Introduktion till förRobust nätverks introduktion i Azure Stack HubAzure Stack Hub ruggedized network introduction

  • 23 minuter för att läsa

Översikt över nätverks designNetwork design overview

Design av fysiskt nätverkPhysical Network design

Den förrobusta lösningen Azure Stack Hub kräver en flexibel och hög tillgänglig fysisk infrastruktur för att stödja drift och tjänster.The Azure Stack Hub ruggedized solution requires a resilient and highly available physical infrastructure to support its operation and services. Länkar från ToR till kant linje växlar är begränsade till SFP + eller SFP28 media och 1 GB, 10 GB eller 25 GB hastigheter.Uplinks from ToR to Border switches are limited to SFP+ or SFP28 media and 1 GB, 10 GB, or 25-GB speeds. Kontakta OEM-leverantören (Original Equipment Manufacturer) för tillgänglighet.Check with your original equipment manufacturer (OEM) hardware vendor for availability.

Följande diagram visar vår rekommenderade design för Azure Stack Hub robust.The following diagram presents our recommended design for Azure Stack Hub ruggedized.

Azure Stack hubb tåligt fysiskt nätverk

Design av logiskt nätverkLogical network design

En logisk nätverks design representerar en abstraktion av en fysisk nätverks infrastruktur.A logical network design represents an abstraction of a physical network infrastructure. De används för att organisera och förenkla nätverks tilldelningar för värdar, virtuella datorer (VM) och tjänster.They're used to organize and simplify network assignments for hosts, virtual machines (VMs), and services. Som en del av den logiska nätverks skapandet skapas nätverks platser för att definiera:As part of logical network creation, network sites are created to define the:

  • virtuella lokala nätverk (VLAN)virtual local area networks (VLANs)
  • IP-undernätIP subnets
  • IP-undernät/VLAN-parIP subnet/VLAN pairs

Alla som är kopplade till det logiska nätverket på varje fysisk plats.All of which are associated with the logical network in each physical location.

I följande tabell visas de logiska nätverken och de associerade IPv4-under näts intervall som du måste planera för:The following table shows the logical networks and associated IPv4 subnet ranges that you must plan for:

Logiskt nätverkLogical Network BeskrivningDescription StorlekSize
Offentlig virtuell IP-adress (VIP)Public Virtual IP (VIP) Azure Stack Hub robusta använder totalt 31 adresser från det här nätverket.Azure Stack Hub ruggedized uses a total of 31 addresses from this network. Åtta offentliga IP-adresser används för en liten uppsättning Azure Stack nav-robusta tjänster och resten används av virtuella klient datorer.Eight public IP addresses are used for a small set of Azure Stack Hub ruggedized services and the rest are used by tenant VMs. Om du planerar att använda App Service och SQL-adressresursen används 7 fler adresser.If you plan to use App Service and the SQL resource providers, 7 more addresses are used. De återstående 15 IP-adresserna är reserverade för framtida Azure-tjänster.The remaining 15 IPs are reserved for future Azure services. /26 (62-värdar)-/26 (62 hosts)-
/22 (1022-värdar)/22 (1022 hosts)

Rekommenderade =/24 (254-värdar)Recommended = /24 (254 hosts)
Växla infrastrukturSwitch infrastructure Punkt-till-punkt-IP-adresser för routning, dedikerade växel hanterings gränssnitt och loopback-adresser som tilldelats växeln.Point-to-point IP addresses for routing purposes, dedicated switch management interfaces, and loopback addresses assigned to the switch. /26/26
InfrastrukturInfrastructure Används för Azure Stack nav med robusta interna komponenter för att kommunicera.Used for Azure Stack Hub ruggedized internal components to communicate. /24/24
PrivatPrivate Används för lagrings nätverket, privata virtuella IP-nätverk, infrastruktur behållare och andra interna funktioner.Used for the storage network, private VIPs, Infrastructure containers, and other internal functions. /20/20
Styrenhet för huvudkortshantering (BMC)Baseboard Management Controller (BMC) Används för att kommunicera med de Baseboard-hanterings styrenheterna på de fysiska värdarna.Used to communicate with the baseboard management controllers on the physical hosts. /26/26

NätverksinfrastrukturNetwork Infrastructure

Nätverks infrastrukturen för Azure Stack Hub är tåligt består av flera logiska nätverk som har kon figurer ATS på växlarna.The network infrastructure for Azure Stack Hub ruggedized consists of several logical networks that are configured on the switches. Följande diagram visar dessa logiska nätverk och hur de integreras med växlarna Top-of-rack (TOR), Baseboard Management Controller och Border (kundens nätverk).The following diagram shows these logical networks and how they integrate with the top-of-rack (TOR), baseboard management controller, and border (customer network) switches.

Azure Stack Hub-förRobust logiskt nätverks diagram:Azure Stack Hub ruggedized logical network diagram:

Azure Stack hubb tåligt logiskt nätverk

BMC-nätverkBMC network

Det här nätverket är dedikerat för att ansluta alla styrenheter för nätverks styrenhets hantering (kallas även BMC-eller tjänst processorer) till hanterings nätverket.This network is dedicated to connecting all the baseboard management controllers (also known as BMC or service processors) to the management network. Exempel är: iDRAC, iLO, iBMC och så vidare.Examples include: iDRAC, iLO, iBMC, and so on. Endast ett BMC-konto används för att kommunicera med en BMC-nod.Only one BMC account is used to communicate with any BMC node. Om det finns en HLH (Hardware Lifecycle Host) finns i det här nätverket och kan tillhandahålla OEM-/regionsspecifika program vara för maskin varu underhåll eller övervakning.If present, the Hardware Lifecycle Host (HLH) is located on this network and may provide OEM-specific software for hardware maintenance or monitoring.

HLH är också värd för den virtuella distributions datorn (DVM).The HLH also hosts the Deployment VM (DVM). DVM används under Azure Stack Hub-förRobust distribution och tas bort när distributionen är klar.The DVM is used during Azure Stack Hub ruggedized deployment and is removed when deployment completes. DVM kräver Internet åtkomst i anslutna distributions scenarier för att testa, validera och komma åt flera komponenter.The DVM requires Internet access in connected deployment scenarios to test, validate, and access multiple components. Dessa komponenter kan finnas i och utanför företags nätverket (till exempel: NTP, DNS och Azure).These components can be inside and outside of your corporate network (for example: NTP, DNS, and Azure). Mer information om anslutnings krav finns i avsnittet NAT i Azure Stack Hub-integrering av brand väggar.For more information about connectivity requirements, see the NAT section in Azure Stack Hub ruggedized firewall integration.

Privat nätverkPrivate network

Nätverket/20 (4096-värd-IP) är privat i den Azure Stack Hub-förrobusta regionen.The /20 (4096 host IPs) network is private to the Azure Stack Hub ruggedized region. Den utökas inte utanför gräns växelns enheter i den Azure Stack Hub-förrobusta regionen.It doesn't expand beyond the border switch devices of the Azure Stack Hub ruggedized region. Nätverket är uppdelat i flera undernät, till exempel:This network is divided into multiple subnets, for example:

  • Lagrings nätverk: ett/25-nätverk (128 IP-adresser) som används för att stödja användningen av Spaces Direct och lagrings trafik för Server Message Block (SMB) och direktmigrering av virtuella datorer.Storage network: A /25 (128 IPs) network used to support the use of Spaces Direct and Server Message Block (SMB) storage traffic and VM live migration.
  • Internt virtuellt IP-nätverk: ett/25-nätverk dedikerat till endast intern VIP för belastningsutjämnare för program vara.Internal virtual IP network: A /25 network dedicated to internal-only VIPs for the software load balancer.
  • Container nätverk: ett/23 (512 IP-adresser) dedikerad till intern trafik mellan behållare som kör infrastruktur tjänsterContainer network: A /23 (512 IPs) network dedicated to internal-only traffic between containers running infrastructure services

Storleken på det privata nätverket är/20 (4096 IP-adresser) för privat IP-utrymme.The size for the Private Network is /20 (4096 IPs) of private IP space. Det här nätverket är privat för Azure Stack Hub-förrobusta systemet.This network is private to the Azure Stack Hub ruggedized system. Den dirigerar inte över gräns enhets växelns enheter i Azure Stack Hub-förrobusta systemet och kan återanvändas på flera Azure Stack Hub-system.It doesn't route beyond the border switch devices of the Azure Stack Hub ruggedized system, and can be reused on multiple Azure Stack Hub ruggedized systems. Nätverket är privat för Azure Stack Hub, men det får inte överlappa andra nätverk i data centret.While the network is private to Azure Stack Hub ruggedized, it must not overlap with other networks in the datacenter. För vägledning om privat IP-utrymme rekommenderar vi att du följer RFC 1918.For guidance on Private IP space, we recommend following the RFC 1918.

Det/20 privata IP-utrymmet är indelat i flera nätverk, vilket gör att den Azure Stack hubben system infrastruktur kan köras på behållare i framtida versioner.The /20 Private IP space is divided into multiple networks, that enable the Azure Stack Hub ruggedized system infrastructure to run on containers in future releases. Mer information finns i versions kommentarerna för 1910.Refer to the 1910 release notes for details. Det nya privata IP-utrymmet gör det möjligt att minska det IP-utrymme som krävs innan du distribuerar.This new Private IP space enables ongoing efforts to reduce the required routable IP space before deployment.

Azure Stack nav-robust infrastruktur nätverkAzure Stack Hub ruggedized infrastructure network

/24-nätverket är dedikerat till interna Azure Stack Hub-förrobusta komponenter för att kommunicera och utbyta data sinsemellan.The /24 network is dedicated to internal Azure Stack Hub ruggedized components, to communicate and exchange data among themselves. Det här under nätet kan routas externt av Azure Stack Hub-robusta lösningen till ditt data Center.This subnet can be routable externally of the Azure Stack Hub ruggedized solution to your datacenter. Vi rekommenderar inte att du använder offentliga eller Internet-dirigerade IP-adresser på det här under nätet.We don't recommend using Public or Internet routable IP addresses on this subnet. Det här nätverket annonseras för gränsen, men de flesta av sina IP-adresser skyddas av Access Control listor (ACL: er).This network is advertised to the Border, but most of its IPs are protected by Access Control Lists (ACLs). De IP-adresser som tillåts för åtkomst finns inom ett litet intervall, motsvarande i storlek till ett/27-nätverk.The IPs allowed for access are within a small range, equivalent in size to a /27 network. Värd tjänster för IP-adresser som privilegie rad slut punkt (PEP) och Azure Stack Hub-robust säkerhets kopiering.The IPs host services like the privileged end point (PEP) and Azure Stack Hub ruggedized Backup.

Offentligt VIP-nätverkPublic VIP network

Det offentliga VIP-nätverket tilldelas nätverks styrenheten i Azure Stack Hub.The Public VIP Network is assigned to the network controller in Azure Stack Hub ruggedized. Det är inte ett logiskt nätverk på växeln.It's not a logical network on the switch. SLB använder adresspoolen med adresser och tilldelar/32-nätverk för klient arbets belastningar.The SLB uses the pool of addresses and assigns /32 networks for tenant workloads. I tabellen switch routing annonseras de här/32 IP-adresserna som en tillgänglig väg via Border Gateway Protocol (BGP).On the switch routing table, these /32 IPs are advertised as an available route via Border Gateway Protocol (BGP). Det här nätverket innehåller offentliga adresser som är externa tillgängliga.This network contains public addresses that are externally accessible. Den Azure Stack Hub-förrobusta infrastrukturen reserverar de första 31 adresserna från det offentliga VIP-nätverket, medan resten används av klientens virtuella datorer.The Azure Stack Hub ruggedized infrastructure reserves the first 31 addresses from this Public VIP Network, while the remainder is used by tenant VMs. Nätverks storleken på det här under nätet kan vara från minst/26 (64 värdar) till högst/22 (1022 värdar).The network size on this subnet can range from a minimum of /26 (64 hosts) to a maximum of /22 (1022 hosts). Vi rekommenderar att du planerar för ett/24-nätverk.We recommend you plan for a /24 network.

Växla infrastruktur nätverkSwitch infrastructure network

/26-nätverket är det undernät som innehåller dirigerade punkt-till-plats-IP/30-undernät (två värd-IP-adresser) och loopback.The /26 network is the subnet that contains the routable point-to-point IP /30 (two host IPs) subnets and the loopbacks. Dessa är dedikerade/32 undernät för in-band-växel hantering och ID för BGP-router.These are dedicated /32 subnets for in-band switch management and BGP router ID. Det här intervallet av IP-adresser måste dirigeras utanför den Azure Stack Hub-robusta lösningen till ditt data Center.This range of IP addresses must be routable outside the Azure Stack Hub ruggedized solution to your datacenter. IP-adresserna kan vara privata eller offentliga.The IP addresses may be private or public.

Växla hanterings nätverkSwitch management network

Nätverket/29 (sex värd-IP) är dedikerat för att ansluta hanterings portarna för växlarna.The /29 (six host IPs) network is dedicated to connecting the management ports of the switches. Det här nätverket tillåter out-of-band-åtkomst för distribution, hantering och fel sökning.This network allows out-of-band access for deployment, management, and troubleshooting. Den beräknas från växel infrastruktur nätverket som anges ovan.It's calculated from the switch infrastructure network mentioned above.

Översikt över DNS-designDNS design overview

För att komma åt Azure Stack Hub-förrobusta slut punkter (Portal, adminportal, hantering, adminmanagement) från utsidan Azure Stack Hub måste du integrera Azure Stack Hub-FÖRrobusta DNS-tjänster med de DNS-servrar som är värdar för de dns-zoner som du vill använda i Azure Stack Hub.To access Azure Stack Hub ruggedized endpoints (portal, adminportal, management, adminmanagement) from outside Azure Stack Hub ruggedized, you must integrate the Azure Stack Hub ruggedized DNS services with the DNS servers that host the DNS zones you want to use in Azure Stack Hub ruggedized.

