Delen via

VNet-naar-VNet-connectiviteit tussen Azure Stack Hub-exemplaren met Fortinet FortiGate NVA

  • Artikel

In dit artikel verbindt u een VNET in de ene Azure Stack Hub met een VNET in een andere Azure Stack Hub met behulp van Fortinet FortiGate NVA, een virtueel netwerkapparaat.

In dit artikel wordt de huidige beperking van Azure Stack Hub behandeld, waarmee tenants slechts één VPN-verbinding in twee omgevingen kunnen instellen. Gebruikers leren hoe ze een aangepaste gateway kunnen instellen op een virtuele Linux-machine die meerdere VPN-verbindingen in verschillende Azure Stack Hub toestaat. Met de procedure in dit artikel worden twee VNET's geïmplementeerd met een FortiGate NVA in elk VNET: één implementatie per Azure Stack Hub-omgeving. Ook worden de wijzigingen vermeld die nodig zijn voor het instellen van een IPSec VPN tussen de twee VNET's. De stappen in dit artikel moeten worden herhaald voor elk VNET in elke Azure Stack Hub.

Vereisten

  • Toegang tot geïntegreerde Azure Stack Hub-systemen met beschikbare capaciteit om de vereiste reken-, netwerk- en resourcevereisten te implementeren die nodig zijn voor deze oplossing.

    Notitie

    Deze instructies werken niet met een Azure Stack Development Kit (ASDK) vanwege de netwerkbeperkingen in de ASDK. Zie ASDK-vereisten en -overwegingen voor meer informatie.

  • Een NVA-oplossing (virtueel netwerkapparaat) is gedownload en gepubliceerd naar Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. Deze procedure maakt gebruik van de Fortinet FortiGate Next-Generation Firewall Single VM-oplossing.

  • Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Fortinet Document Library registreren en downloaden van uw licentie voor informatie over het verkrijgen van deze licenties.

    Deze procedure maakt gebruik van de implementatie van één FortiGate-VM. U vindt stappen voor het verbinden van de FortiGate NVA met het VNET van Azure Stack Hub in uw on-premises netwerk.

    Zie het fortinet-documentbibliotheekartikel ha voor FortiGate-VM in Azure voor meer informatie over het implementeren van de FortiGate-oplossing in een actief-passieve (HA).

Implementatieparameters

De volgende tabel bevat een overzicht van de parameters die worden gebruikt in deze implementaties ter referentie:

Implementatie één: Forti1

Naam van fortiGate-exemplaar Forti1
BYOL-licentie/versie 6.0.3
Gebruikersnaam voor FortiGate-beheerders fortiadmin
Naam resourcegroep forti1-rg1
Naam van virtueel netwerk forti1vnet1
VNET-adresruimte 172.16.0.0/16*
Naam van openbaar VNET-subnet forti1-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.16.0.0/24*
Binnen de naam van het VNET-subnet forti1-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.16.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres forti1-publicip1
Type openbaar IP-adres Statisch

Implementatie twee: Forti2

Naam van fortiGate-exemplaar Forti2
BYOL-licentie/versie 6.0.3
Gebruikersnaam voor FortiGate-beheerders fortiadmin
Naam resourcegroep forti2-rg1
Naam van virtueel netwerk forti2vnet1
VNET-adresruimte 172.17.0.0/16*
Naam van openbaar VNET-subnet forti2-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.17.0.0/24*
Binnen de naam van het VNET-subnet Forti2-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.17.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres Forti2-publicip1
Type openbaar IP-adres Statisch

Notitie

* Kies een andere set adresruimten en subnetvoorvoegsels als de bovenstaande elkaar overlappen met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hubs. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.**

De FortiGate NGFW Marketplace-items implementeren

Herhaal deze stappen voor beide Azure Stack Hub-omgevingen.

  1. Open de Azure Stack Hub-gebruikersportal. Zorg ervoor dat u referenties gebruikt met ten minste inzenderrechten voor een abonnement.

  2. Selecteer Een resource maken en zoek naar FortiGate.

    In de schermopname ziet u één regel met resultaten uit de zoekopdracht naar 'fortigate'. De naam van het gevonden item is 'FortiGate NGFW - Single VM Deployment (BYOL)'.

  3. Selecteer de FortiGate NGFW en selecteer de optie Maken.

  4. Voltooi basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .

    Het formulier moet de volgende informatie bevatten:

    De tekstvakken (zoals exemplaarnaam en BYOL-licentie) van het dialoogvenster Basisbeginselen zijn ingevuld met waarden uit de implementatietabel.

  5. Selecteer OK.

  6. Geef de details van het virtuele netwerk, subnetten en vm-grootte op uit de implementatieparameters.

    Als u verschillende namen en bereiken wilt gebruiken, moet u ervoor zorgen dat u geen parameters gebruikt die conflicteren met de andere VNET- en FortiGate-resources in de andere Azure Stack Hub-omgeving. Dit geldt met name bij het instellen van het VNET-IP-bereik en subnetbereiken binnen het VNET. Controleer of ze niet overlappen met de IP-bereiken voor het andere VNET dat u maakt.

  7. Selecteer OK.

  8. Configureer het openbare IP-adres dat wordt gebruikt voor de FortiGate NVA:

    In het tekstvak Naam van het openbare IP-adres van het dialoogvenster IP-toewijzing wordt de waarde forti1-publicip1 (uit de implementatietabel) weergegeven.

  9. Selecteer OK en selecteer VERVOLGENS OK.

  10. Selecteer Maken.

De implementatie duurt ongeveer 10 minuten. U kunt nu de stappen herhalen om de andere FortiGate NVA- en VNET-implementatie te maken in de andere Azure Stack Hub-omgeving.

