Condividi tramite

Connettività da rete virtuale a rete virtuale tra istanze dell'hub di Azure Stack con Fortinet FortiGate NVA

  • Articolo

In questo articolo si connetterà una rete virtuale in un hub di Azure Stack a una rete virtuale in un altro hub di Azure Stack usando Fortinet FortiGate NVA, un'appliance virtuale di rete.

Questo articolo illustra la limitazione corrente dell'hub di Azure Stack, che consente ai tenant di configurare una sola connessione VPN in due ambienti. Gli utenti apprenderanno come configurare un gateway personalizzato in una macchina virtuale Linux che consentirà più connessioni VPN in un hub di Azure Stack diverso. La procedura descritta in questo articolo distribuisce due reti virtuali con un'appliance virtuale di rete FortiGate in ogni rete virtuale: una distribuzione per ogni ambiente dell'hub di Azure Stack. Vengono inoltre illustrate in dettaglio le modifiche necessarie per configurare una VPN IPSec tra le due reti virtuali. I passaggi descritti in questo articolo devono essere ripetuti per ogni rete virtuale in ogni hub di Azure Stack.

Prerequisiti

  • Accesso a sistemi integrati dell'hub di Azure Stack con capacità disponibile per distribuire i requisiti di calcolo, rete e risorse necessari per questa soluzione.

    Nota

    Queste istruzioni non funzioneranno con azure Stack Development Kit (ASDK) a causa delle limitazioni di rete nell'ASDK. Per altre informazioni, vedere Requisiti e considerazioni di ASDK.

  • Una soluzione appliance virtuale di rete (NVA) scaricata e pubblicata nel Marketplace dell'hub di Azure Stack. Un'appliance virtuale di rete controlla il flusso del traffico di rete da una rete perimetrale ad altre reti o subnet. Questa procedura usa la soluzione Firewall single vm di nuova generazione Fortinet Fortigate.

  • Almeno due file di licenza FortiGate disponibili per attivare l'appliance virtuale di rete FortiGate. Informazioni su come ottenere queste licenze, vedere l'articolo Sulla registrazione e sul download della licenza in Fortinet Document Library.

    Questa procedura usa la distribuzione single FortiGate-VM. È possibile trovare la procedura per connettere l'appliance virtuale di rete FortiGate alla rete virtuale dell'hub di Azure Stack a nella rete locale.

    Per altre informazioni su come distribuire la soluzione FortiGate in una configurazione attiva-passiva (HA), vedere l'articolo sulla disponibilità elevata della raccolta documenti fortinet per FortiGate-VM in Azure.

Parametri di distribuzione

La tabella seguente riepiloga i parametri usati in queste distribuzioni per riferimento:

Distribuzione 1: Forti1

FortiGate Instance Name Forti1
Licenza BYOL/Versione 6.0.3
Nome utente amministratore FortiGate fortiadmin
Nome del gruppo di risorse forti1-rg1
Nome della rete virtuale forti1vnet1
Spazio indirizzi della rete virtuale 172.16.0.0/16*
Nome della subnet della rete virtuale pubblica forti1-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.16.0.0/24*
All'interno del nome della subnet della rete virtuale forti1-InsideSubnet
All'interno del prefisso della subnet della rete virtuale 172.16.1.0/24*
Dimensioni della macchina virtuale di FortiGate NVA Standard F2s_v2
Nome indirizzo IP pubblico forti1-publicip1
Tipo di indirizzo IP pubblico Statico

Distribuzione 2: Forti2

FortiGate Instance Name Forti2
Licenza BYOL/Versione 6.0.3
Nome utente amministratore FortiGate fortiadmin
Nome del gruppo di risorse forti2-rg1
Nome della rete virtuale forti2vnet1
Spazio indirizzi della rete virtuale 172.17.0.0/16*
Nome della subnet della rete virtuale pubblica forti2-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.17.0.0/24*
All'interno del nome della subnet della rete virtuale Forti2-InsideSubnet
All'interno del prefisso della subnet della rete virtuale 172.17.1.0/24*
Dimensioni della macchina virtuale di FortiGate NVA Standard F2s_v2
Nome indirizzo IP pubblico Forti2-publicip1
Tipo di indirizzo IP pubblico Statico

Nota

* Scegliere un set diverso di spazi indirizzi e prefissi di subnet se l'esempio precedente si sovrappone in qualsiasi modo all'ambiente di rete locale, incluso il pool VIP di uno degli hub di Azure Stack. Assicurarsi anche che gli intervalli di indirizzi non si sovrappongano tra loro.**

Distribuire gli elementi del Marketplace di FortiGate NGFW

Ripetere questi passaggi per entrambi gli ambienti dell'hub di Azure Stack.

  1. Aprire il portale utenti dell'hub di Azure Stack. Assicurarsi di usare le credenziali con almeno diritti di collaboratore per una sottoscrizione.

  2. Selezionare Crea una risorsa e cercare FortiGate.

    Lo screenshot mostra una singola riga di risultati dalla ricerca di

  3. Selezionare FortiGate NGFW e selezionare Crea.

  4. Completare le nozioni di base usando i parametri della tabella Parametri di distribuzione.

    Il modulo deve contenere le informazioni seguenti:

    Le caselle di testo, ad esempio Nome istanza e Licenza BYOL, della finestra di dialogo Informazioni di base sono state compilate con i valori della tabella di distribuzione.

  5. Seleziona OK.

  6. Specificare i dettagli della rete virtuale, delle subnet e delle dimensioni della macchina virtuale dai parametri Distribuzione.

    Se si vogliono usare nomi e intervalli diversi, prestare attenzione a non usare parametri in conflitto con le altre risorse di rete virtuale e FortiGate nell'altro ambiente dell'hub di Azure Stack. Ciò vale soprattutto quando si impostano l'intervallo IP della rete virtuale e gli intervalli di subnet all'interno della rete virtuale. Verificare che non si sovrappongano agli intervalli IP per l'altra rete virtuale creata.

  7. Seleziona OK.

  8. Configurare l'indirizzo IP pubblico che verrà usato per l'appliance virtuale di rete FortiGate:

    Nella casella di testo

  9. Selezionare OK e quindi SELEZIONARE OK.

  10. Seleziona Crea.

La distribuzione richiederà circa 10 minuti. È ora possibile ripetere i passaggi per creare l'altra distribuzione dell'appliance virtuale di rete e della rete virtuale FortiGate nell'altro ambiente dell'hub di Azure Stack.

Configurare route (route definite dall'utente) per ogni rete virtuale

Eseguire questi passaggi per entrambe le distribuzioni, forti1-rg1 e forti2-rg1.

  1. Passare al gruppo di risorse forti1-rg1 nel portale dell'hub di Azure Stack.

    Screenshot dell'elenco delle risorse nel gruppo di risorse forti1-rg1.

  2. Selezionare la risorsa "forti1-forti1-InsideSubnet-routes-xxxx".

  3. Selezionare Route in Impostazioni.

    Lo screenshot mostra l'elemento Route evidenziato di Impostazioni.

  4. Eliminare la route da Internet a Internet.

    Lo screenshot mostra la route evidenziata su Internet. È presente un pulsante di eliminazione.

  5. Selezionare .

  6. Selezionare Aggiungi.

  7. Assegnare un nome a Route to-forti1 o to-forti2. Usare l'intervallo IP se si usa un intervallo IP diverso.

  8. Digitare:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  9. Selezionare Appliance virtuale per il tipo di hop successivo.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Usare l'intervallo IP se si usa un intervallo IP diverso.

    La finestra di dialogo Modifica route per to-forti2 include caselle di testo con valori.

  10. Seleziona Salva.

Ripetere i passaggi per ogni route InsideSubnet per ogni gruppo di risorse.

Attivare le appliance virtuali di rete FortiGate e configurare una connessione VPN IPSec in ogni appliance virtuale di rete

Sarà necessario un file di licenza valido da Fortinet per attivare ogni appliance virtuale di rete FortiGate. Le appliance virtuali di rete non funzioneranno finché non è stata attivata ogni appliance virtuale di rete. Per altre informazioni su come ottenere un file di licenza e i passaggi per attivare l'appliance virtuale di rete, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

Sarà necessario acquisire due file di licenza: uno per ogni appliance virtuale di rete.

Creare una VPN IPSec tra le due appliance virtuali di rete

Dopo aver attivato le appliance virtuali di rete, seguire questa procedura per creare una VPN IPSec tra le due appliance virtuali di rete.

Seguendo questa procedura sia per l'appliance virtuale di rete forti1 che per forti2 appliance virtuali di rete:

  1. Ottenere l'indirizzo IP pubblico assegnato passando alla pagina panoramica di fortiX VM:

    La pagina di panoramica forti1 mostra il gruppo di risorse, lo stato e così via.