Azure Stack Hub-förRobust DNS-namnrymdAzure Stack Hub ruggedized DNS namespace

Du måste ange viktig information som är relaterad till DNS när du distribuerar Azure Stack Hub robust.You're required to provide some important information related to DNS when you deploy Azure Stack Hub ruggedized.

FältField BeskrivningDescription ExempelExample
RegionRegion Den geografiska platsen för din Azure Stack nav-förrobusta distribution.The geographic location of your Azure Stack Hub ruggedized deployment. östraeast
Externt domän namnExternal Domain Name Namnet på den zon som du vill använda för den Azure Stack nav-förrobusta distributionen.The name of the zone you want to use for your Azure Stack Hub ruggedized deployment. cloud.fabrikam.comcloud.fabrikam.com
Internt domän namnInternal Domain Name Namnet på den interna zon som används för infrastruktur tjänster i Azure Stack hubben är robust.The name of the internal zone that's used for infrastructure services in Azure Stack Hub ruggedized. Det är katalog tjänst – integrerad och privat (kan inte kontaktas utanför Azure Stack Hub-distribution).It's Directory Service-integrated and private (not reachable from outside the Azure Stack Hub ruggedized deployment). azurestack. localazurestack.local
DNS-vidarebefordrareDNS Forwarders DNS-servrar som används för att vidarebefordra DNS-frågor, DNS-zoner och-poster som ligger utanför Azure Stack Hub robust, antingen på företags intranätet eller offentliga Internet.DNS servers that are used to forward DNS queries, DNS zones, and records that are hosted outside Azure Stack Hub ruggedized, either on the corporate intranet or public Internet. Du kan redigera DNS forwarder-värdet med cmdleten set-AzSDnsForwarder efter distributionen.You can edit the DNS Forwarder value with the Set-AzSDnsForwarder cmdlet after deployment.
Namngivnings prefix (valfritt)Naming Prefix (Optional) Det namngivnings prefix som du vill använda för Azure Stack Hub-datorns namn på infrastruktur roll instansen.The naming prefix you want your Azure Stack Hub ruggedized infrastructure role instance machine names to have. Om inget värde anges är standardvärdet "AZS".If not provided, the default is "azs". azsazs

Det fullständigt kvalificerade domän namnet (FQDN) för din Azure Stack Hub-förrobusta distribution och slut punkter är kombinationen av region-parametern och den externa domän namns parametern.The fully qualified domain name (FQDN) of your Azure Stack Hub ruggedized deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Med hjälp av värdena från exemplen i föregående tabell blir det fullständiga domän namnet för den här Azure Stack Hub-förrobusta distributionen: East.Cloud.fabrikam.comUsing the values from the examples in the previous table, the FQDN for this Azure Stack Hub ruggedized deployment would be: east.cloud.fabrikam.com

Exempel på slut punkter för den här distributionen skulle se ut som följande URL: er:As such, examples of some of the endpoints for this deployment would look like the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Om du vill använda det här exempel-DNS-namnområdet för en Azure Stack Hub-distribution krävs följande villkor:To use this example DNS namespace for an Azure Stack Hub ruggedized deployment, the following conditions are required:

  • Zonen fabrikam.com registreras med en domän registrator, intern företags-DNS-server eller både och.The zone fabrikam.com is registered with a domain registrar, internal corporate DNS server, or both. Registreringen beror på dina namn matchnings krav.Registration depends on your name resolution requirements.
  • Den underordnade domänen cloud.fabrikam.com finns under zonen fabrikam.com.The child domain cloud.fabrikam.com exists under the zone fabrikam.com.
  • De DNS-servrar som är värdar för zonerna fabrikam.com och cloud.fabrikam.com kan nås från Azure Stack Hub-förrobusta distributionen.The DNS servers that host the zones fabrikam.com and cloud.fabrikam.com can be reached from the Azure Stack Hub ruggedized deployment.

Om du vill matcha DNS-namn för Azure Stack Hub-förrobusta slut punkter och instanser från utsidan Azure Stack Hub, måste du integrera DNS-servrarna.To resolve DNS names for Azure Stack Hub ruggedized endpoints and instances from outside Azure Stack Hub ruggedized, you must integrate the DNS servers. Inklusive servrar som är värdar för den externa DNS-zonen för Azure Stack Hub robust, med de DNS-servrar som är värdar för den överordnade zonen som du vill använda.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, with the DNS servers that host the parent zone you want to use.

DNS-namn etiketterDNS name labels

Azure Stack Hub robust har stöd för att lägga till en DNS-benämning på en offentlig IP-adress för att tillåta namn matchning för offentliga IP-adresser.Azure Stack Hub ruggedized supports adding a DNS name label to a public IP address to allow name resolution for public IP addresses. DNS-etiketter är ett bekvämt sätt för användare att komma åt appar och tjänster som finns i Azure Stack Hub med namn.DNS labels are a convenient way for users to reach apps and services hosted in Azure Stack Hub ruggedized by name. DNS-namnets etikett använder ett något annat namn område än infrastruktur slut punkterna.The DNS name label uses a slightly different namespace than the infrastructure endpoints. Efter föregående exempel-namnrymd skulle namn området för DNS-namn etiketter vara: * . East.cloudapp.Cloud.fabrikam.com.Following the previous example namespace, the namespace for DNS name labels would be: *.east.cloudapp.cloud.fabrikam.com.

Om en klient anger MyApp i fältet DNS-namn för en offentlig IP-adressresurs skapas en a-post för myapp i zonen East.cloudapp.Cloud.fabrikam.com i den Azure Stack Hub-förrobusta externa DNS-servern.If a tenant specifies Myapp in the DNS name field of a public IP address resource, it creates an A record for myapp in the zone east.cloudapp.cloud.fabrikam.com on the Azure Stack Hub ruggedized external DNS server. Det resulterande fullständigt kvalificerade domän namnet är: MyApp.East.cloudapp.Cloud.fabrikam.com.The resulting fully qualified domain name would be: myapp.east.cloudapp.cloud.fabrikam.com.

Om du vill utnyttja den här funktionen och använda det här namn området måste du integrera DNS-servrarna.If you want to leverage this functionality and use this namespace, you must integrate the DNS servers. Inklusive servrar som är värdar för den externa DNS-zonen för Azure Stack Hub robust och de DNS-servrar som är värdar för den överordnade zonen som du vill använda också.Including servers that host the external DNS zone for Azure Stack Hub ruggedized, and the DNS servers that host the parent zone you want to use as well. Det här namn området skiljer sig från det som används för Azure Stack Hub-tjänstens slut punkter, så du måste skapa ytterligare en regel för delegering eller villkorlig vidarebefordran.This namespace is different than the one used for the Azure Stack Hub ruggedized service endpoints, so you must create an additional delegation or conditional forwarding rule.

Mer information om hur DNS-namn etiketten fungerar finns i "använda DNS" i Azure Stack Hub-förrobustad.For more information about how the DNS Name label works, see "Using DNS" in Azure Stack Hub ruggedized.

Matchning och delegeringResolution and delegation

Det finns två typer av DNS-servrar:There are two types of DNS servers:

  • En auktoritativ DNS-server är värd för DNS-zoner.An authoritative DNS server hosts DNS zones. Den svarar på DNS-frågor om poster i just dessa zoner.It answers DNS queries for records in those zones only.
  • En rekursiv DNS-server är inte värd för DNS-zoner.A recursive DNS server doesn't host DNS zones. Den svarar på alla DNS-frågor genom att anropa auktoritativa DNS-servrar för att samla in de data som den behöver.It answers all DNS queries by calling authoritative DNS servers to gather the data it needs.

Azure Stack Hub-förrobusta inkluderar både auktoritativa och rekursiva DNS-servrar.Azure Stack Hub ruggedized includes both authoritative and recursive DNS servers. De rekursiva servrarna används för att matcha namn för allting förutom den interna privata zonen, och den externa offentliga DNS-zonen för den Azure Stack Hub-distribuerade distributionen.The recursive servers are used to resolve names of everything except the internal private zone, and the external public DNS zone for the Azure Stack Hub ruggedized deployment.

Lösa externa DNS-namn från Azure Stack hubb, robustResolving external DNS names from Azure Stack Hub ruggedized

Om du vill matcha DNS-namn för slut punkter utanför Azure Stack Hub-navet (till exempel: www.bing.com) måste du tillhandahålla DNS-servrar för Azure Stack Hub för att vidarebefordra DNS-begäranden, för vilka Azure Stack hubben inte är auktoritativ.To resolve DNS names for endpoints outside Azure Stack Hub ruggedized (for example: www.bing.com), you must provide DNS servers for Azure Stack Hub ruggedized to forward DNS requests, for which Azure Stack Hub ruggedized isn't authoritative. DNS-servrar som Azure Stack Hub-förrobusta begär anden till krävs i distributions kalkyl bladet (i fältet DNS-vidarebefordrare).DNS servers that Azure Stack Hub ruggedized forwards requests to are required in the Deployment Worksheet (in the DNS Forwarder field). Ange minst två servrar i det här fältet för fel tolerans.Provide at least two servers in this field for fault tolerance. Utan dessa värden Miss lyckas Azure Stack Hub-försatta distribution.Without these values, Azure Stack Hub ruggedized deployment fails. Du kan redigera DNS-forwarder-värden med cmdleten set-AzSDnsForwarder efter distributionen.You can edit the DNS Forwarder values with the Set-AzSDnsForwarder cmdlet after deployment.

Översikt över brand Väggs designFirewall design overview

Vi rekommenderar att du använder en brand Väggs enhet för att skydda Azure Stack Hub.It's recommended that you use a firewall device to help secure Azure Stack Hub ruggedized. Brand väggar kan hjälpa till att skydda dig mot saker som distribuerade DDOS-attacker (Denial-of-Service), intrångs identifiering och innehålls granskning.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. De kan dock också bli en Flask hals för Azure Storage-tjänster som blobbar, tabeller och köer.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Om ett frånkopplat distributions läge används måste du publicera AD FS slut punkten.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Mer information finns i artikeln Data Center integration Identity.For more information, see the datacenter integration identity article.

Azure Resource Manager (administratör), administratörs portalen och Key Vault (administratör) slut punkter kräver inte nödvändigt vis extern publicering.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Som en tjänst leverantör kan du till exempel begränsa angrepps ytan genom att bara administrera Azure Stack Hub som är tåligt inifrån nätverket och inte från Internet.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub ruggedized from inside your network, and not from the Internet.

För företags organisationer kan det externa nätverket vara det befintliga företags nätverket.For enterprise organizations, the external network can be the existing corporate network. I det här scenariot måste du publicera slut punkter för att kunna använda Azure Stack Hub som är tåligt från företags nätverket.In this scenario, you must publish endpoints to operate Azure Stack Hub ruggedized from the corporate network.

Översättning av nätverks adresserNetwork Address Translation

NAT (Network Address Translation) är den rekommenderade metoden för att tillåta att den virtuella distributions datorn (DVM) får åtkomst till externa resurser under distributionen.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources during deployment. Även för ERCS-virtuella datorer eller privilegierade slut punkter (PEP) vid registrering och fel sökning.Also for the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT kan också vara ett alternativ till offentliga IP-adresser på det externa nätverket eller offentliga VIP.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Det rekommenderas dock inte eftersom det begränsar klientens användar upplevelse och ökar komplexiteten.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Ett alternativ skulle vara ett till en NAT som fortfarande kräver en offentlig IP per användares IP-adress i poolen.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Ett annat alternativ är ett stort antal till en NAT som kräver en NAT-regel per användares VIP för alla portar som en användare kan använda.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Några av nack delar med att använda NAT för offentliga VIP:Some of the downsides of using NAT for Public VIP are:

  • Kostnader för att hantera brand Väggs regler, när användarna styr sina egna slut punkter och publicerings regler i SDN-stacken (Software-Defined Networking).Overhead when managing firewall rules, as users control their own endpoints and publishing rules in the software-defined networking (SDN) stack. Användarna måste kontakta Azure Stack Hub-förrobusta operatören för att få sina VIP-publicerade och för att uppdatera port listan.Users must contact the Azure Stack Hub ruggedized operator to get their VIPs published, and to update the port list.
  • När NAT-användningen begränsar användar upplevelsen ger den fullständig kontroll över operatören över publicerings begär Anden.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • För Hybrid moln scenarier med Azure bör du överväga att Azure inte stöder konfiguration av en VPN-tunnel till en slut punkt med hjälp av NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL-avlyssningSSL interception

Vi rekommenderar att du inaktiverar alla SSL-avlyssningar (t. ex. dekryptering av avkryptering) på all Azure Stack hubben trafik.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub ruggedized traffic. Om den stöds i framtida uppdateringar ges vägledning om hur du aktiverar SSL-avlyssning för Azure Stack Hub robust.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub ruggedized.

