Úvod do robustní sítě ve službě Azure Stack Hub

Přehled návrhu sítě

Návrh fyzické sítě

Robustní řešení služby Azure Stack Hub vyžaduje odolnou a vysoce dostupnou fyzickou infrastrukturu pro podporu provozu a služeb. Odesílání z přepínačů ToR na ohraničení je omezené na média SFP+ nebo SFP28 a 1 GB, 10 GB nebo 25 GB rychlosti. Obraťte se na dodavatele hardwaru výrobce OEM (Original Equipment Manufacturer).

Následující diagram představuje doporučený návrh pro robustní službu Azure Stack Hub.

Azure Stack Hub ruggedized physical network

Návrh logické sítě

Návrh logické sítě představuje abstrakci fyzické síťové infrastruktury. Používají se k uspořádání a zjednodušení přiřazení sítě pro hostitele, virtuální počítače a služby. V rámci vytváření logické sítě se vytvoří síťové lokality, které definují:

  • virtuální místní sítě (VLAN)
  • Podsítě IP
  • Páry podsítě PROTOKOLU IP nebo sítě VLAN

Všechny z nich jsou přidružené k logické síti v každém fyzickém umístění.

Následující tabulka ukazuje logické sítě a přidružené rozsahy podsítí IPv4, pro které je nutné naplánovat:

Logická síť Popis Velikost
Veřejná virtuální IP adresa (VIP) Robustní služba Azure Stack Hub využívá celkem 31 adres z této sítě. Osm veřejných IP adres se používá pro malou sadu robustních služeb služby Azure Stack Hub a zbytek používají virtuální počítače tenanta. Pokud plánujete používat App Service a poskytovatele prostředků SQL, použije se 7 dalších adres. Zbývajících 15 IP adres je vyhrazeno pro budoucí služby Azure. /26 (62 hostitelů)-
/22 (1022 hostitelů)

Doporučeno = /24 (254 hostitelů)
Přepnout infrastrukturu IP adresy typu point-to-point pro účely směrování, vyhrazené rozhraní pro správu přepínačů a adresy zpětné smyčky přiřazené přepínači. /26
Infrastruktura Používá se ke komunikaci robustních interních komponent služby Azure Stack Hub. /24
Privátní Používá se pro síť úložiště, privátní IP adresy, kontejnery infrastruktury a další interní funkce. /20
Řadič pro správu základní desky (BMC) Používá se ke komunikaci s řadiči pro správu základní desky na fyzických hostitelích. /26

Síťová infrastruktura

Síťová infrastruktura pro službu Azure Stack Hub robustní se skládá z několika logických sítí, které jsou nakonfigurované na přepínačích. Následující diagram znázorňuje tyto logické sítě a jejich integraci s přepínači TOR (Top-of-Rack), kontrolerem správy základní desky a hraničními přepínači (síť zákazníka).

Diagram logické sítě s robustním logickou sítí ve službě Azure Stack Hub:

Azure Stack Hub ruggedized logical network

Síť řadiče pro správu základní desky

Tato síť je vyhrazená pro připojení všech řadičů pro správu základní desky (označovaných také jako řadiče pro správu základní desky nebo procesory služeb) k síti pro správu. Mezi příklady patří: iDRAC, iLO, iBMC atd. Ke komunikaci s libovolným uzlem řadiče pro správu základní desky se používá jenom jeden účet řadiče pro správu základní desky. V případě přítomnosti se hostitel životního cyklu hardwaru (HLH) nachází v této síti a může poskytovat software specifický pro OEM pro údržbu hardwaru nebo monitorování.

HLH také hostuje virtuální počítač nasazení (DVM). DVM se používá během robustního nasazení služby Azure Stack Hub a po dokončení nasazení se odebere. DVM vyžaduje přístup k internetu ve scénářích připojeného nasazení k testování, ověření a přístupu k více komponentám. Tyto komponenty můžou být uvnitř a mimo vaši podnikovou síť (například NTP, DNS a Azure). Další informace o požadavcíchnach

Privátní síť

Síť /20 (4096 hostitelských IP adres) je soukromá do robustní oblasti služby Azure Stack Hub. Nerozšířuje se nad rámec hraničních přepínačů zařízení robustní oblasti služby Azure Stack Hub. Tato síť je rozdělená do několika podsítí, například:

  • Storage síť: Síť /25 (128 IP adres), která se používá k podpoře použití provozu úložiště Smb (Spaces Direct and Server Message Block) a migrace za provozu virtuálního počítače.
  • Interní virtuální IP síť: Síť /25 vyhrazená interním virtuálním IP adresám pro nástroj pro vyrovnávání zatížení softwaru.
  • Kontejnerová síť: Síť /23 (512 IP adres) vyhrazená pro interní provoz mezi kontejnery se službami infrastruktury

