使用 Fortinet FortiGate NVA 的 Azure Stack Hub 執行個體之間 VNet 對 VNet 連線
在本文中,您將使用 Fortinet FortiGate NVA (網路虛擬設備),將一個 Azure Stack Hub 中的 VNET 連線到另一個 Azure Stack Hub 中的 VNET。
本文將說明目前的 Azure Stack Hub 限制,讓租用戶在此限制下僅能在兩個環境之間設定一個 VPN 連線。 使用者將了解如何在 Linux 虛擬機器上設定自訂閘道,以允許不同 Azure Stack Hub 之間的多個 VPN 連線。 本文中的程序會在每個 VNET 中部署兩個具有 FortiGate NVA 的 VNET:每個 Azure Stack Hub 環境各部署一個。 此外也會詳細說明在這兩個 VNET 之間設定 IPSec VPN 所需的變更。 您應針對每個 Azure Stack Hub 中的每個 VNET 重複執行本文中的步驟。
必要條件
可存取有足夠容量可部署此解決方案所需的計算、網路和資源的 Azure Stack Hub 整合式系統。
注意
這些指示不適用於 Azure Stack 開發套件 (ASDK),因為 ASDK 中有網路限制。 如需詳細資訊,請參閱 ASDK 需求和考量。
已下載並發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 可控制從周邊網路到其他網路或子網路的網路流量。 此程序會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。
至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 如需如何取得這些授權的相關資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權。
此程序會使用單一 FortiGate-VM 部署。 您可以找到在內部部署網路中將 FortiGate NVA 連線至 Azure Stack Hub VNET 的步驟。
如需如何在主動-被動 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Fortinet 文件庫文章 FortiGate-VM 在 Azure 上的 HA。
部署參數
下表摘錄了在這些部署中使用的參數以供參考:
部署一:Forti1
| FortiGate 執行個體名稱 | Forti1 |
|---|---|
| BYOL 授權/版本 | 6.0.3 |
| FortiGate 系統管理使用者名稱 | fortiadmin |
| 資源群組名稱 | forti1-rg1 |
| 虛擬網路名稱 | forti1vnet1 |
| VNET 位址空間 | 172.16.0.0/16* |
| 公用 VNET 子網路名稱 | forti1-PublicFacingSubnet |
| 公用 VNET 位址首碼 | 172.16.0.0/24* |
| 內部 VNET 子網路名稱 | forti1-InsideSubnet |
| 內部 VNET 子網路首碼 | 172.16.1.0/24* |
| FortiGate NVA 的 VM 大小 | 標準 F2s_v2 |
| 公用 IP 位址名稱 | forti1-publicip1 |
| 公用 IP 位址類型 | 靜態 |
部署二:Forti2
| FortiGate 執行個體名稱 | Forti2 |
|---|---|
| BYOL 授權/版本 | 6.0.3 |
| FortiGate 系統管理使用者名稱 | fortiadmin |
| 資源群組名稱 | forti2-rg1 |
| 虛擬網路名稱 | forti2vnet1 |
| VNET 位址空間 | 172.17.0.0/16* |
| 公用 VNET 子網路名稱 | forti2-PublicFacingSubnet |
| 公用 VNET 位址首碼 | 172.17.0.0/24* |
| 內部 VNET 子網路名稱 | Forti2-InsideSubnet |
| 內部 VNET 子網路首碼 | 172.17.1.0/24* |
| FortiGate NVA 的 VM 大小 | 標準 F2s_v2 |
| 公用 IP 位址名稱 | Forti2-publicip1 |
| 公用 IP 位址類型 | 靜態 |
注意
* 如果上述項目與內部部署網路環境有任何重疊的情況 (包括任一 Azure Stack Hub 的 VIP 集區),請選擇一組不同的位址空間和子網路首碼。 同時請確定位址範圍未彼此重疊。**
部署 FortiGate NGFW Marketplace 項目
對這兩個 Azure Stack Hub 環境重複前述步驟。
開啟 Azure Stack Hub 使用者入口網站。 請務必使用至少具有訂用帳戶參與者權限的認證。
選取 [建立資源],然後搜尋 。
選取 [FortiGate NGFW],然後選取 [建立]。
使用部署參數 表格中的參數完成 [基本]。
您的表單應會包含下列資訊:
![[基本概念] 對話框 (的 [實例名稱] 和 [BYOL 授權]) 等文本框已填入 [部署數據表] 中的值。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image7.png?view=azs-2206)
選取 [確定]。
提供部署參數中的虛擬網路、子網路和 VM 大小詳細資料。
如果您想要使用不同的名稱和範圍,請注意不要使用會與其他 Azure Stack Hub 環境中的其他 VNET 和 FortiGate 資源衝突的參數。 在 VNET 中設定 VNET IP 範圍和子網路範圍時,更要多加留意。 請確認它們不會與您建立的其他 VNET 的 IP 範圍重疊。
選取 [確定]。
設定將用於 FortiGate NVA 的公用 IP:
![[IP 指派] 對話方塊的 [公用 IP 位址名稱] 文字框會顯示 [部署數據表]) 的 “forti1-publicip1” 值 (。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image8.png?view=azs-2206)
選取 [確定],然後再次選取 [確定]。
選取 [建立]。
完成部署大約需要 10 分鐘。 現在,您可以重複前述步驟,以在其他 Azure Stack Hub 環境中建立其他 FortiGate NVA 和 VNET 部署。
設定每個 VNET 的路由 (UDR)
請為 forti1-rg1 和 forti2-rg1 這兩個部署執行下列步驟。
在 Azure Stack Hub 入口網站中,瀏覽至 forti1-rg1 資源群組。
選取 'forti1-forti1-InsideSubnet-routes-xxxx' 資源。
在 [設定] 底下,選取 [路由]。
![此螢幕快照顯示 [設定] 的醒目提示 [路由] 專案。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image10.png?view=azs-2206)
刪除 to-Internet 路由。
選取 [是] 。
選取 [新增]。
將路由命名為 或
to-forti2。 如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。輸入:
- Forti1:
172.17.0.0/16 - Forti2:
172.16.0.0/16
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
- Forti1:
針對 [下一個躍點類型],選取 [虛擬設備]。
- Forti1:
172.16.1.4 - Forti2:
172.17.0.4
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
![to-forti2 的 [編輯路由] 對話框具有具有值的文字框。「位址前綴」是 172.17.0.0/16、「下一個躍點類型」是「虛擬設備」,而「下一個躍點位址」是 172.16.1.4。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image12.png?view=azs-2206)
- Forti1:
選取 [儲存]。
對每個資源群組的每個 InsideSubnet 路由,重複前述步驟。
啟用 FortiGate NVA,並在每個 NVA 上設定 IPSec VPN 連線
您將需要 Fortinet 提供的有效授權檔案,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 將無法運作。 如需如何取得授權檔案和 NVA 啟用步驟的詳細資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權。
必須取得兩個授權檔案 – 每個 NVA 一個。
在兩個 NVA 之間建立 IPSec VPN
啟用 NVA 之後,請依照下列步驟建立兩個 NVA 之間的 IPSec VPN。
對 forti1 NVA 和 forti2 NVA 執行下列步驟:
瀏覽至 fortiX VM 的 [概觀] 頁面,以取得指派的公用 IP 位址:
複製指派的 IP 位址,開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 請繼續作業。
輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。
![螢幕快照是登入畫面,其中包含 [登入] 按鈕和使用者名稱和密碼的文字框。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image14.png?view=azs-2206)
選取 [系統][韌體]。
選取顯示最新韌體的方塊,例如
FortiOS v6.2.0 build0866。
選取 [備份組態並升級],並在出現提示時選取 [繼續]。
NVA 會將其韌體更新為最新組建,然後重新開機。 此程序大約需要五分鐘的時間。 重新登入 FortiGate Web 主控台。
按一下 [VPN][IPSec 精靈]。
在 [VPN 建立精靈]
conn1中輸入 VPN 的名稱,例如conn1。選取 [此網站位於 NAT 後方]。
![VPN 建立精靈的螢幕快照會顯示在 VPN 設定的第一個步驟中。選取下列值:[範本類型]、[FortiGate] 為 [遠端裝置類型] 選取 [站對站],而 [此月臺位於 NAT 後方],用於 NAT 組態。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image16.png?view=azs-2206)
選取 [下一步] 。
輸入您要連線的內部部署 VPN 裝置的遠端 IP 位址。
選取 [port1] 作為 [連出介面]。
選取 [預先共用金鑰],然後輸入 (並記錄) 預先共用金鑰。
注意
您將需要以此金鑰來設定內部部署 VPN 裝置上的連線,也就是說,金鑰必須完全相符。
![[VPN 建立精靈] 的螢幕快照會顯示在第二個步驟[驗證],並醒目提示選取的值。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image17.png?view=azs-2206)
選取 [下一步] 。
針對 [本機介面],選取 [port2]。
輸入本機子網路範圍:
- forti1:172.16.0.0/16
- forti2:172.17.0.0/16
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
輸入代表內部部署網路的適當遠端子網路,您將透過內部部署 VPN 裝置連線至此網路。
- forti1:172.16.0.0/16
- forti2:172.17.0.0/16
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
![[VPN 建立精靈] 的螢幕快照顯示它位於第三個步驟[原則 & 路由],其中顯示已選取和輸入的值。](media/azure-stack-network-howto-vnet-to-vnet-stacks/image18.png?view=azs-2206)
選取 [建立]
選取 [網路][介面]。
按兩下 [port2]。
在 [角色] 清單中選擇 [LAN],並選擇 [DHCP] 作為 [定址模式]。
選取 [確定]。
對其他 NVA 重複前述步驟。
啟動所有的階段 2 選取器
對兩個 NVA 都完成前述步驟後:
在 forti2 FortiGate Web 主控台上,選取 [監視][IPsec 監視器]。
將
conn1醒目提示,然後選取 [啟動]>[所有的階段 2 選取器]。
測試並驗證連線能力
您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間進行路由。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:
Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet 上。
在建立 VM 時,您不應將任何 NSG 套用至 VM (也就是說,如果從入口網站建立 VM,請移除依預設新增的 NSG)。
確定 VM 防火牆規則允許您要用來測試連線的通訊。 基於測試目的,建議您在作業系統中完全停用防火牆 (如果可能的話)。
後續步驟
Azure Stack Hub 網路服務的差異與注意事項
以 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應