Brand Väggs scenario för Edge-distributionEdge deployment firewall scenario

I en Edge-distribution distribueras Azure Stack Hub-robusten direkt bakom gräns routern eller brand väggen.In an edge deployment, Azure Stack Hub ruggedized is deployed directly behind the edge router or the firewall. I dessa scenarion stöds det att brand väggen är över kant linjen (scenario 1) där den stöder både aktiva och aktiva brand Väggs konfigurationer.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations. Den kan också fungera som gräns enhet (scenario 2), där den bara har stöd för aktiv-aktiv brand Väggs konfiguration.It can also act as the border device (Scenario 2), where it only supports active-active firewall configuration. Scenario 2 förlitar sig på likvärdig-kostnad multi-path (ECMP) med antingen BGP eller statisk routning för redundans.Scenario 2 relies on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Offentliga IP-adresser för routning har angetts för den offentliga VIP-poolen från det externa nätverket vid distributions tiden.Public routable IP addresses are specified for the public VIP pool from the external network, at deployment time. Av säkerhets skäl rekommenderas inte offentliga dirigerbart IP-adresser i andra nätverk i ett gräns scenario.For security purposes, public routable IPs aren't recommended on any other network in an edge scenario. Det här scenariot gör det möjligt för en användare att uppleva den fullständiga självkontrollerade moln upplevelsen som i ett offentligt moln som Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Scenario för robust gräns brand vägg för Azure Stack hubb

Scenario för Enterprise-intranät eller perimeter nätverks brand väggEnterprise intranet or perimeter network firewall scenario

I en Enterprise-intranät-eller perimeter-distribution distribueras Azure Stack Hub i en brand vägg med flera zoner, eller mellan gräns brand väggen och den interna nätverks brand väggen.In an enterprise intranet or perimeter deployment, Azure Stack Hub ruggedized is deployed on a multi-zoned firewall, or in between the edge firewall and the internal corporate network firewall. Trafiken distribueras sedan mellan det säkra nätverket, perimeternätverket (eller DMZ) och osäkra zoner enligt beskrivningen nedan:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Säker zon: det interna nätverk som använder interna eller företagsägda IP-adresser.Secure zone: The internal network that uses internal or corporate routable IP addresses. Det säkra nätverket kan delas.The secure network can be divided. Den kan ha utgående Internet åtkomst via brand Väggs-NAT.It can have Internet outbound access through the Firewall NAT. Den är vanligt vis tillgänglig i ditt data Center via det interna nätverket.It's normally accessible from inside your datacenter via the internal network. Alla Azure Stack Hub-säkrade nätverk bör finnas i den skyddade zonen, förutom för det externa nätverkets offentliga VIP-pool.All Azure Stack Hub ruggedized networks should reside in the secure zone, except for the external network's public VIP pool.
  • Perimeter-zon.Perimeter zone. Perimeternätverket är där externa appar eller appar som riktas mot Internet, som webb servrar, vanligt vis distribueras.The perimeter network is where external or Internet-facing apps like Web servers are typically deployed. Den övervakas vanligt vis av en brand vägg för att undvika attacker som DDoS och intrång (hackning) samtidigt som viss inkommande trafik från Internet fortfarande tillåts.It's normally monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the Internet. Endast den offentliga virtuella nätverkets offentliga VIP-pool med Azure Stack Hub ska finnas i DMZ-zonen.Only the external network public VIP pool of Azure Stack Hub ruggedized should reside in the DMZ zone.
  • Osäker zon.Unsecure zone. Det externa nätverket, Internet.The external network, the Internet. Distribution av Azure Stack Hub robust i den oskyddade zonen rekommenderas inte .Deploying Azure Stack Hub ruggedized in the unsecure zone isn't recommended.

Scenario för gräns nätverkets brand vägg

Översikt över VPN-designVPN design overview

Även om VPN är ett användar koncept finns det några viktiga överväganden som en lösnings ägare och en operatör behöver veta.Although VPN is a user concept, there are some important considerations that a solution owner and operator need to know.

Innan du kan skicka nätverks trafik mellan ditt virtuella Azure-nätverk och din lokala plats måste du skapa en gateway för virtuellt nätverk (VPN) för det virtuella nätverket.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

En VPN-gateway är en typ av virtuell nätverksgateway som skickar krypterad trafik över en offentlig anslutning.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Du kan använda VPN-gatewayer för att skicka trafik på ett säkert sätt mellan ett virtuellt nätverk i Azure Stack Hub, robust och ett virtuellt nätverk i Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub ruggedized and a virtual network in Azure. Du kan också skicka trafik på ett säkert sätt mellan ett virtuellt nätverk och ett annat nätverk som är anslutet till en VPN-enhet.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

När du skapar en virtuell nätverksgateway anger du vilken typ av gateway som du vill skapa.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack Hub robust har stöd för en typ av virtuell nätverksgateway: VPN- typen.Azure Stack Hub ruggedized supports one type of virtual network gateway: the Vpn type.

Varje virtuellt nätverk kan ha två virtuella nätverksgatewayer, men bara en av varje typ.Each virtual network can have two virtual network gateways, but only one of each type. Du kan skapa flera anslutningar till en enda VPN-gateway beroende på de inställningar som du väljer.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Ett exempel på den här typen av installation är en konfiguration för anslutning till flera platser.An example of this kind of setup is a multi-site connection configuration.

Innan du skapar och konfigurerar VPN-gatewayer för Azure Stack Hub-förrobusta bör du läsa överväganden för Azure Stack Hub-nätverk.Before you create and configure VPN gateways for Azure Stack Hub ruggedized, review the considerations for Azure Stack Hub ruggedized networking. Du får lära dig hur konfigurationer för Azure Stack Hub är mer skilda från Azure.You learn how configurations for Azure Stack Hub ruggedized differ from Azure.

I Azure måste bandbredds data flödet för den SKU för VPN-gateway du väljer delas upp i alla anslutningar som är anslutna till gatewayen.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. I Azure Stack Hub är det dock att bandbredd svärdet för VPN gateway-SKU: n tillämpas på varje anslutnings resurs som är ansluten till gatewayen.In Azure Stack Hub ruggedized however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway. Till exempel:For example:

  • I Azure kan den grundläggande VPN gateway-SKU: n hantera cirka 100 Mbit/s med sammanlagt data flöde.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Om du skapar två anslutningar till den VPN-gatewayen och en anslutning använder 50 Mbit/s bandbredd, så är 50 Mbps tillgängligt för den andra anslutningen.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • I Azure Stack Hub-navet allokeras varje anslutning till den grundläggande VPN gateway-SKU: n 100 Mbps data flöde.In Azure Stack Hub ruggedized, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

VPN-typerVPN types

När du skapar en virtuell nätverksgateway för en VPN gateway-konfiguration måste du ange en VPN-typ.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Vilken VPN-typ du väljer beror på vilken anslutnings topologi som du vill skapa.The VPN type that you choose depends on the connection topology that you want to create. En VPN-typ kan också vara beroende av den maskin vara som du använder.A VPN type can also depend on the hardware that you're using. S2S-konfigurationer kräver en VPN-enhet.S2S configurations require a VPN device. Vissa VPN-enheter stöder bara en viss VPN-typ.Some VPN devices only support a certain VPN type.

