使用 Fortinet FortiGate NVA 的 Azure Stack Hub 實例之間的 VNet 對 VNet 連線能力VNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

在本文中,您將使用 Fortinet FortiGate NVA (網路虛擬設備),將一個 Azure Stack Hub 中的 VNET 連線到另一個 Azure Stack Hub 中的 VNET。In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

本文說明目前的 Azure Stack Hub 限制,這可讓租使用者在兩個環境之間設定一個 VPN 連線。This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. 使用者將了解如何在 Linux 虛擬機器上設定自訂閘道,以允許不同 Azure Stack Hub 之間的多個 VPN 連線。Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. 本文中的程序會在每個 VNET 中部署兩個具有 FortiGate NVA 的 VNET:每個 Azure Stack Hub 環境各部署一個。The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. 此外也會詳細說明在這兩個 VNET 之間設定 IPSec VPN 所需的變更。It also details the changes required to set up an IPSec VPN between the two VNETs. 您應針對每個 Azure Stack Hub 中的每個 VNET 重複執行本文中的步驟。The steps in this article should be repeated for each VNET in each Azure Stack Hub.

PrerequisitesPrerequisites

  • 可存取有足夠容量可部署此解決方案所需的計算、網路和資源的 Azure Stack Hub 整合式系統。Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    注意

    這些指示 適用於 Azure Stack 開發套件 (ASDK),因為 ASDK 中有網路限制。These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. 如需詳細資訊,請參閱 ASDK 需求和考量For more information, see ASDK requirements and considerations.

  • 已下載並發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. NVA 可控制從周邊網路到其他網路或子網路的網路流量。An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. 此程序會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • 至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。At least two available FortiGate license files to activate the FortiGate NVA. 如需如何取得這些授權的相關資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    此程序會使用單一 FortiGate-VM 部署This procedure uses the Single FortiGate-VM deployment. 您可以找到在內部部署網路中將 FortiGate NVA 連線至 Azure Stack Hub VNET 的步驟。You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    如需如何在主動-被動 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Fortinet 文件庫文章 FortiGate-VM 在 Azure 上的 HAFor more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

部署參數Deployment parameters

下表摘錄了在這些部署中使用的參數以供參考:The following table summarizes the parameters that are used in these deployments for reference:

部署一:Forti1Deployment one: Forti1

FortiGate 執行個體名稱FortiGate Instance Name Forti1Forti1
BYOL 授權/版本BYOL License/Version 6.0.36.0.3
FortiGate 系統管理使用者名稱FortiGate administrative username fortiadminfortiadmin
資源群組名稱Resource Group name forti1-rg1forti1-rg1
虛擬網路名稱Virtual network name forti1vnet1forti1vnet1
VNET 位址空間VNET Address Space 172.16.0.0/16*172.16.0.0/16*
公用 VNET 子網路名稱Public VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
公用 VNET 位址首碼Public VNET address prefix 172.16.0.0/24*172.16.0.0/24*
內部 VNET 子網路名稱Inside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
內部 VNET 子網路首碼Inside VNET subnet prefix 172.16.1.0/24*172.16.1.0/24*
FortiGate NVA 的 VM 大小VM Size of FortiGate NVA 標準 F2s_v2Standard F2s_v2
公用 IP 位址名稱Public IP address name forti1-publicip1forti1-publicip1
公用 IP 位址類型Public IP address type 靜態Static

部署二:Forti2Deployment two: Forti2

FortiGate 執行個體名稱FortiGate Instance Name Forti2Forti2
BYOL 授權/版本BYOL License/Version 6.0.36.0.3
FortiGate 系統管理使用者名稱FortiGate administrative username fortiadminfortiadmin
資源群組名稱Resource Group name forti2-rg1forti2-rg1
虛擬網路名稱Virtual network name forti2vnet1forti2vnet1
VNET 位址空間VNET Address Space 172.17.0.0/16*172.17.0.0/16*
公用 VNET 子網路名稱Public VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
公用 VNET 位址首碼Public VNET address prefix 172.17.0.0/24*172.17.0.0/24*
內部 VNET 子網路名稱Inside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
內部 VNET 子網路首碼Inside VNET subnet prefix 172.17.1.0/24*172.17.1.0/24*
FortiGate NVA 的 VM 大小VM Size of FortiGate NVA 標準 F2s_v2Standard F2s_v2
公用 IP 位址名稱Public IP address name Forti2-publicip1Forti2-publicip1
公用 IP 位址類型Public IP address type 靜態Static

注意

* 如果上述項目與內部部署網路環境有任何重疊的情況 (包括任一 Azure Stack Hub 的 VIP 集區),請選擇一組不同的位址空間和子網路首碼。* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. 同時請確定位址範圍未彼此重疊。**Also ensure that the address ranges do not overlap with one another.**

部署 FortiGate NGFW Marketplace 項目Deploy the FortiGate NGFW Marketplace Items

對這兩個 Azure Stack Hub 環境重複前述步驟。Repeat these steps for both Azure Stack Hub environments.

