Azure Stack Hub 的透明 Proxy
透明 Proxy (也稱為攔截、內嵌或強制 Proxy) 會攔截網路層上的一般通訊,而不需要特殊的用戶端設定。 用戶端不需要留意 Proxy 的存在。
如果資料中心要求所有流量都使用 Proxy,您可以設定透過 Proxy 以根據原則處理所有流量,方法是將您網路上各區域間的流量加以區分。
流量類型
來自 Azure Stack Hub 的輸出流量會分類為租用戶流量或基礎結構流量。
租用戶流量是由租用戶透過虛擬機器、負載平衡器、VPN 閘道、應用程式服務等方式產生。
基礎結構流量是從指派給基礎結構服務 (例如身分識別、修補和更新、使用量計量、Marketplace 摘要整合、註冊、記錄收集、Windows Defender 等) 的公用虛擬 IP 集區的第一個 /27 範圍產生。來自這些服務的流量會路由到 Azure 端點。 Azure 不會接受由 Proxy 修改的流量或 TLS/SSL 攔截的流量。 這就是 Azure Stack Hub 不支援原生 Proxy 設定的原因。
設定透明 Proxy 時,您可以選擇透過 Proxy 傳送所有輸出流量,或僅限基礎結構流量。
夥伴整合
Microsoft 與業界領導的 Proxy 廠商合作,以利用透明 Proxy 設定來驗證 Azure Stack Hub 的使用案例。 下圖是 Azure Stack Hub 網路設定搭配 HA Proxy 的範例。 外部 Proxy 裝置必須放在邊界裝置的北方。
此外,您必須使用下列其中一種方式,將邊界裝置設定為從 Azure Stack Hub 路由流量:
- 將所有輸出流量從 Azure Stack Hub 路由到 Proxy 裝置
- 透過以原則為基礎的路由,將來自 Azure Stack Hub 虛擬 IP 集區的第一個
/27範圍的所有輸出流量路由到 Proxy 裝置。
如需範例邊界設定,請參閱本文中的範例邊界設定一節。
請檢閱下列文件,以取得經驗證的透明 Proxy 設定搭配 Azure Stack Hub:
- 設定 Check Point 安全性閘道透明 Proxy
- 設定 Sophos XG 防火牆透明 Proxy
- 整合 Citrix ADC、Citrix Secure Web Gateway 與 Azure Stack Hub
- 整合 Cisco Secure Web Appliance (WSA) 與 Azure Stack Hub
在要求來自 Azure Stack Hub 的輸出流量經過明確 Proxy 的情況下,Sophos 和檢查點裝置會提供雙重模式的功能,允許特定範圍的流量通過透明模式,而其他範圍則可以設定為通過明確模式傳遞。 您可以使用此功能來設定這些 Proxy 裝置,如此一來,只有基礎結構流量會透過透明 Proxy 傳送,而所有的租用戶流量則會透過明確模式傳送。
重要
不支援 SSL 流量攔截,而且可能會在存取端點時導致服務失敗。 針對身分識別所需的端點通訊,支援的逾時上限為 60 秒,並且可重試 3 次。 如需詳細資訊,請參閱 Azure Stack Hub 防火牆整合。
範例邊界設定
解決方案是以原則為基礎的路由 (PBR),其使用由存取控制清單 (ACL) 實作的管理員定義的一組準則。 ACL 會將導向路由對應中實作的 Proxy 裝置的下一個躍點 IP 的流量分類,而非僅基於目的地 IP 位址的一般路由。 連接埠 80 和 443 的特定基礎結構網路流量,會從邊界裝置路由至透明 Proxy 部署。 透明 Proxy 會執行 URL 篩選,而不會捨棄任何允許的流量。
下列設定範例適用於 Cisco Nexus 9508 Chassis。
在此案例中,需要存取網際網路的來源基礎結構網路如下所示:
- 公用 VIP - 前 /27
- 基礎結構網路 - 後 /27
- BMC 網路 - 後 /27
在此案例中,下列子網路會獲得以原則為基礎的路由 (PBR) 處理:
| 網路 | IP 範圍 | 獲得 PBR 處理的子網路 |
|---|---|---|
| 公用虛擬 IP 集區 | 172.21.107.0/27 的前 /27 | 172.21.107.0/27 = 172.21.107.1 至 172.21.107.30 |
| 基礎結構網路 | 172.21.7.0/24 的後 /27 | 172.21.7.224/27 = 172.21.7.225 至 172.21.7.254 |
| BMC 網路 | 10.60.32.128/26 的後 /27 | 10.60.32.160/27 = 10.60.32.161 到 10.60.32.190 |