Viktigt

Azure Stack Hub har för närvarande endast stöd för den vägbaserade VPN-typen.Currently, Azure Stack Hub ruggedized only supports the route-based VPN type. Om enheten bara har stöd för principbaserade VPN-nätverk stöds inte anslutningar till enheterna från Azure Stack Hub-förrobustad.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub ruggedized are not supported. Dessutom stöder inte Azure Stack Hub-navet användning av principbaserad trafik väljare för vägbaserade gateways just nu, eftersom anpassade IPSec/IKE-principinställningar inte stöds.In addition, Azure Stack Hub ruggedized does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • Principbaserad: principbaserad VPN krypterar och dirigerar paket via IPSec-tunnlar, baserat på IPSec-principer.PolicyBased: Policy-based VPNs encrypt and direct packets through IPsec tunnels, based on IPsec policies. Principer konfigureras med kombinationer av adress prefix mellan ditt lokala nätverk och Azure Stack hubben för det virtuella nätverket.Policies are configured with the combinations of address prefixes between your on-premises network, and the Azure Stack Hub ruggedized VNet. Principen eller trafik väljaren är vanligt vis en åtkomst lista i VPN-enhetens konfiguration.The policy, or traffic selector, is usually an access list in the VPN device configuration. Principbaserad stöds i Azure, men inte i Azure Stack Hub.PolicyBased is supported in Azure, but not in Azure Stack Hub ruggedized.
  • Routningsbaserad: dirigerade VPN använder vägar som kon figurer ATS i IP-vidarebefordran eller routningstabellen.RouteBased: Route-based VPNs use routes that are configured in the IP forwarding or routing table. Dirigerar paketen till motsvarande tunnel gränssnitt.The routes direct packets to their corresponding tunnel interfaces. Tunnelgränssnitten krypterar eller dekrypterar sedan paketen in och ut från tunnlarna.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Principen eller trafik väljaren för routningsbaserad VPN: er konfigureras som alla-till-alla (eller använda jokertecken).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). De kan som standard inte ändras.By default, they can't be changed. Värdet för en routningsbaserad VPN-typ är routningsbaserad.The value for a RouteBased VPN type is RouteBased.

Konfigurera en VPN-gatewayConfiguring a VPN gateway

En VPN gateway-anslutning är beroende av flera resurser som har kon figurer ATS med vissa inställningar.A VPN gateway connection relies on several resources that are configured with specific settings. De flesta av dessa resurser kan konfigureras separat, men i vissa fall måste de konfigureras i en viss ordning.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

InställningarSettings

De inställningar du väljer för varje resurs är viktiga för att skapa en lyckad anslutning.The settings that you choose for each resource are critical for creating a successful connection.

Den här artikeln hjälper dig att förstå:This article helps you understand:

  • Gateway-typer, VPN-typer och anslutnings typer.Gateway types, VPN types, and connection types.
  • Gateway-undernät, lokala nätverksgateway och andra resurs inställningar som du kanske vill tänka på.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Diagram för anslutningstopologiConnection topology diagrams

Det finns olika konfigurationer tillgängliga för VPN gateway-anslutningar.There are different configurations available for VPN gateway connections. Bestäm vilken konfiguration som passar bäst för dina behov.Determine which configuration best fits your needs. I följande avsnitt kan du Visa information och Topology-diagram om följande VPN gateway-anslutningar:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • tillgänglig distributionsmodellAvailable deployment model
  • tillgängliga konfigurationsverktygAvailable configuration tools
  • länkar som tar dig direkt till en artikel om en sådan finnsLinks that take you directly to an article, if available

Diagrammen och beskrivningarna i följande avsnitt kan hjälpa dig att välja en anslutnings sto pol Ogin som motsvarar dina krav.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. Diagrammen visar huvud bas linje topologier, men det är möjligt att bygga mer komplexa konfigurationer med diagrammen som en guide.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Plats-till-plats och flera platser (IPsec/IKE VPN-tunnel)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Plats-till-platsSite-to-site

En plats-till-plats (S2S) VPN gateway-anslutning är en anslutning över IPSec/IKE (IKEV2) VPN-tunnel.A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Den här typen av anslutning kräver en VPN-enhet som finns lokalt och har tilldelats en offentlig IP-adress.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Den här enheten kan inte hittas bakom en NAT.This device can't be located behind a NAT. S2S-anslutningar kan användas för konfigurationer mellan platser och för hybridkonfigurationer.S2S connections can be used for cross-premises and hybrid configurations.

Flera platserMulti-site

En anslutning på flera platser är en variant av plats-till-plats-anslutningen.A multi-site connection is a variation of the site-to-site connection. Du skapar fler än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis sker anslutningen till flera lokala platser.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. När du arbetar med flera anslutningar måste du använda en Route-baserad VPN-typ (kallas en dynamisk gateway när du arbetar med klassisk virtuella nätverk).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Eftersom varje virtuellt nätverk bara kan ha en VPN-gateway delar alla anslutningar via gatewayen på den tillgängliga bandbredden.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Gateway-SKU:erGateway SKUs

När du skapar en virtuell nätverksgateway för Azure Stack Hub, anger du den gateway-SKU som du vill använda.When you create a virtual network gateway for Azure Stack Hub ruggedized, you specify the gateway SKU that you want to use. Följande VPN gateway-SKU: er stöds:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • Höga prestandaHigh Performance

Om du väljer en högre Gateway-SKU allokeras fler processorer och nätverks bandbredd till gatewayen.Selecting a higher gateway SKU allocates more CPUs and network bandwidth to the gateway. Därför har gatewayen stöd för högre nätverks data flöde till det virtuella nätverket.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack Hub robust har inte stöd för den ultra Performance Gateway-SKU: n som används uteslutande med Express Route.Azure Stack Hub ruggedized doesn't support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Tänk på följande när du väljer SKU:Consider the following when you select the SKU:

  • Azure Stack Hub-navet stöder inte principbaserade gatewayer.Azure Stack Hub ruggedized doesn't support policy-based gateways.
  • BGP stöds inte på Basic SKU: n.BGP isn't supported on the Basic SKU.
  • ExpressRoute – VPN-gatewayens sambefintliga konfigurationer stöds inte i Azure Stack Hub robust.ExpressRoute-VPN gateway coexisting configurations aren't supported in Azure Stack Hub ruggedized.

Tillgänglighet för gatewayGateway availability

Scenarier med hög tillgänglighet kan bara konfigureras i SKU för Gateway-anslutning med hög prestanda .High availability scenarios can only be configured on the High-Performance Gateway connection SKU. Till skillnad från Azure, som ger tillgänglighet via både aktiva/aktiva och aktiva/passiva konfigurationer, stöder Azure Stack Hub bara den aktiva/passiva konfigurationen.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub ruggedized only supports the active/passive configuration.

