تكوين VPN من موقع إلى موقع للاستخدام مع Azure Files

  • مقالة

يمكنك استخدام اتصال VPN من موقع إلى موقع (S2S) لتحميل مشاركات Azure Files من شبكتك المحلية، دون إرسال البيانات عبر الإنترنت المفتوح. يمكنك إعداد VPN من موقع إلى موقع باستخدام «Azure VPN Gateway»، وهو مورد Azure يقدم خدمات VPN، ويتم توزيعه في مجموعة موارد إلى جانب حسابات التخزين أو موارد Azure الأخرى.

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

نوصي بشدة بقراءة نظرة عامة على شبكة ملفات Azure قبل متابعة هذه المقالة لإجراء مناقشة كاملة لخيارات الشبكات المتوفرة لملفات Azure.

توضح المقالة بالتفصيل خطوات تكوين VPN من موقع إلى موقع لتحميل مشاركات ملف Azure مباشرة محليًّا. إذا كنت تبحث عن توجيه حركة مرور المزامنة ل Azure File Sync عبر VPN من موقع إلى موقع، فشاهد تكوين إعدادات وكيل Azure File Sync وجدار الحماية.

ينطبق على

نوع مشاركة الملف SMB NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) Yes No
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS) Yes No
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) Yes Yes

المتطلبات الأساسية

  • مشاركة ملف Azure التي ترغب في إدخالها محليًّا. يتم نشر مشاركات ملفات Azure داخل حسابات التخزين، وهي عبارة عن بنيات إدارة تمثل مجموعة تخزين مشتركة يمكنك من خلالها نشر مشاركات ملفات متعددة، بالإضافة إلى موارد تخزين أخرى، مثل الكائنات الثنائية كبيرة الحجم أو قوائم الانتظار. يمكنك معرفة المزيد حول كيفية نشر مشاركات ملفات Azure وحسابات التخزين في إنشاء مشاركة ملف Azure.

  • نقطة نهاية خاصة لحساب التخزين تحتوي على مشاركة ملف Azure التي تريد إدخالها محليًّا. لمعرفة كيفية إنشاء نقطة نهاية خاصة، راجع تكوين نقاط نهاية شبكة ملفات Azure.

  • جهاز شبكة أو خادم في مركز البيانات المحلي متوافق مع بوابة Azure VPN. تعد Azure Files غير محددة لجهاز الشبكة المحلي الذي تم اختياره، ولكن تحتفظ بوابة Azure VPN بقائمة بالأجهزة التي تم اختبارها. توفر أجهزة الشبكة المختلفة ميزات مختلفة وخصائص أداء ووظائف إدارية مختلفة، لذا ضع في اعتبارك هذه الميزات عند اختيار جهاز شبكة.

إذا لم يكن لديك جهاز شبكة موجود، فسيحتوي Windows Server على دور خادم مضمن والتوجيه والوصول عن بعد (RRAS)، والذي يمكن استخدامه كجهاز شبكة محلي. لمعرفة المزيد حول كيفية تكوين التوجيه والوصول عن بُعد في خادم Windows Server، راجع RAS Gateway.

إضافة شبكة ظاهرية إلى حساب التخزين

لإضافة شبكة ظاهرية جديدة أو موجودة إلى حساب التخزين الخاص بك، اتبع الخطوات التالية.

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى حساب التخزين الذي يحتوي على مشاركة ملف Azure التي ترغب في تحميلها محليا.

  2. في جدول المحتويات لحساب التخزين، حدد Security + networking > Networking. ما لم تقم بإضافة شبكة ظاهرية إلى حساب التخزين الخاص بك عند إنشائه، يجب أن يحتوي الجزء الناتج على الزر التبادلي ل Enabled من جميع الشبكات المحددة ضمن الوصول إلى الشبكة العامة.

  3. لإضافة شبكة ظاهرية ، حدد الزر التبادلي Enabled from selected virtual networks and IP addresses . ضمن العنوان الفرعي للشبكات الظاهرية، حدد إما + إضافة شبكة ظاهرية موجودة أو + إضافة شبكة ظاهرية جديدة. سيؤدي إنشاء شبكة ظاهرية جديدة إلى إنشاء مورد Azure جديد. يجب أن يكون مورد الشبكة الظاهرية الجديد أو الموجود في نفس منطقة حساب التخزين، ولكن لا يلزم أن يكون في نفس مجموعة الموارد أو الاشتراك. ومع ذلك، ضع في اعتبارك أن مجموعة الموارد والمنطقة والاشتراك الذي تنشر شبكتك الظاهرية فيه يجب أن تتطابق مع المكان الذي تنشر فيه بوابة الشبكة الظاهرية في الخطوة التالية.

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    إذا قمت بإضافة شبكة ظاهرية موجودة، يجب أولا إنشاء شبكة فرعية للبوابة على الشبكة الظاهرية. سيطلب منك تحديد شبكة فرعية واحدة أو أكثر من تلك الشبكة الظاهرية. إذا قمت بإنشاء شبكة ظاهرية جديدة، فستنشئ شبكة فرعية كجزء من عملية الإنشاء. يمكنك إضافة المزيد من الشبكات الفرعية لاحقا من خلال مورد Azure الناتج للشبكة الظاهرية.

    إذا لم تقم بتمكين الوصول إلى الشبكة العامة إلى الشبكة الظاهرية مسبقا، فستحتاج نقطة نهاية خدمة Microsoft.Storage إلى إضافتها إلى الشبكة الفرعية للشبكة الظاهرية. قد يستغرق هذا ما يصل إلى 15 دقيقة حتى يكتمل، على الرغم من أنه في معظم الحالات سيكتمل بشكل أسرع بكثير. حتى تكتمل هذه العملية، لن تتمكن من الوصول إلى مشاركات ملفات Azure داخل حساب التخزين هذا، بما في ذلك عبر اتصال VPN.

  4. حدد حفظ في الجزء العلوي من الصفحة.

توزيع بوابة شبكة ظاهرية

لنشر بوابة شبكة ظاهرية، اتبع الخطوات التالية.

  1. في مربع البحث أعلى مدخل Microsoft Azure، ابحث عن بوابات الشبكة الظاهرية ثم حددها. يجب أن تظهر صفحة بوابات الشبكة الظاهرية. في أعلى الصفحة، حدد + Create.

  2. في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل. يجب أن تكون بوابة الشبكة الظاهرية في نفس الاشتراك ومنطقة Azure ومجموعة الموارد مثل الشبكة الظاهرية.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه من القائمة المنسدلة.
    • مجموعة موارد: يتم ملء هذا الإعداد تلقائياً عند تحديدك للشبكة الظاهرية في هذه الصفحة.
    • الاسم: قم بتسمية بوابة الشبكة الظاهرية. تسمية البوابة ليست هي نفسها تسمية شبكة فرعية للبوابة. إنه اسم كائن بوابة الشبكة الظاهرية الذي تقوم بإنشاءه.
    • المنطقة: حدد المنطقة التي تريد إنشاء هذا المصدر بها. يجب أن تكون منطقة بوابة الشبكة الظاهرية هي نفس الشبكة الظاهرية.
    • نوع العبارة: حدد VPN. تستخدم عبارات VPN نوع عبارة الشبكة الظاهرية VPN.
    • SKU: حدد بوابة SKU التي تدعم الميزات التي تريد استخدامها من القائمة المنسدلة. يتحكم SKU في عدد الأنفاق المسموح بها من موقع إلى موقع والأداء المطلوب ل VPN. راجع وحدات SKU الخاصة بالبوابة. لا تستخدم Basic SKU إذا كنت تريد استخدام مصادقة IKEv2 (VPN المستندة إلى المسار).
    • الجيل: حدد الجيل الذي تريد استخدامه. نوصي باستخدام Generation2 SKU. لمزيدٍ من المعلومات، يُرجى مراجعة Gateway SKUs.
    • الشبكة الظاهرية: من القائمة المنسدلة، حدد الشبكة الظاهرية التي أضفتها إلى حساب التخزين الخاص بك في الخطوة السابقة.
    • الشبكة الفرعية: يجب أن يكون هذا الحقل رمادي اللون وأن يسرد اسم الشبكة الفرعية للبوابة التي قمت بإنشائها، إلى جانب نطاق عناوين IP الخاص بها. إذا رأيت بدلا من ذلك حقل نطاق عناوين الشبكة الفرعية للبوابة مع مربع نص، فأنت لم تقم بعد بتكوين شبكة فرعية للبوابة على الشبكة الظاهرية.

  3. حدد قيم عنوان IP العام الذي يتم إقرانه ببوابة الشبكة الظاهرية. يتم تعيين عنوان IP العام لهذا الكائن عند إنشاء بوابة الشبكة الظاهرية. المرة الوحيدة التي يتغير فيها عنوان IP العام الأساسي هي عند حذف البوابة وإعادة إنشائها. لا يتغير عبر تغيير الحجم أو إعادة التعيين أو الصيانة/الترقيات الداخلية الأخرى.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • عنوان IP العام: عنوان IP لبوابة الشبكة الظاهرية التي سيتم عرضها على الإنترنت. على الأرجح، ستحتاج إلى إنشاء عنوان IP جديد، ولكن يمكنك أيضا استخدام عنوان IP غير مستخدم موجود. إذا حددت Create new، فسيتم إنشاء مورد Azure لعنوان IP جديد في نفس مجموعة الموارد مثل بوابة الشبكة الظاهرية ، وسيكون اسم عنوان IP العام هو اسم عنوان IP الذي تم إنشاؤه حديثا. إذا قمت بتحديد استخدام موجود، يجب عليك تحديد عنوان IP الحالي غير المستخدم.
    • اسم عنوان IP العام: في مربع النص، اكتب اسما لمثيل عنوان IP العام.
    • عنوان IP العام SKU: يتم تحديد الإعداد تلقائيا.
    • التعيين: عادة ما يتم تحديد التعيين تلقائيا ويمكن أن يكون إما ديناميكيا أو ثابتا.
    • تمكين الوضع النشط-النشط: حدد معطل. قم بتمكين هذا الإعداد فقط إذا كنت تقوم بإنشاء تكوين بوابة نشط-نشط. لمعرفة المزيد حول الوضع النشط، راجع الاتصالية عبر المباني وVNet-to-VNet المتوفر بشكل كبير.
    • تكوين BGP: حدد Disabled، إلا إذا كان التكوين الخاص بك يتطلب على وجه التحديد بروتوكول بوابة الحدود. إذا كنت تحتاج إلى هذا الإعداد، يكون ASN الافتراضي هو 65515، على الرغم من أنه يمكن تغيير هذه القيمة. لمعرفة المزيد حول هذا الإعداد، راجع نبذة BGP مع Azure VPN Gateway.

  4. حدد Review + create لتشغيل التحقق من الصحة. بمجرد اجتياز التحقق من الصحة، حدد Create لنشر بوابة الشبكة الظاهرية. قد يستغرق النشر ما يصل إلى 45 دقيقة لإكماله.

إنشاء بوابة شبكة محلية للبوابة المحلية

بوابة الشبكة المحلية هي مورد Azure يمثل جهاز الشبكة المحلي. يتم نشره جنبا إلى جنب مع حساب التخزين والشبكة الظاهرية وبوابة الشبكة الظاهرية، ولكنه لا يحتاج إلى أن يكون في نفس مجموعة الموارد أو الاشتراك مثل حساب التخزين. لإنشاء بوابة شبكة محلية، اتبع الخطوات التالية.

  1. في مربع البحث أعلى مدخل Microsoft Azure، ابحث عن بوابات الشبكة المحلية وحددها. يجب أن تظهر صفحة بوابات الشبكة المحلية. في أعلى الصفحة، حدد + Create.

  2. في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل.

    Screenshot showing how to create a local network gateway using the Azure portal.

    • الاشتراك: اشتراك Azure المطلوب. لا يحتاج هذا إلى مطابقة الاشتراك المستخدم لبوابة الشبكة الظاهرية أو حساب التخزين.
    • مجموعة الموارد: مجموعة الموارد المرغوبة. لا يحتاج هذا إلى مطابقة مجموعة الموارد المستخدمة لبوابة الشبكة الظاهرية أو حساب التخزين.
    • المنطقة: منطقة Azure التي يجب إنشاء مورد بوابة الشبكة المحلية فيها. يجب أن يتطابق هذا مع المنطقة التي حددتها لبوابة الشبكة الظاهرية وحساب التخزين.
    • الاسم: اسم مورد Azure لبوابة الشبكة المحلية. قد يكون هذا الاسم أي اسم تجده مفيدًا لإدارتك.
    • نقطة النهاية: اترك عنوان IP محددا.
    • عنوان IP: عنوان IP العام للبوابة المحلية الخاصة بك محليًّا.
    • مساحة العنوان: نطاق العنوان أو نطاقات الشبكة التي تمثلها بوابة الشبكة المحلية هذه. على سبيل المثال: 192.168.0.0/16. إذا أضفت نطاقات متعددة لمساحة العنوان، فتأكد من أن النطاقات التي تحددها لا تتداخل مع نطاقات الشبكات الأخرى التي تريد الاتصال بها. إذا كنت تخطط لاستخدام بوابة الشبكة المحلية هذه في اتصال BGP-enabled، ثم البادئة الأقل تحتاج إلى تعريف، هو عنوان المضيف من عنوان بروتوكول الإنترنت النظير BGP الخاص بك على جهاز الشبكة الظاهرية الخاصة الخاص بك.

  3. إذا كانت مؤسستك تتطلب BGP، فحدد علامة التبويب Advanced لتكوين إعدادات BGP. لمعرفة المزيد، راجع حول BGP مع بوابة Azure VPN.

  4. حدد Review + create لتشغيل التحقق من الصحة. بمجرد اجتياز التحقق من الصحة، حدد Create لإنشاء بوابة الشبكة المحلية.

تكوين جهاز شبكة محلية

تعتمد الخطوات المحددة لتكوين جهاز الشبكة المحلي على جهاز الشبكة الذي حددته مؤسستك. اعتمادا على الجهاز الذي اختارته مؤسستك، قد تحتوي قائمة الأجهزة التي تم اختبارها على ارتباط إلى إرشادات مورد الجهاز للتكوين باستخدام بوابة شبكة Azure الظاهرية.

إنشاء اتصال من موقع إلى موقع

لإكمال نشر S2S VPN، يجب إنشاء اتصال بين جهاز الشبكة المحلي (ممثل بواسطة مورد بوابة الشبكة المحلية) وبوابة شبكة Azure الظاهرية. لكي تفعل هذا، اتبع هذه الخطوات.

  1. انتقل إلى بوابة الشبكة الظاهرية التي أنشأتها. في جدول المحتويات لبوابة الشبكة الظاهرية، حدد الإعدادات الاتصال، ثم حدد + إضافة>.

  2. في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل.

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • الاشتراك: اشتراك Azure المطلوب.
    • مجموعة الموارد: مجموعة الموارد المرغوبة.
    • نوع الاتصال: لأن هذا الاتصال S2S، حدد من موقع إلى موقع (IPSec) من القائمة المنسدلة.
    • الاسم: اسم الاتصال. يمكن أن تستضيف بوابة الشبكة الظاهرية اتصالات متعددة، لذا اختر اسما مفيدا للإدارة وسيميز هذا الاتصال المحدد.
    • المنطقة: المنطقة التي حددتها لبوابة الشبكة الظاهرية وحساب التخزين.

  3. في علامة التبويب الإعدادات، قم بتوفير المعلومات التالية.

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • بوابة الشبكة الظاهرية: حدد بوابة الشبكة الظاهرية التي أنشأتها.
    • بوابة الشبكة المحلية: حدد بوابة الشبكة المحلية التي أنشأتها.
    • المفتاح المشترك (PSK): خليط من الأحرف والأرقام المستخدمة لإنشاء تشفير للاتصال. يجب استخدام نفس المفتاح المشترك في كل من الشبكة الظاهرية وبوابات الشبكة المحلية. إذا كان جهاز البوابة الخاص بك لا يوفر واحدًا، فيمكنك إنشاء جهاز هنا وتوفيره لجهازك.
    • بروتوكول IKE: اعتمادا على جهاز VPN الخاص بك، حدد IKEv1 لشبكة VPN المستندة إلى النهج أو IKEv2 لشبكة VPN المستندة إلى المسار. لمعرفة المزيد حول نوعي بوابات VPN، راجع حول بوابات VPN المستندة إلى النهج والمستندة إلى المسار.
    • استخدام عنوان IP الخاص ل Azure: يتيح لك التحقق من هذا الخيار استخدام عناوين IP الخاصة ل Azure لإنشاء اتصال IPsec VPN. يجب تعيين دعم عناوين IP الخاصة على بوابة VPN لكي يعمل هذا الخيار. وهو مدعوم فقط على وحدات SKU لبوابة AZ.
    • تمكين BGP: اتركه دون تحديد ما لم تطلب مؤسستك هذا الإعداد على وجه التحديد.
    • تمكين عناوين BGP المخصصة: اتركه دون تحديد ما لم تطلب مؤسستك هذا الإعداد على وجه التحديد.
    • FastPath: تم تصميم FastPath لتحسين أداء مسار البيانات بين شبكتك المحلية والشبكة الظاهرية. اعرف المزيد.
    • نهج IPsec / IKE: نهج IPsec / IKE الذي سيتم التفاوض عليه للاتصال. اترك Default محددا ما لم تكن مؤسستك تتطلب نهج مخصص. اعرف المزيد.
    • استخدام محدد حركة المرور المستندة إلى النهج: اترك معطلا ما لم تكن بحاجة إلى تكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى النهج في أماكن العمل. إذا قمت بتمكين هذا الحقل، يجب عليك التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المتطابقة المعرفة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) إلى/من بادئات شبكة Azure الظاهرية، بدلا من أي إلى أي. على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • مهلة DPD بالثواني: مهلة الكشف عن النظير الميت للاتصال بالثواني. القيمة الموصى بها والافتراضية لهذه الخاصية هي 45 ثانية.
    • وضع الاتصال: يتم استخدام وضع الاتصال لتحديد البوابة التي يمكنها بدء الاتصال. عند تعيين هذه القيمة إلى:
      • الافتراضي: يمكن لكل من Azure وبوابة VPN المحلية بدء الاتصال.
      • ResponderOnly: لن تبدأ بوابة Azure VPN الاتصال أبدا. يجب أن تبدأ بوابة VPN المحلية الاتصال.
      • InitiatorOnly: ستبدأ بوابة Azure VPN الاتصال وترفض أي محاولات اتصال من بوابة VPN المحلية.

  4. حدد Review + create لتشغيل التحقق من الصحة. بمجرد اجتياز التحقق من الصحة، حدد Create لإنشاء الاتصال. يمكنك التحقق من إجراء الاتصال بنجاح من خلال صفحة الاتصال بوابة الشبكة الظاهرية.

مشاركة ملف Mount Azure

الخطوة الأخيرة في تكوين S2S VPN هي التحقق من أنه يعمل مع Azure Files. يمكنك القيام بذلك عن طريق تحميل مشاركة ملف Azure محليا. راجع تعليمات الإدخال بواسطة نظام التشغيل هنا:

(راجع أيضًا )