VNet till VNet-anslutning mellan Azure Stack Hub-instanser med Fortinet FortiGate NVAVNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

I den här artikeln ansluter du ett VNET i en Azure Stack hubb till ett VNET i ett annat Azure Stack hubb med Fortinet FortiGate NVA, en virtuell nätverks installation.In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

Den här artikeln beskriver den aktuella begränsningen för Azure Stack hubb, vilket innebär att klienterna bara konfigurerar en VPN-anslutning mellan två miljöer.This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. Användarna får lära sig hur man konfigurerar en anpassad gateway på en virtuell Linux-dator som tillåter flera VPN-anslutningar mellan olika Azure Stack Hub.Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. I den här artikeln distribueras två virtuella nätverk med en FortiGate-NVA i varje VNET: en distribution per Azure Stack Hub-miljö.The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. Den innehåller också information om de ändringar som krävs för att konfigurera en IPSec VPN-anslutning mellan de två virtuella nätverk.It also details the changes required to set up an IPSec VPN between the two VNETs. Stegen i den här artikeln bör upprepas för varje VNET i varje Azure Stack hubb.The steps in this article should be repeated for each VNET in each Azure Stack Hub.

KravPrerequisites

  • Åtkomst till ett Azure Stack Hub-integrerade system med tillgänglig kapacitet för att distribuera nödvändiga beräknings-, nätverks-och resurs krav som krävs för den här lösningen.Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    Anteckning

    De här anvisningarna fungerar inte med en Azure Stack Development Kit (ASDK) på grund av nätverks begränsningarna i ASDK.These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. Mer information finns i krav och överväganden för ASDK.For more information, see ASDK requirements and considerations.

  • En NVA-lösning (Network Virtual installation) har hämtats och publicerats på Azure Stack Hub Marketplace.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. En NVA styr flödet av nätverks trafik från ett perimeternätverk till andra nätverk eller undernät.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. I den här proceduren används Fortinet-Fortigate nästa generations brand vägg enskild VM-lösning.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Minst två tillgängliga FortiGate-licensfiler för att aktivera FortiGate-NVA.At least two available FortiGate license files to activate the FortiGate NVA. Information om hur du hämtar de här licenserna finns i artikeln Fortinet-dokument bibliotek som registrerar och laddar ned din licens.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    I den här proceduren används en enda Fortigate-distribution av virtuella datorer.This procedure uses the Single FortiGate-VM deployment. Du hittar steg för att ansluta FortiGate-NVA till Azure Stack Hub VNET till i det lokala nätverket.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    Mer information om hur du distribuerar FortiGate-lösningen i en aktiv-passiv (HA) konfiguration finns i Fortinet-dokument bibliotek artikeln ha för Fortigate-VM på Azure.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

Distributions parametrarDeployment parameters

I följande tabell sammanfattas de parametrar som används i dessa distributioner för referens:The following table summarizes the parameters that are used in these deployments for reference:

Distributions en: Forti1Deployment one: Forti1

Namn på FortiGate-instansFortiGate Instance Name Forti1Forti1
BYOL-licens/versionBYOL License/Version 6.0.36.0.3
FortiGate administratörs användar namnFortiGate administrative username fortiadminfortiadmin
Resurs grupps namnResource Group name forti1-rg1forti1-rg1
Virtuellt nätverksnamnVirtual network name forti1vnet1forti1vnet1
VNET-adressutrymmeVNET Address Space 172.16.0.0/16 *172.16.0.0/16*
Namn på offentliga VNET-undernätPublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Adressprefix för offentliga VNETPublic VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
Namn på undernät i VNETInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
Prefix för undernät i VNETInside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
VM-storlek för FortiGate-NVAVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Namn på offentlig IP-adressPublic IP address name forti1-publicip1forti1-publicip1
Typ av offentlig IP-adressPublic IP address type StatiskStatic