設定邊界裝置
輸入 feature pbr 命令以啟用 PBR。
****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!
<Create VLANs that the proxy devices will use for inside and outside connectivity>
!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
match ip address PERMITTED_TO_PROXY_ENV1
set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
description DownLink to TOR-1:TeGig1/0/47
mtu 9100
logging event port link-status
vrf member VRF08
ip address 192.168.32.193/30
ip policy route-map TRAFFIC_TO_PROXY_ENV1
no shutdown
!
interface Ethernet2/1
description DownLink to TOR-2:TeGig1/0/48
mtu 9100
logging event port link-status
vrf member VRF08
ip address 192.168.32.205/30
ip policy route-map TRAFFIC_TO_PROXY_ENV1
no shutdown
!
<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>
!
interface Ethernet1/41
description management interface for Firewall-1
switchport
switchport access vlan 801
no shutdown
!
interface Ethernet1/42
description Proxy interface for Firewall-1
switchport
switchport access vlan 802
no shutdown
!
interface Ethernet2/41
description management interface for Firewall-2
switchport
switchport access vlan 801
no shutdown
!
interface Ethernet2/42
description Proxy interface for Firewall-2
switchport
switchport access vlan 802
no shutdown
!
<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2>
!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
remote-as 65001
description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
address-family ipv4 unicast
maximum-prefix 12000 warning-only
neighbor 192.168.32.206
remote-as 65001
description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
address-family ipv4 unicast
maximum-prefix 12000 warning-only
!
!
建立將用來識別會獲得 PBR 處理流量的新 ACL。 該流量是來自測試機架中會取得 Proxy 服務的主機/子網路的 Web 流量 (HTTP 連接埠 80 和 HTTPS 連接埠 443),如本範例所述。 例如,ACL 名稱是 PERMITTED_TO_PROXY_ENV1。
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>
PBR 功能的核心是由 TRAFFIC_TO_PROXY_ENV1 路由對應實作。 已新增 pbr-statistics 選項,讓您檢視原則比對統計資料,以驗證取得和未取得 PBR 轉送的封包數量。 路由對應順序 10 會允許對符合 ACL PERMITTED_TO_PROXY_ENV1 準則的流量進行 PBR 處理。 該流量會轉送到 10.60.3.34 的下一個躍點 IP 位址,而 10.60.3.35 是範例設定中主要/次要 Proxy 裝置的 VIP
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
match ip address PERMITTED_TO_PROXY_ENV1
set ip next-hop 10.60.3.34 10.60.3.35
ACL 會用來做為 TRAFFIC_TO_PROXY_ENV1 路由對應的比對準則。 當流量符合 PERMITTED_TO_PROXY_ENV1 ACL 時,PBR 會覆寫標準路由表,並改為將流量轉送至列出的 IP 下一個躍點。
TRAFFIC_TO_PROXY_ENV1 PBR 原則會套用至從 CL04 主機和公用 VIP,以及從測試機架中的 HLH 和 DVM 進入邊界裝置的流量。
後續步驟
若要深入了解防火牆整合,請參閱 Azure Stack Hub 防火牆整合。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應