Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A hálózattervezés áttekintése
Fizikai hálózat tervezése
Az Azure Stack Hub robusztus megoldás működéséhez és szolgáltatásaihoz rugalmas és magas rendelkezésre állású fizikai infrastruktúra szükséges. A ToR-tól a szegélykapcsolókig való kimenő kapcsolat SFP+ vagy SFP28 adathordozóra és 1 GB, 10 GB vagy 25 GB sebességre korlátozódik. A rendelkezésre állásról érdeklődjön az eredeti berendezésgyártó (OEM) hardvergyártójánál.
Az alábbi ábra az Azure Stack Hubhoz javasolt robusztus kialakítást mutatja be.
Logikai hálózat tervezése
A logikai hálózat kialakítása egy fizikai hálózati infrastruktúra absztrakcióját jelenti. A gazdagépek, virtuális gépek és szolgáltatások hálózati hozzárendeléseinek rendszerezésére és egyszerűsítésére szolgálnak. A logikai hálózat létrehozásának részeként a hálózati helyek a következők meghatározására jönnek létre:
- virtuális helyi hálózatok (VLAN-ok)
- IP-alhálózatok
- IP-alhálózat/VLAN-párok
Ezek mindegyike az egyes fizikai helyek logikai hálózatához van társítva.
Az alábbi táblázat azokat a logikai hálózatokat és társított IPv4-alhálózati tartományokat mutatja be, amelyekhez terveznie kell:
| Logikai hálózat | Leírás | Méret |
|---|---|---|
| Nyilvános virtuális IP-cím (VIP) | Az Azure Stack Hub ruggedized összesen 31 címet használ ebből a hálózatból. Nyolc nyilvános IP-címet használnak az Azure Stack Hub robusztus szolgáltatásainak egy kis csoportjához, a többit pedig bérlői virtuális gépek használják. Ha az App Service-t és az SQL-erőforrás-szolgáltatókat szeretné használni, a rendszer további 7 címet használ. A fennmaradó 15 IP-cím a jövőbeli Azure-szolgáltatások számára van fenntartva. | /26 (62 gazdagép)- /22 (1022 gazdagép) Ajánlott = /24 (254 gazdagép) |
| Infrastruktúra váltása | Pont–pont IP-címek útválasztási célokra, dedikált kapcsolókezelési felületek és a kapcsolóhoz rendelt visszacsatolási címek. | /26 |
| Infrastruktúra | Az Azure Stack Hub robusztus belső összetevőihez használható a kommunikációhoz. | /24 |
| Személyes | Tárolóhálózathoz, magánhálózati IP-címekhez, infrastruktúra-tárolókhoz és egyéb belső funkciókhoz használható. | /20 |
| Alaplapi felügyeleti vezérlő (BMC) | A fizikai gazdagépek alaplapi felügyeleti vezérlőivel való kommunikációra szolgál. | /26 |
Hálózati infrastruktúra
Az Azure Stack Hub hálózati infrastruktúrája több logikai hálózatból áll, amelyek a kapcsolókon vannak konfigurálva. Az alábbi ábra ezeket a logikai hálózatokat mutatja be, és azt, hogy hogyan integrálhatók a top-of-rack (TOR), az alaplapi felügyeleti vezérlővel és a szegély (ügyfélhálózat) kapcsolókkal.
Az Azure Stack Hub robusztus logikai hálózati diagramja:
BMC-hálózat
Ez a hálózat az összes alaplapi felügyeleti vezérlő (más néven BMC vagy szolgáltatásprocesszor) csatlakoztatására szolgál a felügyeleti hálózathoz. Ilyenek például az iDRAC, az iLO, az iBMC stb. A BMC-csomópontokkal való kommunikációhoz csak egy BMC-fiók használható. Ha van ilyen, a hardveres életciklus-gazdagép (HLH) ezen a hálózaton található, és oem-specifikus szoftvereket biztosíthat hardverkarbantartáshoz vagy monitorozáshoz.
A HLH az üzembehelyezési virtuális gépet (DVM) is üzemelteti. A DVM az Azure Stack Hub robusztus üzembe helyezése során használatos, és az üzembe helyezés befejezésekor törlődik. A DVM több összetevő teszteléséhez, érvényesítéséhez és eléréséhez internetkapcsolatot igényel a csatlakoztatott üzembe helyezési forgatókönyvekben. Ezek az összetevők a vállalati hálózaton belül és kívül is lehetnek (például: NTP, DNS és Azure). A kapcsolati követelményekkel kapcsolatos további információkért tekintse meg az Azure Stack Hub robusztus tűzfalintegrációjának NAT-szakaszát.
Magánhálózat
A /20 (4096-os gazdagép IP-címeinek) hálózata privát az Azure Stack Hub robusztus régiója számára. Nem terjed ki az Azure Stack Hub ruggedized régió szegélykapcsoló eszközein túl. Ez a hálózat több alhálózatra oszlik, például:
- Tárolóhálózat: Egy /25 -ös (128 IP-cím) hálózat, amely támogatja a Közvetlen és kiszolgálói üzenetblokk (SMB) tárolóforgalom és a virtuális gépek élő áttelepítésének használatát.
- Belső virtuális IP-hálózat: A szoftveres terheléselosztó csak belső IP-címeinek dedikált /25 hálózat.