  2. Copiare l'indirizzo IP assegnato, aprire un browser e incollare l'indirizzo nella barra degli indirizzi. Il browser potrebbe avvisare che il certificato di sicurezza non è attendibile. Continuare comunque.

  3. Immettere il nome utente e la password amministrativi di FortiGate specificati durante la distribuzione.

    Lo screenshot è della schermata di accesso, con un pulsante di accesso e caselle di testo per nome utente e password.

  4. Selezionare Firmware di sistema>.

  5. Selezionare la casella che mostra il firmware più recente, FortiOS v6.2.0 build0866ad esempio .

    Lo screenshot del firmware

  6. Selezionare Configurazione di backup e aggiornamento e Continua quando richiesto.

  7. L'appliance virtuale di rete aggiorna il firmware alla build e ai riavvii più recenti. Il processo richiede circa cinque minuti. Accedere di nuovo alla console Web fortiGate.

  8. Fare clic su Procedura guidata IPSec VPN>.

  9. Immettere un nome per la VPN, ad esempio, conn1 nella Creazione guidata VPN.

  10. Selezionare Questo sito si trova dietro NAT.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del primo passaggio, configurazione VPN. Sono selezionati i valori seguenti:

  11. Selezionare Avanti.

  12. Immettere l'indirizzo IP remoto del dispositivo VPN locale a cui ci si connette.

  13. Selezionare port1 come interfaccia in uscita.

  14. Selezionare Chiave precondizionato e immettere (e registrare) una chiave precondi shared.

    Nota

    Questa chiave sarà necessaria per configurare la connessione nel dispositivo VPN locale, ovvero devono corrispondere esattamente.

    Lo screenshot della Creazione guidata VPN mostra che si trovano nel secondo passaggio, Autenticazione e i valori selezionati sono evidenziati.

  15. Selezionare Avanti.

  16. Selezionare port2 per l'interfaccia locale.

  17. Immettere l'intervallo di subnet locale:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  18. Immettere le subnet remote appropriate che rappresentano la rete locale a cui ci si connette tramite il dispositivo VPN locale.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del terzo passaggio, Policy & Routing, che mostra i valori selezionati e immessi.

  19. Selezionare Crea.

  20. Selezionare Interfacce di rete>.

    L'elenco di interfacce mostra due interfacce: port1, configurate e port2, che non lo sono. Sono disponibili pulsanti per creare, modificare ed eliminare interfacce.

  21. Fare doppio clic su porta2.

  22. Scegliere LAN nell'elenco Ruoli e DHCP per la modalità indirizzamento.

  23. Seleziona OK.

Ripetere i passaggi per l'altra appliance virtuale di rete.

Visualizzare tutti i selettori della fase 2

Una volta completata la procedura precedente per entrambe le appliance virtuali di rete:

  1. Nella console Web forti2 FortiGate selezionare Monitoraggio>IPsec.

    Viene elencato il monitoraggio per la connessione VPN conn1. Viene visualizzato come inattivo, come è il selettore della fase 2 corrispondente.

  2. Evidenziare conn1 e selezionare i selettori Visualizza>tutto fase 2.

    Il monitor e il selettore fase 2 vengono entrambi visualizzati come in alto.

Testare e convalidare la connettività

A questo punto dovrebbe essere possibile instradare tra ogni rete virtuale tramite le appliance virtuali di rete FortiGate. Per convalidare la connessione, creare una macchina virtuale dell'hub di Azure Stack in ogni rete virtuale InsideSubnet. La creazione di una macchina virtuale dell'hub di Azure Stack può essere eseguita tramite il portale, l'interfaccia della riga di comando di Azure o PowerShell. Quando si creano le macchine virtuali:

  • Le macchine virtuali dell'hub di Azure Stack vengono posizionate nella rete InternaSubnet di ogni rete virtuale.

  • Non si applicano gruppi di sicurezza di rete alla macchina virtuale al momento della creazione, ovvero rimuovere il gruppo di sicurezza di rete che viene aggiunto per impostazione predefinita se si crea la macchina virtuale dal portale.

  • Assicurarsi che le regole del firewall della macchina virtuale consentano la comunicazione che si intende usare per testare la connettività. A scopo di test, è consigliabile disabilitare completamente il firewall all'interno del sistema operativo, se possibile.

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack
Offrire una soluzione di rete nell'hub di Azure Stack con Fortinet FortiGate