0/16*
Имя подсети общедоступной виртуальной сети forti1-PublicFacingSubnet
Префикс адреса общедоступной виртуальной сети 172.16.0.0/24*
Имя подсети виртуальной сети forti1-InsideSubnet
Префикс подсети виртуальной сети 172.16.1.0/24*
Размер виртуальной машины NVA FortiGate Standard F2s_v2
Имя общедоступного IP-адреса forti1-publicip1
Тип общедоступного IP-адреса Статические

Развертывание два: Forti2

Имя экземпляра FortiGate Forti2
Лицензия BYOL, версия 6.0.3
Имя пользователя с правами администратора FortiGate fortiadmin
Имя группы ресурсов forti2-rg1
Имя виртуальной сети forti2vnet1
Адресное пространство виртуальной сети 172.17.0.0/16*
Имя подсети общедоступной виртуальной сети forti2-PublicFacingSubnet
Префикс адреса общедоступной виртуальной сети 172.17.0.0/24*
Имя подсети виртуальной сети Forti2-InsideSubnet
Префикс подсети виртуальной сети 172.17.1.0/24*
Размер виртуальной машины NVA FortiGate Standard F2s_v2
Имя общедоступного IP-адреса Forti2-publicip1
Тип общедоступного IP-адреса Статические

Примечание

* Выберите другой набор адресных пространств и префиксов подсети, если указанные выше элементы каким-либо образом перекрываются с локальной сетевой средой, включая пул ВИРТУАЛЬНЫх IP-адресов azure Stack Hub. Убедитесь также, что диапазоны адресов не перекрывают друг друга**.

Развертывание элементов Marketplace FortiGate NGFW

Повторите эти действия для обеих сред Azure Stack Hub.

  1. Откройте портал пользователя Azure Stack Hub. Обязательно используйте учетные данные, имеющие по крайней мере права участника для подписки.

  2. Щелкните Создать ресурс и выполните поиск по запросу FortiGate.

    На снимке экрана показана одна строка результатов поиска fortigate. Имя найденного элемента —

  3. Щелкните FortiGate NGFW и нажмите кнопку Создать.

  4. Заполните поля на вкладке Основные сведения, используя параметры из таблицы Параметры развертывания.

    Форма должна содержать указанные ниже сведения.

    Текстовые поля (например, Имя экземпляра и Лицензия BYOL) диалогового окна Основные сведения были заполнены значениями из таблицы развертывания.

  5. Щелкните ОК.

  6. Укажите виртуальную сеть, подсети и сведения о размере виртуальной машины, используя таблицу Параметры развертывания.

    Если вы хотите использовать разные имена и диапазоны, не используйте параметры, которые будут конфликтовать с другими ресурсами виртуальной сети и FortiGate в другой среде Azure Stack Hub. Будьте особенно внимательны при настройке диапазона IP-адресов виртуальной сети и диапазонов подсетей в виртуальной сети. Убедитесь, что они не перекрывают диапазоны IP-адресов для другой создаваемой виртуальной сети.

  7. Щелкните ОК.

  8. Настройте общедоступный IP-адрес для NVA FortiGate:

    В текстовом поле

  9. Нажмите кнопку ОК, а затем еще раз нажмите кнопку ОК.

  10. Нажмите кнопку создания.

Развертывание займет около 10 минут. Теперь можно повторить шаги, чтобы создать другое развертывание NVA FortiGate и виртуальной сети в другой среде Azure Stack Hub.

Настройка маршрутов (определяемых пользователем маршрутов) для каждой виртуальной сети

Выполните следующие действия для обоих развертываний: forti1-rg1 и forti2-rg1.

  1. Перейдите в группу ресурсов forti1-rg1 на портале Azure Stack Hub.

    На этом снимке экрана показан список ресурсов в группе ресурсов forti1-rg1.

  2. Выберите ресурс forti1-forti1-InsideSubnet-routes-xxxx.

  3. В разделе Параметры выберите Маршруты.

    На снимках экрана показан выделенный элемент

  4. Удалите маршрут to-Internet.

    Снимок экрана: выделенный маршрут к Интернету. Существует кнопка удаления.

  5. Выберите ответ Да.

  6. Выберите Добавить.

  7. Присвойте имя маршрутуto-forti1 или to-forti2. Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

  8. Введите:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

  9. Выберите Виртуальный модуль в поле Тип следующего прыжка.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

    Диалоговое окно Изменение маршрута для to-forti2 содержит текстовые поля со значениями.

  10. Щелкните Сохранить.

Повторите шаги для каждого маршрута во внутренней подсети для каждой группы ресурсов.

Активация NVA FortiGate и настройка VPN-подключения IPSec для каждого NVA

Чтобы активировать каждый NVA FortiGate, потребуется действительный файл лицензии из Fortinet. Модули NVA не будут работать до тех пор, пока они все не будут активированы. Дополнительные сведения о том, как получить файл лицензии и шаги по активации NVA, см. в библиотеке документации по Fortinet.

