Configurer un VPN site à site pour une utilisation avec Azure Files

Vous pouvez utiliser une connexion VPN site à site (S2S) pour monter vos partages de fichiers Azure à partir de votre réseau local, sans envoyer de données via l’Internet ouvert. Vous pouvez configurer un VPN S2S à l’aide de la passerelle VPN Azure, qui est une ressource Azure offrant des services VPN. Vous déployez une passerelle VPN dans un groupe de ressources en même temps que des comptes de stockage ou d’autres ressources Azure.

Nous vous recommandons vivement de lire la vue d’ensemble de la mise en réseau Azure Files avant de poursuivre cet article pour une présentation complète des options de mise en réseau disponibles pour Azure Files.

L’article détaille les étapes de configuration d’un VPN site à site pour monter des partages de fichiers Azure directement en local. Si vous souhaitez router le trafic de synchronisation pour Azure File Sync via un VPN S2S, consultez la configuration des paramètres de proxy et de pare-feu Azure File Sync.

S’applique à

Modèle de gestion	Modèle de facturation	Échelon médiatique	Redondance	PME	Système de fichiers en réseau (NFS)
Microsoft.Storage	V2 approvisionné	HDD (standard)	Local (LRS)
Microsoft.Storage	V2 approvisionné	HDD (standard)	Zone (ZRS)
Microsoft.Storage	V2 approvisionné	HDD (standard)	Géo (GRS)
Microsoft.Storage	V2 approvisionné	HDD (standard)	GeoZone (GZRS)
Microsoft.Storage	V1 approvisionné	SSD (Premium)	Local (LRS)
Microsoft.Storage	V1 approvisionné	SSD (Premium)	Zone (ZRS)
Microsoft.Storage	Paiement à l’utilisation	HDD (standard)	Local (LRS)
Microsoft.Storage	Paiement à l’utilisation	HDD (standard)	Zone (ZRS)
Microsoft.Storage	Paiement à l’utilisation	HDD (standard)	Géo (GRS)
Microsoft.Storage	Paiement à l’utilisation	HDD (standard)	GeoZone (GZRS)

Prérequis

• Un partage de fichiers Azure que vous voulez monter localement. Les partages de fichiers Azure sont déployés sur des comptes de stockage. Ces comptes sont des constructions de gestion représentant un pool de stockage partagé dans lequel vous pouvez déployer plusieurs partages de fichiers, ainsi que d’autres ressources de stockage, telles que des blobs ou des files d’attente. Vous pouvez en savoir plus sur le déploiement de partages de fichiers Azure et de comptes de stockage dans Créer un partage de fichiers Azure.

• Une serveur ou une appliance de réseau dans votre centre de données local qui est compatible avec la passerelle VPN Azure. Azure Files est indépendant de l’appliance réseau locale choisie, mais la passerelle VPN Azure conserve une liste d’appareils testés. Les diverses appliances réseau offrant différentes fonctionnalités, caractéristiques de performances et fonctionnalités de gestion, vous devez tenir compte de celles-ci lors de la sélection d’une appliance réseau.

Si vous n’avez pas d’appliance de réseau, Windows Server contient un rôle serveur intégré, Routage et accès à distance (RRAS, Routing and Remote Access), utilisable comme appliance de réseau local. Pour en savoir plus sur la configuration du routage et de l’accès à distance dans Windows Server, consultez la passerelle RAS.

Ajouter un réseau virtuel à un compte de stockage

Pour ajouter un réseau virtuel existant ou nouveau à votre compte de stockage, suivez cette procédure.

Portail

1. Connectez-vous au Portail Azure et accédez au compte de stockage contenant le partage de fichiers Azure que vous souhaitez monter localement.

2. Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau. Sauf si vous avez ajouté un réseau virtuel à votre compte de stockage lorsque vous l’avez créé, le volet résultant doit avoir le bouton radio activé depuis tous les réseaux sélectionné sous accès réseau public.

3. Pour ajouter un réseau virtuel, sélectionnez le bouton radio Activé à partir des réseaux virtuels et adresses IP sélectionnés. Sous le sous-titre Réseaux virtuels , sélectionnez + Ajouter un réseau virtuel existant ou + Ajouter un nouveau réseau virtuel. La création d’un réseau virtuel entraîne la création d’une nouvelle ressource Azure. La ressource de réseau virtuel existante ou nouvelle doit se trouver dans la même région que le compte de stockage, mais elle n’a pas besoin d’être dans le même groupe de ressources ou abonnement. Cependant, rappelez-vous que le groupe de ressources, la région et l’abonnement dans lequel vous déployez votre réseau virtuel doivent correspondre à l’emplacement dans lequel vous déployez votre passerelle réseau virtuelle à l’étape suivante.

   

   Si vous ajoutez un réseau virtuel existant, vous devez d’abord créer un sous-réseau de passerelle sur le réseau virtuel. Il vous sera demandé de sélectionner un ou plusieurs sous-réseaux de ce réseau virtuel. Si vous créez un réseau virtuel, vous créez un sous-réseau dans le cadre du processus de création. Vous pouvez ajouter d’autres sous-réseaux via la ressource Azure qui en résulte pour le réseau virtuel.

   Si vous n’avez pas précédemment autorisé l’accès au réseau public au réseau virtuel, le point de terminaison de service Microsoft.Storage doit être ajouté au sous-réseau de réseau virtuel. L’application de cette opération peut prendre jusqu’à 15 minutes, bien qu’elle s’achève beaucoup plus rapidement dans la plupart des cas. Tant que cette opération n’est pas terminée, vous ne pouvez pas accéder aux partages de fichiers Azure dans ce compte de stockage, même via la connexion VPN. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande.

4. Sélectionnez Enregistrer en haut de la page.

Azure PowerShell

1. Connectez-vous à Azure.

   Connect-AzAccount
   

2. Si vous souhaitez ajouter un nouveau réseau virtuel et un sous-réseau de passerelle, exécutez le script suivant. Si vous disposez d’un réseau virtuel existant que vous souhaitez utiliser, ignorez cette étape et passez à l’étape 3. Veillez à remplacer <your-subscription-id>, <resource-group> et <storage-account-name> par vos propres valeurs. Si vous le souhaitez, fournissez vos propres valeurs pour $location et $vnetName. Le paramètre -AddressPrefix définit les blocs d’adresses IP pour le réseau virtuel et le sous-réseau. Remplacez-les par vos valeurs respectives.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $location = "East US" # Change to desired Azure region
   $vnetName = "myVNet"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $vnetAddressPrefix = "10.0.0.0/16" # Update this address as per your requirements
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Define subnet configuration  
   $subnetConfig = New-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix
   
   # Create a virtual network  
   New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup -Location $location -AddressPrefix $vnetAddressPrefix -Subnet $subnetConfig  
   

3. Si vous avez créé un réseau virtuel et un sous-réseau à l’étape précédente, ignorez cette étape. Si vous disposez d’un réseau virtuel existant que vous souhaitez utiliser, vous devez d’abord créer un sous-réseau de passerelle sur le réseau virtuel avant de pouvoir déployer une passerelle de réseau virtuel.

   Pour ajouter un sous-réseau de passerelle à un réseau virtuel existant, exécutez le script suivant. Veillez à remplacer <your-subscription-id>, <resource-group> et <virtual-network-name> par vos propres valeurs. Le paramètre $subnetAddressPrefix définit le bloc d’adresses IP du sous-réseau. Remplacez donc l’adresse IP par vos besoins.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $vnetName = "<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Get the virtual network
   $vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup
   
   # Add the gateway subnet
   Add-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet -AddressPrefix $subnetAddressPrefix
   
   # Apply the configuration to the virtual network
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande Update-AzStorageAccountNetworkRuleSet et définissez le paramètre -DefaultAction sur Refuser.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroup -Name $storageAccount -DefaultAction Deny
   

5. Activez un point de terminaison de service Microsoft.Storage sur le réseau virtuel et le sous-réseau. L’application de cette opération peut prendre jusqu’à 15 minutes, bien qu’elle s’achève beaucoup plus rapidement dans la plupart des cas. Tant que cette opération n’est pas terminée, vous ne pouvez pas accéder aux partages de fichiers Azure dans ce compte de stockage, même via la connexion VPN. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande.

   Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Set-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

6. Ajoutez une règle de réseau pour le réseau virtuel et un sous-réseau.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Get-AzVirtualNetworkSubnetConfig -Name $subnetName
   Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroup -Name $storageAccount -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Connectez-vous à Azure.

   az login
   

2. Si vous souhaitez ajouter un nouveau réseau virtuel et un sous-réseau de passerelle, exécutez le script suivant. Si vous disposez d’un réseau virtuel existant que vous souhaitez utiliser, ignorez cette étape et passez à l’étape 3. Veillez à remplacer <your-subscription-id>, <storage-account-name> et <resource-group> par vos propres valeurs. Remplacez <virtual-network-name> par le nom du nouveau réseau virtuel que vous souhaitez créer. Les paramètres --address-prefix et --subnet-prefixes définissent les blocs d’adresses IP pour le réseau virtuel et le sous-réseau. Remplacez-les par vos valeurs respectives. Le réseau virtuel est créé dans la même région que le groupe de ressources.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"  
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   vnetAddressPrefix="10.0.0.0/16" # Update this address per your requirements
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create a virtual network and subnet
   az network vnet create \
     --resource-group $resourceGroup \
     --name $vnetName \
     --address-prefix $vnetAddressPrefix \
     --subnet-name $subnetName \
     --subnet-prefixes $subnetAddressPrefix  
   

3. Si vous avez créé un réseau virtuel et un sous-réseau à l’étape précédente, ignorez cette étape. Si vous disposez d’un réseau virtuel existant que vous souhaitez utiliser, vous devez d’abord créer un sous-réseau de passerelle sur le réseau virtuel avant de pouvoir déployer une passerelle de réseau virtuel.

   Pour ajouter un sous-réseau de passerelle à un réseau virtuel existant, exécutez le script suivant. Veillez à remplacer <your-subscription-id>, <resource-group> et <virtual-network-name> par vos propres valeurs. Le paramètre --address-prefixes définit le bloc d’adresses IP du sous-réseau. Remplacez donc le bloc d’adresses IP si nécessaire.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create the gateway subnet
   az network vnet subnet create \
     --resource-group $resourceGroup \
     --vnet-name $vnetName \
     --name $subnetName \
     --address-prefixes $subnetAddressPrefix
   

4. Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande az storage account update et définissez le paramètre --default-action sur Refuser.

   az storage account update --resource-group $resourceGroup --name $storageAccount --default-action Deny
   

5. Activez un point de terminaison de service Microsoft.Storage sur le réseau virtuel et le sous-réseau. L’application de cette opération peut prendre jusqu’à 15 minutes, bien qu’elle s’achève beaucoup plus rapidement dans la plupart des cas. Tant que cette opération n’est pas terminée, vous ne pouvez pas accéder aux partages de fichiers Azure dans ce compte de stockage, même via la connexion VPN. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande.

   az network vnet subnet update --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --service-endpoints "Microsoft.Storage.Global"
   

6. Ajoutez une règle de réseau pour le réseau virtuel et un sous-réseau.

   subnetid=$(az network vnet subnet show --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --query id --output tsv)
   az storage account network-rule add --resource-group $resourceGroup --account-name $storageAccount --subnet $subnetid
   

Déployer une passerelle de réseau virtuel

Si vous souhaitez ajouter une passerelle de réseau virtuel, suivez ces étapes.

Portail

1. Dans la zone de recherche située en haut du portail Azure, recherchez, puis sélectionnez Passerelles de réseau virtuel. La page passerelles de réseau virtuel doit apparaître. En haut de la page, sélectionnez + Créer.

2. Sous l’onglet Informations de base , renseignez les valeurs des détails du projet et des détails de l’instance. Votre passerelle de réseau virtuel doit figurer dans le même abonnement, la même région et le même groupe de ressources que le réseau virtuel.

   

   • Abonnement : sélectionnez l’abonnement que vous souhaitez utiliser dans la liste déroulante.
   • Groupe de ressources : ce paramètre est automatiquement renseigné lorsque vous sélectionnez votre réseau virtuel sur cette page.
   • Nom : nommez votre passerelle de réseau virtuel. Le nommage de votre passerelle n’est pas identique au nommage d’un sous-réseau de passerelle. Il s’agit du nom de l’objet de passerelle de réseau virtuel que vous créez.
   • Région : sélectionnez la région dans laquelle vous souhaitez créer cette ressource. La région pour la passerelle de réseau virtuel doit être identique au réseau virtuel.
   • Type de passerelle : sélectionnez VPN. Les passerelles VPN utilisent le type de passerelle de réseau virtuel VPN.
   • Référence SKU : sélectionnez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser dans la liste déroulante. La référence (SKU) contrôle le nombre de tunnels de site à site autorisés et les performances souhaitées du VPN. Consultez Références SKU de passerelle. N’utilisez pas de SKU De base si vous souhaitez utiliser l’authentification IKEv2 (VPN basé sur le routage).
   • Génération : sélectionnez la génération que vous souhaitez utiliser. Nous vous recommandons d’utiliser une référence SKU Génération2. Pour plus d’informations, consultez les SKU de passerelle.
   • Réseau virtuel : dans la liste déroulante, sélectionnez le réseau virtuel que vous avez ajouté à votre compte de stockage à l’étape précédente.
   • Sous-réseau : ce champ doit être grisé et répertorier le nom du sous-réseau de passerelle que vous avez créé, ainsi que sa plage d’adresses IP. Si vous voyez plutôt un champ de plage d’adresses de sous-réseau de passerelle avec une zone de texte, vous n’avez pas encore configuré de sous-réseau de passerelle sur le réseau virtuel.

3. Spécifiez les valeurs de l’adresse IP publique qui est associée à la passerelle de réseau virtuel. L’adresse IP publique est attribuée à cet objet pendant la création de la passerelle de réseau virtuel. L’adresse IP publique primaire change uniquement lorsque la passerelle est supprimée, puis recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou des autres opérations de maintenance/mise à niveau internes.

   

   • Adresse IP publique : adresse IP de la passerelle de réseau virtuel qui sera exposée à Internet. Il est probable que vous deviez créer une adresse IP, mais vous pouvez également utiliser une adresse IP inutilisée existante. Si vous sélectionnez Créer, une nouvelle ressource Azure d’adresse IP sera créée dans le même groupe de ressources que la passerelle de réseau virtuel, et le nom de l’adresse IP publique sera le nom de l’adresse IP nouvellement créée. Si vous sélectionnez Utiliser l’existant, vous devez sélectionner l’adresse IP inutilisée existante.
   • Nom de l’adresse IP publique : dans la zone de texte, tapez un nom pour votre instance d’adresse IP publique.
   • Référence SKU d’adresse IP publique : le paramètre est sélectionné automatiquement.
   • Affectation : l’affectation est généralement automatiquement sélectionnée et peut être dynamique ou statique.
   • Activer le mode actif/actif : sélectionnez Désactivé. Activez ce paramètre uniquement si vous créez une configuration de passerelle active-active. Pour en savoir plus sur le mode actif/actif, consultez Connectivité à haute disponibilité entre différents emplacements locaux et de VNet à VNet.
   • Configurer BGP : sélectionnez Désactivé, sauf si votre configuration nécessite spécifiquement le protocole Border Gateway. Si vous avez besoin de ce paramètre, la valeur par défaut ASN est 65515, même si vous pouvez la changer. Pour en savoir plus sur ce paramètre, consultez À propos du protocole BGP avec la passerelle VPN Azure.

4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle de réseau virtuel. Le déploiement peut prendre jusqu’à 45 minutes.

Azure PowerShell

1. Tout d’abord, demandez une adresse IP publique. Si vous disposez d’une adresse IP inutilisée existante que vous souhaitez utiliser, vous pouvez ignorer cette étape. Remplacez <resource-group> par le nom de votre groupe de ressources et spécifiez la même région Azure que celle utilisée pour votre réseau virtuel.

   $gwpip = New-AzPublicIpAddress -Name "mypublicip" -ResourceGroupName "<resource-group>" -Location "East US" -AllocationMethod Static -Sku Standard
   

2. Ensuite, créez la configuration de l’adresse IP de passerelle en définissant le sous-réseau et l’adresse IP publique à utiliser. L’adresse IP publique de la passerelle VPN est exposée à Internet. Remplacez <virtual-network-name> et <resource-group> par vos propres valeurs.

   $vnet = Get-AzVirtualNetwork -Name <virtual-network-name> -ResourceGroupName <resource-group>
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id
   

3. Exécutez le script suivant pour créer la passerelle VPN.

   Remplacez <resource-group> par le même groupe de ressources que votre réseau virtuel. Spécifiez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser. La référence SKU de passerelle contrôle le nombre de tunnels de site à site autorisés et les performances souhaitées du VPN. Nous vous recommandons d’utiliser une référence SKU Génération 2. N’utilisez pas de SKU De base si vous souhaitez utiliser l’authentification IKEv2 (VPN basé sur le routage).

   New-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group> -Location "East US" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration Generation2
   

   Vous pouvez également choisir d’inclure d’autres fonctionnalités telles que BGP (Border Gateway Protocol) et Active-Active. Consultez la documentation de l’applet de commande New-AzVirtualNetworkGateway . Si vous avez besoin du BGP, la valeur par défaut ASN est 65515, même si vous pouvez la changer.

4. La création d’une passerelle nécessite au moins 45 minutes, selon la référence SKU de passerelle que vous avez spécifiée. Vous pouvez afficher la passerelle VPN à l’aide de l’applet de commande Get-AzVirtualNetworkGateway .

   Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroup <resource-group>
   

Azure CLI

1. Tout d’abord, demandez une adresse IP publique. Si vous disposez d’une adresse IP inutilisée existante que vous souhaitez utiliser, vous pouvez ignorer cette étape. Remplacez <resource-group> par le nom de votre groupe de ressources.

   az network public-ip create -n mypublicip -g <resource-group>
   

2. Exécutez le script suivant pour créer la passerelle VPN. La création d’une passerelle nécessite au moins 45 minutes, selon la référence SKU de passerelle que vous avez spécifiée.

   Remplacez <resource-group> par le même groupe de ressources que votre réseau virtuel. Spécifiez la référence SKU de passerelle qui prend en charge les fonctionnalités que vous souhaitez utiliser. La référence SKU de passerelle contrôle le nombre de tunnels de site à site autorisés et les performances souhaitées du VPN. Nous vous recommandons d’utiliser une référence SKU Génération 2. N’utilisez pas de SKU De base si vous souhaitez utiliser l’authentification IKEv2 (VPN basé sur le routage).

   az network vnet-gateway create -n MyVnetGateway -l eastus --public-ip-address mypublicip -g <resource-group> --vnet <virtual-network-name> --gateway-type Vpn --sku VpnGw2 --vpn-gateway-generation Generation2 --no-wait
   

   Le paramètre --no-wait permet à la passerelle d’être créée à l’arrière-plan. Cela ne signifie pas que la passerelle VPN est immédiatement créée.

3. Vous pouvez afficher la passerelle VPN à l’aide de la commande suivante. Si la passerelle VPN n’est pas entièrement déployée, vous recevrez un message d’erreur.

   az network vnet-gateway show -n MyVnetGateway -g <resource-group>
   

Créer une passerelle de réseau local pour votre passerelle locale

Une passerelle de réseau local est une ressource Azure représentant votre appliance de réseau local. Il est déployé en même temps que votre compte de stockage, réseau virtuel et passerelle de réseau virtuel, mais n’a pas besoin d’être dans les mêmes groupes de ressources ou abonnements que le compte de stockage. Suivez ces étapes pour créer une passerelle de réseau local.

Portail

1. Dans la zone de recherche située en haut du portail Azure, recherchez et sélectionnez des passerelles de réseau local. La page passerelles de réseau local doit apparaître. En haut de la page, sélectionnez + Créer.

2. Sous l’onglet Informations de base , renseignez les valeurs des détails du projet et des détails de l’instance.

   

   • Abonnement : abonnement Azure souhaité. Il ne doit pas nécessairement être l’abonnement utilisé pour la passerelle de réseau virtuel ou le compte de stockage.
   • Groupe de ressources : groupe de ressources souhaité. Il ne doit pas nécessairement être le groupe de ressources utilisé pour la passerelle de réseau virtuel ou le compte de stockage.
   • Région : la région Azure dans laquelle la ressource de passerelle de réseau local doit être créée. Elle doit correspondre à la région que vous avez sélectionnée pour la passerelle de réseau virtuel et le compte de stockage.
   • Nom : nom de la ressource Azure pour la passerelle de réseau local. Vous pouvez choisir n’importe quel nom que vous jugez utile pour votre gestion.
   • Point de terminaison : laissez l’adresse IP sélectionnée.
   • Adresse IP : adresse IP publique de votre passerelle locale locale.
   • Espace d’adressage : les plages d’adresses pour le réseau que représente cette passerelle de réseau local. Par exemple : 192.168.0.0/16. Si vous ajoutez plusieurs plages d’espace d’adressage, vérifiez que les plages que vous spécifiez ne se chevauchent pas avec des plages ou d’autres réseaux auxquels vous souhaitez vous connecter. Si vous envisagez d’utiliser cette passerelle de réseau local dans une connexion avec BGP activé, le préfixe minimal que vous devez déclarer est l’adresse d’hôte de l’adresse IP de votre pair BGP sur votre appareil VPN.

3. Si votre organisation requiert BGP, sélectionnez l’onglet Avancé pour configurer les paramètres BGP. Pour en savoir plus, consultez À propos du protocole BGP avec la passerelle VPN Azure.

4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour créer la passerelle de réseau local.

Azure PowerShell

Exécutez la commande suivante pour créer une passerelle de réseau local. Remplacez <resource-group> par votre propre valeur.

Le paramètre -AddressPrefix spécifie les plages d’adresses ou plages du réseau que cette passerelle de réseau local représente. Si vous ajoutez plusieurs plages d’espace d’adressage, vérifiez que les plages que vous spécifiez ne se chevauchent pas avec des plages ou d’autres réseaux auxquels vous souhaitez vous connecter.

New-AzLocalNetworkGateway -Name MyLocalGateway -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') -GatewayIpAddress "5.4.3.2" -ResourceGroupName <resource-group>

Azure CLI

Exécutez la commande suivante pour créer une passerelle de réseau local. Remplacez <resource-group> par votre propre valeur.

Le paramètre --local-address-prefixes spécifie les plages d’adresses ou plages du réseau que cette passerelle de réseau local représente. Si vous ajoutez plusieurs plages d’espace d’adressage, vérifiez que les plages que vous spécifiez ne se chevauchent pas avec des plages ou d’autres réseaux auxquels vous souhaitez vous connecter.

az network local-gateway create --gateway-ip-address 5.4.3.2 --name MyLocalGateway -g <resource-group> --local-address-prefixes 10.101.0.0/24 10.101.1.0/24

Configurer une appliance de réseau local

Les étapes spécifiques pour configurer votre appliance de réseau local varient en fonction de l’appliance réseau que votre organisation a sélectionnée.

Lorsque vous configurez votre appliance réseau, vous aurez besoin des éléments suivants :

• Une clé partagée. Il s’agit de la clé partagée spécifiée lors de la création de la connexion VPN de site à site. Dans nos exemples, nous utilisons une clé partagée de base, comme « abc123 ». Nous vous recommandons de générer une clé plus complexe à utiliser conforme aux exigences de sécurité de votre organisation.

• L’adresse IP publique de votre passerelle de réseau virtuel. Pour trouver l’adresse IP publique de votre passerelle de réseau virtuel à l’aide de PowerShell, exécutez la commande suivante. Dans cet exemple, mypublicip est le nom de la ressource d’adresse IP publique que vous avez créée à l’étape précédente.

  Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
  

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez Télécharger les scripts de configuration d’appareil VPN.

Les liens suivants fournissent d’autres informations de configuration :

• Pour plus d’informations sur les appareils VPN compatibles, consultez À propos des appareils VPN.

• Pour obtenir des liens vers des paramètres de configuration d’appareil, consultez Appareils VPN validés. Nous fournissons les liens de configuration des périphériques du mieux que nous pouvons, mais il est toujours préférable de demander au fabricant de votre périphérique les informations de configuration les plus récentes.

  La liste affiche les versions que nous avons testées. Si la version du système d’exploitation de votre périphérique VPN n’est pas dans la liste, elle peut quand même être compatible. Vérifiez auprès du fabricant de votre périphérique.

• Pour plus d’informations sur la configuration des appareils VPN, consultez Vue d’ensemble des configurations d’appareils VPN partenaires.

• Pour plus d’informations sur la modification d’exemples de configuration d’appareil, consultez Les exemples d’édition.

• Pour connaître les exigences de chiffrement, consultez À propos des exigences de chiffrement et des passerelles VPN Azure.

• Pour plus d’informations sur les paramètres dont vous avez besoin pour terminer votre configuration, consultez paramètres IPsec/IKE par défaut. Les informations comprennent la version IKE, le groupe Diffie-Hellman (DH), la méthode d’authentification, les algorithmes de chiffrement et de hachage, la durée de vie de l’association de sécurité (SA), le secret PFS (Perfect Forward Secrecy) et la détection DPD (Dead Peer Detection).

• Pour les étapes de configuration de stratégie IPsec/IKE, consultez Configurer des stratégies de connexion IPsec/IKE personnalisées pour les VPN site à site et VNet à VNet.

• Pour connecter plusieurs appareils VPN basés sur une stratégie, consultez Connecter une passerelle VPN à plusieurs appareils VPN locaux.

Créer la connexion de site à site

Pour terminer le déploiement d’un VPN S2S, vous devez créer une connexion entre votre appliance de réseau local (représentée par la ressource de passerelle de réseau local) et la passerelle de réseau virtuel Azure. Pour ce faire, procédez comme suit.

Portail

1. Accédez à la passerelle de réseau virtuel que vous avez créée. Dans la table des matières de la passerelle de réseau virtuel, sélectionnez Connexions de paramètres>, puis sélectionnez + Ajouter.

2. Sous l’onglet Informations de base , renseignez les valeurs des détails du projet et des détails de l’instance.

   

   • Abonnement : abonnement Azure souhaité.
   • Groupe de ressources : groupe de ressources souhaité.
   • Type de connexion : étant donné que cette connexion S2S, sélectionnez Site à site (IPsec) dans la liste déroulante.
   • Nom : nom de la connexion. Une passerelle de réseau virtuel pouvant héberger plusieurs connexions, choisissez un nom utile pour votre gestion et qui distingue cette connexion particulière.
   • Région : région que vous avez sélectionnée pour la passerelle de réseau virtuel et le compte de stockage.

3. Sous l’onglet Paramètres , fournissez les informations suivantes.

   

   • Passerelle de réseau virtuel : sélectionnez la passerelle de réseau virtuel que vous avez créée.
   • Passerelle de réseau local : sélectionnez la passerelle de réseau local que vous avez créée.
   • Clé partagée (PSK) : mélange de lettres et de chiffres utilisés pour établir le chiffrement de la connexion. La même clé partagée doit être utilisée à la fois dans le réseau virtuel et les passerelles de réseau local. Si votre périphérique de passerelle n’en fournit pas, vous pouvez en créer un ici et le fournir à votre périphérique.
   • Protocole IKE : selon votre appareil VPN, sélectionnez IKEv1 pour un VPN basé sur une stratégie ou IKEv2 pour un VPN basé sur l’itinéraire. Pour en savoir plus sur les deux types de passerelles VPN, consultez À propos des passerelles VPN basées sur des stratégies et des passerelles VPN basées sur des itinéraires.
   • Utilisez l’adresse IP privée Azure : la vérification de cette option vous permet d’utiliser des adresses IP privées Azure pour établir une connexion VPN IPsec. La prise en charge des adresses IP privées doit être configurée sur la passerelle VPN pour que cette option fonctionne. Elle est uniquement prise en charge sur des SKU de passerelle AZ.
   • Activez le protocole BGP : laissez désactivé, sauf si votre organisation requiert spécifiquement ce paramètre.
   • Activez les adresses BGP personnalisées : laissez désactivée, sauf si votre organisation requiert spécifiquement ce paramètre.
   • FastPath : FastPath est conçu pour améliorer les performances des chemins de données entre votre réseau local et votre réseau virtuel. En savoir plus.
   • Stratégie IPsec / IKE : stratégie IPsec / IKE qui sera négociée pour la connexion. Laissez La valeur par défaut sélectionnée, sauf si votre organisation nécessite une stratégie personnalisée. En savoir plus.
   • Utilisez le sélecteur de trafic basé sur une stratégie : laissez désactivé, sauf si vous devez configurer la passerelle VPN Azure pour vous connecter à un pare-feu VPN basé sur une stratégie locale. Si vous activez ce champ, vous devez vérifier que votre périphérique VPN dispose des sélecteurs de trafic correspondants définis avec tous les préfixes de combinaisons de votre network local (passerelle réseau locale) à destination et à partir des préfixes du réseau virtuel Azure, plutôt que de manière indifférenciée. Par exemple, si les préfixes de votre réseau local sont 10.1.0.0/16 et 10.2.0.0/16 et si les préfixes de votre réseau virtuel sont 192.168.0.0/16 et 172.16.0.0/16, vous devez spécifier les sélecteurs de trafic suivants :
     • 10.1.0.0/16 <===> 192.168.0.0/16
     • 10.1.0.0/16 <===> 172.16.0.0/16
     • 10.2.0.0/16 <===> 192.168.0.0/16
     • 10.2.0.0/16 <===> 172.16.0.0/16
   • Délai d’expiration de la détection des pairs morts en secondes : délai d’expiration de la détection des pairs morts de la connexion en secondes. La valeur recommandée et par défaut de cette propriété est de 45 secondes.
   • Mode de connexion : le mode connexion est utilisé pour déterminer la passerelle qui peut lancer la connexion. Quand cette valeur est définie sur :
     • Par défaut : Azure et la passerelle VPN locale peuvent lancer la connexion.
     • RépondeurOnly : la passerelle VPN Azure ne lance jamais la connexion. La passerelle VPN locale doit lancer la connexion.
     • InitiateurOnly : la passerelle VPN Azure lance la connexion et rejette toutes les tentatives de connexion à partir de la passerelle VPN locale.

4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour créer la connexion. Vous pouvez vérifier que la connexion a été établie correctement via la page Connexions de la passerelle de réseau virtuel.

Azure PowerShell

Exécutez la commande suivante pour créer la connexion VPN de site à site entre votre passerelle de réseau virtuel et votre appareil VPN local. Assurez-vous de remplacer ces valeurs par les vôtres. La clé partagée doit correspondre à la valeur que vous avez utilisée pour la configuration de votre périphérique VPN. Le -ConnectionType VPN de site à site est IPsec.

Pour plus d’options, consultez la documentation de l’applet de commande New-AzVirtualNetworkGatewayConnection .

1. Définissez les variables.

   $gateway1 = Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group>
   $local = Get-AzLocalNetworkGateway -Name MyLocalGateway -ResourceGroupName <resource-group>
   

2. Créez la connexion VPN.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group> `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

3. Après un bref délai, la connexion sera établie. Vous pouvez vérifier votre connexion VPN en exécutant la commande suivante. Si vous y êtes invité, sélectionnez A pour exécuter tout.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group>
   

   L’état de la connexion doit s’afficher sous la forme « Connecté. »

Azure CLI

Exécutez la commande suivante pour créer la connexion VPN de site à site entre votre passerelle de réseau virtuel et votre appareil VPN local. Assurez-vous de remplacer ces valeurs par les vôtres. La clé partagée doit correspondre à la valeur que vous avez utilisée pour la configuration de votre périphérique VPN.

Pour plus d’options, consultez la documentation relative à la commande az network vnet create .

az network vpn-connection create --name VNet1toSite1 --resource-group <resource-group> --vnet-gateway1 MyVnetGateway -l eastus --shared-key abc123 --local-gateway MyLocalGateway

Après un bref délai, la connexion sera établie. Vous pouvez vérifier votre connexion VPN en exécutant la commande suivante. Tout au long de l’établissement de la connexion, l’état de la connexion indique « Connexion en cours ». Une fois la connexion établie, l’état indique « Connecté ».

az network vpn-connection show --name VNet1toSite1 --resource-group <resource-group>

Monter le partage de fichiers Azure

La dernière étape de la configuration d’un VPN S2S consiste à vérifier qu’elle fonctionne pour Azure Files. Pour ce faire, vous pouvez effectuer un montage local de votre partage de fichiers Azure. Consultez les instructions de montage correspondant au système d’exploitation ici :

• Windows
• macOS
• Linux (NFS)
• Linux (PME)

Voir aussi

• Vue d’ensemble de la mise en réseau Azure Files
• Configurer un VPN point à site (P2S) sur Windows pour une utilisation avec Azure Files
• Configurer un VPN point à site (P2S) sur Linux à utiliser avec Azure Files