网络设计概述
物理网络设计
加固型 Azure Stack Hub 解决方案需要一个可复原且具有高可用性的物理基础结构来支持其操作和服务。 从 ToR 到边界交换机的上行限制为 SFP+ 或 SFP28 媒体和 1 GB、10 GB 或 25 GB 的速度。 请咨询原始设备制造商(OEM)硬件供应商,了解可用性。
下图展示了我们推荐的加固型 Azure Stack Hub 设计。
逻辑网络设计
逻辑网络设计表示物理网络基础结构的抽象。 它们用于组织和简化主机、虚拟机 (VM) 和服务的网络分配。 作为逻辑网络创建的一部分,将创建网络站点来定义:
- 虚拟局域网(VLAN)
- IP 子网
- IP 子网/VLAN 对
所有这些都与每个物理位置中的逻辑网络相关联。
下表显示了逻辑网络以及必须规划的关联 IPv4 子网范围:
| 逻辑网络 | 描述 | 大小 |
|---|---|---|
| 公共虚拟 IP (VIP) | 加固型 Azure Stack Hub 使用来自该网络的总共 31 个地址。 八个公共 IP 地址用于一小组加固型 Azure Stack Hub 服务,其余的由租户 VM 使用。 如果打算使用应用服务和 SQL 资源提供程序,则还要额外使用 7 个地址。 其余 15 个 IP 保留给将来的 Azure 服务。 | /26(62 个主机)- /22(1022 主机) 建议使用 /24(254 台主机) |
| 交换机基础结构 | 用于路由的专用交换机管理接口的点到点 IP 地址,以及分配给交换机的环回地址。 | /26 |
| 基础结构 | 用于加固型 Azure Stack Hub 内部组件进行通信。 | /24 |
| 专用 | 用于存储网络、专用 VIP、基础结构容器和其他内部功能。 | /20 |
| 基板管理控制器 (BMC) | 用于与物理主机上的基板管理控制器通信。 | /26 |
网络基础结构
加固型 Azure Stack Hub 的网络基础结构由在交换机上配置的多个逻辑网络组成。 下图显示了这些逻辑网络,以及它们如何与机架顶部(TOR)、基板管理控制器和边界(客户网络)交换机集成。
加固型 Azure Stack Hub 逻辑网络图:
BMC 网络
此网络专门用于将所有基板管理控制器(也称为 BMC 或服务处理器)连接到管理网络。 示例包括:iDRAC、iLO、iBMC 等。 仅一个 BMC 帐户用于与任何 BMC 节点通信。 如果硬件生命周期主机 (HLH) 存在,它将位于此网络,并可提供 OEM 特定的软件,用于硬件维护或监视。
HLH 也托管部署 VM (DVM)。 DVM 在部署加固型 Azure Stack Hub 期间使用,并在部署完成时删除。 DVM 需要在连接的部署方案中访问 Internet,以测试、验证和访问多个组件。 这些组件可以在公司网络内,也可以在公司网络外(例如:NTP、DNS 和 Azure)。 有关连接要求的详细信息,请参阅加固型 Azure Stack 防火墙集成中的 NAT 部分。
专用网络
/20(4096 个主机 IP)网络专用于加固型 Azure Stack Hub 区域。 它不会扩展到加固型 Azure Stack Hub 区域的边界交换机设备之外。 此网络划分为多个子网,例如:
- 存储网络:一个 /25(128 个 IP)网络,用于支持空间直通和服务器消息块 (SMB) 存储流量与 VM 实时迁移的使用。
- 内部虚拟 IP 网络:一个 /25 网络,专用于软件负载均衡器的仅限内部的 VIP。
- 容器网络:专用于运行基础结构服务的容器之间的仅限内部流量的 /23(512 IP)网络
专用网络的大小是 20(4096 个 IP)专用 IP 空间。 此网络专用于加固型 Azure Stack Hub 系统。 它不会路由到加固型 Azure Stack Hub 系统的边界交换机设备之外,并且可以在多个加固型 Azure Stack Hub 系统上重复使用。 这是加固型 Azure Stack Hub 的专用网络,不得与数据中心内的其他网络重叠。 有关专用 IP 空间的指导,建议遵循 RFC 1918。
/20 专用 IP 空间分为多个网络,这使将来的加固型 Azure Stack Hub 系统基础结构能够在容器上运行。 有关详细信息,请参阅 1910 发行说明。 通过这一新的专用 IP 空间,可以不断努力减少部署前所需的可路由 IP 空间。
加固型 Azure Stack Hub 基础结构网络
/24 网络专用于加固型 Azure Stack Hub 内部组件,用于在它们之间进行通信和交换数据。 该子网可以从加固型 Azure Stack Hub 解决方案外部路由到数据中心。 不建议在此子网上使用公共或 Internet 可路由 IP 地址。 此网络广播到边界,但其大多数 IP 受访问控制列表 (ACL) 保护。 允许访问的 IP 在较小范围内,相当于 /27 网络的大小。 IP 托管服务,如特权终结点 (PEP) 和加固型 Azure Stack Hub 备份。
公共 VIP 网络
公共 VIP 网络分配给加固型 Azure Stack Hub 中的网络控制器。 它不是交换机上的逻辑网络。 SLB 针对租户工作负荷使用地址池并分配 /32 网络。 在交换机路由表中,这些 /32 IP 通过边界网关协议(BGP)播发为可用路由。 此网络包含外部可访问的公共地址。 Azure Stack Hub 基础结构会保留此公共 VIP 网络中的前 31 个地址,剩余的地址由租户 VM 使用。 此子网中的网络大小范围为最小 /26(64 台主机)到最大 /22(1022 台主机)。 我们建议规划 /24 网络。
交换机基础结构网络
/26 网络是包含可路由的点到点 IP /30(两个主机 IP)子网和环回的子网。 这些子网是专用的 /32 子网,用于带内交换机管理和 BGP 路由器 ID。 此 IP 地址范围必须可从加固型 Azure Stack Hub 解决方案外部路由到数据中心。 IP 地址可以是专用地址或公共地址。
交换机管理网络
/29(六个主机 IP)网络专用于连接交换机的管理端口。 此网络允许对部署、管理和故障排除进行带外访问。 它是从上述交换机基础结构网络计算而来的。
DNS 设计概述
若要从加固型 Azure Stack Hub 外部访问加固型 Azure Stack Hub 终结点(portal、adminportal、management、adminmanageme),必须将加固型 Azure Stack Hub DNS 服务与托管要在加固型 Azure Stack Hub 中使用的 DNS 区域的 DNS 服务器集成。
加固型 Azure Stack Hub DNS 命名空间
部署加固型 Azure Stack Hub 时,必须提供与 DNS 相关的一些重要信息。
| 字段 | 描述 | 示例 |
|---|---|---|
| 区域 | 加固型 Azure Stack Hub 部署的地理位置。 | 东 |
| 外部域名 | 要用于加固型 Azure Stack Hub 部署的区域的名称。 | cloud.fabrikam.com |
| 内部域名 | 加固型 Azure Stack Hub 中用于基础结构服务的内部区域的名称。 它是目录服务集成的和专用的(无法从加固型 Azure Stack Hub 部署外部访问)。 | azurestack.local |
| DNS 转发器 | 一种 DNS 服务器,用于转发托管在加固型 Azure Stack Hub 外部的 DNS 查询、DNS 区域和记录,不管是在公司 Intranet 上还是公共 Internet 上。 部署后,可以使用 Set-AzSDnsForwarder cmdlet 编辑 DNS 转发器值。 | |
| 命名前缀(可选) | 需要在加固型 Azure Stack Hub 基础结构角色实例计算机名称中使用的命名前缀。 如果不提供此项,则其默认值为“azs”。 | azs |
加固型 Azure Stack Hub 部署和终结点的完全限定域名 (FQDN) 是区域参数和外部域名参数的组合。 使用上表相关示例中的值时,此加固型 Azure Stack Hub 部署的 FQDN 将是:east.cloud.fabrikam.com
同样,此部署的部分终结点的示例将如以下 URL 所示:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
若要使用加固型 Azure Stack Hub 部署的这个示例 DNS 命名空间,需要满足以下条件:
- 区域 fabrikam.com 注册到域注册机构、内部公司 DNS 服务器或两者。 注册取决于名称解析要求。
- 子域 cloud.fabrikam.com 位于区域 fabrikam.com 下。
- 可以从加固型 Azure Stack Hub 部署中中访问托管 fabrikam.com 和 cloud.fabrikam.com 区域的 DNS 服务器。