RedundansFailover

Det finns tre virtuella datorer för gateway-infrastruktur för flera innehavare i Azure Stack Hub-robust.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub ruggedized. Två av de här virtuella datorerna är i aktivt läge och den tredje är i redundant läge.Two of these VMs are in active mode, and the third is in redundant mode. Aktiva virtuella datorer gör det möjligt att skapa VPN-anslutningar på dem och den redundanta virtuella datorn accepterar bara VPN-anslutningar om en redundansväxling inträffar.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Om en aktiv virtuell Gateway-dator blir otillgänglig växlar VPN-anslutningen över till den redundanta virtuella datorn efter en kort period (några sekunder) av anslutnings förlusten.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Beräknat aggregerat dataflöde av SKUEstimated aggregate throughput by SKU

Följande tabell visar Gateway-typerna och det uppskattade aggregerade data flödet med Gateway-SKU: n:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

VPN Gateway-genomflöde (1)VPN Gateway throughput (1) VPN Gateway, max. IPsec-tunnlar (2)VPN Gateway max IPsec tunnels (2)
Basic SKU (3)Basic SKU (3) 100 Mbit/s100 Mbps 2020
Standard-SKUStandard SKU 100 Mbit/s100 Mbps 2020
SKU för höga prestandaHigh-Performance SKU 200 Mbit/s200 Mbps 1010

Tabell anteckningarTable notes

(1) – VPN-dataflöde är inte ett garanterat data flöde för anslutningar över flera platser via Internet.(1) - VPN throughput isn't a guaranteed throughput for cross-premises connections across the Internet. Det är det högsta möjliga data flödes måttet.It's the maximum possible throughput measurement.
(2) -högsta antal tunnlar är det totala antalet per Azure Stack hubben för alla prenumerationer.(2) - Max tunnels is the total per Azure Stack Hub ruggedized deployment for all subscriptions.
(3) -BGP-routning stöds inte för Basic SKU.(3) - BGP routing isn't supported for the Basic SKU.

Viktigt

Det går bara att skapa en plats-till-plats-VPN-anslutning mellan två Azure Stack nav-förrobusta distributioner.Only one site-to-site VPN connection can be created between two Azure Stack Hub ruggedized deployments. Detta beror på en begränsning i plattformen som bara tillåter en enskild VPN-anslutning till samma IP-adress.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Eftersom Azure Stack Hub-navet utnyttjar en gateway för flera innehavare, som använder en enda offentlig IP-adress för alla VPN-gatewayer i Azure Stack Hub-förrobusta systemet, kan det bara finnas en VPN-anslutning mellan två Azure Stack nav med robusta system.Because Azure Stack Hub ruggedized leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub ruggedized system, there can be only one VPN connection between two Azure Stack Hub ruggedized systems.

Den här begränsningen gäller även för att ansluta mer än en VPN-anslutning från plats till plats till alla VPN-gatewayer som använder en enda IP-adress.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack Hub robustable tillåter inte att mer än en lokal nätverks-gateway-resurs skapas med samma IP-adress. * *Azure Stack Hub ruggedized does not allow more than one local network gateway resource to be created using the same IP address.**

IPsec-/IKE-parametrarIPsec/IKE parameters

När du konfigurerar en VPN-anslutning i Azure Stack Hub-navet, måste du konfigurera anslutningen i båda ändar.When you set up a VPN connection in Azure Stack Hub ruggedized, you must configure the connection at both ends. Om du konfigurerar en VPN-anslutning mellan Azure Stack hubben som är tålig och en maskin varu enhet kan enheten be dig om ytterligare inställningar.If you're configuring a VPN connection between Azure Stack Hub ruggedized and a hardware device, that device might ask you for additional settings. Till exempel en växel eller router som fungerar som en VPN-gateway.For example, a switch or router that's acting as a VPN gateway.

Till skillnad från Azure, som har stöd för flera erbjudanden som både en initierare och en responder, stöder Azure Stack hubben bara ett erbjudande som standard.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub ruggedized supports only one offer by default. Om du behöver använda olika IPSec/IKE-inställningar för att arbeta med VPN-enheten finns det fler inställningar som du kan använda för att konfigurera anslutningen manuellt.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually.

Parametrar för IKE fas 1 (huvudläge)IKE Phase 1 (Main Mode) parameters

EgenskapProperty VärdeValue
IKE-versionIKE Version IKEv2IKEv2
Diffie-Hellman GroupDiffie-Hellman Group ECP384ECP384
AutentiseringsmetodAuthentication Method I förväg delad nyckelPre-Shared Key
Krypterings- och hash-algoritmerEncryption & Hashing Algorithms AES256, SHA384AES256, SHA384
SA-livstid (tid)SA Lifetime (Time) 28 800 sekunder28,800 seconds

Parametrar för IKE fas 2 (snabbläge)IKE Phase 2 (Quick Mode) parameters

EgenskapProperty VärdeValue
IKE-versionIKE Version IKEv2IKEv2
Algoritmer för kryptering & hashing (kryptering)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Algoritmer för kryptering & hashing (autentisering)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
SA-livstid (tid)SA Lifetime (Time) 27 000 sekunder27,000 seconds
SA-livstid (KB)SA Lifetime (Kilobytes) 33 553 40833,553,408
PFS (Perfect Forward Secrecy)Perfect Forward Secrecy (PFS) ECP384ECP384
Utebliven peer-identifieringDead Peer Detection StödsSupported

Konfigurera anpassade IPSec/IKE-anslutnings principerConfigure custom IPSec/IKE connection policies

IPsec-och IKE-protokoll standarden stöder en mängd olika krypteringsalgoritmer i olika kombinationer.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Om du vill se vilka parametrar som stöds i Azure Stack Hub som är robusta för att uppfylla efterlevnads-eller säkerhets kraven, se IPsec/IKE-parametrar.To see which parameters are supported in Azure Stack Hub ruggedized to satisfy compliance or security requirements, see IPsec/IKE parameters.

Den här artikeln innehåller anvisningar om hur du skapar och konfigurerar en IPsec/IKE-princip och tillämpar den på en ny eller befintlig anslutning.This article provides instructions on how to create and configure an IPsec/IKE policy and apply to a new or existing connection.

ÖvervägandenConsiderations

Tänk på följande viktiga överväganden när du använder dessa principer:Note the following important considerations when using these policies:

  • IPsec/IKE-principen fungerar bara på standard -och HighPerformance (Route-based) Gateway-SKU: er.The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.
  • Du kan bara ange en principkombination för en viss anslutning.You can only specify one policy combination for a given connection.
  • Du måste ange alla algoritmer och parametrar för både IKE (huvud läge) och IPsec (snabb läge).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Partiell princip specifikation är inte tillåten.Partial policy specification isn't allowed.
  • Kontakta din VPN-enhets specifikationer för att se till att principen stöds på dina lokala VPN-enheter.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Plats-till-plats-anslutningar kan inte upprättas om principerna inte är kompatibla.Site-to-site connections can't be established if the policies are incompatible.

Arbets flöde för att skapa och ange IPsec/IKE-principWorkflow to create and set IPsec/IKE policy

Det här avsnittet beskriver det arbets flöde som krävs för att skapa och uppdatera IPsec/IKE-principen på en plats-till-plats-VPN-anslutning:This section outlines the workflow required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Skapa ett virtuellt nätverk och en VPN-gateway.Create a virtual network and a VPN gateway.
  2. Skapa en lokal nätverksgateway för anslutning mellan platser.Create a local network gateway for cross-premises connection.
  3. Skapa en IPsec/IKE-princip med valda algoritmer och parametrar.Create an IPsec/IKE policy with selected algorithms and parameters.
  4. Skapa en IPSec-anslutning med IPsec/IKE-principen.Create an IPSec connection with the IPsec/IKE policy.
  5. Lägg till/uppdatera/ta bort en IPsec/IKE-princip för en befintlig anslutning.Add/update/remove an IPsec/IKE policy for an existing connection.