- Tárolóhálózat: /23 (512 IP-cím) hálózat, amely az infrastruktúra-szolgáltatásokat futtató tárolók közötti, csak belső forgalomra van kijelölve
A magánhálózat mérete /20 (4096 IP-cím) privát IP-cím. Ez a hálózat privát az Azure Stack Hub robusztus rendszer számára. Nem halad át az Azure Stack Hub ruggedizált rendszer szegélykapcsoló eszközein, és több Azure Stack Hub-robusztus rendszeren is újra felhasználható. Bár a hálózat privát az Azure Stack Hubhoz, nem fedheti át az adatközpont többi hálózatával. A privát IP-címterülettel kapcsolatos útmutatásért javasoljuk, hogy kövesse az RFC 1918-at.
A /20 privát IP-cím több hálózatra oszlik, amelyek lehetővé teszik az Azure Stack Hub robusztus rendszerinfrastruktúra számára, hogy a jövőbeni kiadásokban tárolókon fusson. Részletekért tekintse meg az 1910-es kibocsátási megjegyzéseket. Ez az új magánhálózati IP-címtér lehetővé teszi, hogy az üzembe helyezés előtt csökkentse a szükséges, nem módosítható IP-helyet.
Az Azure Stack Hub robusztus infrastruktúra-hálózata
A /24 hálózat a belső Azure Stack Hub robusztus összetevőinek dedikálta, hogy egymás között kommunikáljon és kicserélje az adatokat. Ez az alhálózat az Azure Stack Hub robusztus megoldásán kívül is használható az adatközpontban. Nem javasoljuk, hogy nyilvános vagy internetes ip-címeket használjunk ezen az alhálózaton. Ezt a hálózatot a szegély hirdeti, de a legtöbb IP-címét hozzáférés-vezérlési listák (ACL-ek) védik. A hozzáférésre engedélyezett IP-címek egy kis tartományon belül vannak, amelyek mérete megegyezik a /27-es hálózat méretével. Az IP-címek olyan szolgáltatásokat üzemeltetnek, mint a kiemelt végpont (PEP) és az Azure Stack Hub robusztus biztonsági mentése.
Nyilvános VIP-hálózat
A nyilvános VIP-hálózat a hálózati vezérlőhöz van rendelve az Azure Stack Hubban. Ez nem logikai hálózat a kapcsolón. Az SLB a címek készletét használja, és /32-hálózatokat rendel hozzá a bérlői számítási feladatokhoz. A kapcsoló útválasztási táblájában ezek a /32 IP-címek elérhető útvonalként vannak meghirdetve a Border Gateway Protocol (BGP) használatával. Ez a hálózat külsőleg elérhető nyilvános címeket tartalmaz. Az Azure Stack Hub robusztus infrastruktúrája az első 31 címet foglalja le ebből a nyilvános VIP-hálózatból, míg a fennmaradó részt a bérlői virtuális gépek használják. Az alhálózat hálózati mérete legalább /26 (64 gazdagép) és /22 (1022 gazdagép) között lehet. Javasoljuk, hogy tervezze meg a /24-hálózatot.
Infrastruktúra-hálózat váltása
A /26-os hálózat az az alhálózat, amely tartalmazza a visszacsatolási pontok közötti IP/30 (két gazdagép IP-címe) alhálózatot és a visszacsatolásokat. Ezek dedikált /32 alhálózatok sávon belüli kapcsolókezeléshez és BGP-útválasztó-azonosítóhoz. Ennek az IP-címtartománynak az Azure Stack Hub robusztus megoldásán kívül is használhatónak kell lennie az adatközpontban. Az IP-címek lehetnek privátak vagy nyilvánosak.
Kapcsolókezelési hálózat
A /29 (hat gazdagép IP-cím) hálózat a kapcsolók felügyeleti portjainak csatlakoztatására van dedikáltan. Ez a hálózat sávon kívüli hozzáférést tesz lehetővé az üzembe helyezéshez, a felügyelethez és a hibaelhárításhoz. A számítás a fent említett kapcsolóinfrastruktúra-hálózatból történik.
A DNS-tervezés áttekintése
Ha az Azure Stack Hubon kívülről szeretné elérni a robusztus Azure Stack Hub-végpontokat (portál, rendszergazdai, felügyeleti, rendszergazdai felügyelet), integrálnia kell az Azure Stack Hub robusztus DNS-szolgáltatásait azOkkal a DNS-kiszolgálókkal, amelyek az Azure Stack Hubban használni kívánt DNS-zónákat üzemeltetik.
Az Azure Stack Hub robusztus DNS-névtere
Az Azure Stack Hub ruggedized telepítésekor meg kell adnia néhány fontos információt a DNS-sel kapcsolatban.
