Przezroczysty serwer proxy dla usługi Azure Stack Hub

Przezroczysty serwer proxy (znany również jako przechwytujący, wbudowany lub wymuszony serwer proxy) przechwytuje normalną komunikację w warstwie sieciowej bez konieczności specjalnej konfiguracji klienta. Klienci nie muszą wiedzieć o istnieniu serwera proxy.

Jeśli centrum danych wymaga, aby cały ruch używał serwera proxy, należy skonfigurować przezroczysty serwer proxy do przetwarzania całego ruchu zgodnie z zasadami, oddzielając ruch między strefami w sieci.

Typy ruchu

Ruch wychodzący z usługi Azure Stack Hub jest klasyfikowany jako ruch dzierżawcy lub ruch infrastruktury.

Ruch najemców jest generowany przez najemców za pomocą maszyn wirtualnych, modułów równoważenia obciążenia, bramek VPN, usług aplikacji itp.

Ruch infrastruktury jest generowany z pierwszego /27 zakresu publicznej puli wirtualnych adresów IP przypisanych do usług infrastruktury, takich jak usługi tożsamości, poprawki i aktualizacje, metryki użycia, syndykacja Marketplace, rejestracja, zbieranie dzienników, Windows Defender itp. Ruch z tych usług jest kierowany do punktów końcowych Azure. Platforma Azure nie akceptuje ruchu zmodyfikowanego przez serwer proxy, ani ruchu z przechwytywaniem TLS/SSL. Dlatego usługa Azure Stack Hub nie obsługuje natywnej konfiguracji serwera proxy.

Podczas konfigurowania przezroczystego serwera proxy można wybrać opcję wysyłania całego ruchu wychodzącego lub tylko ruchu infrastruktury przez serwer proxy.

Integracja partnerów

Firma Microsoft współpracuje z wiodącymi dostawcami serwerów proxy w branży, aby zweryfikować scenariusze przypadków użycia usługi Azure Stack Hub z przezroczystą konfiguracją serwera proxy. Na poniższym diagramie przedstawiono przykładową konfigurację sieci usługi Azure Stack Hub z serwerami proxy wysokiej dostępności. Zewnętrzne urządzenia proxy muszą być umieszczone na północ od urządzeń granicznych.

diagram sieciowy

Ponadto urządzenia graniczne muszą być skonfigurowane do kierowania ruchu z usługi Azure Stack Hub na jeden z następujących sposobów:

• Kierowanie całego ruchu wychodzącego z usługi Azure Stack Hub do urządzeń proxy
• Przekieruj cały ruch wychodzący z pierwszego zakresu adresów IP /27 puli wirtualnych usługi Azure Stack Hub do urządzeń proxy za pomocą routingu opartego na zasadach.

Aby uzyskać przykładową konfigurację obramowania, zobacz sekcję Przykładowa konfiguracja obramowania w tym artykule.

Zapoznaj się z następującymi dokumentami dotyczącymi zweryfikowanych przezroczystych konfiguracji serwera proxy w usłudze Azure Stack Hub:

• Konfigurowanie przezroczystego proxy Check Point Security Gateway
• Konfigurowanie przezroczystego proxy na zaporze Sophos XG
• integrowanie aplikacji Citrix ADC, Citrix Secure Web Gateway z usługą Azure Stack Hub
• Integrowanie urządzenia Cisco Secure Web Appliance (WSA) z Azure Stack Hub

W scenariuszach, w których ruch wychodzący z usługi Azure Stack Hub jest wymagany do przepływu przez jawny serwer proxy, urządzenia Sophos i Checkpoint zapewniają funkcję trybu podwójnego, która umożliwia korzystanie z określonych zakresów ruchu przez tryb przezroczysty, podczas gdy inne zakresy można skonfigurować tak, aby przechodziły przez tryb jawny. Korzystając z tej funkcji, tego typu urządzenia proxy można skonfigurować tak, aby tylko ruch infrastruktury był wysyłany za pośrednictwem przezroczystego serwera proxy, podczas gdy cały ruch dzierżawcy jest wysyłany w trybie jawnym.

Przykładowa konfiguracja obramowania

Rozwiązanie jest oparte na routingu opartym na zasadach (PBR), który używa zdefiniowanego przez administratora zestawu kryteriów implementowanych przez listę kontroli dostępu (ACL). Lista ACL kategoryzuje ruch kierowany do adresu IP następnego przeskoku dla urządzeń proxy zintegrowanych w mapie tras, zamiast normalnego routingu opierającego się tylko na docelowym adresie IP. Określony ruch sieciowy dla portów 80 i 443 jest kierowany z urządzeń granicznych do przezroczystego wdrożenia proxy. Przezroczysty serwer proxy filtruje adresy URL, a brak dozwolonego ruchu jest odrzucany.

Poniższy przykład konfiguracji dotyczy obudowy Cisco Nexus 9508.

W tym scenariuszu sieci infrastruktury źródłowej, które wymagają dostępu do Internetu, są następujące:

• Publiczny adres VIP — pierwsza /27
• Sieć infrastruktury — ostatnia /27
• Sieć BMC — ostatnia /27

Następujące podsieci są poddawane routingowi opartemu na politykach (PBR) w tym scenariuszu:

Konfigurowanie urządzenia obramowania

Włącz PBR, wprowadzając polecenie feature pbr.

****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch 
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack 
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!

<Create VLANs that the proxy devices will use for inside and outside connectivity>

!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
  description DownLink to TOR-1:TeGig1/0/47
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.193/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!
interface Ethernet2/1
  description DownLink to TOR-2:TeGig1/0/48
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.205/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!

<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>

!
interface Ethernet1/41
  description management interface for Firewall-1
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet1/42
  description Proxy interface for Firewall-1
  switchport
  switchport access vlan 802
  no shutdown
!
interface Ethernet2/41
  description management interface for Firewall-2
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet2/42
  description Proxy interface for Firewall-2
  switchport
  switchport access vlan 802
  no shutdown
!

<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2> 

!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
neighbor 192.168.32.206
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
!
!

Utwórz nową listę ACL, która będzie używana do identyfikowania ruchu, który uzyska leczenie PBR. Ten ruch to ruch internetowy (port HTTP 80 i port HTTPS 443) z hostów/podsieci w stojaku testowym, który korzysta z usługi proxy, jak opisano w tym przykładzie. Na przykład nazwa listy ACL to PERMITTED_TO_PROXY_ENV1.

ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>

Rdzeń funkcji PBR jest implementowany przez TRAFFIC_TO_PROXY_ENV1 route-map. Dodano opcję pbr-statistics, aby umożliwić wyświetlanie statystyk dopasowania zasad i zweryfikować liczbę pakietów, które są i nie są przekazywane przez PBR. Sekwencja mapowania tras 10 zezwala na obsługę PBR dla ruchu spełniającego kryteria listy ACL PERMITTED_TO_PROXY_ENV1. Ten ruch jest przekazywany do adresów IP następnego skoku 10.60.3.34 i 10.60.3.35, które są adresami VIP dla głównych/zapasowych urządzeń proxy w naszej przykładowej konfiguracji.

!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35

Listy ACL są używane jako kryteria dopasowania dla TRAFFIC_TO_PROXY_ENV1 route-map. Gdy ruch jest zgodny z listą ACL PERMITTED_TO_PROXY_ENV1, PBR zastępuje normalną tabelę routingu, a zamiast tego przekazuje ruch do wymienionych następnego przeskoku adresów IP.

Zasady TRAFFIC_TO_PROXY_ENV1 PBR są stosowane do ruchu, który przechodzi do urządzenia granicznego z hostów CL04 i publicznych adresów VIP oraz z HLH i DVM w stojaku testowym.

Następne kroki

Dowiedz się więcej na temat integracji firewalli, zobacz integracja firewalli usługi Azure Stack Hub.