Kryptografiska algoritmer och nyckel längder som stödsSupported cryptographic algorithms and key strengths

I följande tabell visas de kryptografiska algoritmer som stöds och viktiga fördelar som kan konfigureras av Azure Stack Hub-förrobusta kunder:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub ruggedized customers:

IPsec/IKEv2IPsec/IKEv2 AlternativOptions
IKEv2-krypteringIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 IntegrityIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-gruppDH Group ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, ingenECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-krypteringIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec IntegrityIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-gruppPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-livstidQM SA Lifetime (Valfritt: standardvärden används om inget anges)(Optional: default values are used if not specified)
Sekunder (heltal; min. 300/standard 27 000 sekunder)Seconds (integer; min. 300/default 27,000 seconds)
KByte (heltal; min. 1024/standard 102 400 000 KB)KBytes (integer; min. 1024/default 102,400,000 KBytes)
TrafikväljareTraffic Selector Principbaserad trafik väljare stöds inte i Azure Stack Hub robust.Policy-based Traffic Selectors aren't supported in Azure Stack Hub ruggedized.

Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE-krypteringsalgoritm (huvud läge/fas 1).IKE encryption algorithm (Main Mode / Phase 1).
  • IKE-integritetsalgoritm (huvud läge/fas 1).IKE integrity algorithm (Main Mode / Phase 1).
  • DH-grupp (huvud läge/fas 1).DH Group (Main Mode / Phase 1).
  • IPsec-krypteringsalgoritm (snabb läge/fas 2).IPsec encryption algorithm (Quick Mode / Phase 2).
  • IPsec integritetsalgoritm (snabb läge/fas 2).IPsec integrity algorithm (Quick Mode / Phase 2).
  • PFS-grupp (snabb läge/fas 2).PFS Group (Quick Mode / Phase 2).
  • Giltighets tiden för SA är endast lokala specifikationer, de behöver inte matcha.The SA lifetimes are local specifications only, they don't need to match.

Om GCMAES används som för IPsec-krypteringsalgoritm måste du välja samma GCMAES-algoritm och nyckel längd för IPsec-integritet.If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity. Exempel: använda GCMAES128 för båda.For example: using GCMAES128 for both.

I föregående tabell:In the preceding table:

  • IKEv2 motsvarar huvud läget eller fas 1.IKEv2 corresponds to Main Mode or Phase 1.
  • IPsec motsvarar snabb läget eller fas 2.IPsec corresponds to Quick Mode or Phase 2.
  • DH-grupp anger Diffie-Hellmen grupp som används i huvud läge eller fas 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
  • PFS-gruppen anger Diffie-Hellmen gruppen som används i snabb läge eller fas 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • IKEv2 huvud läges livstid för huvud läge är fast i 28 800 sekunder på Azure Stack Hub-förrobusta VPN-gatewayer.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub ruggedized VPN gateways.

I följande tabell visas motsvarande Diffie-Hellman grupper som stöds av den anpassade principen:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman-gruppDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup NyckellängdKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-bitars MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-bitars MODP1024-bit MODP
1414 DHGroup14DHGroup14 PFS2048PFS2048 2048-bitars MODP2048-bit MODP
DHGroup2048DHGroup2048
1919 ECP256ECP256 ECP256ECP256 256-bitars ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384-bitars ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048-bitars MODP2048-bit MODP

Ansluta Azure Stack hubb som är robust till Azure med Azure ExpressRouteConnect Azure Stack Hub ruggedized to Azure using Azure ExpressRoute

Översikt, antaganden och kravOverview, assumptions, and prerequisites

Med Azure ExpressRoute kan du utöka dina lokala nätverk till Microsoft-molnet.Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud. Du använder en privat anslutning från en anslutnings leverantör.You use a private connection supplied by a connectivity provider. ExpressRoute är inte en VPN-anslutning via det offentliga Internet.ExpressRoute isn't a VPN connection over the public Internet.

Mer information om Azure-ExpressRoute finns i Översikt över ExpressRoute.For more information about Azure ExpressRoute, see the ExpressRoute overview.

AntagandenAssumptions

Den här artikeln förutsätter att:This article assumes that:

  • Du har en fungerande kunskap om Azure.You have a working knowledge of Azure.
  • Du har grundläggande kunskaper om Azure Stack Hub robust.You have a basic understanding of Azure Stack Hub ruggedized.
  • Du har grundläggande kunskaper om nätverk.You have a basic understanding of networking.

FörutsättningarPrerequisites

För att ansluta Azure Stack Hub-navet och Azure med ExpressRoute måste du uppfylla följande krav:To connect Azure Stack Hub ruggedized and Azure using ExpressRoute, you must meet the following requirements:

  • En etablerad ExpressRoute-krets via en anslutnings leverantör.A provisioned ExpressRoute circuit through a connectivity provider.
  • En Azure-prenumeration för att skapa en ExpressRoute-krets och virtuella nätverk i Azure.An Azure subscription to create an ExpressRoute circuit and VNets in Azure.
  • En router som stöder:A router that supports:
    • plats-till-plats-VPN-anslutningar mellan dess LAN-gränssnitt och Azure Stack hubben med flera innehavares Gateway.site-to-site VPN connections between its LAN interface and Azure Stack Hub ruggedized multi-tenant gateway.
    • skapa flera VRFs (virtuell Routning och vidarebefordran) om det finns mer än en klient i din Azure Stack Hub-distribution.creating multiple VRFs (Virtual Routing and Forwarding) if there's more than one tenant in your Azure Stack Hub ruggedized deployment.
  • En router som har:A router that has:
    • En WAN-port som är ansluten till ExpressRoute-kretsen.A WAN port connected to the ExpressRoute circuit.
    • En LAN-port som är ansluten till Azure Stack hubben robusta Gateway för flera innehavare.A LAN port connected to the Azure Stack Hub ruggedized multi-tenant gateway.

ExpressRoute nätverks arkitekturExpressRoute network architecture

Följande bild visar Azure Stack Hub-förrobusta och Azure-miljöer när du har slutfört konfigurationen av ExpressRoute med hjälp av exemplen i den här artikeln:The following figure shows the Azure Stack Hub ruggedized and Azure environments after you finish setting up ExpressRoute using the examples in this article:

ExpressRoute nätverks arkitektur

Följande bild visar hur flera klienter ansluter från Azure Stack Hub-robust infrastruktur genom ExpressRoute-routern till Azure:The following figure shows how multiple tenants connect from the Azure Stack Hub ruggedized infrastructure through the ExpressRoute router to Azure:

ExpressRoute nätverks arkitektur flera klient organisationer