| Mező | Leírás | Példa |
|---|---|---|
| Régió | Az Azure Stack Hub robusztus üzembe helyezésének földrajzi helye. | Kelet |
| Külső tartománynév | Az Azure Stack Hub robusztus üzembe helyezéséhez használni kívánt zóna neve. | cloud.fabrikam.com |
| Belső tartománynév | Az Azure Stack Hub infrastruktúra-szolgáltatásaihoz használt belső zóna neve robusztus. A címtárszolgáltatás integrált és privát (az Azure Stack Hubon kívülről nem érhető el). | azurestack.local |
| DNS-továbbítók | Az Azure Stack Hubon kívül üzemeltetett DNS-lekérdezések, DNS-zónák és rekordok továbbítására használt DNS-kiszolgálók a vállalati intraneten vagy a nyilvános interneten. A DNS Forwarder értékét az üzembe helyezés után a Set-AzSDnsForwarder parancsmaggal szerkesztheti. | |
| Elnevezési előtag (nem kötelező) | Az az elnevezési előtag, amelyet az Azure Stack Hub robusztus infrastruktúraszerepkör-példányok gépneveinek meg szeretne adni. Ha nincs megadva, az alapértelmezett érték az "azs". | azs |
Az Azure Stack Hub robusztus üzemelő példányának és végpontjainak teljes tartományneve (FQDN) a Régió paraméter és a külső tartománynév paraméter kombinációja. Az előző táblázatban szereplő példák értékeit használva az Azure Stack Hub robusztus üzembe helyezésének teljes tartományneve a következő: east.cloud.fabrikam.com
Ezért az üzembe helyezés egyes végpontjainak példái a következő URL-címekhez hasonlóan néznek ki:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
Ha ezt a példa DNS-névteret szeretné használni az Azure Stack Hub robusztus üzemelő példányához, a következő feltételek szükségesek:
- A zóna fabrikam.com regisztrálva van egy tartományregisztrálónál, egy belső vállalati DNS-kiszolgálón vagy mindkettőnél. A regisztráció a névfeloldási követelményektől függ.
- A gyermektartomány cloud.fabrikam.com a zóna fabrikam.com alatt található.
- A zónákat fabrikam.com és cloud.fabrikam.com üzemeltető DNS-kiszolgálók az Azure Stack Hub robusztus üzemelő példányából érhetőek el.
Az Azure Stack Hub ruggedizált végpontjaihoz és példányaihoz tartozó DNS-neveknek az Azure Stack Hubon kívülről történő feloldásához integrálnia kell a DNS-kiszolgálókat. Az Azure Stack Hub külső DNS-zónáit üzemeltető kiszolgálókat is beleértve, a használni kívánt szülőzónát üzemeltető DNS-kiszolgálókkal együtt.
DNS-névfeliratok
Az Azure Stack Hub ruggedized támogatja a DNS-névcímkék nyilvános IP-címekhez való hozzáadását, hogy lehetővé tegye a nyilvános IP-címek névfeloldását. A DNS-címkék segítségével a felhasználók kényelmesen elérhetik az Azure Stack Hubban üzemeltetett alkalmazásokat és szolgáltatásokat. A DNS-névcímke kissé eltérő névteret használ, mint az infrastruktúravégpontok. Az előző példanévtér után a DNS-névcímkék névtere a következő lenne: *.east.cloudapp.cloud.fabrikam.com.
Ha egy bérlő egy nyilvános IP-címerőforrás DNS-név mezőjében adja meg a Myappot, létrehoz egy A rekordot a myapphoza zóna east.cloudapp.cloud.fabrikam.com az Azure Stack Hub robusztus külső DNS-kiszolgálón. Az eredményként kapott teljes tartománynév a következő: myapp.east.cloudapp.cloud.fabrikam.com.
Ha ezt a funkciót szeretné használni, és ezt a névteret szeretné használni, integrálnia kell a DNS-kiszolgálókat. Beleértve az Azure Stack Hub külső DNS-zónáit üzemeltető kiszolgálókat, valamint a használni kívánt szülőzónát üzemeltető DNS-kiszolgálókat is. Ez a névtér eltér az Azure Stack Hub robusztus szolgáltatásvégpontjaihoz használttól, ezért létre kell hoznia egy további delegálási vagy feltételes továbbítási szabályt.
A DNS-névfelirat működésével kapcsolatos további információkért lásd: "A DNS használata" az Azure Stack Hubban.
Feloldás és delegálás
Kétféle DNS-kiszolgáló létezik:
- A mérvadó DNS-kiszolgáló üzemelteti a DNS-zónákat. Csak az ezekben a zónákban található rekordokra irányuló DNS-lekérdezéseket válaszolja meg.
- A rekurzív DNS-kiszolgáló nem üzemeltet DNS-zónákat. Minden DNS-lekérdezést megválaszol a mérvadó DNS-kiszolgálók adatait összegyűjtve.
Az Azure Stack Hub robusztus, mérvadó és rekurzív DNS-kiszolgálókat is tartalmaz. A rekurzív kiszolgálók a belső privát zóna és az Azure Stack Hub robusztus üzembe helyezéséhez tartozó külső nyilvános DNS-zóna kivételével minden nevének feloldására szolgálnak.
Külső DNS-nevek feloldása az Azure Stack Hubról
Az Azure Stack Hubon kívüli végpontok DNS-nevének feloldásához (például: www.bing.com) olyan DNS-kiszolgálókat kell megadnia az Azure Stack Hub számára, amelyek nem mérvadóak a DNS-kérések továbbításához, amelyek esetében az Azure Stack Hub nem mérvadó. Az Azure Stack Hub által továbbított DNS-kiszolgálókra az üzembe helyezési munkalapon (a DNS-továbbító mezőben) van szükség. Adjon meg legalább két kiszolgálót ebben a mezőben a hibatűrés érdekében. Ezen értékek nélkül az Azure Stack Hub robusztus üzembe helyezése meghiúsul. A DNS Forwarder értékeit az üzembe helyezés után a Set-AzSDnsForwarder parancsmaggal szerkesztheti.