  1. 開啟 Azure Stack Hub 使用者入口網站。Open the Azure Stack Hub user portal. 請務必使用至少具有訂用帳戶參與者權限的認證。Be sure to use credentials that have at least Contributor rights to a subscription.

  2. 選取 [建立資源] ,然後搜尋 FortiGateSelect Create a resource and search for FortiGate.

    螢幕擷取畫面顯示搜尋 "fortigate" 的單一結果行。

  3. 選取 [FortiGate NGFW],然後選取 [建立]。Select the FortiGate NGFW and select the Create.

  4. 使用部署參數 表格中的參數完成 [基本]。Complete Basics using the parameters from the Deployment parameters table.

    您的表單應會包含下列資訊:Your form should contain the following information:

    [基本] 對話方塊的文字方塊 (例如 [實例名稱] 和 [BYOL 授權]) ,已填入部署資料表中的值。

  5. 選取 [確定]。Select OK.

  6. 提供部署參數中的虛擬網路、子網路和 VM 大小詳細資料。Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    如果您想要使用不同的名稱和範圍,請小心不要使用會與其他 Azure Stack Hub 環境中的其他 VNET 和 FortiGate 資源衝突的參數。If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. 在 VNET 中設定 VNET IP 範圍和子網路範圍時,更要多加留意。This is especially true when setting the VNET IP range and subnet ranges within the VNET. 請確認它們不會與您建立的其他 VNET 的 IP 範圍重疊。Check that they don't overlap with the IP ranges for the other VNET you create.

  7. 選取 [確定]。Select OK.

  8. 設定將用於 FortiGate NVA 的公用 IP:Configure the public IP that will be used for the FortiGate NVA:

    [IP 指派] 對話方塊的 [公用 IP 位址名稱] 文字方塊會顯示部署資料表)  (值 "forti1-publicip1"。

  9. 選取 [確定],然後再次選取 [確定]。Select OK and then Select OK.

  10. 選取 [建立]。Select Create.

完成部署大約需要 10 分鐘。The deployment will take about 10 minutes. 現在,您可以重複前述步驟,以在其他 Azure Stack Hub 環境中建立其他 FortiGate NVA 和 VNET 部署。You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

設定每個 VNET 的路由 (UDR)Configure routes (UDRs) for each VNET

請為 forti1-rg1 和 forti2-rg1 這兩個部署執行下列步驟。Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. 在 Azure Stack Hub 入口網站中,瀏覽至 forti1-rg1 資源群組。Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    這是 forti1-rg1 資源群組中資源清單的螢幕擷取畫面。

  2. 選取 'forti1-forti1-InsideSubnet-routes-xxxx' 資源。Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. 在 [設定] 底下選取 [路由]。Select Routes under Settings.

    螢幕擷取畫面會顯示 [設定] 反白顯示的 [路由] 專案。

  4. 刪除 to-Internet 路由。Delete the to-Internet Route.

    螢幕擷取畫面顯示反白顯示的-網際網路路由。

  5. 選取 [是]。Select Yes.

  6. 選取 [新增]。Select Add.

  7. 路由命名為 to-forti1to-forti2Name the Route to-forti1 or to-forti2. 如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。Use your IP range if you are using a different IP range.

  8. 輸入:Enter:

    • Forti1:172.17.0.0/16forti1: 172.17.0.0/16
    • Forti2:172.16.0.0/16forti2: 172.16.0.0/16

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。Use your IP range if you are using a different IP range.

  9. 針對 [下一個躍點類型],選取 [虛擬設備]。Select Virtual appliance for the Next hop type.

    • Forti1:172.16.1.4forti1: 172.16.1.4
    • Forti2:172.17.0.4forti2: 172.17.0.4

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。Use your IP range if you are using a different IP range.

    Forti2 的 [編輯路由] 對話方塊會有具有值的文字方塊。

  10. 選取 [儲存]。Select Save.

對每個資源群組的每個 InsideSubnet 路由,重複前述步驟。Repeat the steps for each InsideSubnet route for each resource group.

啟用 FortiGate NVA,並在每個 NVA 上設定 IPSec VPN 連線Activate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

您將需要 Fortinet 提供的有效授權檔案,才能啟用每個 FortiGate NVA。You will require a valid license file from Fortinet to activate each FortiGate NVA. 在您啟用每個 NVA 之前,NVA 將 無法 運作。The NVAs will not function until you have activated each NVA. 如需如何取得授權檔案和 NVA 啟用步驟的詳細資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

您將需要兩個授權檔案 – 每個 NVA 一個。Two license files will need to be acquired – one for each NVA.

在兩個 NVA 之間建立 IPSec VPNCreate an IPSec VPN between the two NVAs

啟用 NVA 之後,請依照下列步驟建立兩個 NVA 之間的 IPSec VPN。Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

對 forti1 NVA 和 forti2 NVA 執行下列步驟:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. 瀏覽至 fortiX VM 的 [概觀] 頁面,以取得指派的公用 IP 位址:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    Forti1 總覽頁面會顯示資源群組、狀態等等。

  2. 複製指派的 IP 位址,開啟瀏覽器,然後將位址貼到網址列中。Copy the assigned IP address, open a browser, and paste the address into the address bar. 您的瀏覽器可能會警告您安全性憑證不受信任。Your browser may warn you that the security certificate is not trusted. 請繼續作業。Continue anyway.

  3. 輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。Enter the FortiGate administrative user name and password you provided during the deployment.

    這是登入畫面的螢幕擷取畫面,其中包含使用者名稱和密碼的登入按鈕和文字方塊。

  4. 選取 [系統 > 固件]。Select System > Firmware.

  5. 選取顯示最新韌體的方塊,例如 FortiOS v6.2.0 build0866Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    "FortiOS v 6.2.0 build0866" 的螢幕擷取畫面包含版本資訊的連結,以及兩個按鈕:「備份設定和升級」和「升級」。

  6. 選取 [備份組態並升級],並在出現提示時選取 [繼續]。Select Backup config and upgrade and Continue when prompted.

  7. NVA 會將其韌體更新為最新組建,然後重新開機。The NVA updates its firmware to the latest build and reboots. 此程序大約需要五分鐘的時間。The process takes about five minutes. 重新登入 FortiGate Web 主控台。Log back into the FortiGate web console.

  8. 按一下 [ VPN > IPSec Wizard]Click VPN > IPSec Wizard.

  9. 在 [VPN 建立精靈] 中輸入 VPN 的名稱,例如 conn1Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. 選取 [此網站位於 NAT 後方]。Select This site is behind NAT.

    [VPN 建立嚮導] 的螢幕擷取畫面顯示其位於第一個步驟: VPN 設定。

  11. 選取 [下一步] 。Select Next.

  12. 輸入您要連線的內部部署 VPN 裝置的遠端 IP 位址。Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. 選取 [port1] 作為 [連出介面]。Select port1 as the Outgoing Interface.

  14. 選取 [預先共用金鑰],然後輸入 (並記錄) 預先共用金鑰。Select Pre-shared Key and enter (and record) a pre-shared key.

    注意

    您將需要以此金鑰來設定內部部署 VPN 裝置上的連線,也就是說,金鑰必須 完全 相符。You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    [VPN 建立嚮導] 的螢幕擷取畫面顯示它是在第二個步驟中,[驗證],而選取的值會反白顯示。

  15. 選取 [下一步] 。Select Next.

  16. 針對 [本機介面],選取 [port2]。Select port2 for the Local Interface.

  17. 輸入本機子網路範圍:Enter the local subnet range:

    • forti1: 172.16.0.0/16forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16forti2: 172.17.0.0/16

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。Use your IP range if you are using a different IP range.

  18. 輸入代表內部部署網路的適當遠端子網路,您將透過內部部署 VPN 裝置連線至此網路。Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1: 172.16.0.0/16forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16forti2: 172.17.0.0/16

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。Use your IP range if you are using a different IP range.

    [VPN 建立嚮導] 的螢幕擷取畫面顯示它是在第三個步驟中,也就是原則 & 路由,顯示所選和輸入的值。

  19. 選取 [建立] Select Create

  20. 選取 [網路 > 介面]。Select Network > Interfaces.

    介面清單會顯示兩個介面: port1 (已設定),以及 port2 (尚未設定)。

  21. 按兩下 [port2]。Double-click port2.

  22. 在 [角色] 清單中選擇 [LAN],並選擇 [DHCP] 作為 [定址模式]。Choose LAN in the Role list and DHCP for the Addressing mode.

  23. 選取 [確定]。Select OK.

對其他 NVA 重複前述步驟。Repeat the steps for the other NVA.

啟動所有的階段 2 選取器Bring Up All Phase 2 Selectors

兩個 NVA 都完成前述步驟後:Once the above has been completed for both NVAs:

  1. 在 forti2 FortiGate web 主控台上,選取以 監視 > IPsec 監視器On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    [VPN 連線] conn1 的監視器會列出。

  2. 反白顯示 conn1 並選取 [顯示 > 所有第2階段] 選取器Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    監視器和階段2選取器會顯示為向上。

測試並驗證連線能力Test and validate connectivity

您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間進行路由。You should now be able to route in between each VNET via the FortiGate NVAs. 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. 您可以透過入口網站、CLI 或 PowerShell 來建立 Azure Stack Hub VM。Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. 建立 VM 時:When creating the VMs:

  • Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet 上。The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • 在建立 VM 時,您 不應 將任何 NSG 套用至 VM (也就是說,如果從入口網站建立 VM,請移除依預設新增的 NSG)。You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • 確定 VM 防火牆規則允許您要用來測試連線的通訊。Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. 基於測試目的,建議您在作業系統中完全停用防火牆 (如果可能的話)。For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

後續步驟Next steps

Azure Stack Hub 網路服務的差異與注意事項Differences and considerations for Azure Stack Hub networking
以 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案Offer a network solution in Azure Stack Hub with Fortinet FortiGate