Distributions två: Forti2Deployment two: Forti2

Namn på FortiGate-instansFortiGate Instance Name Forti2Forti2
BYOL-licens/versionBYOL License/Version 6.0.36.0.3
FortiGate administratörs användar namnFortiGate administrative username fortiadminfortiadmin
Resurs grupps namnResource Group name forti2-rg1forti2-rg1
Virtuellt nätverksnamnVirtual network name forti2vnet1forti2vnet1
VNET-adressutrymmeVNET Address Space 172.17.0.0/16 *172.17.0.0/16*
Namn på offentliga VNET-undernätPublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Adressprefix för offentliga VNETPublic VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
Namn på undernät i VNETInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
Prefix för undernät i VNETInside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
VM-storlek för FortiGate-NVAVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Namn på offentlig IP-adressPublic IP address name Forti2-publicip1Forti2-publicip1
Typ av offentlig IP-adressPublic IP address type StatiskStatic

Anteckning

* Välj en annan uppsättning adress utrymmen och under näts prefix om ovanstående överlappar på något sätt med den lokala nätverks miljön, inklusive VIP-poolen för antingen Azure Stack Hub.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Se också till att adress intervallen inte överlappar varandra. * *Also ensure that the address ranges do not overlap with one another.**

Distribuera FortiGate NGFW Marketplace-objektenDeploy the FortiGate NGFW Marketplace Items

Upprepa de här stegen för båda Azure Stack Hub-miljöer.Repeat these steps for both Azure Stack Hub environments.

  1. Öppna användar portalen för Azure Stack Hub.Open the Azure Stack Hub user portal. Se till att använda autentiseringsuppgifter som har minst deltagar behörighet för en prenumeration.Be sure to use credentials that have at least Contributor rights to a subscription.

  2. Välj skapa en resurs och Sök efter FortiGate .Select Create a resource and search for FortiGate.

    Skärm bilden visar en enda rad resultat från sökningen efter "Fortigate".

  3. Välj Fortigate-NGFW och välj skapa.Select the FortiGate NGFW and select the Create.

  4. Slutför grunderna med parametrarna från tabellen distributions parametrar .Complete Basics using the parameters from the Deployment parameters table.

    Formuläret bör innehålla följande information:Your form should contain the following information:

    Text rutorna (till exempel instans namn och BYOL-licens) för dialog rutan grundläggande har fyllts i med värden från distributions tabellen.

  5. Välj OK.Select OK.

  6. Ange information om virtuellt nätverk, undernät och VM-storlek från distributions parametrarna.Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    Om du vill använda olika namn och intervall bör du inte använda parametrar som är i konflikt med de andra VNET-och FortiGate-resurserna i den andra Azure Stack Hub-miljön.If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. Detta gäller särskilt när du ställer in IP-adressintervall och undernät för VNET i VNET.This is especially true when setting the VNET IP range and subnet ranges within the VNET. Kontrol lera att de inte överlappar IP-intervallen för det andra VNET som du skapar.Check that they don't overlap with the IP ranges for the other VNET you create.

  7. Välj OK.Select OK.

  8. Konfigurera den offentliga IP-adress som ska användas för FortiGate-NVA:Configure the public IP that will be used for the FortiGate NVA:

    Text rutan "offentligt IP-kontonamn" i dialog rutan IP-tilldelning visar värdet "forti1-publicip1" (från distributions tabellen).

  9. Välj OK och välj sedan OK.Select OK and then Select OK.

  10. Välj Skapa.Select Create.

Distributionen tar cirka 10 minuter.The deployment will take about 10 minutes. Nu kan du upprepa stegen för att skapa den andra FortiGate-NVA och VNET-distributionen i den andra Azure Stack Hub-miljön.You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

Konfigurera vägar (UDR) för varje VNETConfigure routes (UDRs) for each VNET

Utför de här stegen för båda distributionerna, forti1-RG1 och forti2-RG1.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Navigera till resurs gruppen forti1-RG1 i Azure Stack Hub-portalen.Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    Det här är en skärm bild av listan över resurser i resurs gruppen forti1-RG1.

  2. Välj i resursen "forti1-forti1-InsideSubnet-routes-xxxx".Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. Välj vägar under Inställningar.Select Routes under Settings.

