Compartilhar via

Conectividade de rede virtual para rede virtual entre instâncias do Hub de Pilha do Azure com o Fortinet FortiGate NVA

  • Artigo

Neste artigo, você conectará uma VNET em um Hub de Pilha do Azure a uma Rede Virtual em outro Hub de Pilha do Azure usando o Fortinet FortiGate NVA, um dispositivo virtual de rede.

Este artigo aborda a limitação atual do Azure Stack Hub, que permite que os locatários configurem apenas uma conexão VPN em dois ambientes. Os usuários aprenderão a configurar um gateway personalizado em uma máquina virtual Linux que permitirá várias conexões VPN em diferentes Hub do Azure Stack. O procedimento neste artigo implanta duas VNETs com um FortiGate NVA em cada VNET: uma implantação por ambiente do Azure Stack Hub. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. As etapas neste artigo devem ser repetidas para cada VNET em cada Hub de Pilha do Azure.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para esta solução.

    Observação

    Essas instruções não funcionarão com um Kit de Desenvolvimento de Pilha do Azure (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações do ASDK.

  • Uma solução de dispositivo virtual de rede (NVA) baixada e publicada no Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Pelo menos dois arquivos de licença FortiGate disponíveis para ativar o FortiGate NVA. Informações sobre como obter essas licenças, consulte o artigo da Biblioteca de Documentos Fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação FortiGate-VM única. Você pode encontrar etapas sobre como conectar o FortiGate NVA à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração ativa-passiva (HA), consulte o artigo HA for FortiGate-VM da Biblioteca de Documentos Fortinet no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência:

Implantação um: Forti1

Nome da instância FortiGate Forti1
Licença/Versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate Fortiadmin
Nome do Grupo de Recursos forti1-rg1
Nome da rede virtual Forti1VNET1
Espaço de endereço VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Nome da sub-rede VNET interna forti1-InsideSubnet
Dentro do prefixo da sub-rede VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA Standard F2s_v2
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância FortiGate Forti2
Licença/Versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate Fortiadmin
Nome do Grupo de Recursos FORTI2-RG1
Nome da rede virtual Forti2VNET1
Espaço de endereço VNET 172.17.0.0/16*
Nome da sub-rede VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Nome da sub-rede VNET interna Forti2-InsideSubnet
Dentro do prefixo da sub-rede VNET 172.17.1.0/24*
Tamanho da VM do FortiGate NVA Standard F2s_v2
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se os itens acima se sobreporem de alguma forma ao ambiente de rede local, incluindo o Pool VIP de qualquer Hub de Pilha do Azure. Certifique-se também de que os intervalos de endereços não se sobreponham uns aos outros.**

Implantar os itens do FortiGate NGFW Marketplace

Repita essas etapas para ambos os ambientes do Azure Stack Hub.

  1. Abra o portal do usuário do Azure Stack Hub. Certifique-se de usar credenciais que tenham pelo menos direitos de Colaborador para uma assinatura.

  2. Selecione Criar um recurso e procure FortiGate.

    A captura de tela mostra uma única linha de resultados da busca por

  3. Selecione o FortiGate NGFW e selecione o Create.

  4. Noções básicas completas usando os parâmetros da tabela Parâmetros de implantação.

    Seu formulário deve conter as seguintes informações:

    As caixas de texto (como Nome da Instância e Licença BYOL) da caixa de diálogo Noções Básicas foram preenchidas com valores da Tabela de Implantação.

  5. Selecione OK.

  6. Forneça a rede virtual, as sub-redes e os detalhes do tamanho da VM a partir dos parâmetros de implantação.

    Se você desejar usar nomes e intervalos diferentes, tome cuidado para não usar parâmetros que entrarão em conflito com os outros recursos VNET e FortiGate no outro ambiente do Azure Stack Hub. Isso é especialmente verdadeiro ao definir o intervalo IP VNET e intervalos de sub-rede dentro do VNET. Verifique se eles não se sobrepõem aos intervalos de IP para a outra VNET que você criar.

  7. Selecione OK.

  8. Configure o IP público que será usado para o FortiGate NVA:

    A caixa de texto

  9. Selecione OK e, em seguida, selecione OK.

  10. Selecione Criar.

A implantação levará cerca de 10 minutos. Agora você pode repetir as etapas para criar a outra implantação do FortiGate NVA e VNET no outro ambiente do Azure Stack Hub.

Configurar rotas (UDRs) para cada VNET

Execute estas etapas para ambas as implantações, forti1-rg1 e forti2-rg1.

  1. Navegue até o Grupo de Recursos forti1-rg1 no portal do Hub de Pilha do Azure.

    Esta é uma captura de tela da lista de recursos no grupo de recursos forti1-rg1.

