Neste artigo iremos criar Web Site em alta disponibilidade, composto por duas VM Windows Server 2019 com IIS habilitado e um load balance, não iremos abordar aqui segurança como Application Gateway, WAF, API MAN, etc. Este artigo visa somente a criação via scritp de toda a infraestrutura (também não iremos abordar o deploy de qualquer aplicação neste artigo).
az vm availability-set create -g “${RG_Name}” -n “${Name_AV_SET}” –platform-fault-domain-count “${Fault_Domain}” –platform-update-domain-count “${Update_Domain}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declarando varivel para utilizar Vnet existente (Obrigatório)
SUBNET_ID001=$(az network vnet subnet show –name “${Subnet_Name}” –vnet-name “${Vnet_Name}” -g “${RG_Vnet}” –query id –output tsv) SUBNET_ID002=$(az network vnet subnet show –name “${Subnet_Name}” –vnet-name “${Vnet_Name}” -g “${RG_Vnet}” –query id –output tsv) export IPConfig_Name=”ipconfig1″
###Criando NIC (Interface de rede)
az network nic create –name “${NIC_Name1}” -g “${RG_Name}” –subnet $SUBNET_ID001 –accelerated-networking “${Accelerated}” –network-security-group “${NSG_Name}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}” az network nic create –name “${NIC_Name2}” -g “${RG_Name}” –subnet $SUBNET_ID002 –accelerated-networking “${Accelerated}” –network-security-group “${NSG_Name}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declaranado Variaveis para Fixar IP
NIC_ID001=$(az network nic show –name “${NIC_Name1}” -g “${RG_Name}” –query id –output tsv) NIC_ID002=$(az network nic show –name “${NIC_Name2}” -g “${RG_Name}” –query id –output tsv)
###Declarando varivel para utilizar IP Fixo existente (Obrigatório)
IP_ID001=$(az network nic ip-config show -g “${RG_Name}” -n “${IPConfig_Name}” –nic-name “${NIC_Name1}” –query privateIpAddress –output tsv) IP_ID002=$(az network nic ip-config show -g “${RG_Name}” -n “${IPConfig_Name}” –nic-name “${NIC_Name2}” –query privateIpAddress –output tsv)
###Fixando IP na interface de rede#Fixando IP
az network nic ip-config update -g “${RG_Name}” –nic-name “${NIC_Name1}” -n “${IPConfig_Name}” –private-ip-address $IP_ID001 az network nic ip-config update -g “${RG_Name}” –nic-name “${NIC_Name2}” -n “${IPConfig_Name}” –private-ip-address $IP_ID002
az disk create -g “${RG_Name}” -n “${Disk_Data01}” –size-gb “${SizeDisk_02}” az disk create -g “${RG_Name}” -n “${Disk_Data02}” –size-gb “${SizeDisk_02}”
###Anexando Disco a VM existente
az vm disk attach -g “${RG_Name}” –vm-name “${VM_Name1}” –name “${Disk_Data01}” az vm disk attach -g “${RG_Name}” –vm-name “${VM_Name2}” –name “${Disk_Data02}”
###Habilitando IIS Windows Server
az vm extension set –publisher Microsoft.Compute –version 1.8 –name CustomScriptExtension –vm-name “${VM_Name1}” -g “${RG_Name}” –settings ‘{“commandToExecute”:”powershell.exe Install-WindowsFeature -Name Web-Server”}’ az vm extension set –publisher Microsoft.Compute –version 1.8 –name CustomScriptExtension –vm-name “${VM_Name2}” -g “${RG_Name}” –settings ‘{“commandToExecute”:”powershell.exe Install-WindowsFeature -Name Web-Server”}’
Neste artigo venha trazer um modelo de DNS Personal multi cloud em infraestrutura Híbrida, não estou certo nem errado para promover essa infraestrutura de DNS, quero apenas mostrar como uma infraestrutura de DNS Personal em alta disponibilidade Multi Cloud pode ser altamente recomendada em ambientes Híbrido Multi Cloud.
Bom chegar de falar e vamos lá.
Primeiramente vamos separar aqui os papeis, DNS é DNS e AD é AD, certo disso, então vamos a mão na massa. (Não vou entrar muito em detalhes de topologia e configurações, aqui será mais uma visão macro da infraestrutura de DNS Personal)
Vamos ao nosso ambiente On Premises.
Temos em nosso em ambiente local as seguintes configurações:
DNS Personal Vnet DNS1: 10.128.8.254 DNS2: 10.128.8.253
Topologia DNS AWS
E por fim chegamos em nossa infraestrutura DNS com Alta disponibilidade em ambiente multi Cloud Híbrido.
Temos em nossos servidores de DNS as seguintes zonas Domínios DNS Personal: intranet, intracorp, dc, corp, infra, homolg, dev, pp, uat, qa, prod, sandbox Reverse Zone: 10.128 Foward Zone DNS: glbx.corp (cada servidor DNS faz o Foward para seu respectivo AD Local) Exemplo Azure faz Forward para BRSAOAZUAD01 e BRSAOAZUAD01 Exemplo AWS faz Forward para BRSAOAWSAD01 e BRSAOAWSAD01 Exemplo On Premises faz Forward para BRSAOPTAAD01 e BRSAOPTAAD01
Neste artigo iremos criar uma Maquina Virtual com CentOS Linux utilizando uma Vnet existente e fixando IP (rede interna), criaremos também um NSG para esta VM, um storage account para diagnostico de boot e conjunto de disponibilidade e com acesso via chave publica/privada sem a necessidade de utilizar senha.
#!/bin/bash
##Declarando variáveis
##Declarando variáveis (Obrigatório)
export Subscription_Name=”Azure Subscription” export RG_Name=”Nome do Resource Group” export Location=”Azure Region” export Object_Name=”Nome do Objeto”
##Storage Accout
export Storage=”Nome do Storage Account” ##Exemplo storagevmdiag## export SKU_Storage=”SKU do Storage Account” ##Exemplo Standard_LRS##
##Conjunto de Disponibiliade Availability Set
export Name_AV_SET=”AV-SET”-“Nome do Conjunto de Disponibilidade” export Fault_Domain=”3″ export Update_Domain=”20″
##Network Security Group NSG
export NSG_Name=”Nome do NSG” ##Exemplo NSG-VM-Frontend##
##Vnet Existente (Variáveis para utilizar Vnet Existente)
export RG_Vnet=”Nome do Resurce Goup onde encontra-se a Vnet existente” export Subnet_Name=”Nome da subnet existente” export Vnet_Name=”Nome da Vnet existente”
##Variáveis de Rede (Obrigatório)
export NIC_Name=”Nome da interface de rede” export Accelerated=”False ou true”
##Variavel para criacao da VM (Obrigatório)
export Image_SO=”CentOS” export VM_Name=”Nome do servidor” export User_Name=”azroot” export key_PUB=”Local da chave publica” ##Exemplo /script/key/chave_publica.pub## caminho absoluto export Size=”Tier da VM” export SKU_STG=”Sku do Disco” ## Disco ## Exemplo Standard_LRS###
##Variaveis TAGs (Não Obrigatório)
export Costacenter=”Centro de Custos” export Value_Costcenter=”Numero do centos de custo” export Environment=”Environment” export Environment_Value=”Ambiente” ##’Desenvolvimento’-‘Homologação’-‘Produção’## export Depto=”Departamento” ##Squad-Team-Time## export Depto_Value=”Nome do Departamento” ##infra-cartões-telecom
###Execução do Script
###Selecionar subscription
az account set –subscription “${Subscription_Name}”
###Criando Resource Group
az group create -n “${RG_Name}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
Neste artigo iremos criar uma Maquina Virtual com CentOS Linux utilizando uma Vnet existente e fixando IP (rede interna), criaremos também um NSG para esta VM, um storage account para diagnostico de boot e conjunto de disponibilidade.
Vamos ao script
#!/bin/bash #||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| #|||Script Charles Aureliano Santana||| #|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
##Declarando variaveis export Subscription_Name=”Azure Subscription” export RG_Name=”Nome do Resource Group” export Location=”Azure Region” export Object_Name=”Nome do Objeto”
##Storage Accout export Storage=”Nome do Storage Account” ##Exemplo storagevmdiag## export SKU_Storage=”SKU do Storage Account” ##Exemplo Standard_LRS##
##Conjunto de Disponibiliade Availability Set export Name_AV_SET=”AV-SET”-“Nome do Conjunto de Disponibilidade” export Fault_Domain=”3″ export Update_Domain=”20″
##Network Security Group NSG export NSG_Name=”Nome do NSG” ##Exemplo NSG-VM-Frontend##
###Vnet Existente (Variaveis para utilizar Vnet Existente) export RG_Vnet=”Nome do Resurce Goup onde encontra-se a Vnet existente” export Subnet_Name=”Nome da subnet existente” export Vnet_Name=”Nome da Vnet existente”
##Variaveis de Rede (Obrigatório) export NIC_Name=”Nome da interface de rede” export Accelerated=”False ou true”
##Variavel para criacao da VM (Obrigatório) export Image_SO=”SKU Image Azure” ##Exemplo ‘CentOS’ export VM_Name=”Nome do Servidor” “”15 caracteres export User_Name=”Usuário do SO” export PWD=”Senha do usuário do SO” export Size=”Standard_D2S_v3″ ## Tier da VM export SKU_STG=”Standard_LRS” ## Disco ##
##Variaveis TAGs (Não Obrigatório) export Costacenter=”Centro de Custos” export Value_Costcenter=”Numero do centos de custo” export Environment=”Environment” export Environment_Value=”Ambiente” ##’Desenvolvimento’-‘Homologação’-‘Produção’## export Depto=”Departamento” ##Squad-Team-Time## export Depto_Value=”Nome do Departamento” ##infra-cartões-telecom
##Execução do Script ###Selecionar subscription az account set –subscription “${Subscription_Name}”
###Criando Resource Group az group create -n “${RG_Name}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Criando Network Security Group NSG az network nsg create -g “${RG_Name}” -n “${NSG_Name}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Criar Grupo de Disponibilidade az vm availability-set create -g “${RG_Name}” -n “${Name_AV_SET}” –platform-fault-domain-count “${Fault_Domain}” –platform-update-domain-count “${Update_Domain}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declarando varivel para utilizar Vnet existente (Obrigatório) SUBNET_ID001=$(az network vnet subnet show –name “${Subnet_Name}” –vnet-name “${Vnet_Name}” -g “${RG_Vnet}” –query id –output tsv) export IPConfig_Name=”ipconfig1″
###Criando NIC (Interface de rede) az network nic create –name “${NIC_Name}” -g “${RG_Name}” –subnet $SUBNET_ID001 –accelerated-networking “${Accelerated}” –network-security-group “${NSG_Name}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declaranado Variaveis para Fixar IP NIC_ID001=$(az network nic show –name “${NIC_Name}” -g “${RG_Name}” –query id –output tsv)
###Declarando varivel para utilizar IP Fixo existente (Obrigatório) IP_ID001=$(az network nic ip-config show -g “${RG_Name}” -n “${IPConfig_Name}” –nic-name “${NIC_Name}” –query privateIpAddress –output tsv)
###Fixando IP na interface de rede#Fixando IP az network nic ip-config update -g “${RG_Name}” –nic-name “${NIC_Name}” -n “${IPConfig_Name}” –private-ip-address $IP_ID001
###Criando Virtual Machine CentOS Linux az vm create –name “${VM_Name}” -g “${RG_Name}” -l “${Location}” –availability-set “${Name_AV_SET}” –boot-diagnostics-storage “${Storage}” –image “${Image_SO}” –nics $NIC_ID001 –admin-username “${User_Name}” –admin-password “${PWD}” –size “${Size}” –storage-sku “${SKU_STG}”
Neste artigo iremos criar uma Maquina Virtual com Windows utilizando uma Vnet existente e fixando IP (rede interna), criaremos também um NSG para esta VM, um storage account para diagnostico de boot e conjunto de disponibilidade.
Vamos ao script
#!/bin/bash
##Declarando variaveis export Subscription_Name=”Subscription Azure” export RG_Name=”Nome do Resource Group” export Location=”Azure Region” export Object_Name=”Nome do Objeto”
##Storage Accout
##Conjunto de Disponibiliade Availability Set export Name_AV_SET=”Nome do Grupo de Disponibilidade”
##Network Security Group NSG export NSG_Name=”Nome do NSG##Exemplo NSG-VM-Frontend## export Fault_Domain=”3″ export Update_Domain=”20″
##Vnet Existente (Variaveis para utilizar Vnet Existente) export RG_Vnet=”Resource Grupo Vnet existente” export Subnet_Name=”subnet-existente” export Vnet_Name=”Vnet existente”
##Variaveis de Rede (Obrigatório) export NIC_Name=”NIC”-“${Object_Name}” export Accelerated=”False”
##Variavel para criacao da VM (Obrigatório) export Image_SO=”Win2019Datacenter” export VM_Name=”SRVWEBSERVER01″ export User_Name=”azroot” export PWD=”@edRc%2010T$3U” export Size=”Standard_D2S_v3″ export SKU_STG=”Standard_LRS” ## Disco ##
###Selecionar subscription az account set –subscription “${Subscription_Name}”
###Criando Resource Group az group create -n “${RG_Name}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Criando Network Security Group NSG az network nsg create -g “${RG_Name}” -n “${NSG_Name}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Criar Grupo de Disponibilidade az vm availability-set create -g “${RG_Name}” -n “${Name_AV_SET}” –platform-fault-domain-count “${Fault_Domain}” –platform-update-domain-count “${Update_Domain}” -l “${Location}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declarando varivel para utilizar Vnet existente (Obrigatório) SUBNET_ID001=$(az network vnet subnet show –name “${Subnet_Name}” –vnet-name “${Vnet_Name}” -g “${RG_Vnet}” –query id –output tsv) export IPConfig_Name=”ipconfig1″
###Criando NIC (Interface de rede) az network nic create –name “${NIC_Name}” -g “${RG_Name}” –subnet $SUBNET_ID001 –accelerated-networking “${Accelerated}” –network-security-group “${NSG_Name}” –tags “${Costacenter}”=”${Value_Costcenter}” “${Environment}”=”${Environment_Value}” “${Depto}”=”${Depto_Value}”
###Declaranado Variaveis para Fixar IP NIC_ID001=$(az network nic show –name “${NIC_Name}” -g “${RG_Name}” –query id –output tsv)
###Declarando varivel para utilizar IP Fixo existente (Obrigatório) IP_ID001=$(az network nic ip-config show -g “${RG_Name}” -n “${IPConfig_Name}” –nic-name “${NIC_Name}” –query privateIpAddress –output tsv)
###Fixando IP na interface de rede ###Fixando IP az network nic ip-config update -g “${RG_Name}” –nic-name “${NIC_Name}” -n “${IPConfig_Name}” –private-ip-address $IP_ID001
###Criando Virtual Machine Windows Server 2019 az vm create –name “${VM_Name}” -g “${RG_Name}” -l “${Location}” –availability-set “${Name_AV_SET}” –boot-diagnostics-storage “${Storage}” –image “${Image_SO}” –nics $NIC_ID001 –admin-username “${User_Name}” –admin-password “${PWD}” –size “${Size}” –storage-sku “${SKU_STG}”
Neste artigo venho apresentar uma topologia utilizando Cloud Azure, com 7 Vnets ligadas por peering, gateway de VPN com BGP e Azure Firewall.
Nesta topologia todas as subnets estão com route table 0.0.0.0/0 para o IP da interface do nosso Azure Firewall
0.0.0.0/0 –> 10.128.0.68
Desta maneira temos total segregação da rede (Azure Vnet), onde cada projeto/departamento tem sua propria vnet. Desta forma a vnet por exemplo do RH não fala com a Vnet de Marketing (Somente se for criada regras de Firewall) e o porque de utilizar desta forma.
Na minha visão tem que ser “cada um no seu quadrado”, não porque estamos em cloud que esse pensamento deve mudar, desta maneira tornamos nosso ambiente mais seguro, protegemos nossas cargas de trabalhos, deixamos cada ambiente totalmente isolado, segredado e seguro.
Na borda nos temos Azure Firewall com default route, onde ele controla tudo que entra e sai da nossa rede.
Topologia Azure Firewall
Exemplos de regras na pratica
Temos nesta topologia dois servidores de DNS (Windows Server 2019):
AZUEASTDNS01 e AZUEASTDNS02 (dentro do dominio glbx.corp)
Conforme regra criada acima, todas as vnet que estão fazendo peering, e com route default 0.0.0.0/0 para o IP no nosso Azure Firewall, iram conseguir resolver nomes utilizando nossos servidores DNSs.
Vamos a outro exemplo pratico.
Em nosso ambiente temos dois servidores web (Windows Server 2019 com IIS) que hospeda a intranet da empresa, na frente deste servidores temos um load balance fazendo o balanceamento da carga, que possui o IP 10.128.11.196
Para os colaboradores acessarem a infraestrutura da empresa, existe uma VPN IPSec com BGP comunicando o ambiente OnPremises e o ambiente do Azure
A regra para liberar o acesso dos colaboradores ao nosso ambiente “intranet” seria assim:
Name: acesso rede interna – intranet Protocol: TCP Source: 10.127.0.0/22 (Este CIDR é da rede OnPremises) Destination Address: 10.128.11.196 (IP do Load Balance) Destinaton Port: 80/443
Nossa intranet utiliza banco de dados Azure Database SQL (PaaS), para este modelo criamos um Azure Database SQL (PaaS) com private link e bloqueamos totalmente o acesso externo (Internet) ele só é acessivel via rede interna.
Link para utilização de private link com DNS Personal (Neste exemplo utilizamos desta forma)
Name: acesso rede interna – intranet Protocol: TCP Source: 10.128.10.4,10.128.11.4 Destination Address: 10.128.4.10 (IP do Private Link que criamos) Destinaton Port: 1433
Com esta regra nossa aplicação “intranet” conseguirá acessar o banco de dados PaaS via rede interna.
Outro exemplo pratico, neste cenário iremos expor uma aplicação para internet
Iremos expor nosso Site Institucional para a internet, temos este ambiente
Frontend: Application Gateway com IP Privado, peering com nossa vnet master, porém na subnet onde esta hospedado nossa application gateway não possui route default 0.0.0.0/0 para nosso AzureFirewall
Iremos utilizar o recurso de NAT para expor nosso site com destino um Appplication Gateway (não irei ensinar neste exemplo com criar/configurar um application gatewaY)
Name: acesso site institucional Protocol: TCP Source: * (qualquer lugar da internet) Destination Address: 20.72.175.158 (IP previamente criado a atachado ao azure firewall) Destinaton Port: 443 Translate Adress: 10.128.4.10 (IP privado do Application Gateway) Translate Port: 443
Com a regra de firewall criada acima nosso site institucional ficará exposto para a internet com proteção de anti-DDoS do Azure que esta em nossa borda e por Application Gateway (WAF) na frente da aplicação.
Essa topologia não esta certa nem errada, eu acredito que é possivel deixar seu ambiente totalmente segredado, seguro, com um ponto unico de acesso e ainda conseguir utilizar todos os recurso do Azure de forma segura.
Bom é isso pessoal, fiquem a vontade para criticar/sugestionar
Outra coisa importante que se deve levar em conta, se no seu ambiente se faz necessário estabelecer comunicação com outras empresas, parceiros cliente etc….pense em utilizar a o proprio gateway de VPN BGP, porém pense que seu cliente da VPN IPSec não poderá utilizar a mesma rede que seu ambiente, neste exemplo o CIDR 10.128.0.0/16 e nem 10.127.0.0/22, para resolver essa questão você pode estabelecer a VPN IPSec em seu ambiente OnPremises e fazer o roteamento dos pacotes para seu ambiente no Azure (recomendo somente se não for critico, pois se seu ambiente OnPremises ficar indisponivel a VPN ficará também), outra solução seria criar um nova Vnet (Para deixar o ambiente segredado)e criar um Virtual Appliance como por exemplo “Fortigate” (Pode ser Palo Alto, SonicWall, PFSense), com a Vnet criada, faça o peering com a vnet master para propagação BGP, e NÃO deixe como rota default as subnets do fortigate para o AzureFirewall, depois disso bastas estabelecer o tunnel IPSec com seu parceiro e criar as devidas rotas na tabela de roteamento e as regras no Azure Firewall.
Como vimos em nossa seria de artigos de criação de vnet, peering, bgp e VPN IPSec com BGP, vamos criar mais uma vnet em nossa infraestrutura já existente. Veja nossos artigos nas sequencia:
Com isso concluimos nossa seria de Vnet com peering e propagação BGP, a cada vnet nova criada com peering (utilizando as configuração aqui exibidas) não é necessário fazer mais nada em nosso fortigate ou Gateway de VPN, um lembrete muito importante as redes não podem se sobscrever (Over lapping).
Neste artigo iremos criar nossa conexão de VPN IPSec com BGP entre nosso Gateway BGP e nosso ambiente OnPremises com Fortigate.
#!/bin/bash #Declarando variaveis ##Selecionar subscription export Subscription_01=’Santana-Corp’ ##região export Location=brazilsouth ##Resouce Group export RG_Name01=”${Environment_01}”-Network ##Projeto export Projecto_01=’VPN Produção BGP’ export ID_Object=’789654741′ ##Centro de Custo export Costcenter_Team=’Team Network’ export Costcenter_Number=’78954′ ##Suporte Acionamento export Support_Team=’[email protected]’ export Support_Number=’+55 11 3000-XXXX’ ##Environmont export Environment_01=’VPN-BGP-Prodution’ export LGW_01=’lgw-fgt-operadora-01′ ##Variaveis de Conexão export IP_Peer_01=’xxx.xxx.xxx.xxx’ ##peer da VPN do firewall onpremises export Local_Network_01=’192.168.0.0/16′ ##rede local do ambiente onpremises export ASN_01=’65010′ ##este ASN é privado, você pode utilizar seu proprio ASN ou um disponivel pelo azure, neste exemplo iremos utilizar 65010 para ser o ASN local export Peer_BGP_01=’169.254.21.11′ ##este é o IP que será utilizado na interface do firewall
##Tags export Tag01_Key=”${Environment_01}” export Tag02_Key=”${Projecto_01}” export Tag03_Key=”${ID_Object}” export Tag04_Key=”${Costcenter_Team}” export Tag05_Key=”${Costcenter_Number}” export Tag06_Key=”${Support_Team}” export Tag07_Key=”${Support_Number}” export Name_Value_01=’Environment’ export Name_Value_02=’Projeto’ export Name_Value_03=’ID Projeto’ export Name_Value_04=’Centro de Custo Team’ export Name_Value_05=’Centro de Custo Number’ export Name_Value_06=’Time de Suporte’ export Name_Value_07=’Telefone do Suporte’
Agora vamos para as configurações no Fortigate (neste exemplo iremos utilizar Fortinet, mas pode ser qualquer appliance com suport a BGP)
##Aqui definimos as Phase1
config vpn ipsec phase1-interface edit AZU-HA-VPN-INT0 set interface port1 ## porta WAN set ike-version 2 set keylife 28800 set peertype any set proposal aes256-sha1 3des-sha1 aes256-sha256 set dhgrp 2 set remote-gw xxx.xxx.xxx.xxx ##IP 01 do Gateway que foi criado em nossos artigo set psksecret 123vfe56TFr next end
##Aqui definimos a Phase2 config vpn ipsec phase2-interface edit AZU-HA-VPN-INT0 set phase1name AZU-HA-VPN-INT0 set proposal aes256-sha1 3des-sha1 aes256-sha256 aes256gcm set pfs disable set keylifeseconds 27000 next end
##Aqui editamos a interface que criamos com o endereçamento IP que criamos anteriormente em nossos artigos config system interface edit AZU-HA-VPN-INT0 set ip 169.254.21.11 255.255.255.255 set remote-ip 169.254.21.10 255.255.255.255 next end
##Aqui configuramos o BGP config router bgp set as 65010 set router-id XXX.XXX.XXX.XXX ##IP Publico da interface da VPN
##Aqui configuramos o PAR BGP que configuramos no Azure config neighbor edit 169.254.21.10 set soft-reconfiguration enable set remote-as 65512 next end
##Aqui anunciamos nossas redes OnPremises, neste exemplo 192.168.0.0/16 config router bgp config network edit 1 set prefix 192.168.0.0 255.255.0.0 next end
##Aqui configuramos uma ZONA para ter varias interfaces na mesma zona, config system zone edit Cloud set interface AZU-HA-VPN-INT0 set intrazone allow next end
## Aqui configuramos as regras de firewall de INBOUND e OUTBOUND config firewall policy edit 1 set name LAN-TO-CLOUD set srcintf port2 set dstintf Cloud set srcaddr all set dstaddr all set action accept set schedule always set service ALL next edit 2 set name CLOUD-TO-LAN set srcintf Cloud set dstintf port2 set srcaddr all set dstaddr all set action accept set schedule always set service ALL end
Resultado
Aqui verificamos que as rotas BGP ja estão sendo anunciadas e recebidas
Nesta série de artigos vimos com criar vnet/gateway BGP/local network/connection com BGP.
Agora cada vnet criada com peering com nossa Vnet Shared-PRO, teremos propagada a CIDR de forma automatica para nossa BGP.
Para criação da segunda VPN com outra operadora basta seguir os passos novamente.
Charles Aureliano Santana 
Você precisa fazer login para comentar.