    Skärm bilden visar de markerade vägarnas inställnings objekt.

  4. Ta bort vägen till Internet .Delete the to-Internet Route.

    Skärm bilden visar den markerade vägen till Internet.

  5. Välj Ja.Select Yes.

  6. Välj Lägg till.Select Add.

  7. Namnge vägen to-forti1 eller to-forti2 .Name the Route to-forti1 or to-forti2. Använd ditt IP-adressintervall om du använder ett annat IP-intervall.Use your IP range if you are using a different IP range.

  8. Skriv:Enter:

    • forti1: 172.17.0.0/16forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16forti2: 172.16.0.0/16

    Använd ditt IP-adressintervall om du använder ett annat IP-intervall.Use your IP range if you are using a different IP range.

  9. Välj virtuell installation för nästa hopp typ.Select Virtual appliance for the Next hop type.

    • forti1: 172.16.1.4forti1: 172.16.1.4
    • forti2: 172.17.0.4forti2: 172.17.0.4

    Använd ditt IP-adressintervall om du använder ett annat IP-intervall.Use your IP range if you are using a different IP range.

    Dialog rutan Redigera väg för forti2 har text rutor med värden.

  10. Välj Spara.Select Save.

Upprepa stegen för varje InsideSubnet -väg för varje resurs grupp.Repeat the steps for each InsideSubnet route for each resource group.

Aktivera FortiGate-NVA och konfigurera en IPSec VPN-anslutning på varje NVAActivate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

Du kommer att behöva en giltig licens fil från Fortinet för att aktivera varje FortiGate-NVA.You will require a valid license file from Fortinet to activate each FortiGate NVA. NVA fungerar inte förrän du har aktiverat varje NVA.The NVAs will not function until you have activated each NVA. Mer information om hur du hämtar en licens fil och hur du aktiverar NVA finns i artikeln Fortinet Document Library Registrera och hämta din licens.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Två licensfiler måste införskaffas – en för varje NVA.Two license files will need to be acquired – one for each NVA.

Skapa en IPSec-VPN mellan de två NVACreate an IPSec VPN between the two NVAs

När NVA har Aktiver ATS följer du de här stegen för att skapa en IPSec-VPN mellan de två NVA.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

Följ stegen nedan för både forti1 NVA och forti2 NVA:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. Hämta den tilldelade offentliga IP-adressen genom att gå till översikts sidan för fortiX VM:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    På sidan Översikt över forti1 visas resurs grupp, status och så vidare.

  2. Kopiera den tilldelade IP-adressen, öppna en webbläsare och klistra in adressen i adress fältet.Copy the assigned IP address, open a browser, and paste the address into the address bar. Webbläsaren kan varna dig om att säkerhetscertifikatet inte är betrott.Your browser may warn you that the security certificate is not trusted. Fortsätt ändå.Continue anyway.

  3. Ange det administrativa användar namn och lösen ord för FortiGate som du angav under distributionen.Enter the FortiGate administrative user name and password you provided during the deployment.

    Skärm bilden är av inloggnings skärmen, som har en inloggnings knapp och text rutor för användar namn och lösen ord.

  4. Välj inbyggd systeminstallation > Firmware.Select System > Firmware.

  5. Markera rutan som visar den senaste inbyggda program varan, till exempel FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    Skärm bilden för den inbyggda program varan "FortiOS v 6.2.0 build0866" har en länk till viktig information och två knappar: "säkerhets kopierings konfiguration och uppgradering" och "uppgradering".

  6. Välj säkerhets kopierings konfiguration och uppgradering och Fortsätt när du uppmanas till detta.Select Backup config and upgrade and Continue when prompted.

  7. NVA uppdaterar den inbyggda program varan till den senaste versionen och omstarter.The NVA updates its firmware to the latest build and reboots. Processen tar cirka fem minuter.The process takes about five minutes. Logga in på FortiGate-webbkonsolen igen.Log back into the FortiGate web console.

  8. Klicka på VPN > IPSec-guiden.Click VPN > IPSec Wizard.

  9. Ange ett namn för VPN, till exempel conn1 i guiden Skapa VPN.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Välj den här platsen ligger bakom NAT.Select This site is behind NAT.

    Skärm bilden av guiden Skapa VPN-anslutning visar att den är i det första steget, VPN-konfiguration.

  11. Välj Nästa.Select Next.

  12. Ange fjärr-IP-adressen för den lokala VPN-enhet som du ska ansluta till.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. Välj PORT1 som utgående gränssnitt.Select port1 as the Outgoing Interface.

  14. Välj i förväg delad nyckel och ange (och registrera) en i förväg delad nyckel.Select Pre-shared Key and enter (and record) a pre-shared key.

    Anteckning

    Du behöver den här nyckeln för att konfigurera anslutningen på den lokala VPN-enheten, det vill säga att de måste matcha exakt.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    Skärm bilden av guiden Skapa VPN-anslutning visar att den är i det andra steget, autentiseringen och de valda värdena är markerade.

  15. Välj Nästa.Select Next.

  16. Välj PORT2 för det lokala gränssnittet.Select port2 for the Local Interface.

  17. Ange det lokala under nätets intervall:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Använd ditt IP-adressintervall om du använder ett annat IP-intervall.Use your IP range if you are using a different IP range.

  18. Ange lämpliga fjärrundernät som representerar det lokala nätverket, som du kommer att ansluta till via den lokala VPN-enheten.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Använd ditt IP-adressintervall om du använder ett annat IP-intervall.Use your IP range if you are using a different IP range.

    Skärm bilden av guiden Skapa VPN-anslutning visar att den finns i det tredje steget, principen & Routning och visar de valda och angivna värdena.

  19. Välj SkapaSelect Create

  20. Välj nätverks > gränssnitt.Select Network > Interfaces.

    I gränssnitts listan visas två gränssnitt: PORT1, som har kon figurer ATS och PORT2, som inte har det.

  21. Dubbelklicka på PORT2.Double-click port2.

  22. Välj LAN i listan roll och DHCP för adress läge.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Välj OK.Select OK.

Upprepa stegen för de andra NVA.Repeat the steps for the other NVA.

Ta upp alla väljare 2-väljareBring Up All Phase 2 Selectors

När ovanstående har slutförts för båda NVA:Once the above has been completed for both NVAs:

  1. I webb konsolen för forti2 Fortigate väljer du för att övervaka > IPSec-övervakaren.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    Övervakaren för VPN-conn1 visas i listan.

  2. Markera conn1 och markera kryss rutan för att ta fram > alla väljare 2.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    Väljaren övervakare och fas 2 visas båda.

Testa och verifiera anslutningenTest and validate connectivity

Du bör nu kunna dirigera mellan varje VNET via FortiGate-NVA.You should now be able to route in between each VNET via the FortiGate NVAs. För att verifiera anslutningen skapar du en Azure Stack hubb-VM i varje VNET-InsideSubnet.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Du kan skapa en Azure Stack Hub-VM som kan göras via portalen, CLI eller PowerShell.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. När du skapar de virtuella datorerna:When creating the VMs:

  • De virtuella datorerna i Azure Stack Hub placeras på InsideSubnet för varje VNet.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • Du tillämpar inte några NSG: er på den virtuella datorn när den skapas (det vill säga ta bort NSG som läggs till som standard om du skapar den virtuella datorn från portalen.You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • Se till att den virtuella datorns brand Väggs regler tillåter den kommunikation som du ska använda för att testa anslutningen.Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. I test syfte rekommenderar vi att du inaktiverar brand väggen helt och hållet i OS om det är möjligt.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

Nästa stegNext steps

Skillnader och överväganden för Azure Stack hubb nätverkDifferences and considerations for Azure Stack Hub networking
Erbjud en nätverks lösning i Azure Stack Hub med Fortinet FortiGateOffer a network solution in Azure Stack Hub with Fortinet FortiGate