Потребуется получить два файла лицензии — по одному для каждого NVA.

Создание VPN-подключения IPSec между двумя NVA

После активации NVA выполните следующие действия, чтобы создать VPN-подключение IPSec между двумя NVA.

Выполните следующие действия для виртуальных сетевых модулей forti1 NVA и forti2:

  1. Получите назначенный общедоступный IP-адрес, перейдя на страницу обзора виртуальной машины fortiX:

    На странице обзора forti1 отображается группа ресурсов, состояние и т. д.

  2. Скопируйте назначенный IP-адрес, откройте браузер и вставьте адрес в адресную строку. В браузере может появиться предупреждение о том, что сертификат безопасности не является доверенным. Не обращайте внимание.

  3. Введите имя пользователя с правами администратора и пароль FortiGate, указанные во время развертывания.

    Снимок экрана: экран входа с кнопкой

  4. Выберите Системное>встроенное ПО.

  5. Установите флажок напротив последней версии встроенного ПО, например FortiOS v6.2.0 build0866.

    Снимок экрана встроенного ПО FortiOS версии 6.2.0 build0866 содержит ссылку на заметки о выпуске и две кнопки:

  6. Нажмите кнопку Backup config and upgrade (Резервное копирование конфигурации и обновление) и кнопку Continue (Продолжить) при появлении соответствующего запроса.

  7. В NVA встроенное ПО обновляется до последней сборки, а модуль перезагружается. Процесс займет около пяти минут. Снова войдите в веб-консоль FortiGate.

  8. Щелкните Мастер VPN>IPSec.

  9. Введите имя VPN, например conn1, в мастере создания VPN.

  10. Щелкните This site is behind NAT (Сайт скрыт за NAT).

    Снимок экрана мастера создания VPN показывает, что он выполняется на первом шаге— настройка VPN. Выбраны следующие значения:

  11. Выберите Далее.

  12. Введите удаленный IP-адрес локального VPN-устройства, к которому будет выполнено подключение.

  13. Выберите port1 в качестве исходящего интерфейса.

  14. Выберите Pre-shared Key (Общий ключ) и введите (и сохраните) общий ключ.

    Примечание

    Этот ключ потребуется для настройки подключения на локальном VPN-устройстве, то есть ключи должны полностью совпадать.

    Снимок экрана мастера создания VPN показывает, что он выполняется на втором шаге Проверка подлинности, а выбранные значения выделены.

  15. Выберите Далее.

  16. Выберите port2 в качестве локального интерфейса

  17. Введите диапазон локальной подсети:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

  18. Введите соответствующие удаленные подсети, представляющие локальную сеть, к которой вы будете подключаться через локальное VPN-устройство.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

    На снимку экрана мастера создания VPN показано, что он выполняется на третьем шаге Политика & маршрутизации, где отображаются выбранные и введенные значения.

  19. Выберите Создать.

  20. Выберите Сетевые>интерфейсы.

    В списке интерфейсов отображаются два интерфейса: port1, который был настроен, и port2, который не имеет. Существуют кнопки для создания, изменения и удаления интерфейсов.

  21. Дважды щелкните port2.

  22. Выберите LAN в списке Role (Роль) и DHCP в качестве режима адресации.

  23. Щелкните ОК.

Повторите эти действия на другом NVA.

Вызов всех селекторов второго этапа

После завершения приведенной выше процедуры для обоих NVA:

  1. В веб-консоли forti2 FortiGate выберите Мониторинг>монитора IPsec.

    Отображается монитор для VPN-подключения conn1. Он отображается как не работает, как и соответствующий селектор этапа 2.

  2. Выделите conn1 и выберите селекторы "Открыть>все этапы 2".

    Монитор и селектор этапа 2 отображаются как

Проверка подключения

Теперь можно выполнять маршрутизацию между виртуальными сетями через NVA FortiGate. Чтобы проверить подключение, создайте виртуальную машину Azure Stack Hub внутри подсети каждой виртуальной сети. Создать виртуальную машину Azure Stack Hub можно с помощью портала, Azure CLI или PowerShell. При создании виртуальных машин:

  • Виртуальная машина Azure Stack Hub размещается во внутренней подсети каждой виртуальной сети.

  • Не применяйте все группы безопасности сети (NSG) к виртуальной машине при создании (удалите NSG, которая добавляется по умолчанию при создании виртуальной машины на портале).

  • Убедитесь, что правила брандмауэра виртуальной машины разрешают взаимодействие, которое будет использоваться для проверки подключения. В целях тестирования рекомендуется полностью отключить брандмауэр в операционной системе, если это возможно.

Дальнейшие действия

Сети Azure Stack Hub: различия и рекомендации
Предложение сетевого решения для Azure Stack Hub с помощью Fortinet FortiGate