Velikost privátní sítě je /20 (4096 IP adres) privátního prostoru IP adres. Tato síť je soukromá pro robustní systém služby Azure Stack Hub. Nenasměruje se mimo hraniční přepínač zařízení robustního systému Služby Azure Stack Hub a dá se znovu použít v několika robustních systémech služby Azure Stack Hub. I když je síť soukromá pro Azure Stack Hub robustní, nesmí se překrývat s jinými sítěmi v datacentru. Pokyny k prostoru privátních IP adres doporučujeme postupovat podle dokumentu RFC 1918.

Prostor privátníCH IP adres /20 je rozdělený do několika sítí, které umožňují, aby v budoucích verzích běžela v kontejnerech robustní systémová infrastruktura služby Azure Stack Hub. Podrobnosti najdete v poznámkách k verzi 1910. Tento nový prostor privátních IP adres umožňuje průběžné úsilí snížit požadovaný směrovatelný prostor IP adres před nasazením.

Síť s robustní infrastrukturou služby Azure Stack Hub

Síť /24 je vyhrazená pro interní komponenty s robustními komponentami služby Azure Stack Hub, aby mezi sebou komunikovaly a vyměňovaly data. Tato podsíť se dá směrovat externě z robustního řešení služby Azure Stack Hub do vašeho datacentra. Nedoporučujeme používat veřejné nebo internetové směrovatelné IP adresy v této podsíti. Tato síť se inzeruje na ohraničení, ale většina ip adres je chráněna seznamy ACL (Access Control). IP adresy povolené pro přístup jsou v malém rozsahu, což odpovídá velikosti sítě /27. IP adresy hostují služby, jako je privilegovaný koncový bod (PEP) a robustní zálohování služby Azure Stack Hub.

Veřejná virtuální IP síť

Veřejná virtuální IP síť je přiřazená síťovému adaptéru ve službě Azure Stack Hub robustní. Nejedná se o logickou síť na přepínači. SLB používá fond adres a přiřazuje sítě /32 pro úlohy tenanta. V směrovací tabulce přepínače se tyto IP adresy /32 inzerují jako dostupná trasa prostřednictvím protokolu BGP (Border Gateway Protocol). Tato síť obsahuje veřejné adresy, které jsou externě přístupné. Robustní infrastruktura služby Azure Stack Hub si vyhrazuje prvních 31 adres z této veřejné VIRTUÁLNÍ SÍTĚ, zatímco zbytek je používán virtuálními počítači tenanta. Velikost sítě v této podsíti může být minimálně /26 (64 hostitelů) až po maximálně /22 (1022 hostitelů). Doporučujeme naplánovat síť /24.

Přepnout síť infrastruktury

Síť /26 je podsíť, která obsahuje směrovatelné podsítě IP adresy typu point-to-point /30 (dvě IP adresy hostitele) a zpětné smyčky. Jedná se o vyhrazené podsítě /32 pro správu přepínačů v pásmu a ID směrovače protokolu BGP. Tento rozsah IP adres musí být směrovatelný mimo robustní řešení služby Azure Stack Hub do vašeho datacentra. IP adresy můžou být soukromé nebo veřejné.

Síť pro správu přepínačů

Síť /29 (šest IP adres hostitele) je vyhrazená pro připojení portů pro správu přepínačů. Tato síť umožňuje vzdálený přístup k nasazení, správě a řešení potíží. Vypočítá se ze sítě infrastruktury přepínače uvedené výše.

Přehled návrhu DNS

Pokud chcete získat přístup k robustním koncovým bodům služby Azure Stack Hub (portál, adminportal, správa, správa), musíte integrovat robustní služby DNS služby Azure Stack Hub s servery DNS, které hostují zóny DNS, které chcete použít ve službě Azure Stack Hub robustní.

Robustní obor názvů DNS ve službě Azure Stack Hub

Při nasazování služby Azure Stack Hub s robustním zabezpečením služby Azure Stack Hub musíte poskytnout několik důležitých informací souvisejících s DNS.

