Partager via


Configurer un VPN site à site pour une utilisation avec Azure Files

Vous pouvez utiliser une connexion VPN site à site (S2S) pour monter vos partages de fichiers Azure à partir de votre réseau local, sans envoyer de données via l’Internet ouvert. Vous pouvez configurer un VPN S2S à l’aide de la passerelle VPN Azure, qui est une ressource Azure offrant des services VPN. Vous déployez une passerelle VPN dans un groupe de ressources en même temps que des comptes de stockage ou d’autres ressources Azure.

Un graphique illustrant la topologie d’une passerelle VPN Azure connectant un partage de fichiers Azure à un site local à l’aide d’un VPN S2S

Avant de poursuivre cet article, nous vous recommandons vivement de lire Vue d’ensemble de la mise en réseau Azure Files qui fournit une description complète des options de mise en réseau disponibles pour Azure Files.

L’article détaille les étapes de configuration d’un VPN site à site pour monter des partages de fichiers Azure directement en local. Si vous souhaitez router le trafic de synchronisation pour Azure File Sync via un VPN site à site, consultez Configuration des paramètres de proxy et de pare-feu Azure File Sync.

S’applique à

Type de partage de fichiers SMB NFS
Partages de fichiers Standard (GPv2), LRS/ZRS Oui Non
Partages de fichiers Standard (GPv2), GRS/GZRS Oui Non
Partages de fichiers Premium (FileStorage), LRS/ZRS Oui Oui

Prérequis

  • Un partage de fichiers Azure que vous voulez monter localement. Les partages de fichiers Azure sont déployés sur des comptes de stockage. Ces comptes sont des constructions de gestion représentant un pool de stockage partagé dans lequel vous pouvez déployer plusieurs partages de fichiers, ainsi que d’autres ressources de stockage, telles que des blobs ou des files d’attente. Pour plus d’informations sur le déploiement des partages de fichiers et des comptes de stockage Azure, consultez Créer un partage de fichiers Azure.

  • Une serveur ou une appliance de réseau dans votre centre de données local qui est compatible avec la passerelle VPN Azure. Azure Files est indépendant de l’appliance de réseau local choisie, mais la passerelle VPN Azure gère une liste d’appareils testés. Les diverses appliances réseau offrant différentes fonctionnalités, caractéristiques de performances et fonctionnalités de gestion, vous devez tenir compte de celles-ci lors de la sélection d’une appliance réseau.

Si vous n’avez pas d’appliance de réseau, Windows Server contient un rôle serveur intégré, Routage et accès à distance (RRAS, Routing and Remote Access), utilisable comme appliance de réseau local. Pour en savoir plus sur la configuration du rôle Routage et accès à distance dans Windows Server, voir Passerelle du serveur d’accès à distance.

Ajouter un réseau virtuel à un compte de stockage

Pour ajouter un réseau virtuel existant ou nouveau à votre compte de stockage, suivez cette procédure.

  1. Connectez-vous au Portail Azure et accédez au compte de stockage contenant le partage de fichiers Azure que vous souhaitez monter localement.

  2. Dans le menu de service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau. Si vous n’avez ajouté aucun réseau virtuel à votre compte de stockage lors de sa création, le volet qui en résulte doit avoir la case d’option Activé à partir de tous les réseaux sélectionnée sous Accès au réseau public.

  3. Pour ajouter un réseau virtuel, sélectionnez la case d’option Activé à partir des réseaux virtuels et des adresses IP sélectionnés. Sous le sous-titre Réseaux virtuels, sélectionnez + Ajouter un réseau virtuel existant ou + Ajouter un nouveau réseau virtuel. La création d’un réseau virtuel entraîne la création d’une nouvelle ressource Azure. La ressource de réseau virtuel existante ou nouvelle doit se trouver dans la même région que le compte de stockage, mais elle n’a pas besoin d’être dans le même groupe de ressources ou abonnement. Cependant, rappelez-vous que le groupe de ressources, la région et l’abonnement dans lequel vous déployez votre réseau virtuel doivent correspondre à l’emplacement dans lequel vous déployez votre passerelle réseau virtuelle à l’étape suivante.

    Capture d’écran du Portail Azure donnant la possibilité d’ajouter un réseau virtuel existant ou nouveau au compte de stockage.

    Si vous ajoutez un réseau virtuel existant, vous devez d’abord créer un sous-réseau de passerelle sur le réseau virtuel. Il vous sera demandé de sélectionner un ou plusieurs sous-réseaux de ce réseau virtuel. Si vous créez un réseau virtuel, vous créez un sous-réseau dans le cadre du processus de création. Vous pouvez ajouter d’autres sous-réseaux via la ressource Azure qui en résulte pour le réseau virtuel.

    Si vous n’avez pas précédemment autorisé l’accès au réseau public au réseau virtuel, le point de terminaison de service Microsoft.Storage doit être ajouté au sous-réseau de réseau virtuel. L’application de cette opération peut prendre jusqu’à 15 minutes, bien qu’elle s’achève beaucoup plus rapidement dans la plupart des cas. Tant que cette opération n’est pas terminée, vous ne pouvez pas accéder aux partages de fichiers Azure dans ce compte de stockage, même via la connexion VPN. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande.

  4. En haut de la page, sélectionnez Enregistrer.

Déployer une passerelle de réseau virtuel

Si vous souhaitez ajouter une passerelle de réseau virtuel, suivez ces étapes.

  1. Dans la zone de recherche en haut du Portail Azure, recherchez et sélectionnez Passerelles de réseau virtuel. La page Passerelles de réseau virtuel doit apparaître. En haut de la page, sélectionnez + Créer.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance. Votre passerelle de réseau virtuel doit figurer dans le même abonnement, la même région et le même groupe de ressources que le réseau virtuel.

    Capture d’écran montrant comment créer une passerelle de réseau virtuel à l’aide du Portail Azure.

    • Abonnement: Sélectionnez l’abonnement à utiliser dans la liste déroulante.
    • Groupe de ressources : Ce paramètre est renseigné automatiquement quand vous sélectionnez votre réseau virtuel sur cette page.
    • Nom : nommez votre passerelle de réseau virtuel. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet de passerelle de réseau virtuel que vous créez.
    • Région : Sélectionnez la région où vous voulez créer cette ressource. La région pour la passerelle de réseau virtuel doit être identique au réseau virtuel.
    • Type de passerelle : Sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.
    • Référence SKU : sélectionnez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser dans la liste déroulante. La référence (SKU) contrôle le nombre de tunnels de site à site autorisés et les performances souhaitées du VPN. Consultez SKU de passerelle. N’utilisez pas de SKU De base si vous souhaitez utiliser l’authentification IKEv2 (VPN basé sur le routage).
    • Génération : sélectionnez la génération que vous voulez utiliser. Nous vous recommandons d’utiliser une référence SKU Génération2. Pour plus d’informations, consultez l’article Références (SKU) de passerelle.
    • Réseau virtuel : à partir de la liste déroulante, sélectionnez le réseau virtuel ajouté à votre compte de stockage lors de l’étape précédente.
    • Sous-réseau : ce champ doit être grisé et répertorier le nom du sous-réseau de passerelle que vous avez créé, ainsi que sa plage d’adresses IP. Si vous voyez plutôt un champ Plage d’adresses de sous-réseau de la passerelle avec une zone de texte, vous n’avez pas encore configuré de sous-réseau de passerelle sur le réseau virtuel.
  3. Spécifiez les valeurs de l’adresse IP publique à associer à la passerelle de réseau virtuel. L’adresse IP publique est attribuée à cet objet pendant la création de la passerelle de réseau virtuel. L’adresse IP publique primaire change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes.

    Capture d’écran montrant comment spécifier l’adresse IP publique d’une passerelle de réseau virtuel à l’aide du Portail Azure.

    • Adresse IP publique : l’adresse IP de la passerelle de réseau virtuel qui est exposée à Internet. Il est probable que vous deviez créer une adresse IP, mais vous pouvez également utiliser une adresse IP inutilisée existante. Si vous sélectionnez Création, une nouvelle ressource Azure d’adresse IP est créée dans le même groupe de ressources que la passerelle de réseau virtuel et le Nom d’adresse IP publique est celui de l’adresse IP nouvellement créée. Si vous sélectionnez Utiliser l’existante, vous devez sélectionner l’adresse IP inutilisée existante.
    • Nom de l’adresse IP publique : Dans la zone de texte, tapez un nom pour votre instance d’adresse IP publique.
    • SKU d’adresse IP publique : le paramètre est sélectionné automatiquement.
    • Affectation : l’affectation est généralement sélectionnée automatiquement et peut être dynamique ou statique.
    • Activer le mode Actif-Actif : sélectionnez Désactivé. Activez ce paramètre uniquement si vous créez une configuration de passerelle active-active. Pour en savoir plus sur le mode actif/actif, voir Configuration haute disponibilité pour la connectivité entre les réseaux locaux et la connectivité entre deux réseaux virtuels.
    • Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite précisément Border Gateway Protocol. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer. Pour en savoir plus sur ce paramètre, voir À propos du protocole BGP avec la passerelle VPN Azure.
  4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle de réseau virtuel. Le déploiement peut prendre jusqu’à 45 minutes.

Créer une passerelle de réseau local pour votre passerelle locale

Une passerelle de réseau local est une ressource Azure représentant votre appliance de réseau local. Il est déployé en même temps que votre compte de stockage, réseau virtuel et passerelle de réseau virtuel, mais n’a pas besoin d’être dans les mêmes groupes de ressources ou abonnements que le compte de stockage. Suivez ces étapes pour créer une passerelle de réseau local.

  1. Dans la zone de recherche en haut du Portail Azure, recherchez et sélectionnez Passerelles réseau locales. La page Passerelles réseau locales doit apparaître. En haut de la page, sélectionnez + Créer.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Capture d’écran montrant comment créer une passerelle de réseau local à l’aide du Portail Azure.

    • Abonnement : abonnement Azure souhaité. Il ne doit pas nécessairement être l’abonnement utilisé pour la passerelle de réseau virtuel ou le compte de stockage.
    • Groupe de ressources : groupe de ressources souhaité. Il ne doit pas nécessairement être le groupe de ressources utilisé pour la passerelle de réseau virtuel ou le compte de stockage.
    • Région : région Azure dans laquelle la ressource de passerelle de réseau local doit être créée. Elle doit correspondre à la région que vous avez sélectionnée pour la passerelle de réseau virtuel et le compte de stockage.
    • Nom : le nom de la ressource Azure pour la passerelle du réseau local. Vous pouvez choisir n’importe quel nom que vous jugez utile pour votre gestion.
    • Point de terminaison : conservez Adresse IP sélectionnée.
    • Adresse IP : l’adresse IP publique de votre passerelle locale.
    • Espace d’adressage : plages d’adresses ou plages du réseau que cette passerelle de réseau local représente. Par exemple : 192.168.0.0/16. Si vous ajoutez plusieurs plages d’espace d’adressage, vérifiez que les plages que vous spécifiez ne se chevauchent pas avec des plages ou d’autres réseaux auxquels vous souhaitez vous connecter. Si vous envisagez d’utiliser cette passerelle de réseau local dans une connexion avec BGP activé, le préfixe minimal que vous devez déclarer est l’adresse d’hôte de l’adresse IP de votre pair BGP sur votre appareil VPN.
  3. Si votre organisation exige BGP, sélectionnez l’onglet Avancé pour configurer les paramètres BGP. Pour obtenir plus d’informations, voir À propos du protocole BGP avec la passerelle VPN Azure.

  4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour créer la passerelle de réseau local.

Configurer une appliance de réseau local

Les étapes spécifiques pour configurer votre appliance de réseau local varient en fonction de l’appliance réseau que votre organisation a sélectionnée.

Lorsque vous configurez votre appliance réseau, vous aurez besoin des éléments suivants :

  • Une clé partagée. Il s’agit de la clé partagée spécifiée lors de la création de la connexion VPN de site à site. Dans nos exemples, nous utilisons une clé partagée de base, comme « abc123 ». Nous vous recommandons de générer une clé plus complexe à utiliser conforme aux exigences de sécurité de votre organisation.

  • L’adresse IP publique de votre passerelle de réseau virtuel. Pour trouver l’adresse IP publique de votre passerelle de réseau virtuel à l’aide de PowerShell, exécutez la commande suivante. Dans cet exemple, mypublicip est le nom de la ressource d’adresse IP publique que vous avez créée à l’étape précédente.

    Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
    

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.

Les liens suivants fournissent d’autres informations de configuration :

Créer la connexion de site à site

Pour terminer le déploiement d’un VPN S2S, vous devez créer une connexion entre votre appliance de réseau local (représentée par la ressource de passerelle de réseau local) et la passerelle de réseau virtuel Azure. Pour ce faire, procédez comme suit.

  1. Accédez à la passerelle de réseau virtuel que vous avez créée. Dans la table des matières de la passerelle de réseau virtuel, sélectionnez Paramètres > Connexions, puis + Ajouter.

  2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de l’instance.

    Capture d’écran montrant comment créer une connexion VPN site à site à l’aide du Portail Azure.

    • Abonnement : abonnement Azure souhaité.
    • Groupe de ressources : groupe de ressources souhaité.
    • Type de connexion : étant donné qu’il s’agit d’une connexion S2S, sélectionnez Site à site (IPsec) à partir de la liste déroulante.
    • Nom : nom de la connexion. Une passerelle de réseau virtuel pouvant héberger plusieurs connexions, choisissez un nom utile pour votre gestion et qui distingue cette connexion particulière.
    • Région : elle doit correspondre à la région que vous avez sélectionnée pour la passerelle de réseau virtuel et le compte de stockage.
  3. Sous l’onglet Paramètres, fournissez les informations suivantes.

    Capture d’écran montrant comment configurer les paramètres d’une connexion VPN site à site à l’aide du Portail Azure.

    • Passerelle de réseau virtuel : sélectionnez la passerelle de réseau virtuel que vous avez créée.
    • Passerelle de réseau local : sélectionnez la passerelle de réseau local que vous avez créée.
    • Clé partagée : combinaison de lettres et de chiffres utilisée pour établir le chiffrement de la connexion. La même clé partagée doit être utilisée à la fois dans le réseau virtuel et les passerelles de réseau local. Si votre périphérique de passerelle n’en fournit pas, vous pouvez en créer un ici et le fournir à votre périphérique.
    • Protocole IKE : en fonction de votre périphérique VPN, sélectionnez IKEV1 pour un VPN basé sur les stratégies ou IKEv2 pour un VPN basé sur le routage. Pour découvrir plus d’informations sur les deux types de passerelles VPN, voir À propos des passerelles VPN basées sur le routage et les stratégies.
    • Utiliser une adresse IP privée Azure : l’activation de cette option vous permet d’utiliser des adresses IP privées Azure pour établir une connexion VPN IPsec. La prise en charge des adresses IP privées doit être configurée sur la passerelle VPN pour que cette option fonctionne. Elle est uniquement prise en charge sur des SKU de passerelle AZ.
    • Activer BGP : conservez l’option non activée, sauf si votre organisation exige spécifiquement ce paramètre.
    • Activer les adresses BGP personnalisées : conservez l’option non activée, sauf si votre organisation exige spécifiquement ce paramètre.
    • FastPath : FastPath est conçu pour améliorer les performances de DataPath (chemin d’accès aux données) entre votre réseau local et votre réseau virtuel. Plus d’informations
    • Stratégie IPsec / IKE : la stratégie IPsec / IKE qui est négociée pour la connexion. Conservez l’option Par défaut sélectionnée, sauf si votre organisation exige une stratégie personnalisée. Plus d’informations
    • Utiliser un sélecteur de trafic basé sur la stratégie : conservée cette option désactivée, sauf si vous devez configurez la passerelle VPN Azure pour vous connecter à un pare-feu VPN basé sur la stratégie local. Si vous activez ce champ, vous devez vérifier que votre périphérique VPN dispose des sélecteurs de trafic correspondants définis avec tous les préfixes de combinaisons de votre network local (passerelle réseau locale) à destination et à partir des préfixes du réseau virtuel Azure, plutôt que de manière indifférenciée. Par exemple, si les préfixes de votre réseau local sont 10.1.0.0/16 et 10.2.0.0/16 et si les préfixes de votre réseau virtuel sont 192.168.0.0/16 et 172.16.0.0/16, vous devez spécifier les sélecteurs de trafic suivants :
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Délai d’attente de détection d’homologue mort en secondes : délai d’attente de détection d’homologue mort de la connexion en secondes. La valeur recommandée et par défaut de cette propriété est de 45 secondes.
    • Mode de connexion : le mode de connexion est utilisé pour déterminer la passerelle qui peut lancer la connexion. Quand cette valeur est définie sur :
      • Par défaut : une passerelle VPN locale et Azure peut lancer la connexion.
      • ResponderOnly : une passerelle VPN Azure ne lancera jamais la connexion. La passerelle VPN locale doit lancer la connexion.
      • InitiatorOnly : une passerelle VPN Azure lancera la connexion et refusera toute tentative de connexion à partir de la passerelle VPN locale.
  4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour créer la connexion. Vous pouvez vérifier que la connexion a été correctement établie via la page Connexions de la passerelle de réseau virtuel.

Monter le partage de fichiers Azure

La dernière étape de la configuration d’un VPN S2S consiste à vérifier qu’elle fonctionne pour Azure Files. Pour ce faire, vous pouvez effectuer un montage local de votre partage de fichiers Azure. Consultez les instructions de montage correspondant au système d’exploitation ici :

Voir aussi