Azure Stack Hub Ruggedized 網路簡介

網路設計概觀

實體網路設計

Azure Stack Hub Ruggedized 解決方案需要有彈性且高可用性的實體基礎結構,以支援其作業和服務。 從 ToR 上行連結至界限交換器僅限用 SFP + 或 SFP28 媒體和 1 GB、10 GB 或 25-GB 的速度。 請洽詢您原始設備製造商 (OEM) 的硬體廠商,以了解可用性。

下圖顯示建議的 Azure Stack Hub Ruggedized 設計。

Azure Stack Hub ruggedized physical network

邏輯網路設計

邏輯網路設計代表實體網路基礎結構的抽象概念。 其用來組織及簡化主機、虛擬機器 (VM) 和服務的網路指派。 在建立邏輯網路的過程中,會建立網站來定義:

  • 虛擬區域網路 (VLAN)
  • IP 子網路
  • IP 子網路/VLAN 配對

所有這些都與每個實體位置中的邏輯網路相關聯。

下表顯示邏輯網路,以及您必須為其進行規劃的相關 IPv4 子網路範圍:

邏輯網路 說明 大小
公用虛擬 IP (VIP) Azure Stack Hub Ruggedized 從這個網路使用總計 31 個位址。 有 8 個公用 IP 位址用於小型 Azure Stack Hub Ruggedized 服務集,其餘位址由租用戶 VM 使用。 如果您打算使用 App Service 和 SQL 資源提供者,則會再使用 7 個位址。 其餘 15 個 IP 則保留給未來的 Azure 服務。 /26 (62 個主機)-
/22 (1022 個主機)

建議 = / 24 (254 部主機)
交換器基礎結構 路由用途的點對點 IP 位址、專屬的交換器管理介面,及指派給參數的回送位址。 /26
基礎結構 用於通訊的 Azure Stack Hub Ruggedized 內部元件。 /24
私人 用於儲存體網路、私人 VIP、基礎結構容器和其他內部函式。 /20
基礎板管理控制器 (BMC) 用來與實體主機上的基礎板管理控制器通訊。 /26

網路基礎結構

Azure Stack Hub Ruggedized 的網路基礎結構包含交換器上設定的數個邏輯網路。 下圖顯示這些邏輯網路,及其如何整合機架頂端 (TOR)、基礎板管理控制器與界限 (客戶網路) 交換器。

Azure Stack Hub Ruggedized 邏輯網狀圖:

Azure Stack Hub ruggedized logical network

BMC 網路

此網路專門用來將所有基礎板管理控制器 (也稱為 BMS 或服務處理器) 連線至管理網路。 範例包括:iDRAC、iLO、iBMC 等等。 只有一個 BMC 帳戶會用來與任何 BMC 節點通訊。 如果硬體生命週期主機 (HLH) 存在,它會位在此網路上,並可提供用於維護或監視硬體的 OEM 專用軟體。

HLH 也會裝載部署 VM (DVM)。 DVM 會在 Azure Stack Hub Ruggedized 部署期間使用,並且在部署完成時移除。 在已連線的部署案例中,DVM 需要網際網路存取權才能測試、驗證及存取多個元件。 這些元件可以在公司網路的內部和外部 (例如 NTP、DNS 和 Azure)。 如需有關連線需求的詳細資訊,請參閱 Azure Stack Hub Ruggedized 防火牆整合中的 NAT 區段。

私人網路

/20 (4096 個主機 IP) 網路是 Azure Stack Hub Ruggedized 區域的私人網路。 其不會擴充到超出 Azure Stack Hub Ruggedized 區域的邊界交換器裝置。 此網路分成多個子網路,例如:

  • 儲存體網路:/25 (128 個 IP) 網路用於支援使用空間直接存取和伺服器訊息區 (SMB) 儲存體流量,以及 VM 即時移轉。
  • 內部虛擬 IP 網路:/25 網路,專門用於軟體負載平衡器僅供內部使用的 VIP。
  • 容器網路:/23 (512 個 IP) 網路,專門用於在執行基礎結構服務的容器之間處理僅供內部使用的流量

私人網路的大小為 /20 (4096 個 IP) 的私人 IP 空間。 網路是 Azure Stack Hub Ruggedized 系統的私人網路。 其不會路由至 Azure Stack Hub Ruggedized 系統的邊界交換器裝置,而且可以在多個 Azure Stack Hub Ruggedized 系統上重複使用。 這是 Azure Stack Hub Ruggedized 的私人網路,不能與您資料中心內的其他網路重疊。 如需私人 IP 空間的指引,建議您遵循 RFC 1918。

/20 私人 IP 空間會分割成多個網路,讓 Azure Stack Hub Ruggedized 系統基礎結構可在未來版本的容器上執行。 如需詳細資料,請參閱 1910 版本資訊。 這個新的 IP 空間也會用來啟用進行中的工作,以減少部署前所需的可路由 IP 空間。

Azure Stack Hub Ruggedized 基礎結構網路

/24 網路專屬於內部 Azure Stack Hub Ruggedized 元件,以便這些元件通訊和交換本身的資料。 針對 Azure Stack Hub Ruggedized 解決方案,此子網路可以從外部路由到您的資料中心。 我們建議在此子網路上使用公用或可從網際網路路由的 IP 位址。 此網路會向邊界公告,但其大部分的 IP 會受到存取控制清單 (ACL) 的保護。 允許存取的 IP 位於較小的範圍內,相當於 /27 網路的大小。 IP 主機服務 (例如具有特殊權限的端點,PEP) 和 Azure Stack Hub Ruggedized 備份。

公用 VIP 網路

公用 VIP 網路會指派給 Azure Stack Hub Ruggedized 中的網路控制器。 它不是交換器上的邏輯網路。 SLB 會針對租用戶工作負載使用位址集區並指派 /32 網路。 在交換器路由表上,這些 /32 IP 會公告為可透過邊界閘道協定 (BGP) 使用的路由。 此網路包含可從外部存取的公用位址。 Azure Stack Hub Ruggedized 基礎結構保留公用 VIP 網路的前 31 個位址,而剩下的由租用戶 VM 使用。 此子網路上的網路大小範圍從最小 /26 (64 部主機) 到最大 /22 (1022 部主機), 我們建議您規劃 /24 網路。

交換器基礎結構網路

/26 網路是子網路,其中包含可路由傳送的點對點 IP/30 (兩個主機 IP) 子網路和回送。 這些是用於頻外交換器管理與 BGP 路由器識別碼的專用 /32 子網路。 此 IP 位址範圍必須可在 Azure Stack Hub Ruggedized 解決方案外部路由傳送至您的資料中心。 IP 位址可以是私人或公用 IP。

交換器管理網路

/29 (6 個主機 IP) 網路專門用來與交換器的管理連接埠連線。 此網路允許部署、管理和疑難排解的頻外存取。 它是從上述的交換器基礎結構網路計算而來。

DNS 設計概觀

若要從 Azure Stack Hub Ruggedized 外部存取 Azure Stack Hub Ruggedized 端點 (portaladminportalmanagementadminmanagement 等),您必須整合 Azure Stack Hub Ruggedized DNS 服務與您想要在 Azure Stack Hub Ruggedized 中使用的 DNS 區域裝載所在的 DNS 伺服器。

Azure Stack Hub Ruggedized DNS 命名空間

部署 Azure Stack Hub Ruggedized 時,您必須提供一些與 DNS 相關的重要資訊。

欄位 說明 範例
區域 Azure Stack Hub Ruggedized 部署的地理位置。 東部
外部網域名稱 要用於 Azure Stack Hub Ruggedized 部署的區域名稱。 cloud.fabrikam.com
內部網域名稱 Azure Stack Hub Ruggedized 中的基礎結構服務所使用的內部區域名稱。 這是「目錄服務」整合的,且是私人的 (無法從 Azure Stack Hub Ruggedized 部署外部連線)。 azurestack.local
DNS 轉送 用來轉送裝載於 Azure Stack Hub Ruggedized 外部 (公司內部網路或公用網際網路) 的 DNS 查詢、DNS 區域及記錄的 DNS 伺服器。 您可以在部署之後,使用 Set-AzSDnsForwarder cmdlet 來編輯 DNS 轉寄站值。
命名前置詞 (選擇性) 您想要讓 Azure Stack Hub Ruggedized 基礎結構角色執行個體電腦名稱擁有的命名首碼。 如果未提供,則預設值為 "azs"。 azs

您的 Azure Stack Hub Ruggedized 部署和端點的完整網域名稱 (FQDN) 是「區域」參數和「外部網域名稱」參數的組合。 使用上表中的範例值時,此 Azure Stack Hub Ruggedized 部署的 FQDN 會是:east.cloud.fabrikam.com

因此,此部署的一些端點範例會類似下列 URL:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

若要將此範例 DNS 命名空間用於 Azure Stack Hub Ruggedized 部署,必須符合下列條件:

  • 區域 fabrikam.com 會向網域登錄器和/或內部公司 DNS 伺服器註冊。 註冊取決於您的名稱解析需求。
  • 子網域 cloud.fabrikam.com 存在於 [區域 fabrikam.com] 下。
  • 您可以從 Azure Stack Hub Ruggedized 部署連線到裝載區域 fabrikam.com 和 cloud.fabrikam.com 的 DNS 伺服器。

若要從 Azure Stack Hub Ruggedized 外部解析 Azure Stack Hub Ruggedized 端點和執行個體的 DNS 名稱,您必須整合 DNS 伺服器。 包括裝載 Azure Stack Hub Ruggedized 外部 DNS 區域的伺服器,以及裝載您所要使用上層區域的 DNS 伺服器。

DNS 名稱標籤

Azure Stack Hub Ruggedized 支援將 DNS 名稱標籤新增至公用 IP 位址,讓公用 IP 位址可以解析名稱。 DNS 標籤可讓使用者依名稱快速找到裝載在 Azure Stack Hub Ruggedized 中的應用程式和服務。 DNS 名稱標籤使用的命名空間與基礎結構端點的命名空間有些許不同。 在先前的範例命名空間之後,DNS 名稱標籤的命名空間會是:*.east.cloudapp.cloud.fabrikam.com

若租用戶在公用 IP 位址資源的 DNS 名稱欄位中指定值 Myapp,系統會針對 Azure Stack Hub Ruggedized 外部 DNS 伺服器的 east.cloudapp.cloud.fabrikam.com 區域中的 myapp 建立 A 記錄。 產生的完整網域名稱會是:myapp.east.cloudapp.cloud.fabrikam.com

如果您想要利用這種功能並使用此命名空間,您必須整合 DNS 伺服器。 包括裝載 Azure Stack Hub Ruggedized 外部 DNS 區域的伺服器,以及裝載您所要使用上層區域的 DNS 伺服器。 這個命名空間與用於 Azure Stack Hub Ruggedized 服務端點的命名空間不同,因此您必須建立其他的委派或條件式轉送規則。

如需更多關於 DNS 名稱標籤如何運作的詳細資訊,請參閱「在 Azure Stack Hub Ruggedized 中使用 DNS」。

解析和委派

有兩種類型的 DNS 伺服器:

  • 權威 DNS 伺服器會裝載 DNS 區域。 它只會回答這些區域中的 DNS 記錄查詢。
  • 遞迴 DNS 伺服器不會裝載 DNS 區域。 它會呼叫授權 DNS 伺服器來收集所需的資料,以回答所有 DNS 查詢。

Azure Stack Hub Ruggedized 同時包含權威和遞迴 DNS 伺服器。 遞迴伺服器可用來解析所有項目的名稱,但 Azure Stack Hub Ruggedized 部署的內部私人區域和外部公用 DNS 區域除外。

從 Azure Stack Hub Ruggedized 解析外部 DNS 名稱

若要解析 Azure Stack Hub Ruggedized 外部端點的 DNS 名稱 (例如 www.bing.com),您必須提供 Azure Stack Hub Ruggedized 可用來轉送 Azure Stack Hub Ruggedized 對其不具權威性之 DNS 要求的 DNS 伺服器。 「部署工作表」中必須要有作為 Azure Stack Hub Ruggedized 轉送要求目的地的 DNS 伺服器 (在 [DNS 轉寄站] 欄位中)。 請至少在此欄位中提供兩個伺服器以供容錯使用。 如果沒有這些值,Azure Stack Hub Ruggedized 部署將會失敗。 您可以在部署之後,使用 Set-AzSDnsForwarder cmdlet 來編輯 DNS 轉寄站值。

防火牆設計概觀

建議您使用防火牆裝置來協助保護 Azure Stack Hub Ruggedized 安全。 防火牆可協助抵禦分散式阻斷服務 (DDOS) 攻擊、入侵偵測及內容檢查等作業。 不過,它們也會成為 Azure 儲存體服務 (例如 Blob、資料表和佇列) 的輸送量瓶頸。

如果使用中斷連線的部署模式,您就必須發佈 AD FS 端點。 如需詳細資訊,請參閱資料中心整合身分識別一文。

Azure Resource Manager (系統管理員)、系統管理員入口網站及 Key Vault (系統管理員) 端點並不一定需要外部發佈。 例如,作為服務提供者,您可以只從網路內部 (而不從網際網路) 管理 Azure Stack Hub Ruggedized,藉以限制攻擊面。

就企業組織而言,外部網路可能是現有的公司網路。 在此案例中,您必須發佈端點,以從公司網路操作 Azure Stack Hub Ruggedized。

網路位址轉譯

網路位址轉譯 (NAT) 是在部署期間允許部署虛擬機器 (DVM) 存取外部資源的建議方法。 此外,在註冊和疑難排解期間也是緊急修復主控台 (ERCS) VM 或具有特殊權限端點 (PEP) 的建議方法。

NAT 也可以是外部網路上公用 IP 位址或公用 VIP 的替代方案。 不過,並不建議這麼做,因為它會限制租用戶使用者體驗並增加複雜性。 其中一個選項是一對一的 NAT,其仍然需要在集區上為每個使用者 IP 提供一個公用 IP。 另一個選項是多對一的 NAT,其需要針對使用者可能使用的所有連接埠,為每個使用者 VIP 提供一個 NAT 規則。

將 NAT 用於公用 VIP 的一些缺點包括:

  • 管理防火牆規則時額外負荷,因為使用者會在軟體定義網路 (SDN) 堆疊中控制自己的端點和發佈規則。 使用者必須連絡 Azure Stack Hub Ruggedized 操作員,才能發佈其 VIP 及更新連接埠清單。
  • 雖然使用 NAT 會限制使用者體驗,但它可讓操作員完全控制發佈要求。
  • 針對與 Azure 搭配的混合式雲端案例,請考量 Azure 不支援使用 NAT 來設定端點 VPN 通道。

SSL 攔截

目前,我們建議您在所有 Azure Stack Hub Ruggedized 流量上停用任何 SSL 攔截 (例如解密卸載)。 如果未來的更新可支援該功能,指引中將會提供如何為 Azure Stack Hub Ruggedized 啟用 SSL 攔截的相關資訊。

Edge 部署防火牆案例

在邊緣部署中,Azure Stack Hub Ruggedized 會直接部署在邊緣路由器或防火牆後面。 在這些案例中,會支援防火牆位於框線之上 (案例 1),同時支援主動-主動和主動-被動防火牆設定。 其也可以做為框線裝置 (案例 2),其中只支援主動-主動防火牆設定。 案例 2 依賴相同成本的多重路徑 (ECMP) 搭配 BGP 或靜態路由進行容錯移轉。

在部署期間,會從外部網路為公用 VIP 集區指定可路由傳送的公用 IP 位址。 基於安全性考慮,在邊緣案例中,建議在任何其他網路上使用公用可路由傳送的 IP。 此案例會讓使用者能夠享有像在 Azure 這類公用雲端一樣的完全自我控制雲端體驗。

Azure Stack Hub ruggedized edge firewall scenario

企業內部網路或周邊網路防火牆案例

在企業內部網路或周邊部署中,Azure Stack Hub Ruggedized 會部署在多區域防火牆上,或部署在邊緣防火牆與內部公司網路防火牆之間。 然後其流量會分散在安全的周邊網路 (或 DMZ) 與不安全的區域之間,如下所述:

  • 安全區域:使用內部或公司可路由傳送 IP 位址的內部網路。 可分割的安全網路。 其可透過防火牆 NAT 進行網際網路輸出存取。 通常可透過內部網路從您的資料中心內部存取。 除了外部網路的公用 VIP 集區之外,所有 Azure Stack Hub Ruggedized 網路都應該位於安全區域中。
  • 周邊區域。 周邊網路是通常用來部署外部或網際網路對應應用程式 (例如 Web 伺服器) 的位置。 其通常會受防火牆監視來避免遭受攻擊 (例如 DDoS) 和入侵 (駭客),但仍允許來自網際網路的指定輸入流量。 只有 Azure Stack Hub Ruggedized 的外部網路公用 VIP 集區應位於 DMZ 區域中。
  • 不安全區域。 外部網路,即網際網路。 建議在不安全的區域中部署 Azure Stack Hub Ruggedized。

Perimeter network firewall scenario

VPN 設計概觀

雖然 VPN 是使用者概念,但有一些重要的考量是解決方案擁有者和操作員所必須知道的。

您必須先為您的虛擬網路建立虛擬網路 (VPN) 閘道,才能傳送 Azure 虛擬網路和內部部署網站之間的網路流量。

VPN 閘道是一種虛擬網路閘道,可透過公用連接傳送加密的流量。 您可以使用 VPN 閘道,在 Azure Stack Hub Ruggedized 中的虛擬網路與 Azure 中的虛擬網路之間安全地傳送流量。 您也可以在虛擬網路與連線到 VPN 裝置的另一個網路之間安全地傳送流量。

建立虛擬網路閘道時,您可指定想要建立的閘道類型。 Azure Stack Hub Ruggedized 支援一種類型的虛擬網路閘道:Vpn 類型。

每個虛擬網路可以有兩個虛擬網路閘道,但每種類型只能有一個。 視您選擇的設定而定,您可以對單一 VPN 閘道建立多個連線。 這種設定的範例是多站台連線設定。

在您建立及設定 Azure Stack Hub Ruggedized 的 VPN 閘道之前,請先檢閱 Azure Stack Hub Ruggedized 網路功能的考量。 您將了解 Azure Stack Hub Ruggedized 的設定與 Azure 有何不同。

在 Azure 中,您所選 VPN 閘道 SKU 的頻寬輸送量必須分配給連線到該閘道的所有連線。 不過,在 Azure Stack Hub Ruggedized 中,VPN 閘道 SKU 的頻寬值會套用到連線至該閘道的每個連線資源。 例如:

  • 在 Azure 中,基本 VPN 閘道 SKU 可以容納大約 100 Mbps 的彙總輸送量。 如果您對該 VPN 閘道建立兩個連線,而且其中一個連線使用 50 Mbps 的頻寬,則 50 Mbps 可供另一個連線使用。
  • 在 Azure Stack Hub Ruggedized 中,基本 VPN 閘道 SKU 的每個連線都會配置 100 Mbps 的輸送量。

VPN 類型

當您為 VPN 閘道組態建立虛擬網路閘道時,必須指定 VPN 類型。 您所選擇的 VPN 類型取決於您想要建立的連線拓撲。 VPN 類型也取決於您所使用的硬體。 S2S 組態需要 VPN 裝置。 有些 VPN 裝置僅支援特定 VPN 類型。

重要

目前,Azure Stack Hub Ruggedized 僅支援路由式 VPN 類型。 如果您的裝置僅支援原則式 VPN,則不支援從 Azure Stack Hub Ruggedized 連線到這些裝置。 此外,Azure Stack Hub Ruggedized 目前並不支援將原則式流量選取器用於路由式閘道,因為自訂 IPSec/IKE 原則組態不受支援。

  • 原則式:以原則為基礎的 VPN 會根據 IPsec 原則,透過 IPsec 通道來加密和導向封包。 原則會使用您內部部署網路與 Azure Stack Hub Ruggedized VNet 之間的位址首碼組合進行設定。 原則 (或流量選取器) 通常為 VPN 裝置組態中的存取清單。 原則式在 Azure 中受到支援,但在 Azure Stack Hub Ruggedized 中則不受支援。
  • 路由式:以路由為基礎的 VPN 會使用在 IP 轉送或路由表中設定的路由。 會路由將封包導向至其對應的通道介面。 然後,通道介面會加密或解密輸入和輸出通道的封包。 路由式 VPN 的原則 (或流量選取器) 會設定為任何對任何 (或使用萬用字元)。 根據預設,這些設定無法變更。 路由式 VPN 類型的值是路由式

設定 VPN 閘道

VPN 閘道連線需仰賴數個具有特定設定的資源。 大部分的資源都可以分開設定,但是在某些情況下必須以特定順序進行設定。

設定

您為每個資源選擇的設定,對於建立成功連線而言極為重要。

本文會協助您了解:

  • 閘道類型、VPN 類型及連線類型。
  • 閘道子網路、區域網路閘道,以及您可能想要考慮的其他資源設定。

連線拓撲圖表

VPN 閘道連線有不同的組態可用。 決定哪個組態最符合您的需求。 在下列各節中,您可以檢視有關下列 VPN 閘道連線的資訊和拓撲圖表︰

  • 可用的部署模型
  • 可用的設定工具
  • 直接帶您前往某篇文章的連結 (如果可用)

下列各節中的圖形和描述可協助您選取符合您需求的連線拓撲。 這些圖表顯示主要基準拓撲,但您也可以使用這些圖表作為指南來建置更複雜的組態。

站對站以及多網站 (IPsec/IKE VPN 通道)

網站間

「網站間 (S2S)」 VPN 閘道連線是透過 IPsec/IKE (IKEv2) VPN 通道建立的連線。 此類型的連線需要位於內部部署的 VPN 裝置,而且具有指派的公用 IP 位址。 這個裝置不能位於 NAT 後方。 S2S 連線可以用於跨單位與混合式組態。

多網站

「多網站」連線是站對站連線的變化。 您可以從虛擬網路閘道建立多個 VPN 連線,通常會連接至多個內部部署網站。 處理多重連線時,您必須使用路由式 VPN 類型 (也就是使用傳統 VNet 時的動態閘道)。 因為每個虛擬網路只能有一個 VPN 閘道,所以透過該閘道的所有連線會共用可用的頻寬。

閘道 SKU

建立 Azure Stack Hub Ruggedized 的虛擬網路閘道時,您可以指定要使用的閘道 SKU。 支援下列 VPN 閘道 SKU:

  • 基本
  • 標準
  • 高效能

選取較高的閘道 SKU 可將更多 CPU 和網路頻寬分配給閘道。 如此一來,閘道可以對虛擬網路支援更高的網路輸送量。

Azure Stack Hub Ruggedized 不支援專門搭配 Express Route 使用的超效能閘道 SKU。

當您選取 SKU 時,請考慮下列事項:

  • Azure Stack Hub Ruggedized 不支援以原則為基礎的閘道。
  • 基本 SKU 不支援 BGP。
  • Azure Stack Hub Ruggedized 不支援 ExpressRoute-VPN 閘道共存組態。

閘道可用性

高可用性案例只能在高效能閘道的連線 SKU 上設定。 不同於 Azure 可透過主動/主動和主動/被動組態提供可用性,Azure Stack Hub Ruggedized 僅支援主動/被動組態。

容錯移轉

Azure Stack Hub Ruggedized 中有三個多租用戶閘道基礎結構 VM。 這些 VM 中的兩個是作用中模式,而第三個是備援模式。 作用中的 VM 會在本身啟用 VPN 連線的建立,而備援 VM 只能在發生容錯移轉時接受 VPN 連線。 如果作用中的閘道 VM 變得無法使用,VPN 連線會在短暫中斷連線 (幾秒鐘) 後,容錯移轉至備援 VM。

依 SKU 列出的估計彙總輸送量

下表依照閘道 SKU 顯示閘道類型和預估的彙總輸送量:

VPN 閘道輸送量 (1) VPN 閘道最大 IPsec 通道 (2)
基本 SKU(3) 100 Mbps 20
標準 SKU 100 Mbps 20
高效能 SKU 200 Mbps 10

資料表附註

(1) - VPN 輸送量不是網際網路上跨單位連線的保證輸送量。 這是可能的最大輸送量測量。
(2) - 通道上限是每個 Azure Stack Hub Ruggedized 部署的所有訂用帳戶總數。
(3) - 基本 SKU 不支援 BGP 路由。

重要

兩個 Azure Stack Hub Ruggedized 部署之間只能建立一個站對站 VPN 連線。 這是因為平台中有限制,只允許單一 VPN 連線到相同的 IP 位址。 由於 Azure Stack Hub Ruggedized 會利用多租用戶閘道,並對 Azure Stack Hub Ruggedized 系統中的所有 VPN 閘道使用單一公用 IP,因此兩個 Azure Stack Hub Ruggedized 系統之間可能只有一個 VPN 連線。

將多個站對站 VPN 連線連接到任何使用單一 IP 位址的 VPN 閘道也適用此限制。 Azure Stack Hub Ruggedized 不允許使用相同 IP 位址建立多個區域網路閘道資源。**

IPsec/IKE 參數

當您在 Azure Stack Hub Ruggedized 中設定 VPN 連線時,您必須在兩端設定連線。 如果您要設定 Azure Stack Hub Ruggedized 與硬體裝置之間的 VPN 連線,該裝置可能會要求您進行其他設定。 例如,做為 VPN 閘道的交換器或路由器。

不同於可支援多個供應項目同時作為啟動程式和回應程式的 Azure,Azure Stack Hub Ruggedized 預設只支援一個供應項目。 如果您需要使用不同的 IPSec/IKE 設定來搭配 VPN 裝置運作,您有更多的設定可用來手動設定連線。

IKE 階段 1 (主要模式) 參數

屬性 ReplTest1
IKE 版本 IKEv2
Diffie-Hellman 群組 ECP384
驗證方法 預先共用金鑰
加密與雜湊演算法 AES256, SHA384
SA 存留期 (時間) 28,800 秒

IKE 階段 2 (快速模式) 參數

屬性 ReplTest1
IKE 版本 IKEv2
加密與雜湊演算法 (加密) GCMAES256
加密與雜湊演算法 (驗證) GCMAES256
SA 存留期 (時間) 27,000 秒
SA 存留期 (KB) 33,553,408
完整轉寄密碼 (PFS) ECP384
停用的對等偵測 支援

設定自訂的 IPSec/IKE 連線原則

IPsec 和 IKE 通訊協定標準支援各種不同的密碼編譯演算法的各種組合。 若要了解 Azure Stack Hub Ruggedized 中所支援的參數以滿足合規性或安全性需求,請參閱 IPsec/IKE 參數。

本文會指導您如何建立和設定 IPsec/IKE 原則,並套用至新的或現有的連線。

考量

在使用這些原則時,請注意下列重要事項:

  • IPsec/IKE 原則只適用於 Standard 和 HighPerformance (路由式) 閘道 SKU。
  • 每個給定的連線只能指定一個原則組合。
  • 您必須同時對 IKE (主要模式) 和 IPsec (快速模式) 指定所有的演算法和參數。 系統不允許只指定一部分原則。
  • 請確認 VPN 裝置廠商規格,確保內部部署 VPN 裝置支援原則。 如果原則不相容,則無法建立站對站連線。

建立和設定 IPsec/IKE 原則的工作流程

本節概述要在站對站 VPN 連線上建立和更新 IPsec/IKE 原則所必須執行的工作流程:

  1. 建立虛擬網路和 VPN 閘道。
  2. 為跨單位連線建立區域網路閘道。
  3. 使用選取的演算法和參數建立 IPsec/IKE 原則。
  4. 使用 IPsec/IKE 原則建立 IPsec 連線。
  5. 新增/更新/移除現有連線的 IPsec/IKE 原則。

支援的密碼編譯演算法和金鑰長度

下表列出可供 Azure Stack Hub Ruggedized 客戶設定的支援密碼編譯演算法和金鑰強度:

IPsec/IKEv2 選項
IKEv2 加密 AES256、AES192、AES128、DES3、DES
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 群組 ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、無
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、無
IPsec 完整性 GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 群組 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、無
QM SA 存留期 (選擇性:如果未指定,即會使用預設值)
秒 (整數;最小 300/預設值 27,000 秒)
KB 數 (整數;最小 1024/預設值 102,400,000 KB 數)
流量選取器 Azure Stack Hub Ruggedized 不支援原則式流量選取器。

內部部署 VPN 裝置組態必須符合或包含您在 Azure IPsec/IKE 原則中指定的下列演算法和參數︰

  • IKE 加密演算法 (主要模式/第 1 階段)。
  • IKE 完整性演算法 (主要模式/第 1 階段)。
  • DH 群組 (主要模式/第 1 階段)。
  • IPsec 加密演算法 (快速模式/第 2 階段)。
  • IPsec 完整性演算法 (快速模式/第 2 階段)。
  • PFS 群組 (快速模式/第 2 階段)。
  • SA 存留期僅為本機規格,因此不需要相符。

如果 GCMAES 會用於 IPsec 加密演算法,您必須基於 IPsec 完整性選取相同的 GCMAES 演算法和金鑰長度。 例如:針對這兩者使用 GCMAES128。

在上表中:

  • IKEv2 會對應到主要模式或第 1 階段。
  • IPsec 會對應到快速模式或第 2 階段。
  • DH 群組會指定在主要模式或第 1 階段中使用的 Diffie-Hellmen 群組。
  • PFS 群組會指定在快速模式或第 2 階段中使用的 Diffie-Hellmen 群組。
  • Azure Stack Hub Ruggedized VPN 閘道的 IKEv2 主要模式 SA 存留期會固定為 28,800 秒。

下表列出自訂原則所支援的對應 Diffie-Hellman 群組:

Diffie-Hellman 群組 DHGroup PFSGroup 金鑰長度
1 DHGroup1 PFS1 768 位元 MODP
2 DHGroup2 PFS2 1024 位元 MODP
14 DHGroup14 PFS2048 2048 位元 MODP
DHGroup2048
19 ECP256 ECP256 256 位元 ECP
20 ECP384 ECP384 384 位元 ECP
24 DHGroup24 PFS24 2048 位元 MODP

使用 Azure ExpressRoute 將 Azure Stack Hub Ruggedized 連線至 Azure

概觀、假設和先決條件

Azure ExpressRoute 可讓您將內部部署網路延伸至 Microsoft 雲端。 您可以使用連線提供者所提供的私人連線。 ExpressRoute 不是透過公用網際網路的 VPN 連線。

如需 Azure ExpressRoute 的詳細資訊,請參閱 ExpressRoute 概觀。

假設

本文假設:

  • 您具備 Azure 的使用知識。
  • 您對 Azure stack Hub Ruggedized 有基本的了解。
  • 您對網路有基本的了解。

必要條件

若要使用 ExpressRoute 來連線 Azure Stack Hub Ruggedized 與 Azure,您必須符合下列需求:

  • 透過連線提供者佈建的 ExpressRoute 線路。
  • Azure 訂用帳戶,用於 Azure 中建立 ExpressRoute 線路和 VNet。
  • 支援的路由器:
    • 其 LAN 介面與 Azure Stack Hub Ruggedized 多租用戶閘道之間的站對站 VPN 連線。
    • 建立多個 VRF (虛擬路由和轉送) (如果 Azure Stack Hub Ruggedized 部署中有多個租用戶)。
  • 擁有路由器,且其具有:
    • 連線至 ExpressRoute 線路的 WAN 連接埠。
    • 連線至 Azure Stack Hub Ruggedized 多租用戶閘道的 LAN 連接埠。

ExpressRoute 網路架構

下圖說明使用本文中範例完成 ExpressRoute 設定之後的 Azure Stack Hub Ruggedized 和 Azure 環境:

ExpressRoute network architecture

下圖顯示多個租用戶如何透過 ExpressRoute 路由器,從 Azure Stack Hub 基礎結構連線至 Azure:

ExpressRoute network architecture multi-tenant