Conectividade de VNet para VNet entre instâncias do Azure Stack Hub com o Fortinet FortiGate NVA
Neste artigo, você conectará uma VNET em um Azure Stack Hub a uma VNET em outro Azure Stack Hub usando o Fortinet FortiGate NVA, um dispositivo virtual de rede.
Este artigo aborda a limitação atual do Azure Stack Hub, que permite que os locatários configurem apenas uma conexão VPN em dois ambientes. Os usuários aprenderão a configurar um gateway personalizado em uma máquina virtual Linux que permitirá várias conexões VPN em diferentes Azure Stack Hub. O procedimento neste artigo implanta duas VNETs com uma NVA FortiGate em cada VNET: uma implantação por ambiente do Azure Stack Hub. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. As etapas neste artigo devem ser repetidas para cada VNET em cada Azure Stack Hub.
Pré-requisitos
Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para essa solução.
Observação
Essas instruções não funcionarão com um ASDK (Kit de Desenvolvimento do Azure Stack) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações do ASDK.
Uma solução de NVA (dispositivo virtual) de rede baixada e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única de firewall de última geração Fortinet FortiGate.
Pelo menos dois arquivos de licença do FortiGate disponíveis para ativar a NVA do FortiGate. Informações sobre como obter essas licenças, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.
Este procedimento usa a implantação de FortiGate-VM única. Você pode encontrar etapas sobre como conectar a NVA do FortiGate à VNET do Azure Stack Hub em sua rede local.
Para obter mais informações sobre como implantar a solução FortiGate em uma configuração de HA (ativo-passivo), consulte o artigo HA da Biblioteca de Documentos Fortinet para FortiGate-VM no Azure.
Parâmetros de implantação
A tabela a seguir resume os parâmetros usados nessas implantações para referência:
Implantação um: Forti1
Nome da instância do FortiGate | Forti1 |
---|---|
Licença/versão BYOL | 6.0.3 |
Nome de usuário administrativo do FortiGate | fortiadmin |
Nome do Grupo de Recursos | forti1-rg1 |
Nome da rede virtual | forti1vnet1 |
Espaço de Endereço da VNET | 172.16.0.0/16* |
Nome da sub-rede da VNET pública | forti1-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.16.0.0/24* |
Dentro do nome da sub-rede da VNET | forti1-InsideSubnet |
Dentro do prefixo de sub-rede da VNET | 172.16.1.0/24* |
Tamanho da VM da NVA do FortiGate | F2s_v2 Padrão |
Nome do endereço IP público | forti1-publicip1 |
Tipo de endereço IP público | Estático |
Implantação dois: Forti2
Nome da instância do FortiGate | Forti2 |
---|---|
Licença/versão BYOL | 6.0.3 |
Nome de usuário administrativo do FortiGate | fortiadmin |
Nome do Grupo de Recursos | forti2-rg1 |
Nome da rede virtual | forti2vnet1 |
Espaço de Endereço da VNET | 172.17.0.0/16* |
Nome da sub-rede da VNET pública | forti2-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.17.0.0/24* |
Dentro do nome da sub-rede da VNET | Forti2-InsideSubnet |
Dentro do prefixo de sub-rede da VNET | 172.17.1.0/24* |
Tamanho da VM da NVA do FortiGate | F2s_v2 Padrão |
Nome do endereço IP público | Forti2-publicip1 |
Tipo de endereço IP público | Estático |
Observação
* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se o acima se sobrepor de alguma forma com o ambiente de rede local, incluindo o pool vip de qualquer um dos Azure Stack Hub. Verifique também se os intervalos de endereços não se sobrepõem uns aos outros.**
Implantar os itens do Marketplace NGFW do FortiGate
Repita essas etapas para ambos os ambientes do Azure Stack Hub.
Abra o portal do usuário do Azure Stack Hub. Certifique-se de usar credenciais que tenham pelo menos direitos de Colaborador para uma assinatura.
Selecione Criar um recurso e pesquise por
FortiGate
.Selecione o FortiGate NGFW e selecione Criar.
Conclua noções básicas usando os parâmetros da tabela Parâmetros de implantação .
Seu formulário deve conter as seguintes informações:
Selecione OK.
Forneça a rede virtual, as sub-redes e os detalhes de tamanho da VM dos parâmetros de Implantação.
Se você quiser usar diferentes nomes e intervalos, tome cuidado para não usar parâmetros que entrarão em conflito com os outros recursos de VNET e FortiGate no outro ambiente do Azure Stack Hub. Isso é especialmente verdadeiro ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Verifique se eles não se sobrepõem aos intervalos de IP para a outra VNET que você criar.
Selecione OK.
Configure o IP público que será usado para a NVA do FortiGate:
Selecione OK e, em seguida, Selecione OK.
Selecione Criar.
A implantação levará cerca de 10 minutos. Agora você pode repetir as etapas para criar a outra implantação de NVA e VNET do FortiGate no outro ambiente do Azure Stack Hub.
Configurar UDRs (rotas) para cada VNET
Execute estas etapas para ambas as implantações, forti1-rg1 e forti2-rg1.
Navegue até o Grupo de Recursos forti1-rg1 no portal do Azure Stack Hub.
Selecione o recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.
Selecione Rotas, em Configurações.
Exclua a rota para a Internet .
Selecione Sim.
Selecione Adicionar.
Nomeie a Rota
to-forti1
outo-forti2
. Use o intervalo de IP se estiver usando um intervalo de IP diferente.Digite:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Use o intervalo de IP se estiver usando um intervalo de IP diferente.
- forti1:
Selecione Dispositivo virtual para o tipo Próximo salto.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Use o intervalo de IP se estiver usando um intervalo de IP diferente.
- forti1:
Clique em Salvar.
Repita as etapas para cada rota InsideSubnet para cada grupo de recursos.
Ativar os NVAs do FortiGate e configurar uma conexão VPN IPSec em cada NVA
Você precisará de um arquivo de licença válido do Fortinet para ativar cada NVA do FortiGate. As NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar a NVA, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.
Dois arquivos de licença precisarão ser adquiridos – um para cada NVA.
Criar uma VPN IPSec entre os dois NVAs
Depois que os NVAs tiverem sido ativados, siga estas etapas para criar uma VPN IPSec entre os dois NVAs.
Seguindo as etapas abaixo para a NVA forti1 e a NVA forti2:
Obtenha o endereço IP público atribuído navegando até a página Visão geral da VM fortiX:
Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo de que o certificado de segurança não é confiável. Continue de qualquer maneira.
Insira o nome de usuário administrativo e a senha do FortiGate fornecidos durante a implantação.
SelecioneFirmware dosistema>.
Selecione a caixa mostrando o firmware mais recente, por exemplo,
FortiOS v6.2.0 build0866
.Selecione Configuração de backup e atualização e Continuar quando solicitado.
A NVA atualiza seu firmware para o build e as reinicializações mais recentes. O processo leva cerca de cinco minutos. Faça logon novamente no console Web do FortiGate.
Clique emAssistente IPSec de VPN>.
Insira um nome para a VPN, por exemplo,
conn1
no Assistente de Criação de VPN.Selecione Este site está por trás da NAT.
Selecione Avançar.
Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.
Selecione port1 como a Interface de Saída.
Selecione Chave Pré-compartilhada e insira (e registre) uma chave pré-compartilhada.
Observação
Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, ela deve corresponder exatamente.
Selecione Avançar.
Selecione a porta2 para a Interface Local.
Insira o intervalo de sub-rede local:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Use o intervalo de IP se estiver usando um intervalo de IP diferente.
Insira as sub-redes remotas apropriadas que representam a rede local à qual você se conectará por meio do dispositivo VPN local.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Use o intervalo de IP se estiver usando um intervalo de IP diferente.
Escolha Criar
SelecioneInterfaces deRede>.
Clique duas vezes na porta2.
Escolha LAN na lista Função e DHCP para o modo endereçamento.
Selecione OK.
Repita as etapas para a outra NVA.
Abrir todos os seletores da fase 2
Depois que o acima tiver sido concluído para ambos os NVAs:
No console Web forti2 FortiGate, selecione Monitorar>o IPsec Monitor.
Realce
conn1
e selecione os Seletores Da>Fase 2.
Testar e validar a conectividade
Agora você deve ser capaz de rotear entre cada VNET por meio dos NVAs do FortiGate. Para validar a conexão, crie uma VM do Azure Stack Hub no InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita por meio do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:
As VMs do Azure Stack Hub são colocadas no InsideSubnet de cada VNET.
Você não aplica nenhum NSG à VM após a criação (ou seja, remova o NSG que é adicionado por padrão se criar a VM do portal.
Verifique se as regras de firewall da VM permitem a comunicação que você usará para testar a conectividade. Para fins de teste, é recomendável desabilitar o firewall completamente dentro do sistema operacional, se possível.
Próximas etapas
Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de