Azure Stack Hub 的透明代理服務

透明代理（也稱為攔截代理、內嵌代理或強制代理）在網路層攔截一般通訊，而不需要特殊的客戶端設定。 用戶端不需要知道 Proxy 是否存在。

如果您的資料中心要求所有流量都必須使用代理伺服器，您可以配置一個透明代理伺服器，根據政策來處理所有流量，並在您的網絡中區域之間分隔流量。

交通類型

Azure Stack Hub 的輸出流量會分類為租使用者流量或基礎結構流量。

租使用者流量是由租使用者透過虛擬機、負載平衡器、VPN 閘道、應用程式服務等方式產生的。

基礎結構流量是從指派給基礎結構服務的公用虛擬IP集區的第一 /27 個範圍產生，例如身分識別、修補和更新、使用計量、Marketplace新聞訂閱、註冊、記錄收集、Windows Defender 等。來自這些服務的流量會路由傳送至 Azure 端點。 Azure 不接受 Proxy 或 TLS/SSL 攔截流量所修改的流量。 這就是為什麼 Azure Stack Hub 不支援原生 Proxy 設定的原因。

設定透明 Proxy 時，您可以選擇傳送所有輸出流量，或只透過 Proxy 傳送基礎結構流量。

合作夥伴整合

Microsoft已與業界領先的 Proxy 廠商合作，以透明 Proxy 設定來驗證 Azure Stack Hub 的使用案例。 下圖是使用HA Proxy的 Azure Stack Hub 網路設定範例。 外部代理裝置必須放置在邊界設備以北。

此外，邊界裝置必須設定為以下列其中一種方式路由傳送來自 Azure Stack Hub 的流量：

• 將所有輸出流量從 Azure Stack Hub 路由傳送至 Proxy 裝置
• 透過原則型路由，將所有從 Azure Stack Hub 虛擬 IP 集區第一個範圍的輸出流量路由至代理裝置。

如需範例框線設定，請參閱本文中的 範例框線 設定一節。

使用 Azure Stack Hub 檢閱下列檔，以取得已驗證的透明 Proxy 組態：

• 設定 Check Point Security Gateway 透明代理伺服器
• 設定 Sophos XG 防火牆的透明代理伺服器
• 整合 Citrix ADC、Citrix Secure Web Gateway 與 Azure Stack Hub
• 整合 Cisco Secure Web Appliance （WSA） 與 Azure Stack Hub

在需要從 Azure Stack Hub 的輸出流量流經指定 Proxy 的情況下，Sophos 和 Checkpoint 設備提供雙模式功能，可以允許特定流量範圍通過透明模式，同時其它範圍則可配置為通過明確模式。 您可以使用這項功能來設定這些 Proxy 裝置，使只有基礎設施流量透過透明 Proxy 傳送，而所有租戶流量透過顯式模式傳送。

框線設定範例

此解決方案是以原則型路由 （PBR） 為基礎，該路由使用系統管理員定義的一組由訪問控制清單 （ACL） 實作的準則。 ACL 會將流量分類到由路由對應中實作的 Proxy 裝置的下一跳 IP，而不是僅依據目的地 IP 位址的通常路由。 埠 80 和 443 的特定基礎結構網路流量會從邊界裝置路由傳送至透明 Proxy 部署。 這個透明 Proxy 會進行 URL 篩選，而且不允許的流量會被封鎖。

下列設定範例適用於 Cisco Nexus 9508 底座。

在此案例中，需要存取因特網的來源基礎結構網路如下所示：

• 公共VIP - 第一個之27
• 基礎結構網路 - 最後一個 /27
• BMC 網路 - 上次/27

下列子網會在此案例中受到以原則為基礎的路由（PBR）處理：

設定框線裝置

輸入 feature pbr 命令以啟用 PBR。

****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch 
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack 
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!

<Create VLANs that the proxy devices will use for inside and outside connectivity>

!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
  description DownLink to TOR-1:TeGig1/0/47
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.193/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!
interface Ethernet2/1
  description DownLink to TOR-2:TeGig1/0/48
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.205/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!

<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>

!
interface Ethernet1/41
  description management interface for Firewall-1
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet1/42
  description Proxy interface for Firewall-1
  switchport
  switchport access vlan 802
  no shutdown
!
interface Ethernet2/41
  description management interface for Firewall-2
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet2/42
  description Proxy interface for Firewall-2
  switchport
  switchport access vlan 802
  no shutdown
!

<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2> 

!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
neighbor 192.168.32.206
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
!
!

請建立新的 ACL，以識別那些將會接受 PBR 處理的流量。 該流量是來自測試機架中主機/子網的 Web 流量（HTTP 埠 80 和 HTTPS 埠 443），其會取得代理服務，如本範例詳細說明。 例如，ACL 名稱 PERMITTED_TO_PROXY_ENV1。

ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>

PBR 功能的核心是由 TRAFFIC_TO_PROXY_ENV1 路由對應實作。 已新增 pbr-statistics 選項，以檢視原則比對統計數據，確認獲得和未獲得 PBR 轉送的封包數量。 路線圖序列 10 允許 PBR 處理符合 ACL PERMITTED_TO_PROXY_ENV1 準則的流量。 該流量會轉送至10.60.3.34和10.60.3.35的下一個躍點 IP 位址，這是我們範例組態中主要/次要 Proxy 裝置的 VIP。

!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35

ACL 會作為 TRAFFIC_TO_PROXY_ENV1 路由對應的比對準則。 當流量符合 PERMITTED_TO_PROXY_ENV1 ACL 時，PBR 會覆寫正常的路由表，改而將流量轉送至列出的 IP 地址的下一個躍點。

TRAFFIC_TO_PROXY_ENV1 PBR 原則會套用至從 CL04 主機和公用 VIP 以及測試機架中的 HLH 和 DVM 進入邊界裝置的流量。

後續步驟

深入瞭解防火牆整合，請參閱 Azure Stack Hub 防火牆整合。