Fortinet FortiGate NVA ile Azure Stack Hub örnekleri arasında sanal ağdan sanal ağa bağlantı
Bu makalede, bir ağ sanal gereci olan Fortinet FortiGate NVA'yı kullanarak bir Azure Stack Hub'daki sanal ağı başka bir Azure Stack Hub'daki sanal ağa bağlayacaksınız.
Bu makalede, kiracıların iki ortamda yalnızca bir VPN bağlantısı kurmasına olanak tanıyan geçerli Azure Stack Hub sınırlaması ele alınıyor. Kullanıcılar, farklı Azure Stack Hub'da birden çok VPN bağlantısına izin verecek bir Linux sanal makinesinde özel ağ geçidi ayarlamayı öğrenecektir. Bu makaledeki yordam, her sanal ağda fortiGate NVA içeren iki sanal ağ dağıtır: Azure Stack Hub ortamı başına bir dağıtım. Ayrıca, iki sanal ağ arasında IPSec VPN'i ayarlamak için gereken değişiklikler de ayrıntılı olarak açıklanması gerekir. Bu makaledeki adımlar her Azure Stack Hub'daki her sanal ağ için yinelenmelidir.
Önkoşullar
Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip Azure Stack Hub tümleşik sistemlerine erişim.
Not
Bu yönergeler, ASDK'deki ağ sınırlamaları nedeniyle Azure Stack Geliştirme Seti (ASDK) ile çalışmaz. Daha fazla bilgi için bkz . ASDK gereksinimleri ve dikkat edilmesi gerekenler.
Azure Stack Hub Marketi'ne indirilen ve yayımlanan bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.
FortiGate NVA'sını etkinleştirmek için en az iki kullanılabilir FortiGate lisans dosyası. Bu lisansları alma hakkında bilgi için Fortinet Belge Kitaplığı'nda lisansınızı kaydetme ve indirme makalesine bakın.
Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.
FortiGate çözümünün etkin-pasif (HA) kurulumunda nasıl dağıtılacağı hakkında daha fazla bilgi için Bkz. Azure'da FortiGate-VM için Fortinet Belge Kitaplığı makalesi.
Dağıtım parametreleri
Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir:
Dağıtım bir: Forti1
FortiGate Örneği Adı | Forti1 |
---|---|
KLG Lisansı/Sürümü | 6.0.3 |
FortiGate yönetim kullanıcı adı | fortiadmin |
Kaynak Grubu adı | forti1-rg1 |
Sanal ağın adı | forti1vnet1 |
Sanal Ağ Adres Alanı | 172.16.0.0/16* |
Genel sanal ağ alt ağ adı | forti1-PublicFacingSubnet |
Genel sanal ağ adres ön eki | 172.16.0.0/24* |
İç sanal ağ alt ağı adı | forti1-InsideSubnet |
VNET alt ağı ön eki içinde | 172.16.1.0/24* |
FortiGate NVA'nın VM Boyutu | Standart F2s_v2 |
Genel IP adresi adı | forti1-publicip1 |
Genel IP adresi türü | Statik |
Dağıtım iki: Forti2
FortiGate Örneği Adı | Forti2 |
---|---|
KLG Lisansı/Sürümü | 6.0.3 |
FortiGate yönetim kullanıcı adı | fortiadmin |
Kaynak Grubu adı | forti2-rg1 |
Sanal ağın adı | forti2vnet1 |
Sanal Ağ Adres Alanı | 172.17.0.0/16* |
Genel sanal ağ alt ağ adı | forti2-PublicFacingSubnet |
Genel sanal ağ adres ön eki | 172.17.0.0/24* |
İç sanal ağ alt ağı adı | Forti2-InsideSubnet |
VNET alt ağı ön eki içinde | 172.17.1.0/24* |
FortiGate NVA'nın VM Boyutu | Standart F2s_v2 |
Genel IP adresi adı | Forti2-publicip1 |
Genel IP adresi türü | Statik |
Not
* Yukarıdakiler Azure Stack Hub'ın VIP Havuzu dahil olmak üzere şirket içi ağ ortamıyla herhangi bir şekilde çakışıyorsa farklı bir adres alanları ve alt ağ ön ekleri kümesi seçin. Ayrıca adres aralıklarının birbiriyle çakışmadığından emin olun.**
FortiGate NGFW Market Öğelerini Dağıtma
Bu adımları her iki Azure Stack Hub ortamı için de yineleyin.
Azure Stack Hub kullanıcı portalını açın. Abonelikte en az Katkıda Bulunan haklarına sahip kimlik bilgilerini kullandığınızdan emin olun.
Kaynak oluştur'u seçin ve için
FortiGate
arama yapın.FortiGate NGFW'yi ve ardından Oluştur'u seçin.
Dağıtım parametreleri tablosundaki parametreleri kullanarak TemelBilgileri tamamlayın.
Formunuz aşağıdaki bilgileri içermelidir:
Tamam’ı seçin.
Dağıtım parametrelerinden sanal ağ, alt ağlar ve VM boyutu ayrıntılarını sağlayın.
Farklı adlar ve aralıklar kullanmak istiyorsanız, diğer Azure Stack Hub ortamındaki diğer VNET ve FortiGate kaynaklarıyla çakışacak parametreleri kullanmamaya dikkat edin. Bu durum özellikle sanal ağ içinde sanal ağ IP aralığını ve alt ağ aralıklarını ayarlarken geçerlidir. Bunların oluşturduğunuz diğer sanal ağın IP aralıklarıyla çakışmadığını denetleyin.
Tamam’ı seçin.
FortiGate NVA için kullanılacak genel IP'yi yapılandırın:
Tamam'ı ve ardından Tamam'ı seçin.
Oluştur’u seçin.
Dağıtım yaklaşık 10 dakika sürer. Artık diğer Azure Stack Hub ortamında diğer FortiGate NVA ve VNET dağıtımını oluşturmak için adımları yineleyebilirsiniz.
Her sanal ağ için yolları (UDR) yapılandırma
Forti1-rg1 ve forti2-rg1 dağıtımları için bu adımları gerçekleştirin.
Azure Stack Hub portalında forti1-rg1 Kaynak Grubu'na gidin.
'forti1-forti1-InsideSubnet-routes-xxxx' kaynağında öğesini seçin.
Ayarlar'ın altında Yollar'ı seçin.
İnternet Yolu'nı silin.
Evet’i seçin.
Add (Ekle) seçeneğini belirleyin.
Route
to-forti1
veyato-forti2
adını verin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.Şunları girin:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
- forti1:
Sonraki atlama türü için Sanal gereç'i seçin.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
- forti1:
Kaydet’i seçin.
Her bir kaynak grubu için her InsideSubnet yolu için adımları yineleyin.
Her NVA'da FortiGate NVA'larını etkinleştirme ve IPSec VPN bağlantısı yapılandırma
Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar siz her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma ve NVA'yı etkinleştirme adımları hakkında daha fazla bilgi için, Fortinet Belge Kitaplığı'nın Lisansınızı kaydetme ve indirme makalesine bakın.
Her NVA için bir tane olmak üzere iki lisans dosyasının alınması gerekir.
İki NVA arasında IPSec VPN'i oluşturma
NVA'lar etkinleştirildikten sonra, iki NVA arasında bir IPSec VPN'i oluşturmak için bu adımları izleyin.
Hem forti1 NVA hem de forti2 NVA için aşağıdaki adımları izleyin:
fortiX VM Genel Bakış sayfasına giderek atanan Genel IP adresini alın:
Atanan IP adresini kopyalayın, bir tarayıcı açın ve adresi adres çubuğuna yapıştırın. Tarayıcınız sizi güvenlik sertifikasına güvenilmediği konusunda uyarabilir. Yine de devam edin.
Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.
SistemÜretici Yazılımı'ı> seçin.
En son üretici yazılımının gösterildiği kutuyu seçin, örneğin.
FortiOS v6.2.0 build0866
Yedekleme yapılandırması ve yükseltme'yi seçin ve istendiğinde Devam Et'i seçin.
NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.
VPN>IPSec Sihirbazı'nı tıklatın.
ÖRNEĞIN
conn1
, VPN Oluşturma Sihirbazı'na VPN için bir ad girin.Bu site NAT'nin arkasında'ı seçin.
İleri’yi seçin.
Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.
Giden Arabirimi olarak bağlantı noktası1'i seçin.
Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).
Not
Şirket içi VPN cihazındaki bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.
İleri’yi seçin.
Yerel Arabirim için bağlantı noktası2'yi seçin.
Yerel alt ağ aralığını girin:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
Şirket içi VPN cihazı üzerinden bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
Oluştur’u seçin
Ağ>Arabirimleri'ni seçin.
Bağlantı noktası2'ye çift tıklayın.
Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.
Tamam’ı seçin.
Diğer NVA için adımları yineleyin.
Tüm Aşama 2 Seçicilerini Getir
Yukarıdakiler her iki NVA için de tamamlandıktan sonra:
forti2 FortiGate web konsolundaIPsecİzleyici'yi> seçin.
Tüm Aşama 2 SeçicileriGetir'i> vurgulayın
conn1
ve seçin.
Bağlantıyı test etme ve doğrulama
Artık FortiGate NVA'ları aracılığıyla her sanal ağ arasında yönlendirme yapabilmeniz gerekir. Bağlantıyı doğrulamak için her sanal ağın InsideSubnet'inde bir Azure Stack Hub VM oluşturun. Azure Stack Hub VM oluşturma işlemi portal, Azure CLI veya PowerShell aracılığıyla gerçekleştirilebilir. VM'leri oluştururken:
Azure Stack Hub VM'leri her sanal ağın InsideSubnet'ine yerleştirilir.
Oluşturulduktan sonra VM'ye herhangi bir NSG uygulamazsınız (Başka bir ifadeyle, VM'yi portaldan oluştururken varsayılan olarak eklenen NSG'yi kaldırın.
VM güvenlik duvarı kurallarının bağlantıyı test etmek için kullanacağınız iletişime izin olduğundan emin olun. Test amacıyla, mümkünse güvenlik duvarının işletim sistemi içinde tamamen devre dışı bırakılması önerilir.
Sonraki adımlar
Azure Stack Hub ağıyla ilgili farklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin