Azure Stack Hub için saydam ara sunucu
Saydam ara sunucu (kesme, satır içi veya zorlamalı ara sunucu olarak da bilinir) ağ katmanındaki normal iletişimi özel istemci yapılandırmasına gerek kalmadan durdurur. İstemcilerin proxy'nin varlığından haberdar olmaları gerekmez.
Veri merkeziniz tüm trafiğin ara sunucu kullanmasını gerektiriyorsa, ağınızdaki bölgeler arasında trafiği ayırarak tüm trafiği ilkeye göre işlemek için saydam bir ara sunucu yapılandırabilirsiniz.
Trafik türleri
Azure Stack Hub'dan giden trafik, kiracı trafiği veya altyapı trafiği olarak kategorilere ayrılır.
Kiracı trafiği kiracılar tarafından sanal makineler, yük dengeleyiciler, VPN ağ geçitleri, uygulama hizmetleri vb. yoluyla oluşturulur.
Altyapı trafiği, kimlik, düzeltme eki ve güncelleştirme, kullanım ölçümleri, Market dağıtımı, kayıt, günlük toplama, Windows Defender gibi altyapı hizmetlerine atanan genel sanal IP havuzunun ilk /27 aralığından oluşturulur. Bu hizmetlerden gelen trafik Azure uç noktalarına yönlendirilir. Azure, ara sunucu veya TLS/SSL ile kesişen trafik tarafından değiştirilen trafiği kabul etmez. Bu nedenle Azure Stack Hub yerel ara sunucu yapılandırmasını desteklemez.
Saydam bir ara sunucuyu yapılandırırken, tüm giden trafiği veya yalnızca altyapı trafiğini ara sunucu üzerinden göndermeyi seçebilirsiniz.
İş ortağı tümleştirmesi
Microsoft, Azure Stack Hub'ın kullanım örneği senaryolarını saydam bir ara sunucu yapılandırmasıyla doğrulamak için sektörün önde gelen ara sunucu satıcılarıyla işbirliği yaptı. Aşağıdaki diyagram, HA Proxy'leri ile örnek bir Azure Stack Hub ağ yapılandırmasıdır. Dış ara sunucu cihazları sınır cihazlarının kuzeye yerleştirilmelidir.
Ayrıca, sınır cihazlarının Azure Stack Hub'dan gelen trafiği aşağıdaki yollardan biriyle yönlendirecek şekilde yapılandırılması gerekir:
- Azure Stack Hub'dan proxy cihazlara giden tüm trafiği yönlendirme
- İlke tabanlı yönlendirme yoluyla Azure Stack Hub sanal IP havuzunun ilk
/27aralığındaki tüm giden trafiği ara sunucu cihazlarına yönlendirin.
Örnek kenarlık yapılandırması için bu makalenin Örnek kenarlık yapılandırması bölümüne bakın.
Azure Stack Hub ile doğrulanmış saydam ara sunucu yapılandırmaları için aşağıdaki belgeleri gözden geçirin:
- Check Point Security Gateway saydam ara sunucusu yapılandırma
- Sophos XG güvenlik duvarı saydam ara sunucusunu yapılandırma
- Citrix ADC, Citrix Secure Web Gateway'i Azure Stack Hub ile tümleştirme
- Cisco Secure Web Appliance'ı (WSA) Azure Stack Hub ile tümleştirme
Azure Stack Hub'dan giden trafiğin açık bir ara sunucu üzerinden akması gereken senaryolarda, Sophos ve Checkpoint cihazları saydam modda belirli trafik aralıklarına izin veren çift modlu bir özellik sağlarken, diğer aralıklar açık moddan geçecek şekilde yapılandırılabilir. Bu özellik kullanılarak, bu ara sunucu cihazları saydam ara sunucu üzerinden yalnızca altyapı trafiği, tüm kiracı trafiği ise açık mod üzerinden gönderilecek şekilde yapılandırılabilir.
Önemli
SSL trafiği kesme desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir. Kimlik için gereken uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı, 3 yeniden deneme denemesi ile 60'tır. Daha fazla bilgi için bkz. Azure Stack Hub güvenlik duvarı tümleştirmesi.
Örnek kenarlık yapılandırması
Çözüm, erişim denetim listesi (ACL) tarafından uygulanan yönetici tanımlı ölçüt kümesini kullanan ilke tabanlı yönlendirmeyi (PBR) temel alır. ACL, yalnızca hedef IP adresini temel alan normal yönlendirme yerine rota eşlemesinde uygulanan ara sunucuların sonraki atlama IP'sine yönlendirilen trafiği kategorilere ayırır. 80 ve 443 bağlantı noktaları için belirli altyapı ağ trafiği sınır cihazlarından saydam ara sunucu dağıtımına yönlendirilir. Saydam ara sunucu URL filtrelemesi yapar ve izin verilen trafik bırakılmaz.
Aşağıdaki yapılandırma örneği Cisco Nexus 9508 Kasa içindir.
Bu senaryoda, İnternet erişimi gerektiren kaynak altyapı ağları aşağıdaki gibidir:
- Genel VIP - İlk /27
- Altyapı ağı - Son /27
- BMC Ağı - Son /27
Aşağıdaki alt ağlar bu senaryoda ilke tabanlı yönlendirme (PBR) işlemi alır:
| Ağ | IP aralığı | PbR işlemi alan alt ağ |
|---|---|---|
| Genel Sanal IP havuzu | İlk /27/ 172.21.107.0/27 | 172.21.107.0/27 = 172.21.107.1 - 172.21.107.30 |
| Altyapı ağı | Son /27/ 172.21.7.0/24 | 172.21.7.224/27 = 172.21.7.225 - 172.21.7.254 |
| BMC ağı | Son /27/ 10.60.32.128/26 | 10.60.32.160/27 = 10.60.32.161 - 10.60.32.190 |
Kenarlık cihazını yapılandırma
komutunu girerek PBR'yi feature pbr etkinleştirin.
****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!
<Create VLANs that the proxy devices will use for inside and outside connectivity>
!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
match ip address PERMITTED_TO_PROXY_ENV1
set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
description DownLink to TOR-1:TeGig1/0/47
mtu 9100
logging event port link-status
vrf member VRF08
ip address 192.168.32.193/30
ip policy route-map TRAFFIC_TO_PROXY_ENV1
no shutdown
!
interface Ethernet2/1
description DownLink to TOR-2:TeGig1/0/48
mtu 9100
logging event port link-status
vrf member VRF08
ip address 192.168.32.205/30
ip policy route-map TRAFFIC_TO_PROXY_ENV1
no shutdown
!
<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>
!
interface Ethernet1/41
description management interface for Firewall-1
switchport
switchport access vlan 801
no shutdown
!
interface Ethernet1/42
description Proxy interface for Firewall-1
switchport
switchport access vlan 802
no shutdown
!
interface Ethernet2/41
description management interface for Firewall-2
switchport
switchport access vlan 801
no shutdown
!
interface Ethernet2/42
description Proxy interface for Firewall-2
switchport
switchport access vlan 802
no shutdown
!
<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2>
!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
remote-as 65001
description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
address-family ipv4 unicast
maximum-prefix 12000 warning-only
neighbor 192.168.32.206
remote-as 65001
description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
address-family ipv4 unicast
maximum-prefix 12000 warning-only
!
!
PBR işlemi alacak trafiği tanımlamak için kullanılacak yeni ACL'yi oluşturun. Bu trafik, bu örnekte ayrıntılı olarak açıklandığı gibi ara sunucu hizmetini alan test rafı içindeki konaklardan/alt ağlardan gelen web trafiğidir (HTTP bağlantı noktası 80 ve HTTPS bağlantı noktası 443). Örneğin, ACL adı PERMITTED_TO_PROXY_ENV1.
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>
PBR işlevinin temeli , TRAFFIC_TO_PROXY_ENV1 yol haritası tarafından uygulanır.
pbr-statistics seçeneği, PBR iletmesini alan ve almayan sayı paketlerini doğrulamak için ilke eşleştirme istatistiklerini görüntülemeyi etkinleştirmek için eklenir. Rota eşleme dizisi 10, ACL PERMITTED_TO_PROXY_ENV1 ölçütlerini karşılayan trafiğe PBR işlemine izin verir. Bu trafik, örnek yapılandırmamızdaki birincil/ikincil ara sunucu cihazlarının VIP'leri 10.60.3.34 olan ve 10.60.3.35'nin sonraki atlama IP adreslerine iletilir
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
match ip address PERMITTED_TO_PROXY_ENV1
set ip next-hop 10.60.3.34 10.60.3.35
ACL'ler , TRAFFIC_TO_PROXY_ENV1 yol eşlemesi için eşleştirme ölçütü olarak kullanılır. Trafik PERMITTED_TO_PROXY_ENV1 ACL ile eşleştiğinde, PBR normal yönlendirme tablosunu geçersiz kılar ve bunun yerine trafiği listelenen IP sonraki atlamalarına iletir.
TRAFFIC_TO_PROXY_ENV1 PBR ilkesi, CL04 konaklarından ve genel VIP'lerden ve test rafında HLH ve DVM'den sınır cihazına giren trafiğe uygulanır.
Sonraki adımlar
Güvenlik duvarı tümleştirmesi hakkında daha fazla bilgi edinmek için bkz. Azure Stack Hub güvenlik duvarı tümleştirmesi.