Connettività da rete virtuale a rete virtuale tra istanze dell'hub di Azure Stack con Fortinet FortiGate NVA

  • Articolo

In questo articolo si connetterà una rete virtuale in un hub di Azure Stack a una rete virtuale in un altro hub di Azure Stack usando Fortinet FortiGate NVA, un'appliance virtuale di rete.

Questo articolo illustra la limitazione corrente dell'hub di Azure Stack, che consente ai tenant di configurare una sola connessione VPN in due ambienti. Gli utenti apprenderà come configurare un gateway personalizzato in una macchina virtuale Linux che consentirà più connessioni VPN in un hub di Azure Stack diverso. La procedura descritta in questo articolo distribuisce due reti virtuali con un'appliance virtuale di rete FortiGate in ogni rete virtuale: una distribuzione per ogni ambiente dell'hub di Azure Stack. Vengono inoltre fornite informazioni dettagliate sulle modifiche necessarie per configurare una VPN IPSec tra le due reti virtuali. I passaggi descritti in questo articolo devono essere ripetuti per ogni rete virtuale in ogni hub di Azure Stack.

Prerequisiti

  • Accesso a sistemi integrati dell'hub di Azure Stack con capacità disponibile per distribuire i requisiti di calcolo, rete e risorse necessari per questa soluzione.

    Nota

    Queste istruzioni non funzioneranno con un Azure Stack Development Kit (ASDK) a causa delle limitazioni di rete nell'ASDK. Per altre informazioni, vedere Requisiti e considerazioni di ASDK.

  • Una soluzione appliance virtuale di rete (NVA) scaricata e pubblicata nel Marketplace dell'hub di Azure Stack. Un'appliance virtuale di rete controlla il flusso del traffico di rete da una rete perimetrale ad altre reti o subnet. Questa procedura usa la soluzione Firewall di nuova generazione Fortinet FortiGate.

  • Almeno due file di licenza FortiGate disponibili per attivare l'appliance virtuale di rete FortiGate. Informazioni su come ottenere queste licenze, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

    Questa procedura usa la distribuzione di Single FortiGate-VM. È possibile trovare i passaggi per connettere l'appliance virtuale di rete FortiGate alla rete virtuale dell'hub di Azure Stack a nella rete locale.

    Per altre informazioni su come distribuire la soluzione FortiGate in una configurazione attiva-passiva (HA), vedere l'articolo Della raccolta documenti Fortinet per FortiGate-VM in Azure.

Parametri di distribuzione

La tabella seguente riepiloga i parametri usati in queste distribuzioni per riferimento:

Distribuzione 1: Forti1

Nome istanza fortiGate Forti1
Licenza BYOL/Versione 6.0.3
Nome utente amministrativo fortiGate fortiadmin
Nome del gruppo di risorse forti1-rg1
Nome della rete virtuale forti1vnet1
Spazio indirizzi della rete virtuale 172.16.0.0/16*
Nome della subnet della rete virtuale pubblica forti1-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.16.0.0/24*
All'interno del nome della subnet della rete virtuale forti1-InsideSubnet
Prefisso della subnet della rete virtuale 172.16.1.0/24*
Dimensioni macchina virtuale di FortiGate NVA Standard F2s_v2
Nome dell'indirizzo IP pubblico forti1-publicip1
Tipo di indirizzo IP pubblico Statica

Distribuzione 2: Forti2

Nome istanza fortiGate Forti2
Licenza BYOL/Versione 6.0.3
Nome utente amministrativo fortiGate fortiadmin
Nome del gruppo di risorse forti2-rg1
Nome della rete virtuale forti2vnet1
Spazio indirizzi della rete virtuale 172.17.0.0/16*
Nome della subnet della rete virtuale pubblica forti2-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.17.0.0/24*
All'interno del nome della subnet della rete virtuale Forti2-InsideSubnet
Prefisso della subnet della rete virtuale 172.17.1.0/24*
Dimensioni macchina virtuale di FortiGate NVA Standard F2s_v2
Nome dell'indirizzo IP pubblico Forti2-publicip1
Tipo di indirizzo IP pubblico Statica

Nota

* Scegliere un set diverso di spazi di indirizzi e prefissi di subnet se l'oggetto precedente si sovrappone in qualsiasi modo all'ambiente di rete locale, incluso il pool VIP di uno degli hub di Azure Stack. Assicurarsi inoltre che gli intervalli di indirizzi non si sovrappongano tra loro.**

Distribuire gli elementi del Marketplace di FortiGate NGFW

Ripetere questi passaggi per entrambi gli ambienti dell'hub di Azure Stack.

  1. Aprire il portale utenti dell'hub di Azure Stack. Assicurarsi di usare le credenziali che dispongono almeno dei diritti di collaboratore per una sottoscrizione.

  2. Selezionare Crea una risorsa e cercare FortiGate.

    Lo screenshot mostra una singola riga di risultati dalla ricerca di

  3. Selezionare FortiGate NGFW e selezionare Crea.

  4. Completare le nozioni di base usando i parametri della tabella Parametri di distribuzione .

    Il modulo deve contenere le informazioni seguenti:

    Le caselle di testo, ad esempio Nome istanza e Licenza BYOL, della finestra di dialogo Informazioni di base sono state compilate con i valori della tabella di distribuzione.

  5. Selezionare OK.

  6. Specificare i dettagli della rete virtuale, delle subnet e delle dimensioni della macchina virtuale dai parametri Distribuzione.

    Se si vogliono usare nomi e intervalli diversi, prestare attenzione a non usare parametri in conflitto con le altre risorse della rete virtuale e FortiGate nell'altro ambiente dell'hub di Azure Stack. Ciò vale soprattutto quando si impostano l'intervallo IP e gli intervalli di subnet della rete virtuale all'interno della rete virtuale. Verificare che non si sovrappongano agli intervalli IP per l'altra rete virtuale creata.

  7. Selezionare OK.

  8. Configurare l'indirizzo IP pubblico che verrà usato per l'appliance virtuale di rete FortiGate:

    Nella casella di testo

  9. Selezionare OK e quindi SELEZIONARE OK.

  10. Selezionare Crea.

La distribuzione richiederà circa 10 minuti. È ora possibile ripetere i passaggi per creare l'altra distribuzione di appliance virtuali di rete e rete virtuale FortiGate nell'altro ambiente dell'hub di Azure Stack.

Configurare route (route definite dall'utente) per ogni rete virtuale

Eseguire questi passaggi per entrambe le distribuzioni, forti1-rg1 e forti2-rg1.

  1. Passare al gruppo di risorse forti1-rg1 nel portale dell'hub di Azure Stack.

    Screenshot dell'elenco delle risorse nel gruppo di risorse forti1-rg1.

  2. Selezionare la risorsa "forti1-forti1-InsideSubnet-routes-xxxx".

  3. Selezionare Route in Impostazioni.

    Lo screenshot mostra l'elemento Route evidenziato di Impostazioni.

  4. Eliminare la route a Internet .

    Lo screenshot mostra la route evidenziata su Internet. È presente un pulsante di eliminazione.

  5. Selezionare .

  6. Selezionare Aggiungi.

  7. Denominare la routeto-forti1 o to-forti2. Usare l'intervallo IP se si usa un intervallo IP diverso.

  8. Digitare:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  9. Selezionare Appliance virtuale per tipo hop successivo.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Usare l'intervallo IP se si usa un intervallo IP diverso.

    La finestra di dialogo Modifica route per to-forti2 include caselle di testo con valori.

  10. Selezionare Salva.

Ripetere i passaggi per ogni route InsideSubnet per ogni gruppo di risorse.

Attivare le appliance virtuali di rete FortiGate e configurare una connessione VPN IPSec in ogni appliance virtuale di rete

Sarà necessario un file di licenza valido da Fortinet per attivare ogni appliance virtuale di rete FortiGate. Le appliance virtuali di rete funzioneranno solo dopo aver attivato ogni appliance virtuale di rete. Per altre informazioni su come ottenere un file di licenza e su come attivare l'appliance virtuale di rete, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

È necessario acquisire due file di licenza, uno per ogni appliance virtuale di rete.

Creare una VPN IPSec tra le due appliance virtuali di rete

Dopo aver attivato le appliance virtuali di rete, seguire questa procedura per creare una VPN IPSec tra le due appliance virtuali di rete.

Seguire questa procedura sia per l'appliance virtuale di rete forti1 che per forti2 appliance virtuali di rete:

  1. Ottenere l'indirizzo IP pubblico assegnato passando alla pagina Di panoramica della macchina virtuale fortiX:

    La pagina di panoramica forti1 mostra il gruppo di risorse, lo stato e così via.

  2. Copiare l'indirizzo IP assegnato, aprire un browser e incollare l'indirizzo nella barra degli indirizzi. Il browser potrebbe avvisare che il certificato di sicurezza non è attendibile. Continuare comunque.

  3. Immettere il nome utente e la password amministrativi di FortiGate specificati durante la distribuzione.

    Lo screenshot è della schermata di accesso, con un pulsante di accesso e caselle di testo per nome utente e password.

  4. SelezionareFirmware disistema>.

  5. Selezionare la casella che mostra il firmware più recente, ad esempio FortiOS v6.2.0 build0866.

    Lo screenshot del firmware

  6. Selezionare Configurazione di backup e aggiornamento e Continua quando richiesto.

  7. L'appliance virtuale di rete aggiorna il firmware alla build e ai riavvii più recenti. Il processo richiede circa cinque minuti. Accedere di nuovo alla console Web FortiGate.

  8. Fare clic suCreazione guidata IPSecVPN>.

  9. Immettere un nome per la VPN, ad esempio, conn1 nella Creazione guidata VPN.

  10. Selezionare Questo sito è protetto da NAT.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del primo passaggio, configurazione VPN. Sono selezionati i valori seguenti:

  11. Selezionare Avanti.

  12. Immettere l'indirizzo IP remoto del dispositivo VPN locale a cui ci si connette.

  13. Selezionare port1 come interfaccia in uscita.

  14. Selezionare Chiave precondi shared e immettere (e record) una chiave precondi shared.

    Nota

    Questa chiave sarà necessaria per configurare la connessione nel dispositivo VPN locale, ovvero deve corrispondere esattamente.

    Lo screenshot della Creazione guidata VPN mostra che deve essere nel secondo passaggio, Autenticazione e i valori selezionati sono evidenziati.

  15. Selezionare Avanti.

  16. Selezionare port2 per l'interfaccia locale.

  17. Immettere l'intervallo di subnet locale:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  18. Immettere le subnet remote appropriate che rappresentano la rete locale a cui ci si connetterà tramite il dispositivo VPN locale.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del terzo passaggio, Policy & Routing, che mostra i valori selezionati e immessi.

  19. Selezionare Crea

  20. SelezionareInterfacce direte>.

    L'elenco di interfacce mostra due interfacce: port1, che è stata configurata e port2, che non lo ha fatto. Sono disponibili pulsanti per creare, modificare ed eliminare interfacce.

  21. Fare doppio clic su porta2.

  22. Scegliere LAN nell'elenco Ruolo e DHCP per la modalità di indirizzamento.

  23. Selezionare OK.

Ripetere i passaggi per l'altra appliance virtuale di rete.

Visualizzare tutti i selettori della fase 2

Una volta completata la procedura precedente per entrambe le appliance virtuali di rete:

  1. Nella console Web forti2 FortiGate selezionare Monitor IPsec Monitor .On the forti2 FortiGate web console, select to Monitor>IPsec Monitor.

    Viene elencato il monitoraggio per la connessione VPN conn1. Viene visualizzato come inattivo, come è il selettore della fase 2 corrispondente.

  2. Evidenziare conn1 e selezionare iselettoriVisualizza> tutto fase 2.

    Il selettore di monitoraggio e fase 2 vengono entrambi visualizzati come visualizzato.

Testare e convalidare la connettività

A questo momento dovrebbe essere possibile eseguire il routing tra ogni rete virtuale tramite le appliance virtuali di rete FortiGate. Per convalidare la connessione, creare una macchina virtuale dell'hub di Azure Stack in ogni rete virtuale InsideSubnet. La creazione di una macchina virtuale dell'hub di Azure Stack può essere eseguita tramite il portale, l'interfaccia della riga di comando di Azure o PowerShell. Quando si creano le macchine virtuali:

  • Le macchine virtuali dell'hub di Azure Stack vengono posizionate nella rete InternaSubnet di ogni rete virtuale.

  • Non si applicano gruppi di sicurezza di rete alla macchina virtuale al momento della creazione, ovvero rimuovere il gruppo di sicurezza di rete aggiunto per impostazione predefinita se si crea la macchina virtuale dal portale.

  • Assicurarsi che le regole del firewall della macchina virtuale consentano la comunicazione che si intende usare per testare la connettività. A scopo di test, è consigliabile disabilitare completamente il firewall all'interno del sistema operativo, se possibile.

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack
Offrire una soluzione di rete nell'hub di Azure Stack con Fortinet FortiGate