Pole Popis Příklad
Oblast Geografická poloha vašeho robustního nasazení služby Azure Stack Hub east
Název externí domény Název zóny, kterou chcete použít pro nasazení s robustním nasazením služby Azure Stack Hub. cloud.fabrikam.com
Interní název domény Název interní zóny, která se používá pro služby infrastruktury ve službě Azure Stack Hub robustní. Je integrovaná a soukromá (nedostupná mimo nasazení služby Azure Stack Hub s robustním nasazením). azurestack.local
Servery pro předávání DNS Servery DNS, které se používají k předávání dotazů DNS, zón DNS a záznamů hostovaných mimo službu Azure Stack Hub robustní, buď na podnikovém intranetu, nebo na veřejném internetu. Hodnotu předávání DNS můžete upravit pomocí rutiny Set-AzSDnsForwarder po nasazení.
Předpona pojmenování (volitelné) Předpona pojmenování, kterou má mít název počítače instance role v odolné infrastruktuře služby Azure Stack Hub. Pokud není k dispozici, výchozí hodnota je azs. Azs

Plně kvalifikovaný název domény (FQDN) vašeho robustního nasazení a koncových bodů služby Azure Stack Hub je kombinace parametru Oblast a parametru Externí název domény. Při použití hodnot z příkladů v předchozí tabulce by plně kvalifikovaný název domény pro toto nasazení služby Azure Stack Hub s robustním nasazením byl: east.cloud.fabrikam.com

Příklady některých koncových bodů pro toto nasazení by například vypadaly jako následující adresy URL:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Pokud chcete použít tento příklad oboru názvů DNS pro robustní nasazení služby Azure Stack Hub, jsou vyžadovány následující podmínky:

  • Zóna fabrikam.com je zaregistrovaná u doménového registrátora, interního podnikového serveru DNS nebo u obou. Registrace závisí na požadavcích na překlad ip adres.
  • Podřízená doména cloud.fabrikam.com existuje pod fabrikam.com zóny.
  • K serverům DNS, které hostují zóny fabrikam.com a cloud.fabrikam.com, se dostanete z robustního nasazení služby Azure Stack Hub.

Pokud chcete přeložit názvy DNS pro odolné koncové body a instance služby Azure Stack Hub s odolností mimo službu Azure Stack Hub, musíte servery DNS integrovat. Včetně serverů, které hostují externí zónu DNS pro robustní službu Azure Stack Hub, se servery DNS, které hostují nadřazenou zónu, kterou chcete použít.

Popisky názvů DNS

Azure Stack Hub robustní podporuje přidání popisku názvu DNS do veřejné IP adresy, aby bylo možné překlad ip adres pro veřejné IP adresy. Popisky DNS představují pohodlný způsob, jak uživatelům dosáhnout aplikací a služeb hostovaných ve službě Azure Stack Hub robustní podle názvu. Popisek názvu DNS používá trochu jiný obor názvů než koncové body infrastruktury. Podle předchozího příkladu oboru názvů by obor názvů dns byl: *.east.cloudapp.cloud.fabrikam.com.

Pokud tenant v poli název DNS prostředku veřejné IP adresy určuje myapps , vytvoří záznam A pro aplikaci v zóně east.cloudapp.cloud.fabrikam.com na robustním externím serveru DNS služby Azure Stack Hub. Výsledný plně kvalifikovaný název domény by byl: myapp.east.cloudapp.cloud.fabrikam.com.

Pokud chcete tuto funkci využít a použít tento obor názvů, musíte servery DNS integrovat. Včetně serverů, které hostují externí zónu DNS pro robustní službu Azure Stack Hub, a serverů DNS, které hostují nadřazenou zónu, kterou chcete použít. Tento obor názvů se liší od oboru názvů, který se používá pro koncové body služby azure Stack Hub s odolností, takže musíte vytvořit další pravidlo delegování nebo podmíněného předávání.

Další informace o tom, jak popisek názvu DNS funguje, najdete v tématu Použití DNS ve službě Azure Stack Hub robustní.

Překládání a delegování

Existují dva typy serverů DNS:

  • Autoritativní server DNS hostí zóny DNS. Odpovídá pouze na dotazy DNS pro záznamy v těchto zónách.
  • Rekurzivní server DNS nehostuje zóny DNS. Odpovídá na všechny dotazy DNS voláním autoritativních serverů DNS, které shromáždí potřebná data.

Odolný systém Azure Stack Hub zahrnuje autoritativní i rekurzivní servery DNS. Rekurzivní servery slouží k překladu názvů všeho kromě interní privátní zóny a externí veřejné zóny DNS pro robustní nasazení služby Azure Stack Hub.

Překlad externích názvů DNS z robustní služby Azure Stack Hub

Pokud chcete přeložit názvy DNS pro koncové body mimo robustní službu Azure Stack Hub (například: www.bing.com), musíte zadat servery DNS pro službu Azure Stack Hub robustní pro předávání požadavků DNS, pro které není robustní služba Azure Stack Hub neautoritativní. Servery DNS, na které služba Azure Stack Hub robustní předá požadavky, se vyžadují v listu nasazení (v poli předávání DNS). V tomto poli zadejte alespoň dva servery pro odolnost proti chybám. Bez těchto hodnot selže nasazení služby Azure Stack Hub s odolností. Hodnoty služby PŘEDÁVÁNÍ DNS můžete upravit pomocí rutiny Set-AzSDnsForwarder po nasazení.

Přehled návrhu brány firewall

Doporučujeme použít zařízení brány firewall k zabezpečení robustní služby Azure Stack Hub. Brány firewall můžou pomoct bránit proti útokům DDOS (Distributed Denial-of-Service), detekci neoprávněných vniknutí a kontrole obsahu. Mohou se ale také stát kritickým bodem propustnosti pro služby Azure Storage, jako jsou objekty blob, tabulky a fronty.

Pokud se používá odpojený režim nasazení, musíte publikovat koncový bod služby AD FS. Další informace najdete v článku o identitě integrace datacentra.

Koncové body Azure Resource Manager (správce), portál pro správu a Key Vault (správce) nemusí nutně vyžadovat externí publikování. Jako poskytovatel služeb můžete například omezit prostor útoku tak, že spravujete pouze službu Azure Stack Hub odolnou z vaší sítě, a ne z internetu.

Pro podnikové organizace může být externí síť stávající podnikovou sítí. V tomto scénáři musíte publikovat koncové body pro provoz služby Azure Stack Hub robustní z podnikové sítě.

Překlad síťových adres

Síťový překlad adres (NAT) je doporučená metoda, která virtuálnímu počítači nasazení (DVM) umožňuje přístup k externím prostředkům během nasazování. V případě virtuálních počítačů konzoly ERCS (Emergency Recovery Console) nebo privilegovaného koncového bodu (PEP) během registrace a řešení potíží.

Překlad adres (NAT) může být také alternativou k veřejným IP adresům v externí síti nebo veřejných IP adresách. Nedoporučuje se to ale, protože omezuje uživatelské prostředí tenanta a zvyšuje složitost. Jednou z možností je jeden až jeden překlad adres (NAT), který stále vyžaduje jednu veřejnou IP adresu na IP adresu uživatele ve fondu. Další možností je mnoho k jednomu překladu adres (NAT), které vyžaduje pravidlo PŘEKLADU adres (NAT) pro všechny porty, které může uživatel použít.

Mezi nevýhody použití překladu adres (NAT) pro veřejné VIRTUÁLNÍ IP adresy patří:

  • Režie při správě pravidel brány firewall, protože uživatelé řídí vlastní koncové body a pravidla publikování v zásobníku softwarově definovaných sítí (SDN). Uživatelé musí kontaktovat operátora azure Stack Hub robustizovaného operátora, aby získali publikované virtuální IP adresy a aktualizovali seznam portů.
  • I když využití překladu adres (NAT) omezuje uživatelské prostředí, dává operátorovi úplnou kontrolu nad požadavky na publikování.
  • V případě hybridních cloudových scénářů s Azure zvažte, že Azure nepodporuje nastavení tunelu VPN ke koncovému bodu pomocí překladu adres (NAT).

Zachytávání SSL

V současné době se doporučuje zakázat veškeré zachytávání SSL (například dešifrování přesměrování načítání) u všech robustních přenosů ve službě Azure Stack Hub. Pokud je podporována v budoucích aktualizacích, zobrazí se pokyny, jak povolit zachytávání SSL pro robustní službu Azure Stack Hub.

Scénář brány firewall pro nasazení Edge

V hraničním nasazení je robustní služba Azure Stack Hub nasazená přímo za hraničním směrovačem nebo bránou firewall. V těchto scénářích je podporováno, aby brána firewall byla nad hranicí (Scénář 1), kde podporuje konfigurace brány firewall aktivní-aktivní i aktivní-pasivní. Může také fungovat jako hraniční zařízení (scénář 2), kde podporuje pouze konfiguraci brány firewall aktivní-aktivní. Scénář 2 spoléhá na multi-path (ECMP) se stejnými náklady s BGP nebo statickým směrováním pro převzetí služeb při selhání.

Veřejné směrovatelné IP adresy se zadají pro veřejný fond virtuálních IP adres z externí sítě v době nasazení. Pro účely zabezpečení se veřejné směrovatelné IP adresy nedoporučuje v žádné jiné síti v hraničním scénáři. Tento scénář umožňuje uživateli zaznamenat úplné samoobslužné cloudové prostředí jako ve veřejném cloudu, jako je Azure.

Azure Stack Hub ruggedized edge firewall scenario

scénář brány firewall Enterprise intranetu nebo hraniční sítě

V podnikovém intranetu nebo hraničním nasazení se služba Azure Stack Hub robustní nasadí na více zónovou bránu firewall nebo mezi hraniční bránou firewall a interní bránou firewall podnikové sítě. Jeho provoz se pak distribuuje mezi zabezpečenou, hraniční síť (nebo DMZ) a nezabezpečené zóny, jak je popsáno níže:

  • Zabezpečená zóna: Interní síť, která používá interní nebo podnikové směrovatelné IP adresy. Zabezpečenou síť je možné rozdělit. Může mít odchozí přístup k internetu prostřednictvím překladu adres (NAT) brány firewall. Obvykle je přístupný z vašeho datacentra prostřednictvím interní sítě. Všechny odolné sítě služby Azure Stack Hub by se měly nacházet v zabezpečené zóně s výjimkou veřejného fondu virtuálních IP adres externí sítě.
  • Hraniční zóna. Hraniční síť je místo, kde se obvykle nasazují externí nebo internetové aplikace, jako jsou webové servery. Brána firewall je normálně monitorovaná, aby se zabránilo útokům, jako je DDoS a vniknutí (hacking), zatímco stále povoluje zadaný příchozí provoz z internetu. V zóně DMZ by se měl nacházet pouze veřejný fond virtuálních IP adres externí sítě ve službě Azure Stack Hub robustní.
  • Nezabezpečená zóna. Externí síť, internet. Nasazení služby Azure Stack Hub robustní v nezabezpečené zóně se nedoporučuje .

Perimeter network firewall scenario

Přehled návrhu sítě VPN

I když je vpn uživatelský koncept, je potřeba znát některé důležité aspekty, které musí znát vlastník řešení a operátor.

Než budete moct odesílat síťový provoz mezi virtuální sítí Azure a místní lokalitou, musíte pro svou virtuální síť vytvořit bránu virtuální sítě (VPN).

Brána VPN je typem brány virtuální sítě, která odesílá šifrovaný síťový provoz přes veřejné spojení. Brány VPN můžete použít k bezpečnému odesílání provozu mezi virtuální sítí ve službě Azure Stack Hub robustní a virtuální sítí v Azure. Přenosy můžete také bezpečně odesílat mezi virtuální sítí a jinou sítí, která je připojená k zařízení VPN.

Při vytváření brány virtuální sítě musíte určit typ brány, který chcete vytvořit. Robustní služba Azure Stack Hub podporuje jeden typ brány virtuální sítě: typ sítě VPN .

Každá virtuální síť může mít dvě brány virtuální sítě, ale každého typu jenom jednu. V závislosti na nastavení, které zvolíte, můžete k jedné bráně VPN vytvořit několik připojení. Příkladem tohoto typu nastavení je konfigurace připojení s více lokalitami.

Než vytvoříte a nakonfigurujete brány VPN pro robustní službu Azure Stack Hub, projděte si důležité informace o robustních sítích služby Azure Stack Hub. Dozvíte se, jak se konfigurace pro Azure Stack Hub robustní liší od Azure.

V Azure musí být propustnost šířky pásma pro skladovou položku brány VPN, kterou zvolíte, rozdělena mezi všechna připojení připojená k bráně. Ve službě Azure Stack Hub se však hodnota šířky pásma skladové položky brány VPN použije u každého prostředku připojení, který je připojený k bráně. Například:

  • V Azure může základní skladová položka brány VPN obsahovat přibližně 100 Mb/s agregované propustnosti. Pokud vytvoříte dvě připojení k této bráně VPN a jedno připojení používá šířku pásma 50 Mb/s, pak je pro druhé připojení k dispozici 50 Mb/s.
  • Ve službě Azure Stack Hub robustní, každé připojení k základní skladové poště brány VPN je přiděleno 100 Mb/s propustnosti.

Typy sítě VPN

Když vytvoříte bránu virtuální sítě pro konfiguraci brány VPN, musíte zadat typ sítě VPN. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit. Typ sítě VPN může také záviset na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují jenom určitý typ sítě VPN.

Důležité

V současné době azure Stack Hub robustní podporuje pouze typ sítě VPN založený na trasách. Pokud vaše zařízení podporuje jenom sítě VPN založené na zásadách, připojení k těmto zařízením z azure Stack Hubu se nepodporují. Kromě toho azure Stack Hub robustizovaná nepodporuje použití selektorů provozu založených na zásadách pro brány založené na trasách v tuto chvíli, protože vlastní konfigurace zásad IPSec/IKE se nepodporují.

  • PolicyBased: Sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad protokolu IPsec. Zásady se konfigurují pomocí kombinací předpon adres mezi vaší místní sítí a robustní virtuální sítí služby Azure Stack Hub. Zásady nebo selektor provozu jsou obvykle seznamem přístupu v konfiguraci zařízení VPN. PolicyBased se podporuje v Azure, ale ne v robustní službě Azure Stack Hub.
  • RouteBased: Sítě VPN založené na trasách používají trasy nakonfigurované v tabulce předávání IP nebo směrovací tabulce. Trasy směrují pakety do odpovídajících rozhraní tunelu. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektor provozu pro sítě VPN RouteBased se konfigurují jako libovolné (nebo používají zástupné znaky). Ve výchozím nastavení není možné je změnit. Hodnota typu RouteBased VPN je RouteBased.

Konfigurace brány VPN

Připojení brány VPN spoléhá na několik prostředků, které jsou nakonfigurované s určitými nastaveními. Většinu těchto prostředků je možné nakonfigurovat samostatně, ale v některých případech je nutné je nakonfigurovat v určitém pořadí.

Nastavení

Nastavení, která zvolíte pro každý prostředek, jsou důležitá pro vytvoření úspěšného připojení.

Tento článek vám pomůže pochopit:

  • Typy bran, typy VPN a typy připojení.
  • Podsítě brány, brány místní sítě a další nastavení prostředků, které byste měli zvážit.

Diagramy topologie připojení

Pro připojení brány VPN jsou k dispozici různé konfigurace. Určete, která konfigurace nejlépe vyhovuje vašim potřebám. V následujících částech můžete zobrazit informace a diagramy topologie o následujících připojeních brány VPN:

  • dostupný model nasazení,
  • dostupné konfigurační nástroje,
  • odkazy na příslušný článek, pokud existuje.

Diagramy a popisy v následujících částech vám můžou pomoct vybrat topologii připojení, která odpovídá vašim požadavkům. Diagramy zobrazují hlavní topologie podle směrného plánu, ale je možné vytvářet složitější konfigurace pomocí diagramů jako průvodce.

Site-to-site a multi-site (tunel VPN IPsec/IKE)

Site-to-Site

Připojení brány VPN typu site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv2). Tento typ připojení vyžaduje zařízení VPN, které je umístěné místně a má přiřazenou veřejnou IP adresu. Toto zařízení nemůže být umístěné za překladem adres (NAT). Připojení S2S můžete použít pro konfigurace mezi různými místy a pro hybridní konfigurace.

Připojení typu multi-site (pro více lokalit)

Připojení s více lokalitami je varianta připojení typu site-to-site. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám. Při práci s více připojeními je nutné použít typ SÍTĚ VPN založený na směrování (označovaný jako dynamická brána při práci s klasickými virtuálními sítěmi). Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma.

Skladové položky brány

Když vytvoříte bránu virtuální sítě pro službu Azure Stack Hub robustní, zadáte skladovou položku brány, kterou chcete použít. Podporují se následující skladové položky brány VPN:

  • Basic
  • Standard
  • High Performance

Výběr skladové položky vyšší brány přiděluje bráně více procesorů a šířky pásma sítě. V důsledku toho může brána podporovat vyšší propustnost sítě pro virtuální síť.

Robustní služba Azure Stack Hub nepodporuje skladovou položku brány Ultra Performance, která se používá výhradně se službou Express Route.

Při výběru skladové položky zvažte následující:

  • Robustní služba Azure Stack Hub nepodporuje brány založené na zásadách.
  • Protokol BGP se nepodporuje v základní SKU.
  • Konfigurace brány ExpressRoute-VPN, které existují, nejsou podporovány v robustní službě Azure Stack Hub.

Dostupnost brány

Scénáře vysoké dostupnosti je možné nakonfigurovat pouze v skladové posílce připojení brány s vysokým výkonem . Na rozdíl od Azure, která poskytuje dostupnost prostřednictvím aktivních/aktivních i aktivních/pasivních konfigurací, azure Stack Hub robustized podporuje pouze aktivní/pasivní konfiguraci.