若要在加固型 Azure Stack Hub 外部解析加固型 Azure Stack Hub 的 DNS 名称和实例,必须集成 DNS 服务器。 包括托管加固型 Azure Stack Hub 外部 DNS 区域的服务器,以及托管你要使用的父区域的 DNS 服务器。
DNS 名称标签
加固型 Azure Stack Hub 支持向公共 IP 地址添加 DNS 名称标签,以允许对公共 IP 地址进行名称解析。 DNS 标签是一种方便用户通过名称访问加固型 Azure Stack Hub 中托管的应用和服务的方法。 DNS 名称标签使用的命名空间与基础结构终结点略有不同。 按照前面的示例命名空间,DNS 名称标签的命名空间将是:*.east.cloudapp.cloud.fabrikam.com。
如果租户在公共 IP 地址资源的 DNS 名称标签字段中指定“Myapp”,则会在加固型 Azure Stack Hub 外部 DNS 服务器上的“east.cloudapp.cloud.fabrikam.com”区域中为“myapp”创建一条 A 记录。 生成的完全限定域名为: myapp.east.cloudapp.cloud.fabrikam.com。
如果要利用此功能并使用此命名空间,则必须集成 DNS 服务器。 包括托管加固型 Azure Stack Hub 外部 DNS 区域的服务器,以及托管要使用的父区域的 DNS 服务器。 此命名空间不同于用于加固型 Azure Stack Hub 服务终结点的命名空间,因此必须创建一个额外的委派或条件转发规则。
有关 DNS 名称标签的工作原理的详细信息,请参阅在加固型 Azure Stack Hub 中“使用 DNS”。
解析和委托
有两种类型的 DNS 服务器:
- 权威 DNS 服务器托管 DNS 区域。 它只应答这些区域中的 DNS 记录查询。
- 递归 DNS 服务器不托管 DNS 区域。 它调用权威 DNS 服务器来收集所需的数据,以应答所有 DNS 查询。
加固型 Azure Stack Hub 包括权威 DNS 服务器和递归 DNS 服务器。 递归服务器用于解析所有项的名称,该加固型 Azure Stack Hub 部署的内部专用区域和外部公用 DNS 区域除外。
从加固型 Azure Stack Hub 外部解析 DNS 名称
若要解析加固型 Azure Stack Hub 外部终结点的 DNS 名称(例如“www.bing.com”),需提供可供加固型 Azure Stack Hub 用来转发 DNS 请求的 DNS 服务器(加固型 Azure Stack Hub 对这些请求来说并不权威)。 必须在部署工作表的“DNS 转发器”字段中提供加固型 Azure Stack Hub 将请求转发到的 DNS 服务器。 请在此字段中提供至少两个服务器,目的是容错。 没有这些值,加固型 Azure Stack Hub 部署会失败。 部署后,可以使用 Set-AzSDnsForwarder cmdlet 编辑 DNS 转发器值。
防火墙设计概述
建议使用防火墙设备来帮助保护加固型 Azure Stack Hub。 防火墙有助于防止分布式拒绝服务 (DDOS) 攻击之类的攻击,以及执行入侵检测和内容检查。 但是,它们也可能成为 Azure 存储服务(例如 Blob、表和队列)的吞吐量瓶颈。
如果使用断开连接部署模式,则必须发布 AD FS 终结点。 有关详细信息,请参阅数据中心集成标识一文。
Azure 资源管理器(管理员)、管理员门户和 Key Vault(管理员)终结点不一定需要外部发布。 例如,作为服务提供商,你可以只允许从网络内管理加固型 Azure Stack Hub,不允许从 Internet 进行管理,这样就可以限制攻击面。
对于企业组织,外部网络可能是现有的公司网络。 在这种情况下,必须发布可以从公司网络操作加固型 Azure Stack Hub 的终结点。
网络地址转换
建议使用网络地址转换(NAT)方法来允许部署虚拟机(DVM)在部署期间访问外部资源。 此外,在注册和故障排除期间,还适用于紧急恢复控制台(ERCS)VM 或特权终结点(PEP)。
还可以使用 NAT 作为外部网络上的公共 IP 地址或公共 VIP 的替代方法。 但是,不建议这样做,因为它限制了租户用户体验并增加了复杂性。 一个选项是一对一 NAT,仍然要求池中的每个用户 IP 有一个公共 IP。 另一个选项是多对一 NAT,需要针对用户可能使用的所有端口按用户 VIP 采用 NAT 规则。
下面是对公共 VIP 使用 NAT 的一些缺点:
- 管理防火墙规则时开销,因为用户控制自己的终结点,并在软件定义的网络 (SDN) 堆栈中发布规则。 用户必须联系加固型 Azure Stack Hub 操作员才能发布其 VIP 以及更新端口列表。
- 虽然使用 NAT 会限制用户体验,但它使得操作员能够完全控制发布请求。
- 对于采用 Azure 的混合云方案,请注意 Azure 不支持使用 NAT 设置到终结点的 VPN 隧道。
SSL 拦截
目前建议在所有加固型 Azure Stack Hub 流量上禁用任何 SSL 拦截(例如解密卸载)。 如果将来的更新支持此功能,那时将会提供有关如何为加固型 Azure Stack Hub 启用 SSL 拦截的指南。
边缘部署防火墙方案
在边缘部署中,加固型 Azure Stack Hub 直接部署在边缘路由器或防火墙后面。 在这些方案中,支持防火墙位于边界(方案 1)之上,支持主动-主动和主动-被动防火墙配置。 它还可以充当边界设备(方案 2),其中仅支持主动-主动防火墙配置。 方案 2 依赖于具有 BGP 或静态路由的相同成本多路径(ECMP)进行故障转移。
在部署时,从外部网络为公共 VIP 池指定公共可路由 IP 地址。 出于安全考虑,不建议在边缘方案中的任何其他网络上使用公共可路由 IP。 与在 Azure 之类的公有云中一样,此方案使得用户能够获得完全的自控云体验。
企业 Intranet 或外围网络防火墙方案
在企业 Intranet 或外围部署中,加固型 Azure Stack Hub 部署在多区域防火墙上,或者部署在边缘防火墙与公司内部网络防火墙之间。 然后,其流量将分布在安全的外围网络(或 DMZ)与不安全的区域之间,如下所述:
- 安全区域:使用内部或公司可路由 IP 地址的内部网络。 可以划分安全网络。 它可以通过防火墙 NAT 进行 Internet 出站访问。 它通常可通过内部网络从数据中心内部访问。 除了外部网络的公共 VIP 池之外,所有加固型 Azure Stack Hub 网络都应当位于安全区域中。
- 外围区域。 外围网络通常是部署外部或面向 Internet 的应用(例如 Web 服务器)的地方。 防火墙通常受防火墙监视,以避免 DDoS 和入侵(黑客攻击)等攻击,同时仍允许来自 Internet 的指定入站流量。 只有加固型 Azure Stack Hub 的外部网络公共 VIP 池应当位于 DMZ 区域中。
- 不安全区域。 外部网络,即 Internet。 不建议在不安全区域部署加固型 Azure Stack Hub。
VPN 设计概述
虽然 VPN 是用户概念,但解决方案所有者和操作员需要知道一些重要注意事项。
必须先为虚拟网络创建虚拟网络 (VPN) 网关,然后才能发送 Azure 虚拟网络和本地站点之间的网络流量。
VPN 网关是一种虚拟网络网关,可以通过公共连接发送加密的流量。 可以使用 VPN 网关在加固型 Azure Stack Hub 中的虚拟网络和 Azure 中的虚拟网络之间安全地发送流量。 还可以在虚拟网络和连接到 VPN 设备的另一个网络之间安全地发送流量。
创建虚拟网络网关时,需指定要创建的网关类型。 加固型 Azure Stack Hub 支持一种类型的虚拟网络网关:Vpn 类型。
每个虚拟网络可以使用两个虚拟网络网关,但每种类型的网关只能有一个网关。 根据选择的设置,可与一个 VPN 网关建立多个连接。 此类设置的一个示例是多站点连接配置。
创建和配置用于加固型 Azure Stack Hub 的 VPN 网关之前,请查看加固型 Azure Stack Hub 网络的注意事项。 您将了解加固型 Azure Stack Hub 的配置与 Azure 有何不同。
在 Azure 中,所选 VPN 网关 SKU 的带宽吞吐量必须分配给连接到网关的所有连接。 但在加固型 Azure Stack Hub 中,VPN 网关 SKU 的带宽值会应用于连接到网关的每个连接资源。 例如:
- 在 Azure 中,基本 VPN 网关 SKU 可以容纳大约 100 Mbps 的聚合吞吐量。 如果对该 VPN 网关创建两个连接,而且其中一个连接使用 50 Mbps 的带宽,则 50 Mbps 可供另一个连接使用。
- 在加固型 Azure Stack Hub 中,与基本 VPN 网关 SKU 的每个连接都分配了 100 Mbps 的吞吐量。
VPN 类型
为 VPN 网关配置创建虚拟网络网关时,必须指定 VPN 类型。 选择的 VPN 类型取决于要创建的连接拓扑。 VPN 类型还取决于使用的硬件。 S2S 配置需要 VPN 设备。 有些 VPN 设备仅支持特定的 VPN 类型。
重要