  2. Selecione no recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  3. Selecione Rotas, em Configurações.

    A captura de tela mostra o item Rotas realçado de Configurações.

  4. Exclua a rota para a Internet .

    A captura de tela mostra a rota destacada para a Internet. Há um botão de exclusão.

  5. Selecione Sim.

  6. Selecione Adicionar.

  7. Nomeie a rota to-forti1 ou to-forti2. Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  8. Digite:

    • Forti1: 172.17.0.0/16
    • Forti2: 172.16.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  9. Selecione Dispositivo virtual para o tipo de próximo salto.

    • Forti1: 172.16.1.4
    • Forti2: 172.17.0.4

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

    A caixa de diálogo Editar rota para to-forti2 tem caixas de texto com valores.

  10. Selecione Salvar.

Repita as etapas para cada rota do InsideSubnet para cada grupo de recursos.

Ativar os NVAs FortiGate e configurar uma conexão VPN IPSec em cada NVA

Você precisará de um arquivo de licença válido da Fortinet para ativar cada NVA FortiGate. Os NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar o NVA, consulte o artigo da Biblioteca de documentos Fortinet Registrando e baixando sua licença.

Dois arquivos de licença precisarão ser adquiridos - um para cada NVA.

Criar uma VPN IPSec entre os dois NVAs

Depois que os NVAs tiverem sido ativados, siga estas etapas para criar uma VPN IPSec entre os dois NVAs.

Seguindo as etapas abaixo para o NVA forti1 e NVA forti2:

  1. Obtenha o endereço IP público atribuído navegando até a página Visão geral da VM do fortiX:

    A página de visão geral forti1 mostra o grupo de recursos, o status e assim por diante.

  2. Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo de que o certificado de segurança não é confiável. Continue assim mesmo.

  3. Insira o nome de usuário administrativo e a senha do FortiGate que você forneceu durante a implantação.

    A captura de tela é da tela de login, que tem um botão Login e caixas de texto para nome de usuário e senha.

  4. Selecione Firmware do sistema>.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A captura de tela para o firmware

  6. Selecione Configuração e atualização de backup e Continuar quando solicitado.

  7. O NVA atualiza seu firmware para a compilação mais recente e reinicializa. O processo leva cerca de cinco minutos. Faça login novamente no console da Web do FortiGate.

  8. Clique em Assistente de VPN>IPSec.

  9. Insira um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  10. Selecione Este site está atrás do NAT.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na primeira etapa, Configuração de VPN. Os seguintes valores são selecionados:

  11. Selecione Avançar.

  12. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  13. Selecione porta1 como a interface de saída.

  14. Selecione Chave pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, eles devem corresponder exatamente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados são realçados.

  15. Selecione Avançar.

  16. Selecione a porta2 para a Interface Local.

  17. Insira o intervalo de sub-rede local:

    • Força1: 172.16.0.0/16
    • Força2: 172.17.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

  18. Insira a(s) sub-rede(s) remota(s) apropriada(s) que representam a rede local, à qual você se conectará por meio do dispositivo VPN local.

    • Força1: 172.16.0.0/16
    • Força2: 172.17.0.0/16

    Use seu intervalo de IP se você estiver usando um intervalo de IP diferente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na terceira etapa, Política & Roteamento, mostrando os valores selecionados e inseridos.

  19. Escolha Criar

  20. Selecione Interfaces de rede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Existem botões para criar, editar e excluir interfaces.

  21. Clique duas vezes em porta2.

  22. Escolha LAN na lista Função e DHCP para o modo Endereçamento.

  23. Selecione OK.

Repita as etapas para o outro NVA.

Abrir todos os seletores da Fase 2

Uma vez que o acima tenha sido concluído para ambos os NVAs:

  1. No console da Web forti2 FortiGate, selecione Monitorar >Monitor IPsec.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Ativar>todos os seletores da fase 2.

    O monitor e o Seletor de Fase 2 são mostrados como ativados.

Testar e validar a conectividade

Agora você deve ser capaz de rotear entre cada VNET através dos NVAs FortiGate. Para validar a conexão, crie uma VM do Azure Stack Hub em cada InsideSubnet da VNET. A criação de uma VM do Azure Stack Hub pode ser feita por meio do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Azure Stack Hub são colocadas na InsideSubnet de cada VNET.

  • Você não aplica nenhum NSG à VM na criação (ou seja, remova o NSG que é adicionado por padrão se estiver criando a VM a partir do portal.

  • Certifique-se de que as regras de firewall da VM permitam a comunicação que você usará para testar a conectividade. Para fins de teste, recomenda-se desativar o firewall completamente dentro do sistema operacional, se possível.

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com o Fortinet FortiGate