Konfigurace hybridního cloudového připojení pomocí Azure a služby Azure Stack Hub

  • Článek

K prostředkům se zabezpečením v globálním Azure a službě Azure Stack Hub můžete přistupovat pomocí modelu hybridního připojení.

V tomto řešení vytvoříte ukázkové prostředí pro:

  • Udržujte data v místním prostředí, abyste splnili požadavky na ochranu osobních údajů nebo zákonné požadavky, ale zachovejte si přístup ke globálním prostředkům Azure.
  • Udržujte starší systém při používání cloudového nasazení aplikací a prostředků v globálním Azure.

Tip

Diagram hybridních pilířů Microsoft Azure Stack Hub je rozšířením Azure. Azure Stack Hub přináší flexibilitu a inovace cloud computingu do vašeho místního prostředí a umožňuje jediný hybridní cloud, který umožňuje vytvářet a nasazovat hybridní aplikace kdekoli.

Článek Aspekty návrhu hybridních aplikací se zabývá pilíři kvality softwaru (umístění, škálovatelnost, dostupnost, odolnost, správa a zabezpečení) pro návrh, nasazení a provoz hybridních aplikací. Aspekty návrhu pomáhají optimalizovat návrh hybridních aplikací a minimalizovat výzvy v produkčních prostředích.

Požadavky

K sestavení nasazení hybridního připojení je potřeba několik komponent. Příprava některých z těchto komponent nějakou dobu trvá, proto podle toho naplánujte.

Azure

  • Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
  • Vytvořte webovou aplikaci v Azure. Poznamenejte si adresu URL webové aplikace, protože ji budete potřebovat v řešení.

Azure Stack Hub

Výrobce OEM nebo partner pro hardware Azure může nasadit produkční službu Azure Stack Hub a všichni uživatelé můžou nasadit sadu Azure Stack Development Kit (ASDK).

Komponenty služby Azure Stack Hub

Operátor služby Azure Stack Hub musí nasadit App Service, vytvořit plány a nabídky, vytvořit předplatné tenanta a přidat image Windows Server 2016. Pokud už tyto komponenty máte, před zahájením tohoto řešení se ujistěte, že splňují požadavky.

Tento příklad řešení předpokládá, že máte základní znalosti Azure a Služby Azure Stack Hub. Další informace před zahájením řešení najdete v následujících článcích:

Než začnete

Před zahájením konfigurace hybridního cloudového připojení ověřte, že splňujete následující kritéria:

  • Pro vaše zařízení VPN potřebujete externě přístupnou veřejnou adresu IPv4. Tato IP adresa nemůže být umístěna za překladem adres (NAT).
  • Všechny prostředky se nasazují ve stejné oblasti nebo umístění.

Ukázkové hodnoty řešení

Příklady v tomto řešení používají následující hodnoty. Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo na ně odkazovat, abyste lépe porozuměli příkladům. Další informace o nastavení brány VPN najdete v tématu Informace o nastavení VPN Gateway.

Specifikace připojení:

  • Typ sítě VPN: na základě tras
  • Typ připojení: site-to-site (IPsec)
  • Typ brány: VPN
  • Název připojení Azure: Azure-Gateway-AzureStack-S2SGateway (portál tuto hodnotu automaticky doplní)
  • Název připojení ke službě Azure Stack Hub: AzureStack-Gateway-Azure-S2SGateway (portál tuto hodnotu automaticky doplní)
  • Sdílený klíč: jakýkoli kompatibilní s hardwarem VPN s odpovídajícími hodnotami na obou stranách připojení
  • Předplatné: libovolné upřednostňované předplatné
  • Skupina prostředků: Test-Infra

IP adresy sítě a podsítě:

Připojení ke službě Azure/Azure Stack Hub Name Podsíť IP adresa
Virtuální síť Azure Aplikační síť
10.100.102.9/23		 ApplicationSubnet
10.100.102.0/24
GatewaySubnet
10.100.103.0/24
Virtuální síť Služby Azure Stack Hub Aplikační síť
10.100.100.0/23		 ApplicationSubnet
10.100.100.0/24
GatewaySubnet
10.100101.0/24
Azure Virtual Network Gateway Azure-Gateway
Azure Stack Hub Virtual Network Gateway AzureStack-Gateway
Veřejná IP adresa Azure Azure-GatewayPublicIP Určeno při vytvoření
Veřejná IP adresa služby Azure Stack Hub AzureStack-GatewayPublicIP Určeno při vytvoření
Brána místní sítě Azure AzureStack-S2SGateway
10.100.100.0/23		 Hodnota veřejné IP adresy služby Azure Stack Hub
Brána místní sítě služby Azure Stack Hub Azure-S2SGateway
10.100.102.0/23		 Hodnota veřejné IP adresy Azure

Vytvoření virtuální sítě v globálním Azure a azure Stack Hubu

Pomocí následujícího postupu vytvořte virtuální síť pomocí portálu. Tyto ukázkové hodnoty můžete použít, pokud tento článek používáte pouze jako řešení. Pokud tento článek používáte ke konfiguraci produkčního prostředí, nahraďte ukázková nastavení vlastními hodnotami.

Důležité

Musíte zajistit, aby se v adresních prostorech virtuální sítě Azure nebo Azure Stack Hub nepřekrývaly IP adresy.

Vytvoření virtuální sítě v Azure:

  1. Pomocí prohlížeče se připojte k Azure Portal a přihlaste se pomocí svého účtu Azure.
  2. Vyberte Vytvořit prostředek. Do pole Hledat na marketplace zadejte "virtuální síť". Ve výsledcích vyberte Virtuální síť .
  3. V seznamu Vyberte model nasazení vyberte Resource Manager a pak vyberte Vytvořit.
  4. V části Vytvořit virtuální síť nakonfigurujte nastavení virtuální sítě. Názvy požadovaných polí mají předponu červenou hvězdičku. Když zadáte platnou hodnotu, hvězdička se změní na zelenou značku zaškrtnutí.

Vytvoření virtuální sítě ve službě Azure Stack Hub:

  1. Opakujte výše uvedené kroky (1–4) pomocí portálu tenanta služby Azure Stack Hub.

Přidání podsítě brány

Před připojením virtuální sítě k bráně musíte vytvořit podsíť brány pro virtuální síť, ke které se chcete připojit. Služby brány používají IP adresy, které zadáte v podsíti brány.

V Azure Portal přejděte do Resource Manager virtuální sítě, kde chcete vytvořit bránu virtuální sítě.

  1. Výběrem virtuální sítě otevřete stránku Virtuální síť .

  2. V nastavení vyberte Podsítě.

  3. Na stránce Podsítě vyberte +Podsíť brány a otevřete stránku Přidat podsíť .

    Přidání podsítě brány

  4. Název podsítě se automaticky vyplní hodnotou GatewaySubnet. Tato hodnota je nutná k tomu, aby Azure rozpoznal podsíť jako podsíť brány.

  5. Změňte zadané hodnoty rozsahu adres tak, aby odpovídaly vašim požadavkům na konfiguraci, a pak vyberte OK.

Vytvoření brány Virtual Network v Azure a službě Azure Stack

Pomocí následujícího postupu vytvořte bránu virtuální sítě v Azure.

  1. Na levé straně stránky portálu vyberte + a do vyhledávacího pole zadejte Brána virtuální sítě.

  2. V části Výsledky vyberte Brána virtuální sítě.

  3. V části Brána virtuální sítě vyberte Vytvořit a otevřete stránku Vytvořit bránu virtuální sítě .

  4. V části Vytvořit bránu virtuální sítě zadejte hodnoty síťové brány pomocí našich ukázkových hodnot v kurzu. Zahrňte následující další hodnoty:

    • Skladová položka: basic
    • Virtual Network: Vyberte virtuální síť, kterou jste vytvořili dříve. Automaticky se vybere podsíť brány, kterou jste vytvořili.
    • První konfigurace IP adresy: Veřejná IP adresa vaší brány.

      • Vyberte Vytvořit konfiguraci IP adresy brány, která vás přenese na stránku Zvolit veřejnou IP adresu .

      • Výběrem +Vytvořit novou otevřete stránku Vytvořit veřejnou IP adresu .

      • Zadejte Název veřejné IP adresy. Ponechte skladovou položku Basic a pak vyberte OK , aby se změny uložily.

        Poznámka

        V současné době VPN Gateway podporuje pouze přidělování dynamických veřejných IP adres. To ale neznamená, že se IP adresa po přiřazení ke službě VPN Gateway změní. Veřejná IP adresa se změní jenom tehdy, když se brána odstraní a znovu vytvoří. Změna velikosti, resetování nebo jiné interní údržby nebo upgradů brány VPN nemění IP adresu.

  5. Ověřte nastavení brány.

  6. Vyberte Vytvořit a vytvořte bránu VPN. Nastavení brány se ověří a na řídicím panelu se zobrazí dlaždice Nasazení brány virtuální sítě.

    Poznámka

    Vytváření brány může trvat až 45 minut. K zobrazení stavu dokončení může být nutné obnovit stránku portálu.

    Po vytvoření brány uvidíte ip adresu, která je jí přiřazena, na portálu na virtuální síti. Brána se zobrazí jako připojené zařízení. Pokud chcete zobrazit další informace o bráně, vyberte zařízení.

