Proxy transparente para o Azure Stack Hub

  • Artigo

Um proxy transparente (também conhecido como interceção, inline ou proxy forçado) interceta a comunicação normal na camada de rede sem que seja necessária uma configuração especial do cliente. Os clientes não precisam de estar cientes da existência do proxy.

Se o datacenter exigir todo o tráfego para utilizar um proxy, configure um proxy transparente para processar todo o tráfego de acordo com a política ao separar o tráfego entre as zonas da sua rede.

Tipos de tráfego

O tráfego de saída do Azure Stack Hub é categorizado como tráfego de inquilino ou de infraestrutura.

O tráfego de inquilinos é gerado por inquilinos através de máquinas virtuais, balanceadores de carga, gateways de VPN, serviços de aplicações, etc.

O tráfego de infraestrutura é gerado a partir do primeiro /27 intervalo do conjunto de IP virtual público atribuído a serviços de infraestrutura, tais como identidade, patch e atualização, métricas de utilização, sindicalização do Marketplace, registo, coleção de registos, Windows Defender, etc. O tráfego destes serviços é encaminhado para pontos finais do Azure. O Azure não aceita tráfego modificado por um proxy ou tráfego intercetado TLS/SSL. Esta razão é a razão pela qual o Azure Stack Hub não suporta uma configuração de proxy nativo.

Ao configurar um proxy transparente, pode optar por enviar todo o tráfego de saída ou apenas o tráfego de infraestrutura através do proxy.

Integração de parceiros

A Microsoft estabeleceu uma parceria com os principais fornecedores de proxy no setor para validar os cenários de casos de utilização do Azure Stack Hub com uma configuração de proxy transparente. O diagrama seguinte é um exemplo de configuração de rede do Azure Stack Hub com Proxies HA. Os dispositivos proxy externos têm de ser colocados a norte dos dispositivos de limite.

Diagrama de rede com proxy antes de dispositivos de limite

Além disso, os dispositivos de limite têm de ser configurados para encaminhar o tráfego do Azure Stack Hub de uma das seguintes formas:

  • Encaminhar todo o tráfego de saída do Azure Stack Hub para os dispositivos proxy
  • Encaminhe todo o tráfego de saída do primeiro /27 intervalo do conjunto de IP virtual do Azure Stack Hub para os dispositivos proxy através do encaminhamento baseado em políticas.

Para obter uma configuração de limite de exemplo, veja a secção Configuração de limites de exemplo neste artigo.

Reveja os seguintes documentos para obter configurações de proxy transparente validadas com o Azure Stack Hub:

Em cenários em que o tráfego de saída do Azure Stack Hub é necessário para fluir através de um proxy explícito, os dispositivos Sophos e Checkpoint fornecem uma funcionalidade de modo duplo que permite intervalos específicos de tráfego através do modo transparente, enquanto outros intervalos podem ser configurados para passar por um modo explícito. Com esta funcionalidade, estes dispositivos proxy podem ser configurados de modo a que apenas o tráfego de infraestrutura seja enviado através do proxy transparente, enquanto todo o tráfego de inquilino é enviado através do modo explícito.

Importante

A intercepção de tráfego SSL não é suportada e pode originar falhas de serviço ao aceder a pontos finais. O tempo limite máximo suportado para comunicar com pontos finais necessários para a identidade é 60s com 3 tentativas de repetição. Para obter mais informações, veja Integração da firewall do Azure Stack Hub.

Configuração do limite de exemplo

A solução baseia-se no encaminhamento baseado em políticas (PBR), que utiliza um conjunto definido pelo administrador de critérios implementados por uma lista de controlo de acesso (ACL). A ACL categoriza o tráfego que é direcionado para o IP de próximo salto dos dispositivos proxy implementados num mapa de rotas, em vez do encaminhamento normal que se baseia apenas no endereço IP de destino. O tráfego de rede de infraestrutura específico para as portas 80 e 443 é encaminhado dos dispositivos de limite para a implementação de proxy transparente. O proxy transparente filtra o URL e nenhum tráfego permitido é removido.

O exemplo de configuração seguinte destina-se a um Chassis Cisco Nexus 9508.

Neste cenário, as redes de infraestrutura de origem que necessitam de acesso à Internet são as seguintes:

  • VIP Público - Primeira /27
  • Rede de infraestrutura - Última /27
  • Rede BMC - Última /27

As seguintes sub-redes recebem o tratamento de encaminhamento baseado em políticas (PBR) neste cenário:

Rede Intervalo de IP Sub-rede a receber tratamento PBR
Conjunto de IP Virtual Público Primeiro /27 de 172.21.107.0/27 172.21.107.0/27 = 172.21.107.1 a 172.21.107.30
Rede de infraestrutura Último /27 de 172.21.7.0/24 172.21.7.224/27 = 172.21.7.225 a 172.21.7.254
Rede BMC Último /27 de 10.60.32.128/26 10.60.32.160/27 = 10.60.32.161 a 10.60.32.190

Configurar o dispositivo de limite

Ative o PBR ao introduzir o feature pbr comando .

****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch 
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack 
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!

<Create VLANs that the proxy devices will use for inside and outside connectivity>

!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
  description DownLink to TOR-1:TeGig1/0/47
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.193/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!
interface Ethernet2/1
  description DownLink to TOR-2:TeGig1/0/48
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.205/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!

<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>

!
interface Ethernet1/41
  description management interface for Firewall-1
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet1/42
  description Proxy interface for Firewall-1
  switchport
  switchport access vlan 802
  no shutdown
!
interface Ethernet2/41
  description management interface for Firewall-2
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet2/42
  description Proxy interface for Firewall-2
  switchport
  switchport access vlan 802
  no shutdown
!

<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2> 

!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
neighbor 192.168.32.206
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
!
!

Crie a nova ACL que será utilizada para identificar o tráfego que irá receber tratamento PBR. Esse tráfego é tráfego Web (porta HTTP 80 e porta HTTPS 443) dos anfitriões/sub-redes no rack de teste que obtém o serviço proxy conforme detalhado neste exemplo. Por exemplo, o nome da ACL é PERMITTED_TO_PROXY_ENV1.

ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>

O núcleo da funcionalidade PBR é implementado pelo TRAFFIC_TO_PROXY_ENV1 route-map. A opção pbr-statistics é adicionada para permitir a visualização das estatísticas de correspondência de políticas para verificar os pacotes de números que fazem e não obtêm o reencaminhamento PBR. A sequência de mapa de rotas 10 permite o tratamento PBR para cumprir critérios de PERMITTED_TO_PROXY_ENV1 da ACL de reunião de tráfego. Esse tráfego é reencaminhado para os endereços IP de próximo salto de 10.60.3.34 e 10.60.3.35, que são os VIPs para os dispositivos proxy primário/secundário na nossa configuração de exemplo

!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35

As ACLs são utilizadas como critérios de correspondência para o TRAFFIC_TO_PROXY_ENV1 route-map. Quando o tráfego corresponde ao PERMITTED_TO_PROXY_ENV1 ACL, o PBR substitui a tabela de encaminhamento normal e, em vez disso, encaminha o tráfego para os próximos saltos ip listados.

O TRAFFIC_TO_PROXY_ENV1 política PBR é aplicada ao tráfego que entra no dispositivo de limite de anfitriões CL04 e VIPs públicos e do HLH e DVM no rack de teste.

Passos seguintes

Saiba mais sobre a integração da firewall, veja Integração da firewall do Azure Stack Hub.