Tűzfaltervezés áttekintése
Javasoljuk, hogy használjon tűzfaleszközt az Azure Stack Hub robusztus védelméhez. A tűzfalak segíthetnek az olyan dolgok elleni védekezésben, mint az elosztott szolgáltatásmegtagadási (DDOS-) támadások, a behatolásészlelés és a tartalomvizsgálat. Azonban az Azure Storage-szolgáltatások, például blobok, táblák és üzenetsorok átviteli sebességének szűk keresztmetszetévé is válhatnak.
Ha leválasztott üzembe helyezési módot használ, közzé kell tennie az AD FS-végpontot. További információkért tekintse meg az adatközpont-integrációs identitásról szóló cikket.
Az Azure Resource Manager (rendszergazda), a rendszergazdai portál és a Key Vault (rendszergazda) végpontjai nem feltétlenül igényelnek külső közzétételt. Szolgáltatóként például korlátozhatja a támadási felületet úgy, hogy csak az Azure Stack Hubot felügyeli a hálózaton belülről, nem pedig az internetről.
Vállalati szervezetek esetén a külső hálózat lehet a meglévő vállalati hálózat. Ebben a forgatókönyvben közzé kell tennie a végpontokat az Azure Stack Hub vállalati hálózatról történő üzemeltetéséhez.
Hálózati címfordítás
A hálózati címfordítás (NAT) az ajánlott módszer, amely lehetővé teszi, hogy az üzembehelyezési virtuális gép (DVM) hozzáférjen a külső erőforrásokhoz az üzembe helyezés során. A vészhelyreállítási konzol (ERCS) virtuális gépeihez vagy kiemelt végpontjaihoz (PEP) is a regisztráció és a hibaelhárítás során.
A NAT a külső hálózaton vagy a nyilvános IP-címeken található nyilvános IP-címek alternatívát is jelenthet. Ez azonban nem ajánlott, mert korlátozza a bérlő felhasználói élményét, és növeli az összetettségét. Az egyik lehetőség az egy-egy NAT, amely továbbra is egy nyilvános IP-címet igényel felhasználónként a készleten. Egy másik lehetőség egy több-egy NAT, amely felhasználói VIP-enként egy NAT-szabályt igényel minden olyan porthoz, amelyet a felhasználó használhat.
A NAT nyilvános VIP-hez való használatának néhány hátránya:
- A tűzfalszabályok kezelésekor a felhasználók a saját végpontjaikat és a közzétételi szabályokat a szoftveralapú hálózati (SDN-) veremben felügyelik. A felhasználóknak kapcsolatba kell lépniük az Azure Stack Hub ruggedized operátorával, hogy közzéthessék a virtuális ip-címeiket, és frissítsék a portlistát.
- Bár a NAT-használat korlátozza a felhasználói élményt, teljes körű ellenőrzést biztosít az operátor számára a kérelmek közzététele felett.
- Az Azure-ral való hibrid felhőalapú forgatókönyvek esetében vegye figyelembe, hogy az Azure nem támogatja a VPN-alagutat egy végponthoz NAT használatával.
SSL-lehallgatás
Jelenleg ajánlott letiltani minden SSL-lehallgatást (például visszafejtési kiszervezést) az Azure Stack Hub összes robusztus forgalmán. Ha a jövőbeli frissítések támogatják, útmutatást kap az SSL-lehallgatás engedélyezéséről az Azure Stack Hub ruggedized esetében.
Peremhálózati üzembehelyezési tűzfal forgatókönyve
Peremhálózati környezetben az Azure Stack Hub ruggedized közvetlenül a peremhálózati útválasztó vagy a tűzfal mögött van üzembe helyezve. Ezekben a forgatókönyvekben támogatott, hogy a tűzfal a szegély felett legyen (1. forgatókönyv), ahol aktív-aktív és aktív-passzív tűzfalkonfigurációkat is támogat. Szegélyeszközként is működhet (2. forgatókönyv), ahol csak az aktív-aktív tűzfalkonfigurációt támogatja. A 2. forgatókönyv az egyenlő költségű több útvonalon (ECMP) alapul, BGP-vel vagy statikus útválasztással a feladatátvételhez.
A nyilvános routable IP-címek a külső hálózatról származó nyilvános VIP-készlethez vannak megadva az üzembe helyezéskor. Biztonsági okokból a nyilvánosan elérhető IP-címek nem ajánlottak semmilyen más hálózaton peremhelyzetben. Ez a forgatókönyv lehetővé teszi a felhasználók számára, hogy a teljes önvezérelt felhőélményt megtapasztalják, mint egy nyilvános felhőben, például az Azure-ban.
Vállalati intranetes vagy szegélyhálózati tűzfalforgatókönyv
Vállalati intranetes vagy peremhálózati üzemelő példányban az Azure Stack Hub többzónás tűzfalon, illetve a peremhálózati tűzfal és a belső vállalati hálózati tűzfal között van üzembe helyezve. A forgalmat ezután elosztja a biztonságos, szegélyhálózat (vagy DMZ) és a nem biztonságos zónák között az alábbiak szerint:
- Biztonságos zóna: A belső vagy vállalati forgalomképes IP-címeket használó belső hálózat. A biztonságos hálózat felosztható. A tűzfal NAT-jának használatával internetes kimenő hozzáféréssel rendelkezhet. Általában az adatközponton belülről, a belső hálózaton keresztül érhető el. Minden Azure Stack Hub-hálózatnak a biztonságos zónában kell lennie, kivéve a külső hálózat nyilvános VIP-készletét.
- Szegélyzóna. A peremhálózaton általában külső vagy internetes alkalmazások, például webkiszolgálók vannak üzembe helyezve. Általában tűzfal figyeli, hogy elkerülje az olyan támadásokat, mint a DDoS és a behatolás (hackelés), miközben továbbra is engedélyezi a megadott bejövő forgalmat az internetről. A DMZ-zónában csak az Azure Stack Hub ruggedized külső hálózati nyilvános VIP-készlete található.
- Nem biztonságos zóna. A külső hálózat, az internet. Az Azure Stack Hub nem biztonságos zónában való üzembe helyezése nem ajánlott.
VPN-tervezés áttekintése
Bár a VPN egy felhasználói fogalom, a megoldás tulajdonosának és üzemeltetőjének tudnia kell néhány fontos szempontot.
Ahhoz, hogy hálózati forgalmat küldjön az Azure-beli virtuális hálózat és a helyszíni hely között, létre kell hoznia egy virtuális hálózati (VPN) átjárót a virtuális hálózathoz.
A VPN-átjáró a virtuális hálózati átjárók egy olyan típusa, amely titkosított adatforgalmat továbbít nyilvános kapcsolaton keresztül. VPN-átjárók használatával biztonságosan küldhet forgalmat az Azure Stack Hub egy virtuális hálózata és egy Azure-beli virtuális hálózat között. Biztonságosan is küldhet forgalmat egy virtuális hálózat és egy VPN-eszközhöz csatlakoztatott másik hálózat között.
Virtuális hálózati átjáró létrehozásakor megadja a létrehozni kívánt átjárótípust. Az Azure Stack Hub ruggedized egy virtuális hálózati átjárótípust támogat: a Vpn-típust.
Mindegyik virtuális hálózat kettő virtuális hálózati átjáróval rendelkezhet, de típusonként csak eggyel. A kiválasztott beállításoktól függően több kapcsolatot is létrehozhat egyetlen VPN-átjáróhoz. Ilyen típusú beállítás például egy többhelyes kapcsolatkonfiguráció.
Mielőtt vpn-átjárókat hoz létre és konfigurál az Azure Stack Hubhoz, tekintse át az Azure Stack Hub robusztus hálózatkezelésével kapcsolatos szempontokat. Megtudhatja, hogyan különböznek az Azure Stack Hub konfigurációi az Azure-tól.
Az Azure-ban a kiválasztott VPN-átjáró termékváltozatának sávszélesség-átviteli sebességét el kell osztani az átjáróhoz csatlakozó összes kapcsolat között. Az Azure Stack Hubban azonban a VPN-átjáró termékváltozatának sávszélesség-értéke lesz alkalmazva az átjáróhoz csatlakoztatott minden kapcsolati erőforrásra. Példa:
- Az Azure-ban az alapszintű VPN-átjáró termékváltozata körülbelül 100 Mbps összesített átviteli sebességet képes befogadni. Ha két kapcsolatot hoz létre a VPN-átjáróval, és az egyik kapcsolat 50 Mbps sávszélességet használ, akkor 50 Mb/s érhető el a másik kapcsolat számára.
- Az Azure Stack Hubban a rendszer 100 Mb/s átviteli sebességet foglal le az alapszintű VPN-átjáró termékváltozatához.
VPN-típusok
A VPN-átjáró konfigurációjának virtuális hálózati átjárójának létrehozásakor meg kell adnia egy VPN-típust. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ. A VPN-típus a használt hardvertől is függhet. Az S2S-konfigurációkhoz VPN-eszköz szükséges. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.
Fontos
Az Azure Stack Hub jelenleg csak az útvonalalapú VPN-típust támogatja. Ha az eszköz csak a szabályzatalapú VPN-eket támogatja, akkor az Azure Stack Hubról származó kapcsolatok nem támogatottak. A robusztus Azure Stack Hub emellett jelenleg nem támogatja a szabályzatalapú forgalomválasztók használatát az útvonalalapú átjárókhoz, mivel az egyéni IPSec-/IKE-házirendkonfigurációk nem támogatottak.
- PolicyBased: A szabályzatalapú VPN-ek IPsec-alagutakon keresztül titkosítják és irányítják a csomagokat IPsec-szabályzatok alapján. A szabályzatok a címelőtagok kombinációjával vannak konfigurálva a helyszíni hálózat és az Azure Stack Hub robusztus virtuális hálózata között. A szabályzat vagy a forgalomválasztó általában egy hozzáférési lista a VPN-eszköz konfigurációjában. A PolicyBased az Azure-ban támogatott, az Azure Stack Hubban azonban nem.
- RouteBased: Az útvonalalapú VPN-ek az IP-továbbítási vagy útválasztási táblában konfigurált útvonalakat használják. A csomagok a megfelelő alagút-interfészekhez irányítják a csomagokat. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat. A RouteBased VPN-ek házirendje vagy forgalomválasztója bármelyikhez (vagy használjon helyettesítő kártyákat) konfigurálva van. Alapértelmezés szerint nem módosíthatók. A RouteBased VPN-típus értéke RouteBased.
VPN-átjáró konfigurálása
A VPN-átjárókapcsolatok számos olyan erőforrásra támaszkodnak, amelyek meghatározott beállításokkal vannak konfigurálva. Ezeknek az erőforrásoknak a többsége külön konfigurálható, de bizonyos esetekben egy adott sorrendben kell konfigurálni őket.
Beállítások
Az egyes erőforrásokhoz választott beállítások kritikus fontosságúak a sikeres kapcsolat létrehozásához.
Ez a cikk a következők megértését segíti:
- Átjárótípusok, VPN-típusok és kapcsolattípusok.
- Átjáró-alhálózatok, helyi hálózati átjárók és egyéb, megfontolandó erőforrás-beállítások.
Kapcsolati topológia-diagramok
A VPN Gateway-kapcsolatokhoz különböző konfigurációk érhetők el. Határozza meg, hogy melyik konfiguráció felel meg a legjobban az igényeinek. A következő szakaszokban az alábbi VPN Gateway-kapcsolatokra vonatkozó információkat és topológiai diagramokat tekintheti meg:
- Elérhető üzemi modell
- Elérhető konfigurációs eszközök
- Hivatkozások, amelyek közvetlenül egy cikkre mutatnak, ha van ilyen
A következő szakaszokban található diagramok és leírások segítenek kiválasztani a követelményeknek megfelelő kapcsolati topológiát. A diagramok a fő alapkonfigurációs topológiákat mutatják be, de összetettebb konfigurációkat is létrehozhat a diagramok segítségével útmutatóként.
Helyek közötti és többhelyes (IPsec/IKE VPN-alagút)
Helyek közötti kapcsolat
A helyek közötti (S2S) VPN Gateway-kapcsolat IPsec/IKE (IKEv2) VPN-alagúton keresztüli kapcsolat. Ehhez a kapcsolattípushoz olyan VPN-eszközre van szükség, amely a helyszínen található, és nyilvános IP-címhez van rendelve. Ez az eszköz nem található NAT mögött. A helyek közötti kapcsolatok létesítmények közötti és hibrid konfigurációk esetében is alkalmazhatók.
Többhelyes
A többhelyes kapcsolat a helyek közötti kapcsolat egy változata. A virtuális hálózati átjáróról több VPN-kapcsolatot hoz létre, amelyek általában több helyszíni helyhez csatlakoznak. Ha több kapcsolattal dolgozik, útvonalalapú VPN-típust kell használnia (a klasszikus virtuális hálózatok használatakor dinamikus átjárónak). Mivel minden virtuális hálózat csak egy VPN-átjáróval rendelkezhet, az átjárón keresztüli összes kapcsolat osztozik a rendelkezésre álló sávszélességen.
Átjáró-termékváltozatok
Amikor létrehoz egy virtuális hálózati átjárót az Azure Stack Hubhoz, meg kell adnia a használni kívánt átjáró-termékváltozatot. A következő VPN Gateway-termékváltozatok támogatottak:
- Alapszintű
- Norma/Szabvány
- Nagy teljesítmény
Ha magasabb szintű átjáró-termékváltozatot választ, több processzort és hálózati sávszélességet rendel az átjáróhoz. Ennek eredményeképpen az átjáró támogatja a virtuális hálózat nagyobb hálózati átviteli sebességét.
Az Azure Stack Hub ruggedized nem támogatja az Ultra Performance Gateway termékváltozatát, amelyet kizárólag expressz útvonalon használnak.
A termékváltozat kiválasztásakor vegye figyelembe a következőket:
- Az Azure Stack Hub ruggedized nem támogatja a szabályzatalapú átjárókat.
- A BGP nem támogatott az alapszintű termékváltozatban.
- Az ExpressRoute-VPN-átjáró egyidejű konfigurációi nem támogatottak az Azure Stack Hubban.
Átjáró rendelkezésre állása
A magas rendelkezésre állási forgatókönyvek csak a nagy teljesítményű átjáró kapcsolati termékváltozatán konfigurálhatók. Az Azure-sal ellentétben, amely aktív/aktív és aktív/passzív konfigurációkon keresztül is biztosítja a rendelkezésre állást, az Azure Stack Hub ruggedized csak az aktív/passzív konfigurációt támogatja.
Feladatátvétel
Az Azure Stack Hubban három több-bérlős átjáróinfrastruktúra virtuális gép található. Ezen virtuális gépek közül kettő aktív módban van, a harmadik redundáns módban van. Az aktív virtuális gépek lehetővé teszik a VPN-kapcsolatok létrehozását rajtuk, a redundáns virtuális gép pedig csak feladatátvétel esetén fogadja el a VPN-kapcsolatokat. Ha egy aktív átjáró virtuális gép elérhetetlenné válik, a VPN-kapcsolat rövid (néhány másodperces) kapcsolatvesztés után meghiúsul a redundáns virtuális gép felé.
A termékváltozat becsült összesített átviteli sebessége
Az alábbi táblázat az átjárótípusokat és az átjáró termékváltozatának becsült összesített átviteli sebességét mutatja be:
| VPN Gateway teljesítménye (1) | VPN Gateway IPsec-alagútjainak maximális száma (2) | |
|---|---|---|
| Alapszintű termékváltozat(3) | 100 Mbit/s | 20 |
| Standard termékváltozat | 100 Mbit/s | 20 |
| Nagy teljesítményű termékváltozat | 200 Mbit/s | 10 |
Táblajegyzetek
(1) – A VPN átviteli sebessége nem garantált átviteli sebesség a helyek közötti kapcsolatokhoz az interneten keresztül. Ez a lehető legnagyobb átviteli sebességmérés.
(2) – A maximális alagutak az Összes előfizetéshez tartozó Azure Stack Hub-robusztus üzemelő példányonkénti összeg.
(3) – Az alapszintű termékváltozat nem támogatja a BGP-útválasztást.
Fontos
Két Azure Stack Hub-üzemelő példány között csak egy helyek közötti VPN-kapcsolat hozható létre. Ennek oka a platform azon korlátozása, amely csak egyetlen VPN-kapcsolatot engedélyez ugyanahhoz az IP-címhez. Mivel az Azure Stack Hub ruggedized a több-bérlős átjárót használja, amely egyetlen nyilvános IP-címet használ az Azure Stack Hub ruggedizált rendszer összes VPN-átjárója esetében, csak egy VPN-kapcsolat lehet két Azure Stack Hub-robusztus rendszer között.
Ez a korlátozás arra is vonatkozik, hogy egynél több helyek közötti VPN-kapcsolatot csatlakoztat egy olyan VPN-átjáróhoz, amely egyetlen IP-címet használ. A robusztus Azure Stack Hub nem teszi lehetővé, hogy több helyi hálózati átjáró-erőforrást is létrehozhasson ugyanazzal az IP-címmel.**
IPsec/IKE-paraméterek
Ha vpn-kapcsolatot állít be az Azure Stack Hubban, mindkét végén konfigurálnia kell a kapcsolatot. Ha vpn-kapcsolatot konfigurál az Azure Stack Hub és egy hardvereszköz között, az eszköz további beállításokat kérhet. Például egy VPN-átjáróként működő kapcsoló vagy útválasztó.
Ellentétben az Azure-tal, amely kezdeményezőként és válaszadóként is több ajánlatot támogat, az Azure Stack Hub ruggedized alapértelmezés szerint csak egy ajánlatot támogat. Ha különböző IPSec-/IKE-beállításokat kell használnia a VPN-eszköz használatához, több beállítás érhető el a kapcsolat manuális konfigurálásához.
Az IKE 1. fázis (Elsődleges mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Diffie-Hellman csoport | ECP384 |
| Hitelesítési módszer | Előre megosztott kulcs |
| Titkosító és kivonatoló algoritmus | AES256, SHA384 |
| SA élettartama (Idő) | 28 800 másodperc |
Az IKE 2. fázis (Gyors mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Titkosítási és kivonatolási algoritmusok (titkosítás) | GCMAES256 |
| Titkosítási és kivonatolási algoritmusok (hitelesítés) | GCMAES256 |
| SA élettartama (Idő) | 27 000 másodperc |
| SA-élettartam (kilobájt) | 33,553,408 |
| Sérülés utáni titkosságvédelem (PFS) | ECP384 |
| Kapcsolat megszakadásának észlelése | Támogatott |
Egyéni IPSec-/IKE-kapcsolati szabályzatok konfigurálása
Az IPsec és az IKE protokoll szabvány számos titkosítási algoritmust támogat különböző kombinációkban. Ha meg szeretné tudni, hogy az Azure Stack Hub mely paramétereket támogatja a megfelelőségi vagy biztonsági követelmények teljesítéséhez, tekintse meg az IPsec/IKE paramétereket.
Ez a cikk bemutatja, hogyan hozhat létre és konfigurálhat IPsec-/IKE-szabályzatokat, és hogyan alkalmazható egy új vagy meglévő kapcsolatra.
Megfontolások
A szabályzatok használatakor vegye figyelembe a következő fontos szempontokat:
- Az IPsec/IKE szabályzat csak a Standard és HighPerformance (útvonalalapú) átjáró-termékváltozatokon működik.
- Egy adott kapcsolathoz csak egy házirendet adhat meg.
- Meg kell adnia az összes algoritmust és paramétert az IKE (Fő mód) és az IPsec (gyors mód) esetében is. Részleges házirend-specifikáció nem engedélyezett.
- Tekintse meg a VPN-eszköz gyártói specifikációit, hogy a szabályzat támogatott legyen a helyszíni VPN-eszközökön. A helyek közötti kapcsolatok nem hozhatók létre, ha a házirendek nem kompatibilisek.
IPsec/IKE-szabályzat létrehozásához és beállításához tartozó munkafolyamat
Ez a szakasz a helyek közötti VPN-kapcsolat IPsec/IKE-szabályzatának létrehozásához és frissítéséhez szükséges munkafolyamatot ismerteti:
- Hozzon létre egy virtuális hálózatot és egy VPN-átjárót.
- Hozzon létre egy helyi hálózati átjárót a helyszíni kapcsolatokhoz.
- Hozzon létre egy IPsec/IKE-szabályzatot a kiválasztott algoritmusokkal és paraméterekkel.
- Hozzon létre egy IPSec-kapcsolatot az IPsec/IKE szabályzattal.
- Meglévő kapcsolat IPsec/IKE-szabályzatának hozzáadása/frissítése/eltávolítása.
