Jak utworzyć wirtualne urządzenie sieciowe w koncentratorze usługi Azure Virtual WAN

W tym artykule pokazano, jak wdrożyć zintegrowane wirtualne urządzenie sieciowe (NVA) w koncentratorze usługi Azure Virtual WAN.

Tło

Urządzenia WUS wdrożone w koncentratorze usługi Virtual WAN są zwykle podzielone na trzy kategorie:

• Urządzenia łączności: służy do kończenie połączeń sieci VPN i SD-WAN ze środowiska lokalnego. Urządzenia łączności używają protokołu BGP (Border Gateway Protocol) do wymiany tras z koncentratorem usługi Virtual WAN.
• Urządzenia zapory następnej generacji (NGFW): używane z intencją routingu w celu zapewnienia inspekcji podciągnięcia dla ruchu przechodzącego przez koncentrator usługi Virtual WAN.
• Łączność z podwójną rolą i urządzenia zapory: jedno urządzenie, które łączy urządzenia lokalne z platformą Azure i sprawdza ruch przechodzący przez koncentrator usługi Virtual WAN z intencją routingu.

Aby uzyskać listę urządzeń WUS, które można wdrożyć w koncentratorze usługi Virtual WAN i ich odpowiednich możliwości, zobacz Virtual WAN NVA partners (Partnerzy wirtualnego urządzenia WAN NVA).

Mechanizmy wdrażania

Wirtualne urządzenia sieciowe można wdrażać za pośrednictwem kilku różnych przepływów pracy. Różni partnerzy wirtualnego urządzenia sieciowego obsługują różne mechanizmy wdrażania. Każdy partner zintegrowanego wirtualnego urządzenia WAN obsługuje przepływ pracy aplikacji zarządzanej w witrynie Azure Marketplace. Aby uzyskać informacje o innych metodach wdrażania, zapoznaj się z dokumentacją dostawcy urządzenia WUS.

• Aplikacja zarządzana w witrynie Azure Marketplace: wszyscy partnerzy wirtualnego urządzenia WAN używają aplikacji zarządzanych platformy Azure do wdrażania zintegrowanych urządzeń WAN w koncentratorze usługi Virtual WAN. Aplikacje zarządzane platformy Azure umożliwiają łatwe wdrażanie urządzeń WUS w koncentratorze usługi Virtual WAN za pośrednictwem środowiska witryny Azure Portal utworzonego przez dostawcę urządzenia WUS. Środowisko witryny Azure Portal zbiera krytyczne parametry wdrożenia i konfiguracji potrzebne do wdrożenia i przypinania rozruchu urządzenia WUS. Aby uzyskać więcej informacji na temat aplikacji zarządzanych platformy Azure, zobacz dokumentację aplikacji zarządzanej. Dokumentacja dostawcy dotycząca pełnego przepływu pracy wdrażania za pośrednictwem aplikacji zarządzanej platformy Azure.
• Wdrożenia orkiestratora urządzenia WUS: niektórzy partnerzy urządzenia WUS umożliwiają wdrażanie urządzeń WUS w centrum bezpośrednio z poziomu oprogramowania do orkiestracji lub zarządzania urządzeniami WUS. Wdrożenia urządzenia WUS z oprogramowania orkiestracji urządzenia WUS zwykle wymagają dostarczenia jednostki usługi platformy Azure do oprogramowania orkiestracji urządzenia WUS. Jednostka usługi platformy Azure jest używana przez oprogramowanie orkiestracji urządzenia WUS do interakcji z interfejsami API platformy Azure w celu wdrażania urządzeń WUS i zarządzania nimi w centrum. Ten przepływ pracy jest specyficzny dla implementacji dostawcy urządzenia WUS. Aby uzyskać więcej informacji, zobacz dokumentację dostawcy.
• Inne mechanizmy wdrażania: partnerzy urządzenia WUS mogą również oferować inne mechanizmy wdrażania urządzeń WUS w centrum, takich jak szablony usługi ARM i narzędzie Terraform. Więcej informacji na temat innych obsługiwanych mechanizmów wdrażania można znaleźć w dokumentacji dostawcy.

Wymagania wstępne

W poniższym samouczku założono, że wdrożono zasób usługi Virtual WAN z co najmniej jednym koncentratorem usługi Virtual WAN. W tym samouczku założono również, że wdrażasz urządzenia WUS za pośrednictwem aplikacji zarządzanej w witrynie Azure Marketplace.

Wymagane uprawnienia

Aby wdrożyć wirtualne urządzenie sieciowe w koncentratorze usługi Virtual WAN, użytkownik lub jednostka usługi, która tworzy urządzenie WUS i zarządza nim, musi mieć co najmniej następujące uprawnienia:

• Microsoft.Network/virtualHubs/read over the Virtual WAN hub, w którym urządzenie WUS jest wdrażane.
• Microsoft.Network/networkVirtualAppliances/write w grupie zasobów, w której jest wdrażane urządzenie WUS.
• Microsoft.Network/publicIpAddresses/join za pośrednictwem zasobów publicznego adresu IP wdrożonych przy użyciu wirtualnego urządzenia sieciowego dla przypadków użycia ruchu przychodzącego w Internecie.

Aby zapewnić pomyślne wdrożenie, należy udzielić tych uprawnień aplikacji zarządzanej w witrynie Azure Marketplace. Inne uprawnienia mogą być wymagane na podstawie implementacji przepływu pracy wdrażania opracowanego przez partnera urządzenia WUS.

Przypisywanie uprawnień do aplikacji zarządzanej platformy Azure

Wirtualne urządzenia sieciowe wdrożone za pośrednictwem aplikacji zarządzanej w witrynie Azure Marketplace są wdrażane w specjalnej grupie zasobów w dzierżawie platformy Azure nazywanej zarządzaną grupą zasobów. Podczas tworzenia aplikacji zarządzanej w ramach subskrypcji w ramach subskrypcji zostanie utworzona odpowiednia i oddzielna zarządzana grupa zasobów. Wszystkie zasoby platformy Azure utworzone przez aplikację zarządzaną (w tym wirtualne urządzenie sieciowe) są wdrażane w zarządzanej grupie zasobów.

Witryna Azure Marketplace jest właścicielem jednostki usługi innej firmy, która wykonuje wdrażanie zasobów w zarządzanej grupie zasobów. Ten podmiot zabezpieczeń pierwszej firmy ma uprawnienia do tworzenia zasobów w zarządzanej grupie zasobów, ale nie ma uprawnień do odczytu, aktualizowania ani tworzenia zasobów platformy Azure poza zarządzaną grupą zasobów.

Aby upewnić się, że wdrożenie urządzenia WUS jest wykonywane z wystarczającym poziomem uprawnień, przyznaj dodatkowe uprawnienia jednostce usługi wdrażania witryny Azure Marketplace, wdrażając aplikację zarządzaną przy użyciu tożsamości zarządzanej przypisanej przez użytkownika z uprawnieniami do centrum Usługi Virtual WAN i publicznego adresu IP, które mają być używane z wirtualnym urządzeniem sieciowym. Ta tożsamość zarządzana przypisana przez użytkownika jest używana tylko do początkowego wdrażania zasobów w zarządzanej grupie zasobów i jest używana wyłącznie w kontekście tego wdrożenia aplikacji zarządzanej.

Uwaga

Tylko tożsamości systemowe przypisane przez użytkownika można przypisać do aplikacji zarządzanych platformy Azure w celu wdrożenia wirtualnych urządzeń sieciowych w koncentratorze usługi Virtual WAN. Tożsamości przypisane przez system nie są obsługiwane.

1. Utwórz nową tożsamość przypisaną przez użytkownika. Aby uzyskać instrukcje dotyczące tworzenia nowych tożsamości przypisanych przez użytkownika, zobacz dokumentację tożsamości zarządzanej. Możesz również użyć istniejącej tożsamości przypisanej przez użytkownika.
2. Przypisz uprawnienia do tożsamości przypisanej przez użytkownika, aby mieć co najmniej uprawnienia opisane w sekcji Wymagane uprawnienia wraz z wszelkimi uprawnieniami wymaganymi przez dostawcę urządzenia WUS. Możesz również nadać tożsamości przypisanej przez użytkownika wbudowaną rolę platformy Azure, na przykład Współautor sieci, która zawiera nadzbiór wymaganych uprawnień.

Alternatywnie możesz również utworzyć rolę niestandardową z następującą przykładową definicją i przypisać rolę niestandardową do tożsamości zarządzanej przypisanej przez użytkownika.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

Wdrażanie urządzenia WUS

W poniższej sekcji opisano kroki wymagane do wdrożenia wirtualnego urządzenia sieciowego w koncentratorze usługi Virtual WAN przy użyciu aplikacji zarządzanej w witrynie Azure Marketplace.

1. Przejdź do centrum usługi Virtual WAN i wybierz pozycję Wirtualne urządzenie sieciowe w obszarze Dostawcy innych firm.

2. Wybierz pozycję Utwórz wirtualne urządzenie sieciowe.

3. Wybierz dostawcę urządzenia WUS. W tym przykładzie wybrano pozycję "fortinet-ngfw" i wybierz pozycję Utwórz. Na tym etapie nastąpi przekierowanie do aplikacji zarządzanej w witrynie Azure Marketplace partnera urządzenia WUS.

4. Postępuj zgodnie ze środowiskiem tworzenia aplikacji zarządzanych, aby wdrożyć urządzenie WUS i odwołać się do dokumentacji dostawcy. Upewnij się, że tożsamość systemu przypisana przez użytkownika utworzona w poprzedniej sekcji została wybrana w ramach przepływu pracy tworzenia aplikacji zarządzanych.

Typowe błędy wdrażania

Błędy uprawnień

Uwaga

Komunikat o błędzie skojarzony z elementem LinkedAuthorizationFailed wyświetla tylko jedno brakujące uprawnienie. W związku z tym po zaktualizowaniu uprawnień przypisanych do jednostki usługi, tożsamości zarządzanej lub użytkownika może zostać wyświetlone inne brakujące uprawnienie.

• Jeśli zostanie wyświetlony komunikat o błędzie z kodem błędu LinkedAuthorizationFailed, tożsamość przypisana przez użytkownika w ramach wdrożenia aplikacji zarządzanej nie ma przypisanych odpowiednich uprawnień. Dokładne brakujące uprawnienia zostały opisane w komunikacie o błędzie. W poniższym przykładzie dokładnie sprawdź, czy tożsamość zarządzana przypisana przez użytkownika ma uprawnienia ODCZYT w koncentratorze usługi Virtual WAN, w którym próbujesz wdrożyć urządzenie WUS.

The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

Następne kroki

• Aby dowiedzieć się więcej o usłudze Virtual WAN, zobacz Co to jest usługa Virtual WAN?
• Aby dowiedzieć się więcej o urządzeniach WUS w koncentratorze usługi Virtual WAN, zobacz About Network Virtual Appliance in the Virtual WAN hub (Informacje o wirtualnym urządzeniu sieciowym w koncentratorze usługi Virtual WAN).