  7. Opakujte předchozí kroky (1–5) v nasazení služby Azure Stack Hub.

Vytvoření brány místní sítě v Azure a službě Azure Stack Hub

Brána místní sítě obvykle odkazuje na vaše místní umístění. Dáte webu název, na který může odkazovat Azure nebo Azure Stack Hub, a pak zadáte:

  • IP adresa místního zařízení VPN, pro které vytváříte připojení.

  • Předpony IP adres, které budou směrovány přes bránu VPN do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti.

    Poznámka

    Pokud se vaše místní síť změní nebo potřebujete změnit veřejnou IP adresu pro zařízení VPN, můžete tyto hodnoty později aktualizovat.

  1. Na portálu vyberte +Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte Brána místní sítě a pak vyberte Enter a vyhledejte. Zobrazí se seznam výsledků.

  3. Vyberte Brána místní sítě a pak vyberte Vytvořit a otevřete stránku Vytvořit bránu místní sítě .

  4. V části Vytvořit bránu místní sítě zadejte hodnoty pro bránu místní sítě pomocí našich ukázkových hodnot v kurzu. Zahrňte následující další hodnoty:

    • IP adresa: Veřejná IP adresa zařízení VPN, ke kterému se má Azure nebo Azure Stack Hub připojit. Zadejte platnou veřejnou IP adresu, která není za překladem adres (NAT), aby se k této adrese mohl Azure dostat. Pokud teď IP adresu nemáte, můžete jako zástupný symbol použít hodnotu z příkladu. Budete se muset vrátit zpět a nahradit zástupný symbol veřejnou IP adresou vašeho zařízení VPN. Azure se nemůže připojit k zařízení, dokud nezadáte platnou adresu.
    • Adresní prostor: rozsah adres pro síť, kterou tato místní síť představuje. Můžete přidat více různých rozsahů adres. Ujistěte se, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se chcete připojit. Azure bude směrovat zadaný rozsah adres na místní IP adresu zařízení VPN. Pokud se chcete připojit k místní lokalitě, použijte vlastní hodnoty, nikoli ukázkovou hodnotu.
    • Konfigurace nastavení protokolu BGP: Používejte jenom při konfiguraci protokolu BGP. Jinak tuto možnost nevybírejte.
    • Předplatné: Ověřte, že se zobrazuje správné předplatné.
    • Skupina prostředků: Vyberte skupinu prostředků, kterou chcete použít. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat skupinu, kterou jste už vytvořili.
    • Umístění: Vyberte umístění, ve které se tento objekt vytvoří. Možná budete chtít vybrat stejné umístění, ve kterém se nachází vaše virtuální síť, ale nemusíte to dělat.

  5. Po zadání požadovaných hodnot vyberte Vytvořit a vytvořte bránu místní sítě.

  6. Tento postup opakujte (1–5) v nasazení služby Azure Stack Hub.

Konfigurace připojení

Připojení typu site-to-site k místní síti vyžadují zařízení VPN. Nakonfigurované zařízení VPN se označuje jako připojení. Ke konfiguraci připojení potřebujete:

  • Sdílený klíč. Tento klíč je stejný sdílený klíč, který zadáte při vytváření připojení VPN typu site-to-site. V našich ukázkách používáme základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejná IP adresa brány virtuální sítě. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete pomocí Azure Portal vyhledat veřejnou IP adresu brány VPN, přejděte na Brány virtuální sítě a vyberte název brány.

Pomocí následujícího postupu vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN.

  1. V Azure Portal vyberte +Vytvořit prostředek.

  2. Vyhledejte připojení.

  3. V části Výsledky vyberte Připojení.

  4. V části Připojení vyberte Vytvořit.

  5. V části Vytvořit připojení nakonfigurujte následující nastavení:

    • Typ připojení: Vyberte site-to-site (IPSec).
    • Skupina prostředků: Vyberte testovací skupinu prostředků.
    • Virtual Network Brána: Vyberte bránu virtuální sítě, kterou jste vytvořili.
    • Brána místní sítě: Vyberte bránu místní sítě, kterou jste vytvořili.
    • Název připojení: Tento název je automaticky vyplněný pomocí hodnot ze dvou bran.
    • Sdílený klíč: Tato hodnota se musí shodovat s hodnotou, kterou používáte pro místní zařízení VPN. Příklad kurzu používá abc123, ale měli byste použít něco složitějšího. Důležité je, že tato hodnota musí být stejná jako hodnota, kterou zadáte při konfiguraci zařízení VPN.
    • Hodnoty pro předplatné, skupinu prostředků a umístění jsou pevné.

  6. Vyberte OK a vytvořte připojení.

Připojení se zobrazí na stránce Připojení brány virtuální sítě. Stav se přesune z Neznámý na Připojování a pak na Úspěch.

Další kroky