Routes (UDR's) configureren voor elk VNET

Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.

  1. Navigeer naar de forti1-rg1-resourcegroep in de Azure Stack Hub-portal.

    Dit is een schermopname van de lijst met resources in de resourcegroep forti1-rg1.

  2. Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx.

  3. Selecteer Routes onder Instellingen.

    In de schermopname ziet u het gemarkeerde item Routes van Instellingen.

  4. Verwijder de route naar internet .

    In de schermopname ziet u de gemarkeerde route naar internet. Er is een knop Verwijderen.

  5. Selecteer Ja.

  6. Selecteer Toevoegen.

  7. Noem de route to-forti1 of to-forti2. Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  8. Voer het volgende in:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  9. Selecteer Virtueel apparaat voor het type Volgende hop.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    Het dialoogvenster Route bewerken voor to-forti2 bevat tekstvakken met waarden. Adresvoorvoegsel is 172.17.0.0/16, 'Volgend hoptype' is 'Virtueel apparaat' en 'Adres van volgende hop' is 172.16.1.4.

  10. Selecteer Opslaan.

Herhaal de stappen voor elke InsideSubnet-route voor elke resourcegroep.

Activeer de FortiGate NVA's en configureer een IPSec VPN-verbinding op elke NVA

U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Fortinet-documentbibliotheek registreren en downloaden van uw licentie voor meer informatie over het verkrijgen van een licentiebestand en de stappen voor het activeren van de NVA.

Er moeten twee licentiebestanden worden verkregen: één voor elke NVA.

Een IPSec VPN tussen de twee NVA's maken

Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec VPN tussen de twee NVA's te maken.

Volg de onderstaande stappen voor zowel de forti1 NVA als forti2 NVA:

  1. Haal het toegewezen openbare IP-adres op door te navigeren naar de overzichtspagina van de fortiX-VM:

    Op de overzichtspagina forti1 ziet u de resourcegroep, status enzovoort.

  2. Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser waarschuwt u mogelijk dat het beveiligingscertificaat niet wordt vertrouwd. Ga toch door.

  3. Voer de gebruikersnaam en het wachtwoord van de FortiGate-beheerder in die u tijdens de implementatie hebt opgegeven.

    De schermafbeelding is van het aanmeldingsscherm, met een aanmeldingsknop en tekstvakken voor gebruikersnaam en wachtwoord.

  4. Selecteer Systeemfirmware>.

  5. Selecteer het vak met de meest recente firmware, FortiOS v6.2.0 build0866bijvoorbeeld.

    De schermopname van de firmware fortiOS v6.2.0 build0866 bevat een koppeling naar releaseopmerkingen en twee knoppen: 'Back-upconfiguratie en upgrade', en 'Upgrade'.

  6. Selecteer Back-upconfiguratie en upgrade en Ga door wanneer hierom wordt gevraagd.

  7. De NVA werkt de firmware bij naar de nieuwste build en start opnieuw op. Het proces duurt ongeveer vijf minuten. Meld u weer aan bij de FortiGate-webconsole.

  8. Klik op de wizard VPN>IPSec.

  9. Voer een naam in voor het VPN, bijvoorbeeld conn1 in de wizard VPN maken.

  10. Selecteer Deze site bevindt zich achter NAT.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de eerste stap, VPN Setup, moet uitvoeren. De volgende waarden zijn geselecteerd: 'Site-naar-site' voor sjabloontype, FortiGate voor extern apparaattype en 'Deze site bevindt zich achter NAT' voor NAT-configuratie.

  11. Selecteer Volgende.

  12. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding gaat maken.

  13. Selecteer poort1 als de uitgaande interface.

  14. Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en record).

    Notitie

    U hebt deze sleutel nodig om de verbinding op het on-premises VPN-apparaat in te stellen, dat wil zeggen dat deze exact overeenkomen.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de tweede stap, verificatie en de geselecteerde waarden bevindt.

  15. Selecteer Volgende.

  16. Selecteer poort2 voor de lokale interface.

  17. Voer het lokale subnetbereik in:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  18. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de derde stap, Beleid en routering, met de geselecteerde en ingevoerde waarden ziet.

  19. Selecteer Maken.

  20. Selecteer Netwerkinterfaces>.

    De interfacelijst bevat twee interfaces: poort1, die is geconfigureerd en poort2, wat niet is gebeurd. Er zijn knoppen voor het maken, bewerken en verwijderen van interfaces.

  21. Dubbelklik op poort2.

  22. Kies LAN in de lijst met rollen en DHCP voor de adresseringsmodus.

  23. Selecteer OK.

Herhaal de stappen voor de andere NVA.

Alle fase 2-selectors weergeven

Zodra het bovenstaande is voltooid voor beide NVA's:

  1. Selecteer in de forti2 FortiGate-webconsole de optie IPsec Monitor bewaken>.

    De monitor voor VPN-verbinding conn1 wordt vermeld. Het wordt weergegeven als niet beschikbaar, net als de bijbehorende fase 2-kiezer.

  2. Markeer conn1 en selecteer de >kiezers Voor alle fasen 2 weergeven.

    De monitor en fase 2-kiezer worden beide weergegeven als up.

Connectiviteit testen en valideren

U moet nu tussen elk VNET kunnen routeren via de FortiGate NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in het InsideSubnet van elk VNET. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:

  • De Azure Stack Hub-VM's worden in het InsideSubnet van elk VNET geplaatst.

  • U past geen NSG's toe op de virtuele machine bij het maken (dat wil gezegd, verwijder de NSG die standaard wordt toegevoegd als u de VIRTUELE machine maakt vanuit de portal.

  • Zorg ervoor dat de firewallregels van de VM de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig binnen het besturingssysteem uit te schakelen, indien mogelijk.

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate