Руководства по службе автоматизации для партнеров Виртуальной глобальной сети

Эта статья поможет понять, как настроить среду автоматизации для подключения и настроить устройство филиала (на локальном VPN-устройстве клиента или SDWAN CPE) Виртуальной глобальной сети Azure. Если вы являетесь поставщиком, предоставляющим устройства для филиалов, обеспечивающие работу VPN-подключения через IPsec/IKEv2 или IPsec/IKEv1, эта статья предназначена для вас.

Устройство филиала (на локальном VPN-устройстве клиента или SDWAN CPE) обычно использует панели мониторинга контроллера или устройства для подготовки к работе. Администраторы SD-WAN решений часто могут использовать консоль управления для предварительной подготовки к работе устройства, прежде чем оно подключается к сети. Это VPN-устройство получает логику плоскости управления от контроллера. VPN-устройство или контроллер SD-WAN могут использовать API-интерфейсы Azure для автоматизации подключения к Виртуальной глобальной сети Azure. Для этого типа подключения требуется локальное устройство для назначения внешнего общедоступного IP-адреса.

Перед началом автоматизации

• Убедитесь, что ваше устройство поддерживает IPsec IKEv1 или IKEv2. Ознакомьтесь с политиками по умолчанию.

• Просмотрите интерфейсы API, используемые для автоматизации подключения к виртуальной глобальной сети Azure.

• Протестируйте возможности портала Виртуальной глобальной сети Azure.

• Затем решите, какие шаги по подключению требуется автоматизировать. Как минимум мы рекомендуем автоматизировать:

  • Управление доступом
  • Отправку сведений об устройстве филиала в Виртуальную глобальную сеть Azure.
  • Загрузку конфигурации Azure и настройку подключения с устройства филиала в Виртуальной глобальной сети Azure.

Дополнительные сведения

• REST API для автоматизации создания виртуальных концентраторов
• REST API для автоматизации VPN-шлюза Azure для виртуальной глобальной сети
• REST API для подключения к концентратору VPN Azure
• Политики IPsec по умолчанию

Взаимодействие с пользователем

Определите ожидаемое качество обслуживания клиентов для Виртуальной глобальной сети Azure.

1. Как правило, пользователь Виртуальной глобальной сети начнет с создания ресурса Виртуальной глобальной сети.
2. Пользователь настроит доступ к группе ресурсов на основе субъекта-службы в локальной системе (вашего контроллера филиала или программного обеспечения для подготовки устройства VPN) для записи сведений о филиале в Виртуальной глобальной сети Azure.
3. Пользователь может решить в данный момент войти в ваш пользовательский интерфейс и настроить учетные данные субъекта-службы. После завершения настройки ваш контроллер должен автоматически отправить сведения о филиале, которые вы укажете. Ручной эквивалент этого на стороне Azure — функция "Создание сайта".
4. После этого сведения сайта (устройство филиала) будут доступны в Azure и пользователь свяжет сайт с центром. Виртуальный концентратор — это виртуальная сеть, управляемая корпорацией Майкрософт. Концентратор содержит разные конечные точки службы, чтобы обеспечить подключения с локальной сетью (vpnsite). Центр является ядром вашей сети в регионе и конечной точке VPN (vpngateway) внутри нее создается во время этого процесса. Вы можете создать несколько концентраторов в одном регионе для одного и того же Виртуальная глобальная сеть Azure. VPN-шлюз — это масштабируемый шлюз, размер которого зависит от пропускной способности и потребностей подключения. Вы можете выбрать автоматизирование виртуального центра и создание vpngateway на панели мониторинга контроллера устройства филиала.
5. После связи виртуального центра с сайтом для пользователя формируется файл конфигурации для загрузки вручную. Вот где может пригодиться автоматизация, упрощающая работу пользователя. Чтобы пользователю не приходилось вручную загружать и настраивать устройство филиала, вы можете настроить автоматизацию и предоставить пользовательский интерфейс с минимальным количеством переходов по щелчку, тем самым сокращая распространенные проблемы с подключением, например несоответствие общего ключа, несоответствие параметра IPSec, читаемость файла конфигурации и т. д.
6. В конце этого этапа в вашем решении у пользователя будет надежное подключение типа "сеть — сеть" между устройством филиала и виртуальным центром. Кроме того, можно настроить дополнительные подключения через другие центры. Каждое соединение является туннелем в режиме "активный — активный". Клиент может выбрать разные поставщики услуг Интернета для каждой ссылки туннеля.
7. Рассмотрите возможность устранения неполадок и мониторинга в интерфейсе управления CPE. Типичные сценарии включают "Клиент не может получить доступ к ресурсам Azure из-за проблемы с CPE", "Показывать параметры IPsec на стороне абонента" и т. д.

Сведения об автоматизации

Управление доступом

Клиенты должны иметь возможность установить соответствующее управление доступом для Виртуальной глобальной сети в пользовательском интерфейсе устройства. Этот вариант рекомендуется с помощью субъекта-службы Azure. Доступ на основе субъекта-службы обеспечивает правильную аутентификацию контроллера устройства для загрузки информации о филиале. Дополнительные сведения см. в разделе Проверка прав доступа к подпискам Azure. Хотя эта функциональность не входит в предложение Виртуальной глобальной сети Azure, ниже перечислены стандартные действия по настройке доступа в Azure, после чего соответствующие данные вводятся на панели мониторинга для управления устройствами.

• Создайте приложение Microsoft Entra для локального контроллера устройства.
• Получение идентификатора приложения и ключа проверки подлинности
• Получение идентификатора клиента
• Назначение приложению роли "Участник".

Отправка информации об устройстве филиала

Необходимо разработать взаимодействие с пользователем для отправки сведений о ветви (локального сайта) в Azure. Интерфейсы REST API для VPNSite могут использоваться для создания данных сайта в Виртуальной глобальной сети. Вы можете выбрать все VPN-устройства или SDWAN для филиалов или выбрать соответствующие настройки устройств.

Загрузка конфигурации устройства и подключение

Этот шаг включает в себя загрузку конфигурации Azure и настройку подключения с устройства филиала к Виртуальной глобальной сети Azure. На этом этапе клиент, который не использует поставщик, может вручную загрузить конфигурацию Azure и применить ее к своему локальному VPN-устройству или SDWAN. Вам как поставщику следует автоматизировать этот этап. Дополнительные сведения см. в API-интерфейсах REST для загрузки. Контроллер устройства может вызывать REST API GetVpnConfiguration, чтобы загрузить конфигурацию Azure.

Примечания к конфигурации

• Если виртуальные сети Azure присоединяются к виртуальному центру, они отображаются как ConnectedSubnets.
• VPN-подключение использует конфигурацию на основе маршрутов и поддерживает протоколы IKEv1 и IKEv2.

Файл конфигурации устройства

Файл конфигурации устройства содержит параметры, которые необходимо использовать при настройке локального VPN-устройства. При просмотре этого файла обратите внимание на следующие сведения:

• vpnSiteConfiguration. В этом разделе указаны сведения об устройстве, настроенные как сайт, подключенный к виртуальной глобальной сети. Они содержат имя и общедоступный IP-адрес устройства филиала.

• vpnSiteConnections. В этом разделе представлены следующие сведения:

  • Адресное пространство виртуальной сети виртуальных концентраторов.
    Пример:

    "AddressSpace":"10.1.0.0/24"
    

  • Адресное пространство виртуальных сетей, подключенных к концентратору.
    Пример:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • IP-адреса VPN-шлюзов виртуального концентратора. Так как каждое подключение VPN-шлюза состоит из 2 туннелей в конфигурации "активный — активный", в этом файле будут указаны оба IP-адреса. В данном примере вы видите Instance0 и Instance1 для каждого сайта.
    Пример:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Сведения о конфигурации подключения Vpngateway, такие как BGP, предварительный общий ключ и т. д. PSK — это предварительно общий ключ, который автоматически создается для вас. Вы всегда можете изменить подключение на странице Обзор для настраиваемого ключа PSK.

Пример файла конфигурации устройства

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Сведения о подключении

Ваша конфигурация локальных VPN-устройств / SDWAN или SD-WAN должна совпадать со следующими алгоритмами и параметрами, указанными в политике Azure IPsec/IKE, или содержать их.

• Алгоритм шифрования IKE
• Алгоритм проверки целостности IKE
• Группа DH
• Алгоритм шифрования IPsec
• Алгоритм проверки целостности IPsec
• Группа PFS

Политики по умолчанию для подключения IPsec

Инициатор

В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является инициатором для туннеля.

Этап 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Этап 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Отвечающее устройство

В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является отвечающим устройством для туннеля.

Этап 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Этап 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Значения времени существования SA

Эти значения времени жизни применяются как для инициатора, так и для ответа

• Время существования SA в секундах: 3600 секунд
• Время существования SA в байтах: 102 400 000 КБ

Пользовательские политики для подключения по протоколу IPSec

При работе с пользовательскими политиками IPsec учитывайте следующие требования.

• IKE — для IKE можно выбрать любой параметр из шифрования IKE, любой параметр из целостности IKE и любой параметр из DH Group.
• IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, любой параметр из целостности IPsec и PFS. Если один из параметров для шифрования IPsec или целостности IPsec имеет значение GCM, то оба параметра должны иметь значение GCM.

Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:

Доступные настройки и параметры

Следующие шаги

Дополнительные сведения о Виртуальной глобальной сети см. в разделе Сведения о Виртуальной глобальной сети Azure и Часто задаваемые вопросы о Виртуальной глобальной сети Azure (WAN).

Для получения дополнительных сведений отправьте электронное сообщение по адресу [email protected]. В строке темы заключите название компании в скобки [].