Převzetí služeb při selhání

Existují tři virtuální počítače infrastruktury s více tenanty ve službě Azure Stack Hub robustní. Dva z těchto virtuálních počítačů jsou v aktivním režimu a třetí je v redundantním režimu. Aktivní virtuální počítače umožňují vytvářet připojení VPN na nich a redundantní virtuální počítač přijímá připojení VPN jenom v případě, že dojde k převzetí služeb při selhání. Pokud se aktivní virtuální počítač brány stane nedostupným, připojení VPN převezme služby při selhání redundantního virtuálního počítače po krátkém období (několik sekund) ztráty připojení.

Odhadovaná agregovaná propustnost podle typů SKU

Následující tabulka uvádí typy bran a odhadovanou agregovanou propustnost podle skladové položky brány:

Propustnost brány sítě VPN (1) Maximální počet tunelových propojení IPsec brány sítě VPN (2)
Základní skladová položka(3) 100 Mb/s 20
Standardní SKU 100 Mb/s 20
SKU s vysokým výkonem 200 Mb/s 10

Poznámky k tabulce

(1) – Propustnost sítě VPN není zaručenou propustností pro připojení mezi různými místy přes internet. Jedná se o maximální možné měření propustnosti.
(2) – Maximální počet tunelů je celkový počet nasazení ve službě Azure Stack Hub s robustním nasazením pro všechna předplatná.
(3) – Směrování protokolu BGP se pro skladovou položku Basic nepodporuje.

Důležité

Mezi dvěma robustními nasazeními služby Azure Stack Hub je možné vytvořit pouze jedno připojení VPN typu site-to-site. Důvodem je omezení platformy, které umožňuje pouze jedno připojení VPN ke stejné IP adrese. Vzhledem k tomu, že azure Stack Hub robustní využívá bránu s více tenanty, která používá jednu veřejnou IP adresu pro všechny brány VPN v odolném systému Azure Stack Hub, může existovat pouze jedno připojení VPN mezi dvěma odolnými systémy Azure Stack Hub.

Toto omezení platí také pro připojení více než jednoho připojení VPN typu site-to-site k jakékoli bráně VPN, která používá jednu IP adresu. Odolnost služby Azure Stack Hub neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.**

Parametry protokolu IPsec/IKE

Když nastavíte připojení VPN ve službě Azure Stack Hub robustní, musíte připojení nakonfigurovat na obou koncích. Pokud konfigurujete připojení VPN mezi odolným zařízením Azure Stack Hub a hardwarovým zařízením, může vás toto zařízení požádat o další nastavení. Například přepínač nebo směrovač, který funguje jako brána VPN.

Na rozdíl od Azure, která podporuje více nabídek jako iniciátor i respondér, azure Stack Hub robustized ve výchozím nastavení podporuje pouze jednu nabídku. Pokud potřebujete pro práci se zařízením VPN použít různá nastavení PROTOKOLU IPSec/IKE, máte k dispozici další nastavení pro ruční konfiguraci připojení.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost Hodnota
Verze IKE IKEv2
Skupina Diffie-Hellman ECP384
Metoda ověřování Předsdílený klíč
Algoritmy & hash šifrování AES256, SHA384
Životnost SA (čas) 28 800 sekund

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost Hodnota
Verze IKE IKEv2
Algoritmy & hash šifrování (šifrování) GCMAES256
Algoritmy & hash šifrování (ověřování) GCMAES256
Životnost SA (čas) 27 000 sekund
Životnost SA (Kilobajtů) 33,553,408
Metoda Perfect Forward Secrecy (PFS) ECP384
Detekce mrtvých partnerských zařízení Podporováno

Konfigurace vlastních zásad připojení IPSec/IKE

Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Pokud chcete zjistit, které parametry jsou podporovány ve službě Azure Stack Hub robustní pro splnění požadavků na dodržování předpisů nebo zabezpečení, podívejte se na parametry protokolu IPsec/IKE.

Tento článek obsahuje pokyny k vytvoření a konfiguraci zásad protokolu IPsec/IKE a použití nového nebo existujícího připojení.

Požadavky

Při používání těchto zásad si všimněte následujících důležitých aspektů:

  • Zásady IPsec/IKE fungují jenom na skladových posílaných úrovních brány Standard a HighPerformance (založené na trasách).
  • Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
  • Musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
  • Obraťte se na specifikace dodavatele zařízení VPN a ujistěte se, že jsou zásady podporované na místních zařízeních VPN. Připojení typu Site-to-Site nelze navázat, pokud jsou zásady nekompatibilní.

Pracovní postup pro vytvoření a nastavení zásad IPsec/IKE

Tato část popisuje pracovní postup potřebný k vytvoření a aktualizaci zásad protokolu IPsec/IKE v připojení VPN typu site-to-site:

  1. Vytvořte virtuální síť a bránu VPN.
  2. Vytvořte bránu místní sítě pro připojení mezi různými místy.
  3. Vytvořte zásadu IPsec/IKE s vybranými algoritmy a parametry.
  4. Vytvořte připojení IPSec pomocí zásad protokolu IPsec/IKE.
  5. Přidejte, aktualizujte nebo odeberte zásady IPsec/IKE pro existující připojení.

Podporované kryptografické algoritmy a silné stránky klíčů

Následující tabulka uvádí podporované kryptografické algoritmy a silné klíče konfigurovatelné zákazníky s robustním rozhraním Azure Stack Hub:

IPsec/IKEv2 Možnosti
Šifrování protokolem IKEv2 AES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2 SHA384, SHA256, SHA1, MD5
Skupina DH ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Šifrování protokolem IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Doba života přidružení zabezpečení v rychlém režimu (Volitelné: Výchozí hodnoty se používají, pokud nejsou zadané)
Sekundy (celé číslo; min. 300/výchozí 27 000 sekund)
KBytes (celé číslo; min. 1024/default 102,400,000 KBajtů)
Selektor provozu Selektory provozu založené na zásadách se v odolném prostředí Azure Stack Hub nepodporují.

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:

  • Šifrovací algoritmus IKE (hlavní režim / fáze 1).
  • Algoritmus integrity protokolu IKE (hlavní režim / fáze 1).
  • SKUPINA DH (hlavní režim / fáze 1).
  • Šifrovací algoritmus IPsec (rychlý režim / fáze 2).
  • Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2).
  • Skupina PFS (rychlý režim / fáze 2).
  • ŽivotnostI SA jsou pouze místní specifikace, které se nemusí shodovat.

Pokud se GCMAES používá jako pro algoritmus šifrování IPsec, musíte vybrat stejný algoritmus GCMAES a délku klíče pro integritu protokolu IPsec. Například: použití GCMAES128 pro obě.

V tabulce:

  • IKEv2 odpovídá hlavnímu režimu nebo fázi 1.
  • Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
  • Skupina DH určuje skupinu Diffie-Hellmen použitou v hlavním režimu nebo fázi 1.
  • Skupina PFS určuje skupinu Diffie-Hellmen použitou v rychlém režimu nebo fázi 2.
  • Životnost SA hlavního režimu IKEv2 je pevná na 28 800 sekundách v robustních branách VPN služby Azure Stack Hub.

Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
1 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14 PFS2048 2048bitová skupina MODP
DHGroup2048
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Připojení robustní služby Azure Stack Hub do Azure pomocí Azure ExpressRoute

Přehled, předpoklady a požadavky

Azure ExpressRoute umožňuje rozšířit místní sítě do cloudu Microsoftu. Používáte privátní připojení poskytované poskytovatelem připojení. ExpressRoute není připojení VPN přes veřejný internet.

Další informace o Azure ExpressRoute najdete v přehledu ExpressRoute.

Předpoklady

Tento článek předpokládá, že:

  • Máte funkční znalosti Azure.
  • Máte základní znalosti o robustní službě Azure Stack Hub.
  • Máte základní znalosti o sítích.

Požadavky

Pokud chcete připojit azure Stack Hub robustní a Azure pomocí ExpressRoute, musíte splnit následující požadavky:

  • Zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.
  • Předplatné Azure pro vytvoření okruhu ExpressRoute a virtuálních sítí v Azure
  • Směrovač, který podporuje:
    • Připojení VPN typu site-to-site mezi svým rozhraním LAN a robustní bránou azure Stack Hubu s více tenanty
    • Pokud ve vašem nasazení Azure Stack Hubu s robustním nasazením existuje více než jednoho tenanta, vytvořte více virtuálních souborů VRF (Virtual Routing and Forwarding).
  • Směrovač, který má:
    • Port WAN připojený k okruhu ExpressRoute.
    • Port LAN připojený k robustní bráně služby Azure Stack Hub s více tenanty

Síťová architektura ExpressRoute

Následující obrázek ukazuje robustní prostředí Služby Azure Stack Hub a prostředí Azure po dokončení nastavení ExpressRoute pomocí příkladů v tomto článku:

ExpressRoute network architecture

Následující obrázek ukazuje, jak se více tenantů připojuje z robustní infrastruktury služby Azure Stack Hub prostřednictvím směrovače ExpressRoute do Azure:

ExpressRoute network architecture multi-tenant