Támogatott titkosítási algoritmusok és kulcserősség
Az alábbi táblázat a támogatott titkosítási algoritmusokat és a robusztus Azure Stack Hub-ügyfelek által konfigurálható kulcserősségeket sorolja fel:
| IPsec/IKEv2 | Beállítások |
|---|---|
| IKEv2-titkosítás | AES256, AES192, AES128, DES3, DES |
| IKEv2-integritás | SHA384, MD5, SHA1, SHA256 |
| DH-csoport | ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Nincs |
| IPsec-titkosítás | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nincs |
| IPsec-integritás | GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| PFS-csoport | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nincs |
| Gyorsmódú biztonsági társítás élettartama | (Nem kötelező: az alapértelmezett értékeket használja a rendszer, ha nincs megadva) |
| Másodperc (egész szám; min. 300/alapértelmezett 27 000 másodperc) | |
| KBytes (egész szám; min. 1024/alapértelmezett 102 400 000 KBytes) | |
| Forgalomválasztó | A szabályzatalapú forgalomválasztók nem támogatottak az Azure Stack Hubban. |
A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:
- IKE titkosítási algoritmus (fő mód / 1. fázis).
- IKE integritási algoritmus (fő mód / 1. fázis).
- DH-csoport (fő mód / 1. fázis).
- IPsec titkosítási algoritmus (gyors mód / 2. fázis).
- IPsec-integritási algoritmus (gyors mód / 2. fázis).
- PFS-csoport (gyors mód / 2. fázis).
- Az sa élettartamok csak helyi specifikációk, nem kell egyezniük.
Ha a GCMAES-t az IPsec-titkosítási algoritmushoz használja, ugyanazt a GCMAES-algoritmust és kulcshosszt kell kiválasztania az IPsec-integritáshoz. Például: GCMAES128 használata mindkettőhöz.
Az előző táblázatban:
- Az IKEv2 a fő módnak vagy az 1. fázisnak felel meg.
- Az IPsec a gyors módnak vagy a 2. fázisnak felel meg.
- A DH-csoport a fő módban vagy az 1. fázisban használt Diffie-Hellmen csoportot adja meg.
- A PFS-csoport a gyors módban vagy a 2. fázisban használt Diffie-Hellmen csoportot adja meg.
- Az IKEv2 főmódú sa élettartama 28 800 másodpercen van javítva az Azure Stack Hub robusztus VPN-átjáróiban.
Az alábbi táblázat az egyéni szabályzat által támogatott megfelelő Diffie-Hellman-csoportokat sorolja fel:
| Diffie-Hellman csoport | DH-csoport | PFS-csoport | A kulcs hossza |
|---|---|---|---|
| 0 | DHGroup1 | PFS1 | 768 bites MODP |
| 2 | DHGroup2 | PFS2 | 1024 bites MODP |
| 14 | DHGroup14 | PFS2048 | 2048 bites MODP |
| DHGroup2048 | |||
| 19 | ECP256 | ECP256 | 256 bites ECP |
| 20 | ECP384 | ECP384 | 384 bites ECP |
| 24 | DHGroup24 | PFS24 | 2048 bites MODP |
Az Azure Stack Hub csatlakoztatása az Azure-hoz az Azure ExpressRoute használatával
Áttekintés, feltételezések és előfeltételek
Az Azure ExpressRoute lehetővé teszi a helyszíni hálózatok Microsoft-felhőbe való kiterjesztését. Egy kapcsolatszolgáltató által biztosított privát kapcsolatot használ. Az ExpressRoute nem VPN-kapcsolat a nyilvános interneten keresztül.
Az Azure ExpressRoute-ról további információt az ExpressRoute áttekintésében talál.
Feltételezések
Ez a cikk a következőket feltételezi:
- Ismeri az Azure-t.
- Alapszintű ismereteket szerezhet az Azure Stack Hub robusztusságáról.
- Alapszintű ismereteket szerezhet a hálózatkezelésről.
Előfeltételek
Ha az Azure Stack Hubot és az Azure-t az ExpressRoute használatával szeretné csatlakoztatni, az alábbi követelményeknek kell megfelelnie:
- Kiépített ExpressRoute-kapcsolatcsoport egy kapcsolatszolgáltatón keresztül.
- Egy Azure-előfizetés, amely expressRoute-kapcsolatcsoportot és virtuális hálózatokat hoz létre az Azure-ban.
- Egy útválasztó, amely támogatja a következőket:
- Helyek közötti VPN-kapcsolatok a HELYI adapter és az Azure Stack Hub robusztus több-bérlős átjárója között.
- több VRF (virtuális útválasztás és továbbítás) létrehozása, ha több bérlő is van az Azure Stack Hub robusztus üzemelő példányában.
- Egy útválasztó, amely a következővel rendelkezik:
- Az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott WAN-port.
- Az Azure Stack Hub ruggedized több-bérlős átjárójához csatlakoztatott LAN-port.
ExpressRoute hálózati architektúra
Az alábbi ábra az Azure Stack Hub robusztus és Azure-környezeteit mutatja be, miután befejezte az ExpressRoute beállítását a jelen cikk példáinak használatával:
Az alábbi ábra azt mutatja be, hogyan csatlakozik több bérlő az Azure Stack Hub robusztus infrastruktúrájától az ExpressRoute-útválasztón keresztül az Azure-hoz:
