Conectividade VNet a VNet entre instâncias do Azure Stack Hub com Fortinet FortiGate NVA
Neste artigo, irá ligar uma VNET num Azure Stack Hub a uma VNET noutro Azure Stack Hub com a NVA Fortinet FortiGate, uma aplicação virtual de rede.
Este artigo aborda a limitação atual do Azure Stack Hub, que permite aos inquilinos configurar apenas uma ligação VPN em dois ambientes. Os utilizadores aprenderão a configurar um gateway personalizado numa máquina virtual do Linux que permitirá várias ligações VPN em diferentes Azure Stack Hub. O procedimento neste artigo implementa duas VNETs com uma NVA FortiGate em cada VNET: uma implementação por ambiente do Azure Stack Hub. Também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Os passos neste artigo devem ser repetidos para cada VNET em cada Azure Stack Hub.
Pré-requisitos
Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.
Nota
Estas instruções não funcionarão com um Development Kit do Azure Stack (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, veja Requisitos e considerações do ASDK.
Uma solução de aplicação virtual de rede (NVA) transferida e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução de VM Única de Firewall de Próxima Geração fortinet FortiGate.
Pelo menos dois ficheiros de licença do FortiGate disponíveis para ativar a NVA fortiGate. Informações sobre como obter estas licenças, consulte o artigo Da Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.
Este procedimento utiliza a implementação FortiGate-VM Única. Pode encontrar passos sobre como ligar a NVA fortiGate à VNET do Azure Stack Hub na sua rede no local.
Para obter mais informações sobre como implementar a solução FortiGate numa configuração active-passive (HA), veja o artigo da Biblioteca de Documentos da Fortinet HA para FortiGate-VM no Azure.
Parâmetros de implementação
A tabela seguinte resume os parâmetros que são utilizados nestas implementações para referência:
Implementação um: Forti1
Nome da Instância fortiGate | Forti1 |
---|---|
Licença/Versão BYOL | 6.0.3 |
FortiGate nome de utilizador administrativo | fortiadmin |
Nome do Grupo de recursos | forti1-rg1 |
Nome da rede virtual | forti1vnet1 |
Espaço de Endereços da VNET | 172.16.0.0/16* |
Nome da sub-rede da VNET pública | forti1-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.16.0.0/24* |
Nome da sub-rede da VNET interior | forti1-InsideSubnet |
Prefixo de sub-rede dentro da VNET | 172.16.1.0/24* |
Tamanho da VM do FortiGate NVA | F2s_v2 Padrão |
Nome do endereço IP público | forti1-publicip1 |
Tipo de endereço IP público | Estático |
Implementação dois: Forti2
Nome da Instância fortiGate | Forti2 |
---|---|
Licença/Versão BYOL | 6.0.3 |
FortiGate nome de utilizador administrativo | fortiadmin |
Nome do Grupo de recursos | forti2-rg1 |
Nome da rede virtual | forti2vnet1 |
Espaço de Endereços da VNET | 172.17.0.0/16* |
Nome da sub-rede da VNET pública | forti2-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.17.0.0/24* |
Nome da sub-rede da VNET interior | Forti2-InsideSubnet |
Prefixo de sub-rede dentro da VNET | 172.17.1.0/24* |
Tamanho da VM do FortiGate NVA | F2s_v2 Padrão |
Nome do endereço IP público | Forti2-publicip1 |
Tipo de endereço IP público | Estático |
Nota
* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma ao ambiente de rede no local, incluindo o Conjunto VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.**
Implementar os Itens do Marketplace do NGFW do FortiGate
Repita estes passos para ambos os ambientes do Azure Stack Hub.
Abra o portal de utilizador do Azure Stack Hub. Certifique-se de que utiliza credenciais que têm, pelo menos, direitos de Contribuidor para uma subscrição.
Selecione Criar um recurso e procure
FortiGate
.Selecione FortiGate NGFW e selecione Criar.
Conclua as Noções Básicas com os parâmetros da tabela Parâmetros de implementação .
O formulário deve conter as seguintes informações:
Selecione OK.
Indique os detalhes da rede virtual, das sub-redes e do tamanho da VM dos Parâmetros de implementação.
Se quiser utilizar diferentes nomes e intervalos, tenha o cuidado de não utilizar parâmetros que entrem em conflito com os outros recursos da VNET e fortiGate no outro ambiente do Azure Stack Hub. Isto é especialmente verdade ao definir o intervalo de IP da VNET e os intervalos de sub-rede na VNET. Verifique se não se sobrepõem aos intervalos de IP da outra VNET que criar.
Selecione OK.
Configure o IP público que será utilizado para a NVA FortiGate:
Selecione OK e, em seguida, Selecione OK.
Selecione Criar.
A implementação demorará cerca de 10 minutos. Agora, pode repetir os passos para criar a outra implementação de NVA e VNET FortiGate no outro ambiente do Azure Stack Hub.
Configurar rotas (UDRs) para cada VNET
Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.
Navegue para o Grupo de Recursos forti1-rg1 no portal do Azure Stack Hub.
Selecione no recurso "forti1-forti1-InsideSubnet-routes-xxxx".
Selecione Rotas em Definições.
Elimine a Rota para a Internet .
Selecione Yes (Sim).
Selecione Adicionar.
Atribua o nome Route
to-forti1
outo-forti2
. Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.Introduza:
- forti1:
172.17.0.0/16
- forti2:
172.16.0.0/16
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
- forti1:
Selecione Aplicação virtual para o Tipo de salto seguinte.
- forti1:
172.16.1.4
- forti2:
172.17.0.4
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
- forti1:
Selecione Guardar.
Repita os passos para cada rota InsideSubnet para cada grupo de recursos.
Ativar as NVAs fortiGate e Configurar uma ligação VPN IPSec em cada NVA
Precisará de um ficheiro de licença válido da Fortinet para ativar cada NVA FortiGate. As NVAs só funcionarão quando tiver ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar a NVA, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.
Serão necessários dois ficheiros de licença: um para cada NVA.
Criar uma VPN IPSec entre as duas NVAs
Assim que as NVAs tiverem sido ativadas, siga estes passos para criar uma VPN IPSec entre as duas NVAs.
Seguindo os passos abaixo para a NVA forti1 e forti2 NVA:
Obtenha o endereço IP Público atribuído ao navegar para a página Descrição Geral da VM fortiX:
Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereço. O browser pode avisá-lo de que o certificado de segurança não é fidedigno. Continue mesmo assim.
Introduza o nome de utilizador administrativo FortiGate e a palavra-passe que forneceu durante a implementação.
Selecione Firmware do Sistema>.
Selecione a caixa que mostra o firmware mais recente, por exemplo,
FortiOS v6.2.0 build0866
.Selecione Configuração de cópia de segurança e atualização e Continue quando lhe for pedido.
A NVA atualiza o firmware para a compilação e reinícios mais recentes. O processo demora cerca de cinco minutos. Volte a iniciar sessão na consola Web FortiGate.
Clique emAssistente ipSecde VPN>.
Introduza um nome para a VPN, por exemplo,
conn1
no Assistente de Criação de VPN.Selecione Este site está protegido por NAT.
Selecione Seguinte.
Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.
Selecione a porta1 como a Interface de Envio.
Selecione Chave Pré-partilhada e introduza (e registe) uma chave pré-partilhada.
Nota
Precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, têm de corresponder exatamente.
Selecione Seguinte.
Selecione a porta2 para a Interface Local.
Introduza o intervalo de sub-rede local:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
Introduza as Sub-redes Remotas adequadas que representam a rede no local à qual se ligará através do dispositivo VPN no local.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
Selecione Criar
SelecioneInterfacesde Rede>.
Faça duplo clique na porta2.
Selecione LAN na Lista de funções e DHCP para o modo de Endereçamento.
Selecione OK.
Repita os passos para a outra NVA.
Apresentar Todos os Seletores da Fase 2
Depois de concluída a versão acima para ambas as NVAs:
Na consola Web forti2 FortiGate, selecione Monitorizar>Monitor IPsec.
Realce
conn1
e selecione Os Seletores de> Todasas Fases 2.
Testar e validar a conectividade
Agora, deverá conseguir encaminhar entre cada VNET através das NVAs FortiGate. Para validar a ligação, crie uma VM do Azure Stack Hub na InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita através do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:
As VMs do Azure Stack Hub são colocadas na InsideSubnet de cada VNET.
Não aplica NSGs à VM após a criação (ou seja, remova o NSG que é adicionado por predefinição se criar a VM a partir do portal.
Certifique-se de que as regras de firewall da VM permitem a comunicação que vai utilizar para testar a conectividade. Para fins de teste, é recomendado desativar completamente a firewall no SO, se possível.
Passos seguintes
Diferenças e considerações sobre a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários