Megosztás a következőn keresztül:

Helyek közötti VPN konfigurálása az Azure Fileshoz való használatra

  • Cikk

Helyek közötti (S2S) VPN-kapcsolattal csatlakoztathatja azure-fájlmegosztásait a helyszíni hálózatról anélkül, hogy adatokat küldene a nyílt interneten keresztül. Az S2S VPN-t az Azure VPN Gateway használatával állíthatja be, amely egy VPN-szolgáltatásokat kínáló Azure-erőforrás, amely a tárfiókok vagy más Azure-erőforrások mellett egy erőforráscsoportban van üzembe helyezve.

Topológiadiagram, amely egy Azure-fájlmegosztást egy helyszíni helyhez S2S VPN-t használó Azure VPN-átjáró topológiáját szemlélteti

Javasoljuk, hogy olvassa el az Azure Files hálózatkezelési áttekintését , mielőtt folytatná ezt a cikket az Azure Fileshoz elérhető hálózati lehetőségek teljes körű megvitatásához.

A cikk részletesen ismerteti a helyek közötti VPN konfigurálását az Azure-fájlmegosztások közvetlen helyszíni csatlakoztatásához. Ha S2S VPN-en keresztül szeretné átirányítani az Azure File Sync szinkronizálási forgalmát, tekintse meg az Azure File Sync proxy- és tűzfalbeállítások konfigurálását.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Igen Nem
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Igen Nem
Prémium fájlmegosztások (FileStorage), LRS/ZRS Igen Igen

Előfeltételek

  • Egy Azure-fájlmegosztás, amely a helyszínen csatlakoztatható. Az Azure-fájlmegosztások a tárfiókokban vannak üzembe helyezve, amelyek olyan felügyeleti szerkezetek, amelyek egy megosztott tárkészletet jelölnek, amelyben több fájlmegosztást is üzembe helyezhet, valamint egyéb tárolási erőforrásokat, például blobokat vagy üzenetsorokat. További információ az Azure-fájlmegosztások és tárfiókok Azure-fájlmegosztások és -tárfiókok azure-fájlmegosztások létrehozásában való üzembe helyezéséről.

  • A helyszíni csatlakoztatni kívánt Azure-fájlmegosztást tartalmazó tárfiók privát végpontja. A privát végpontok létrehozásáról az Azure Files hálózati végpontjainak konfigurálása című témakörben olvashat.

  • Egy hálózati berendezés vagy kiszolgáló a helyszíni adatközpontban, amely kompatibilis az Azure VPN Gateway szolgáltatással. Az Azure Files a kiválasztott helyszíni hálózati berendezést használja, de az Azure VPN Gateway fenntartja a tesztelt eszközök listáját. A különböző hálózati berendezések különböző funkciókat, teljesítményjellemzőket és felügyeleti funkciókat kínálnak, ezért ezeket vegye figyelembe a hálózati berendezés kiválasztásakor.

Ha nem rendelkezik meglévő hálózati berendezéssel, a Windows Server tartalmaz egy beépített kiszolgálói szerepkört, útválasztást és távelérést (RRAS), amely helyszíni hálózati berendezésként használható. Az útválasztás és a távelérés Windows Serveren való konfigurálásáról a RAS Gateway című témakörben olvashat bővebben.

Virtuális hálózat hozzáadása tárfiókhoz

Ha új vagy meglévő virtuális hálózatot szeretne hozzáadni a tárfiókhoz, kövesse az alábbi lépéseket.

  1. Jelentkezzen be az Azure Portalra, és keresse meg a helyszíni csatlakoztatni kívánt Azure-fájlmegosztást tartalmazó tárfiókot.

  2. A tárfiók tartalomjegyzékében válassza a Biztonság + hálózatkezelés > lehetőséget. Ha a létrehozásakor nem adott hozzá virtuális hálózatot a tárfiókhoz, az eredményként kapott panelen a nyilvános hálózati hozzáférés alatt kijelölt összes hálózathoz be kell kapcsolni az Engedélyezve gombot.

  3. Virtuális hálózat hozzáadásához válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és IP-címek választógombja közül. A Virtuális hálózatok alcím alatt válassza a + Meglévő virtuális hálózat hozzáadása vagy az Új virtuális hálózat hozzáadása lehetőséget. Új virtuális hálózat létrehozása új Azure-erőforrás létrehozását eredményezi. Az új vagy meglévő virtuális hálózati erőforrásnak ugyanabban a régióban kell lennie, mint a tárfiók, de nem kell ugyanabban az erőforráscsoportban vagy előfizetésben lennie. Ne feledje azonban, hogy a virtuális hálózatot üzembe helyező erőforráscsoportnak, régiónak és előfizetésnek meg kell egyeznie azzal, ahol a következő lépésben üzembe helyezi a virtuális hálózati átjárót.

    Képernyőkép az Azure Portalról, amely lehetővé teszi egy meglévő vagy új virtuális hálózat hozzáadását a tárfiókhoz.

    Ha meglévő virtuális hálózatot ad hozzá, először létre kell hoznia egy átjáróalhálózatot a virtuális hálózaton. A rendszer kérni fogja, hogy válasszon ki egy vagy több alhálózatot a virtuális hálózatból. Ha új virtuális hálózatot hoz létre, a létrehozási folyamat részeként létre fog hozni egy alhálózatot. Később további alhálózatokat is hozzáadhat az eredményül kapott Azure-erőforráson keresztül a virtuális hálózathoz.

    Ha korábban nem engedélyezte a nyilvános hálózati hozzáférést a virtuális hálózathoz, a Microsoft.Storage szolgáltatásvégpontot hozzá kell adni a virtuális hálózati alhálózathoz. Ez akár 15 percet is igénybe vehet, bár a legtöbb esetben sokkal gyorsabban fejeződik be. A művelet befejezéséig nem fog tudni hozzáférni a tárfiókon belüli Azure-fájlmegosztásokhoz, beleértve a VPN-kapcsolatot is.

  4. Válassza a Lap tetején található Mentés lehetőséget.

Virtuális hálózati átjáró üzembe helyezése

Virtuális hálózati átjáró üzembe helyezéséhez kövesse az alábbi lépéseket.

  1. Az Azure Portal tetején található keresőmezőben keressen rá, majd válassza ki a virtuális hálózati átjárókat. Megjelenik a Virtuális hálózati átjárók lap. A lap tetején válassza a + Létrehozás lehetőséget.

  2. Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit. A virtuális hálózati átjárónak ugyanabban az előfizetésben, Azure-régióban és erőforráscsoportban kell lennie, mint a virtuális hálózat.

    Képernyőkép arról, hogyan hozhat létre virtuális hálózati átjárót az Azure Portal használatával.

    • Előfizetés: Válassza ki a használni kívánt előfizetést a legördülő listából.
    • Erőforráscsoport: Ezt a beállítást a rendszer automatikusan kitölti, amikor kiválasztja a virtuális hálózatot ezen a lapon.
    • Név: Nevezze el a virtuális hálózati átjárót. Az átjáró elnevezése nem ugyanaz, mint egy átjáróalhálózat elnevezése. Ez a létrehozott virtuális hálózati átjáró objektum neve.
    • Régió: Válassza ki azt a régiót, amelyben létre szeretné hozni ezt az erőforrást. A virtuális hálózati átjáró régiójának meg kell egyeznie a virtuális hálózatával.
    • Átjáró típusa: válassza ki a VPN elemet. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.
    • Termékváltozat: Válassza ki az átjáró termékváltozatát, amely támogatja a használni kívánt funkciókat a legördülő listában. Az SKU szabályozza az engedélyezett helyek közötti alagutak számát és a VPN kívánt teljesítményét. Lásd: Átjáró termékváltozatai. Ne használja az alapszintű termékváltozatot, ha IKEv2-hitelesítést (útvonalalapú VPN-t) szeretne használni.
    • Generáció: Válassza ki a használni kívánt generációt. Javasoljuk, hogy használjon 2. generációs termékváltozatot. További információkért lásd: Az átjárók termékváltozatai.
    • Virtuális hálózat: A legördülő listából válassza ki a tárfiókhoz az előző lépésben hozzáadott virtuális hálózatot.
    • Alhálózat: Ezt a mezőt szürkén kell kiszürkíteni, és listázni kell a létrehozott átjáró-alhálózat nevét, valamint annak IP-címtartományát. Ha ehelyett egy szövegmezővel rendelkező Átjáró alhálózat címtartomány-mezőt lát, akkor még nem konfigurált átjáróalhálózatot a virtuális hálózaton.

  3. Adja meg a virtuális hálózati átjáróhoz társított nyilvános IP-cím értékeit. A virtuális hálózati átjáró létrehozásakor a rendszer ehhez az objektumhoz rendeli a nyilvános IP-címet. Az elsődleges nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Nem változik az átméretezés, az alaphelyzetbe állítás vagy más belső karbantartás/frissítés során.

    Képernyőkép egy virtuális hálózati átjáró nyilvános IP-címének megadásáról az Azure Portal használatával.

    • Nyilvános IP-cím: Annak a virtuális hálózati átjárónak az IP-címe, amely az interneten lesz közzétéve. Valószínűleg létre kell hoznia egy új IP-címet, de használhat egy meglévő nem használt IP-címet is. Ha az Új létrehozása lehetőséget választja, a rendszer egy új IP-címet hoz létre az Azure-erőforrást ugyanabban az erőforráscsoportban, mint a virtuális hálózati átjáró, és a nyilvános IP-cím neve az újonnan létrehozott IP-cím neve lesz. Ha a Meglévő használata lehetőséget választja, ki kell választania a meglévő nem használt IP-címet.
    • Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
    • Nyilvános IP-cím termékváltozata: A beállítás automatikusan ki van jelölve.
    • Hozzárendelés: A hozzárendelés általában automatikusan ki van jelölve, és lehet dinamikus vagy statikus.
    • Aktív-aktív mód engedélyezése: Válassza a Letiltva lehetőséget. Ezt a beállítást csak akkor engedélyezze, ha aktív-aktív átjárókonfigurációt hoz létre. Az aktív-aktív módról további információt a magas rendelkezésre állású helyek közötti és a virtuális hálózatok közötti kapcsolatokról talál.
    • BGP konfigurálása: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten Border Gateway Protocol szükséges. Ha ehhez a beállításhoz van szükség, az alapértelmezett ASN 65515, bár ez az érték módosítható. Erről a beállításról további információt az Azure VPN Gatewayrel rendelkező BGP-vel kapcsolatban talál.

  4. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a virtuális hálózati átjáró üzembe helyezéséhez. Az üzembe helyezés akár 45 percet is igénybe vehet.

Helyi hálózati átjáró létrehozása a helyszíni átjáróhoz

A helyi hálózati átjáró egy Azure-erőforrás, amely a helyszíni hálózati berendezést jelöli. A tárfiók, a virtuális hálózat és a virtuális hálózati átjáró mellett van üzembe helyezve, de nem kell ugyanabban az erőforráscsoportban vagy előfizetésben lennie, mint a tárfiók. Helyi hálózati átjáró létrehozásához kövesse az alábbi lépéseket.

  1. Az Azure Portal tetején található keresőmezőben keresse meg és válassza ki a helyi hálózati átjárókat. Ekkor megjelenik a Helyi hálózati átjárók lap. A lap tetején válassza a + Létrehozás lehetőséget.

  2. Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.

    Képernyőkép arról, hogyan hozhat létre helyi hálózati átjárót az Azure Portal használatával.

    • Előfizetés: A kívánt Azure-előfizetés. Ennek nem kell megegyeznie a virtuális hálózati átjáróhoz vagy a tárfiókhoz használt előfizetéssel.
    • Erőforráscsoport: A kívánt erőforráscsoport. Ennek nem kell egyeznie a virtuális hálózati átjáróhoz vagy a tárfiókhoz használt erőforráscsoportgal.
    • Régió: Azt az Azure-régiót kell létrehozni, amelyben a helyi hálózati átjáró erőforrását létre kell hozni. Ennek egyeznie kell a virtuális hálózati átjáróhoz és a tárfiókhoz kiválasztott régióval.
    • Név: A helyi hálózati átjáró Azure-erőforrásának neve. Ez a név lehet bármilyen név, amely hasznosnak bizonyulhat a felügyelet számára.
    • Végpont: Hagyja kijelölve az IP-címet .
    • IP-cím: A helyszíni helyi átjáró nyilvános IP-címe.
    • Címtér: A helyi hálózati átjáró által képviselt hálózat címtartománya vagy tartományai. Például: 192.168.0.0/16. Ha több címtartományt ad hozzá, győződjön meg arról, hogy a megadott tartományok nem fedik egymást más hálózatok tartományaival, amelyekhez csatlakozni szeretne. Ha ezt a helyi hálózati átjárót BGP-kompatibilis kapcsolaton szeretné használni, akkor a deklarálni kívánt minimális előtag a VPN-eszközön található BGP-társ IP-címének állomáscíme.

  3. Ha a szervezetnek BGP-t igényel, válassza a Speciális fület a BGP-beállítások konfigurálásához. További információ: A BGP és az Azure VPN Gateway.

  4. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a helyi hálózati átjáró létrehozásához.

Helyszíni hálózati berendezés konfigurálása

A helyszíni hálózati berendezés konfigurálásához szükséges konkrét lépések a szervezet által kiválasztott hálózati berendezéstől függenek. Attól függően, hogy a szervezet milyen eszközt választott, a tesztelt eszközök listájának hivatkozása lehet az eszköz gyártójának az Azure-beli virtuális hálózati átjáróval való konfigurálására vonatkozó utasításaira.

A helyek közötti kapcsolat létrehozása

Az S2S VPN üzembe helyezésének befejezéséhez létre kell hoznia egy kapcsolatot a helyszíni hálózati berendezés (amelyet a helyi hálózati átjáró erőforrása képvisel) és az Azure virtuális hálózati átjáró között. Ehhez kövesse az alábbi lépéseket.

  1. Lépjen a létrehozott virtuális hálózati átjáróra. A virtuális hálózati átjáró tartalomjegyzékében válassza a Gépház > Csatlakozás, majd a + Hozzáadás lehetőséget.

  2. Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.

    Képernyőkép arról, hogyan hozhat létre webhelyet a helyek közötti VPN-kapcsolathoz az Azure Portal használatával.

    • Előfizetés: A kívánt Azure-előfizetés.
    • Erőforráscsoport: A kívánt erőforráscsoport.
    • Csatlakozás ion típus: Mivel ez egy S2S-kapcsolat, válassza a helyek közötti (IPSec) elemet a legördülő listából.
    • Név: A kapcsolat neve. A virtuális hálózati átjárók több kapcsolatot is üzemeltethetnek, ezért válasszon egy nevet, amely hasznos a felügyelethez, és amely megkülönbözteti ezt a kapcsolatot.
    • Régió: A virtuális hálózati átjáróhoz és a tárfiókhoz kiválasztott régió.

  3. A Gépház lapon adja meg a következő információkat.

    Képernyőkép arról, hogyan konfigurálhatja a helyek beállításait a VPN-kapcsolat helyéhez az Azure Portal használatával.

    • Virtuális hálózati átjáró: Válassza ki a létrehozott virtuális hálózati átjárót.
    • Helyi hálózati átjáró: Válassza ki a létrehozott helyi hálózati átjárót.
    • Megosztott kulcs (PSK): A kapcsolat titkosításának létrehozásához használt betűk és számok keveréke. Ugyanazt a megosztott kulcsot kell használni a virtuális hálózatban és a helyi hálózati átjárókban is. Ha az átjáróeszköze nem biztosít egyet, itt is létrehozhat egyet, és megadhatja az eszköznek.
    • IKE protokoll: A VPN-eszköztől függően válassza az IKEv1 lehetőséget a szabályzatalapú VPN-hez, vagy az IKEv2 lehetőséget az útvonalalapú VPN-hez. A VPN-átjárók két típusával kapcsolatos további információkért lásd : Szabályzatalapú és útvonalalapú VPN-átjárók.
    • Az Azure Privát IP-cím használata: Ennek a beállításnak az ellenőrzése lehetővé teszi, hogy az Azure-beli privát IP-címek használatával hozzon létre egy IPsec VPN-kapcsolatot. A magánhálózati IP-címek támogatását a VPN-átjárón kell beállítani ahhoz, hogy ez a beállítás működjön. Csak az AZ Gateway termékváltozatai támogatják.
    • BGP engedélyezése: Hagyja bejelöletlenül, kivéve, ha a szervezet kifejezetten ezt a beállítást igényli.
    • Egyéni BGP-címek engedélyezése: Hagyja bejelöletlenül, kivéve, ha a szervezet kifejezetten ezt a beállítást igényli.
    • FastPath: A FastPath úgy lett kialakítva, hogy javítsa a helyszíni hálózat és a virtuális hálózat közötti adatátadási teljesítményt. További információ.
    • IPsec/IKE-szabályzat: A kapcsolathoz egyeztetendő IPsec/IKE-szabályzat. Hagyja bejelölve az Alapértelmezett beállítást , kivéve, ha a szervezet egyéni szabályzatot igényel. További információ.
    • Szabályzatalapú forgalomválasztó használata: Hagyja letiltva, kivéve, ha konfigurálnia kell az Azure VPN Gatewayt a helyszíni szabályzatalapú VPN-tűzfalhoz való csatlakozáshoz. Ha engedélyezi ezt a mezőt, győződjön meg arról, hogy a VPN-eszköz rendelkezik a helyszíni hálózat (helyi hálózati átjáró) előtagjainak az Azure-beli virtuális hálózati előtagok közötti és az azokból származó összes kombinációjával definiált megfelelő forgalomválasztókkal, ahelyett, hogy bármelyikhez. Ha például a helyszíni hálózati előtagok 10.1.0.0/16 és 10.2.0.0/16, és a virtuális hálózati előtagok 192.168.0.0/16 és 172.16.0.0/16, akkor a következő forgalomválasztókat kell megadnia:
      • 10.1.0.0/16 <===> 192.168.0.0/16
      • 10.1.0.0/16 <===> 172.16.0.0/16
      • 10.2.0.0/16 <===> 192.168.0.0/16
      • 10.2.0.0/16 <===> 172.16.0.0/16
    • DPD időtúllépés másodpercben: A kapcsolat megszakadt társészlelési időtúllépése másodpercben. A tulajdonság ajánlott és alapértelmezett értéke 45 másodperc.
    • Csatlakozás ion mód: Csatlakozás ion mód használatával dönti el, hogy melyik átjáró kezdeményezheti a kapcsolatot. Ha ez az érték a következőre van állítva:
      • Alapértelmezett: Az Azure és a helyszíni VPN-átjáró is kezdeményezheti a kapcsolatot.
      • Válasz: Az Azure VPN Gateway soha nem kezdeményezi a kapcsolatot. A helyszíni VPN-átjárónak kezdeményeznie kell a kapcsolatot.
      • InitiateorOnly: Az Azure VPN Gateway elindítja a kapcsolatot, és elutasítja a helyszíni VPN-átjáró csatlakozási kísérleteit.

  4. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a kapcsolat létrehozásához. A virtuális hálózati átjáró Csatlakozás ions lapján ellenőrizheti, hogy sikeresen létrejött-e a kapcsolat.

Azure-fájlmegosztás csatlakoztatása

Az S2S VPN konfigurálásának utolsó lépése annak ellenőrzése, hogy működik-e az Azure Files esetében. Ezt az Azure-fájlmegosztás helyszíni csatlakoztatásával teheti meg. Az operációs rendszer csatlakoztatására vonatkozó utasításokat itt találja:

Lásd még