目前,加固型 Azure Stack Hub 仅支持基于路由的 VPN 类型。 如果设备仅支持基于策略的 VPN,则不支持从加固型 Azure Stack Hub 连接到这些设备。 此外,由于自定义 IPSec/IKE 策略配置不受支持,因此加固型 Azure Stack Hub 目前不支持对基于路由的网关使用基于策略的流量选择器。
- PolicyBased:基于策略的 VPN 基于 IPsec 策略通过 IPsec 隧道加密和定向数据包。 将使用本地网络与加固型 Azure Stack Hub 网络之间的各种地址前缀组合来配置策略。 策略或流量选择器通常是 VPN 设备配置中的访问列表。 PolicyBased 在 Azure 中受支持,但在加固型 Azure Stack Hub 中不受支持。
- RouteBased:基于路由的 VPN 使用 IP 转发或路由表中配置的路由。 路由将数据包定向到相应的隧道接口。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased VPN 的策略或流量选择器配置为任意到任意(或使用通配符)。 默认情况下,无法更改它们。 RouteBased VPN 类型的值为 RouteBased。
配置 VPN 网关
VPN 网关连接需依赖于多个具有特定设置的资源。 大多数资源可单独进行配置,但在某些情况下,必须按特定的顺序配置这些资源。
设置
为每个资源选择的设置对于创建成功的连接至关重要。
本文可帮助你了解:
- 网关类型、VPN 类型和连接类型。
- 网关子网、本地网络网关和可能需要考虑的其他资源设置。
连接拓扑图
VPN 网关连接可以使用不同的配置。 确定哪种配置最适合自己的需要。 在以下部分,可以查看有关以下 VPN 网关连接的信息和拓扑图示:
- 可用的部署模型
- 可用的配置工具
- 直接转到某篇文章的链接(如果适用)
以下部分中的图示和说明可帮助你选择符合要求的连接拓扑。 这些图示显示主要基准拓扑,但也可以使用这些图示作为指导来构建更复杂的配置。
站点到站点和多站点(IPsec/IKE VPN 隧道)
站点到站点
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE (IKEv2) VPN 隧道建立的连接。 此类连接需要一个位于本地的 VPN 设备,并需要为此类连接分配公共 IP 地址。 此设备不能位于 NAT 后面。 S2S 连接可用于跨界和混合配置。
多站点
多站点连接是站点到站点连接的变体。 可从虚拟网络网关创建多个 VPN 连接(通常是连接到多个本地站点)。 使用多个连接时,必须使用基于路由的 VPN 类型(使用经典 VNet 时称为动态网关)。 由于每个虚拟网络只能有一个 VPN 网关,因此通过该网关的所有连接都共享可用带宽。
网关 SKU
为加固型 Azure Stack Hub 创建虚拟网络网关时,需要指定要使用的网关 SKU。 支持以下 VPN 网关 SKU:
- 基本
- 标准
- 高性能
选择更高的网关 SKU 会将更多的 CPU 和网络带宽分配给网关。 如此一来,网关可以对虚拟网络支持更高的网络吞吐量。
加固型 Azure Stack Hub 不支持专门搭配 Express Route 使用的超性能网关 SKU。
选择 SKU 时请考虑以下事项:
- 加固型 Azure Stack Hub 不支持基于策略的网关。
- 基本 SKU 不支持 BGP。
- 加固型 Azure Stack Hub 不支持 ExpressRoute-VPN 网关共存配置。
网关可用性
高可用性场景只能在高性能网关连接 SKU 上配置。 与同时通过主动/主动和主动/被动配置提供可用性的 Azure 不同,加固型 Azure Stack Hub 仅支持主动/被动配置。
故障转移
加固型 Azure Stack Hub 中有三个多租户网关基础结构 VM。 其中两个 VM 处于活动模式,第三个 VM 处于冗余模式。 活动 VM 支持在其上创建 VPN 连接,而冗余 VM 只在发生故障转移时才接受 VPN 连接。 如果活动网关 VM 变得不可用,VPN 连接在短时间(几秒)的连接丢失之后就会故障转移到冗余 VM。
按 SKU 列出的估计聚合吞吐量
下表显示了网关 SKU 的网关类型和估计聚合吞吐量:
| VPN 网关吞吐量 (1) | VPN 网关最大 IPsec 隧道数 (2) | |
|---|---|---|
| 基本 SKU(3) | 100 Mbps | 20 |
| 标准 SKU | 100 Mbps | 20 |
| 高性能 SKU | 200 Mbps | 10 |
表格注释
(1) - VPN 吞吐量不是 Internet 上跨界连接的保证吞吐量。 这是可能的最大吞吐量度量。
(2) - 最大隧道数是所有订阅的每个加固型 Azure Stack Hub 部署的总数。
(3) - 基本 SKU 不支持 BGP 路由。
重要
在两个加固型 Azure Stack Hub 部署之间只能创建一个站点到站点 VPN 连接。 这是因为平台中的某个限制仅允许同一 IP 地址具有单个 VPN 连接。 由于加固型 Azure Stack Hub 利用多租户网关,该网关将单一公共 IP 用于加固型 Azure Stack Hub 系统中的所有 VPN 网关,因此两个加固型 Azure Stack Hub 系统之间只能有一个 VPN 连接。
此限制也适用于将多个站点到站点 VPN 连接连接到使用单一 IP 地址的任何 VPN 网关。 加固型 Azure Stack Hub 不允许使用同一 IP 地址创建多个本地网络网关资源。**
IPsec/IKE 参数
在加固型 Azure Stack Hub 中设置 VPN 连接时,必须在两端配置连接。 如果你要配置加固型 Azure Stack Hub 与硬件设备之间的 VPN 连接,该设备可能会要求你提供其他设置。 例如,充当 VPN 网关的交换机或路由器。
加固型 Azure Stack Hub 默认情况下仅支持一个套餐,这与 Azure 不同,后者支持将多个套餐用作发起程序和响应程序。 如需使用适合 VPN 设备的不同 IPSec/IKE 设置,则可通过其他设置来手动配置连接。
IKE 阶段 1(主模式)参数
| 属性 | 值 |
|---|---|
| SDK 版本 | IKEv2(互联网密钥交换协议版本2) |
| Diffie-Hellman 组 | ECP384 |
| 身份验证方法 | 预共享密钥 |
| 加密和哈希算法 | AES256、SHA384 |
| SA 生存期(时间) | 28,800 秒 |
IKE 阶段 2(快速模式)参数
| 属性 | 值 |
|---|---|
| SDK 版本 | IKEv2(互联网密钥交换协议版本2) |
| 加密和哈希算法(加密) | GCMAES256 |
| 加密和哈希算法(身份验证) | GCMAES256 |
| SA 生存期(时间) | 27,000 秒 |
| SA 生存期(千字节) | 33,553,408 |
| 完全向前保密 (PFS) | ECP384 |
| 死对等体检测 | 支持 |
配置自定义 IPSec/IKE 连接策略
IPsec 和 IKE 协议标准支持采用各种组合的各种加密算法。 若要查看加固型 Azure Stack Hub 支持哪些参数,以便满足合规性或安全要求,请参阅 IPsec/IKE 参数。
本文提供有关如何创建和配置 IPsec/IKE 策略并应用于新连接或现有连接的说明。
注意事项
使用这些策略时,请注意以下重要事项:
- IPsec/IKE 策略仅适用于“标准”和“高性能”(基于路由)网关 SKU。
- 一个给定的连接只能指定一个策略组合。
- 必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。
- 请查阅 VPN 设备供应商规范,确保本地 VPN 设备支持该策略。 如果策略不兼容,则无法建立站点到站点连接。
用于创建和设置 IPsec/IKE 策略的工作流
本部分概述了在站点到站点 VPN 连接上创建和更新 IPsec/IKE 策略所需的工作流:
- 创建虚拟网络和 VPN 网关。
- 为跨界连接创建本地网络网关。
- 使用选定的算法和参数创建 IPsec/IKE 策略。
- 创建采用 IPsec/IKE 策略的 IPsec 连接。
- 为现有连接添加/更新/删除 IPsec/IKE 策略。
支持的加密算法和密钥强度
下表列出了加固型 Azure Stack Hub 客户可对其进行配置的受支持加密算法和密钥强度:
| IPsec/IKEv2 | 选项 |
|---|---|
| IKEv2 加密 | AES256、AES192、AES128、DES3、DES |
| IKEv2 完整性 | SHA384、SHA256、SHA1、MD5 |
| DH 组 | ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None |
| IPsec 加密 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无 |
| IPsec 完整性 | GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
| PFS 组 | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无 |
| QM SA 生存期 | (可选:如果未指定,则使用默认值) |
| 秒(整数;最小值 300/默认值 27,000 秒) | |
| KBytes (integer;min. 1024/default 102,400,000 KBytes) | |
| 流量选择器 | 加固型 Azure Stack Hub 不支持基于策略的流量选择器。 |
本地 VPN 设备配置必须匹配,或者必须包含可在 Azure IPsec/IKE 策略中指定的以下算法和参数:
- IKE 加密算法(主模式/阶段 1)。
- IKE 完整性算法(主模式/阶段 1)。
- DH 组(主模式/阶段 1)。
- IPsec 加密算法(快速模式/阶段 2)。
- IPsec 完整性算法(快速模式/阶段 2)。
- PFS 组(快速模式/阶段 2)。
- SA 生存期只是本地规范,它们不需要匹配。
如果 GCMAES 用于 IPsec 加密算法,则必须为 IPsec 完整性选择相同的 GCMAES 算法和密钥长度。 例如:对两者使用GCMAES128。
在上表中:
- IKEv2 对应于主模式或阶段 1。
- IPsec 对应于快速模式或阶段 2。
- DH 组指定在主模式或阶段 1 中使用的 Diffie-Hellmen 组。
- PFS 组指定在快速模式或阶段 2 中使用的 Diffie-Hellmen 组。
- 在加固型 Azure Stack Hub VPN 网关上,IKEv2 主模式 SA 生存期固定为 28,800 秒。
下表列出了自定义策略支持的相应 Diffie-Hellman 组:
| Diffie-Hellman 组 | DHGroup | PFSGroup | 密钥长度 |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 位 MODP |
| 2 | DHGroup2 | PFS2 | 1024 位 MODP |
| 14 | DHGroup14 | PFS2048 | 2048 位 MODP |
| DHGroup2048 | |||
| 19 | ECP256 | ECP256 | 256 位 ECP |
| 20 | ECP384 | ECP384 | 384 位 ECP |
| 24 | DHGroup24 | PFS24 | 2048 位 MODP |
使用 Azure ExpressRoute 将加固型 Azure Stack Hub 连接到 Azure
概述、假设和先决条件
通过 Azure ExpressRoute,可将本地网络扩展到 Microsoft 云。 使用连接提供商提供的专用连接。 ExpressRoute 不是通过公共 Internet 建立的 VPN 连接。
有关 Azure ExpressRoute 的详细信息,请参阅 ExpressRoute 概述。
假设
本文假设读者:
- 在 Azure 方面有实践经验。
- 对加固型 Azure Stack Hub 有基本的了解。
- 对网络有基本的了解。
先决条件
若要使用 ExpressRoute 连接加固型 Azure Stack Hub 和 Azure,必须满足以下要求:
- 通过连接提供商预配的 ExpressRoute 线路。
- 一个用于在 Azure 中创建 ExpressRoute 线路和 VNet 的 Azure 订阅。
- 支持:
- 在其 LAN 接口与加固型 Azure Stack Hub 多租户共享网关之间建立站点到站点 VPN 连接。
- 支持在加固型 Azure Stack Hub 部署中有多个租户时创建多个 VRF(虚拟路由和转发)。
- 具有以下组件的路由器:
- 已连接到 ExpressRoute 线路的 WAN 端口。
- 已连接到加固型 Azure Stack Hub 多租户网关的 LAN 端口。
ExpressRoute 网络体系结构
下图显示了使用本文中的示例完成设置 ExpressRoute 后的加固型 Azure Stack Hub 和 Azure 环境:
下图显示多个租户如何通过 ExpressRoute 路由器从加固型 Azure Stack Hub 基础结构连接到 Azure:
