Konfigurasikan Site-to-Site VPN untuk digunakan bersama Azure Files

Anda dapat menggunakan koneksi VPN Situs-ke-Situs (S2S) untuk memasang berbagi Azure dari jaringan lokal Anda, tanpa mengirim data melalui internet terbuka. Anda juga dapat mengatur Site-to-Site VPN menggunakan Azure VPN Gateway, yang merupakan sumber daya Azure yang menawarkan layanan VPN, dan disebar dalam grup sumber daya bersama akun penyimpanan atau sumber daya Azure lainnya.

Kami sangat menyarankan Agar Anda membaca gambaran umum jaringan Azure Files sebelum melanjutkan artikel ini untuk diskusi lengkap tentang opsi jaringan yang tersedia untuk Azure Files.

Artikel ini menjabarkan langkah-langkah untuk mengonfigurasi Site-to-Site VPN untuk memasang berbagi file Azure lokal secara langsung. Jika Anda ingin merutekan lalu lintas sinkronisasi untuk Azure File Sync melalui VPN Situs-ke-Situs, lihat mengonfigurasi proksi Azure File Sync dan pengaturan firewall.

Berlaku untuk

Jenis berbagi File	SMB	NFS
Berbagi file standar (GPv2), LRS/ZRS
Berbagi file standar (GPv2), GRS/GZRS
Berbagi file premium (FileStorage), LRS/ZRS

Prasyarat

• Berbagi file Azure lokal yang ingin Anda pasang. Berbagi file Azure disebarkan dalam akun penyimpanan, yang merupakan konstruksi manajemen yang mewakili kumpulan penyimpanan bersama tempat Anda dapat menyebarkan beberapa berbagi file, serta sumber daya penyimpanan lainnya, seperti blob atau antrean. Anda bisa mempelajari lebih lanjut cara menggunakan berbagi file Azure dan akun penyimpanan di Membuat berbagi file Azure.

• Titik akhir privat untuk akun penyimpanan yang berisi berbagi file Azure yang ingin Anda pasang secara lokal. Untuk mempelajari cara membuat titik akhir privat, lihat Mengonfigurasi titik akhir jaringan Azure Files.

• Appliance jaringan atau server di pusat data lokal Anda yang kompatibel dengan Azure VPN Gateway. Azure Files adalah agnostik dari appliance jaringan lokal yang dipilih, tetapi Azure VPN Gateway mempertahankan daftar perangkat yang diuji. Berbagai appliance jaringan menawarkan beragam fitur, karakteristik performa, dan fungsionalitas manajemen, jadi pertimbangkan ini saat memilih appliance jaringan.

Jika Anda tidak memiliki appliance jaringan yang sudah ada, Windows Server berisi Peran Server bawaan, Perutean, dan Akses Jarak Jauh (RRAS), yang dapat digunakan sebagai appliance jaringan lokal. Untuk mempelajari lebih lanjut tentang cara mengonfigurasi Routing and Remote Access di Windows Server, lihat RAS Gateway.

Menambahkan jaringan virtual ke akun penyimpanan

Untuk menambahkan jaringan virtual baru atau yang sudah ada ke akun penyimpanan Anda, ikuti langkah-langkah ini.

1. Masuk ke portal Azure dan navigasi ke akun penyimpanan yang berisi berbagi file Azure yang ingin Anda pasang secara lokal.

2. Dalam daftar isi untuk akun penyimpanan, pilih Keamanan + Jaringan Jaringan>. Kecuali Anda menambahkan jaringan virtual ke akun penyimpanan saat membuatnya, panel yang dihasilkan harus memiliki tombol radio untuk Diaktifkan dari semua jaringan yang dipilih di bawah Akses jaringan publik.

3. Untuk menambahkan jaringan virtual, pilih tombol radio Diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Di bawah subjudul Jaringan virtual, pilih + Tambahkan jaringan virtual yang ada atau + Tambahkan jaringan virtual baru. Membuat jaringan virtual baru akan menghasilkan pembuatan sumber daya Azure baru. Sumber daya jaringan virtual baru atau yang sudah ada harus berada di wilayah yang sama dengan akun penyimpanan, tetapi tidak perlu berada dalam grup sumber daya atau langganan yang sama. Namun, perlu diingat bahwa grup sumber daya, wilayah, dan langganan tempat Anda menyebarkan jaringan virtual harus cocok dengan tempat Anda menyebarkan gateway jaringan virtual di langkah berikutnya.

   

   Jika Anda menambahkan jaringan virtual yang ada, Anda harus terlebih dahulu membuat subnet gateway di jaringan virtual. Anda akan diminta untuk memilih satu atau beberapa subnet jaringan virtual tersebut. Jika Anda membuat jaringan virtual baru, Anda akan membuat subnet sebagai bagian dari proses pembuatan. Anda dapat menambahkan lebih banyak subnet nanti melalui sumber daya Azure yang dihasilkan untuk jaringan virtual.

   Jika Anda belum mengaktifkan akses jaringan publik ke jaringan virtual sebelumnya, titik akhir layanan Microsoft.Storage perlu ditambahkan ke subnet jaringan virtual. Ini dapat memakan waktu hingga 15 menit untuk diselesaikan, meskipun dalam banyak kasus akan selesai jauh lebih cepat. Hingga operasi ini selesai, Anda tidak akan dapat mengakses berbagi file Azure dalam akun penyimpanan tersebut, termasuk melalui koneksi VPN.

4. Pilih Simpan di bagian atas halaman.

Menyebarkan gateway jaringan virtual

Untuk menyebarkan gateway jaringan virtual, ikuti langkah-langkah ini.

1. Dalam kotak pencarian di bagian atas portal Azure, cari lalu pilih Gateway jaringan virtual. Halaman Gateway jaringan virtual akan muncul. Di bagian atas halaman, pilih + Buat.

2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans. Gateway jaringan virtual Anda harus berada dalam langganan, wilayah Azure, dan grup sumber daya yang sama dengan jaringan virtual.

   

   • Langganan: Pilih langganan yang ingin Anda gunakan dari menu pilihan menurun.
   • Grup Sumber Daya: Pengaturan ini diisi otomatis saat Anda memilih jaringan virtual Anda di halaman ini.
   • Nama: Beri nama gateway jaringan virtual Anda. Penamaan gateway Anda tidak sama dengan penamaan subnet gateway. Ini adalah nama objek gateway jaringan virtual yang Anda buat.
   • Wilayah: Pilih wilayah tempat Anda ingin membuat sumber daya ini. Wilayah untuk gateway jaringan virtual harus sama dengan jaringan virtual.
   • Jenis gateway: Pilih VPN. VPN Gateway menggunakan gateway virtual jenis VPN.
   • SKU: Pilih SKU gateway yang mendukung fitur yang ingin Anda gunakan dari menu dropdown. SKU mengontrol jumlah terowongan Situs-ke-Situs yang diizinkan dan performa VPN yang diinginkan. Lihat SKU Gateway. Jangan gunakan SKU Dasar jika Anda ingin menggunakan autentikasi IKEv2 (VPN berbasis rute).
   • Generasi: Pilih generasi yang ingin Anda gunakan. Sebaiknya gunakan SKU Generasi2. Untuk informasi selengkapnya, lihat SKU Gateway.
   • Jaringan virtual: Dari menu dropdown, pilih jaringan virtual yang Anda tambahkan ke akun penyimpanan Anda di langkah sebelumnya.
   • Subnet: Bidang ini harus berwarna abu-abu dan mencantumkan nama subnet gateway yang Anda buat, bersama dengan rentang alamat IP-nya. Jika Anda melihat bidang Rentang alamat subnet Gateway dengan kotak teks, maka Anda belum mengonfigurasi subnet gateway di jaringan virtual.

3. Tentukan nilai untuk alamat IP Publik yang terkait dengan gateway jaringan virtual. Alamat IP publik ditetapkan ke objek ini ketika gateway jaringan virtual dibuat. Satu-satunya waktu alamat IP publik utama berubah adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh mengubah ukuran, mengatur ulang, atau pemeliharaan/peningkatan internal lainnya.

   

   • Alamat IP publik: Alamat IP gateway jaringan virtual yang akan diekspos ke internet. Kemungkinan, Anda harus membuat alamat IP baru, namun Anda juga dapat menggunakan alamat IP yang tidak digunakan yang ada. Jika Anda memilih Buat baru, alamat IP baru sumber daya Azure akan dibuat di grup sumber daya yang sama dengan gateway jaringan virtual, dan nama alamat IP Publik akan menjadi nama alamat IP yang baru dibuat. Jika Anda memilih Gunakan yang ada, Anda harus memilih alamat IP yang ada yang tidak digunakan.
   • Nama alamat IP publik: Dalam kotak teks, ketikkan nama untuk contoh alamat IP publik Anda.
   • SKU alamat IP publik: Pengaturan dipilih secara otomatis.
   • Penugasan: Penugasan biasanya dipilih secara otomatis dan dapat bersifat Dinamis atau Statis.
   • Aktifkan mode aktif-aktif: Pilih Dinonaktifkan. Hanya aktifkan pengaturan ini jika Anda membuat konfigurasi gateway aktif-aktif. Untuk mempelajari lebih lanjut tentang mode aktif-aktif, lihat Konektivitas lintas tempat dengan ketersediaan tinggi dan VNet-to-VNet.
   • Mengonfigurasi BGP: Pilih Dinonaktifkan, kecuali konfigurasi Anda secara khusus memerlukan Border Gateway Protocol. Jika Anda memerlukan pengaturan ini, ASN defaultnya adalah 65515, meskipun nilai ini dapat diubah. Untuk mempelajari lebih lanjut tentang pengaturan ini, lihat Tentang BGP dengan Azure VPN Gateway.

4. Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi lolos, pilih Buat untuk menyebarkan gateway jaringan virtual. Penyebaran dapat memakan waktu hingga 45 menit untuk diselesaikan.

Buat gateway jaringan lokal untuk gateway lokal Anda

Gateway jaringan lokal adalah sumber daya Azure yang mewakili appliance jaringan lokal Anda. Ini disebarkan bersama akun penyimpanan, jaringan virtual, dan gateway jaringan virtual Anda, tetapi tidak perlu berada dalam grup sumber daya atau langganan yang sama dengan akun penyimpanan. Untuk membuat gateway jaringan lokal, ikuti langkah-langkah ini.

1. Dalam kotak pencarian di bagian atas portal Azure, cari dan pilih gateway jaringan lokal. Halaman Gateway jaringan lokal akan muncul. Di bagian atas halaman, pilih + Buat.

2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

   

   • Langganan: Langganan Azure yang diinginkan. Ini tidak perlu cocok dengan langganan yang digunakan untuk gateway jaringan virtual atau akun penyimpanan.
   • Grup sumber daya: Grup sumber daya yang diinginkan. Ini tidak perlu cocok dengan grup sumber daya yang digunakan untuk gateway jaringan virtual atau akun penyimpanan.
   • Wilayah: Wilayah Azure tempat sumber daya gateway jaringan lokal harus dibuat. Ini harus cocok dengan wilayah yang Anda pilih untuk gateway jaringan virtual dan akun penyimpanan.
   • Nama: Nama sumber daya Azure untuk gateway jaringan lokal. Nama ini dapat berupa nama apa saja yang menurut Anda bermanfaat untuk manajemen Anda.
   • Titik akhir: Biarkan alamat IP dipilih.
   • Alamat IP: Alamat IP publik dari gateway lokal Anda.
   • Ruang alamat: Rentang alamat atau rentang untuk jaringan yang diwakili gateway jaringan lokal ini. Misalnya: 192.168.0.0/16. Jika Anda menambahkan beberapa rentang ruang alamat, pastikan rentang yang Anda tentukan tidak tumpang tindih dengan rentang jaringan lain yang ingin Anda sambungkan. Jika Anda berencana untuk menggunakan gateway jaringan lokal ini dalam koneksi yang didukung BGP, awalan minimum yang perlu dinyatakan adalah alamat host alamat IP BGP Peer Anda di perangkat VPN Anda.

3. Jika organisasi Anda memerlukan BGP, pilih tab Tingkat Lanjut untuk mengonfigurasi pengaturan BGP. Untuk mempelajari selengkapnya, lihat Tentang BGP dengan Azure VPN Gateway.

4. Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi lolos, pilih Buat untuk membuat gateway jaringan lokal.

Konfigurasikan appliance jaringan lokal

Langkah-langkah khusus untuk mengonfigurasi appliance jaringan lokal Anda bergantung pada appliance jaringan yang telah dipilih organisasi Anda. Bergantung pada perangkat yang dipilih organisasi Anda, daftar perangkat yang diuji mungkin memiliki tautan ke instruksi vendor perangkat Anda untuk mengonfigurasi dengan gateway jaringan virtual Azure.

Buat koneksi Situs ke Situs

Untuk menyelesaikan penyebaran VPN S2S, Anda harus membuat koneksi antara appliance jaringan lokal Anda (diwakili oleh sumber daya gateway jaringan lokal) dan gateway jaringan virtual Azure. Untuk melakukan ini, ikuti langkah-langkah ini.

1. Navigasikan ke gateway jaringan virtual yang Anda buat. Dalam daftar isi untuk gateway jaringan virtual, pilih Pengaturan Koneksi ion, lalu pilih + Tambahkan>.

2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

   

   • Langganan: Langganan Azure yang diinginkan.
   • Grup sumber daya: Grup sumber daya yang diinginkan.
   • jenis Koneksi ion: Karena ini koneksi S2S, pilih Situs-ke-situs (IPSec) dari daftar drop-down.
   • Nama: Nama koneksi. Gateway jaringan virtual dapat menghosting beberapa koneksi, jadi pilih nama yang berguna untuk manajemen Anda dan itu akan membedakan koneksi khusus ini.
   • Wilayah: Wilayah yang Anda pilih untuk gateway jaringan virtual dan akun penyimpanan.

3. Pada tab Pengaturan, berikan informasi berikut.

   

   • Gateway jaringan virtual: Pilih gateway jaringan virtual yang Anda buat.
   • Gateway jaringan lokal: Pilih gateway jaringan lokal yang Anda buat.
   • Kunci bersama (PSK): Campuran huruf dan angka yang digunakan untuk membuat enkripsi untuk koneksi. Kunci bersama yang sama harus digunakan dalam jaringan virtual dan gateway jaringan lokal. Jika peranti gateway Anda tidak menyediakannya, Anda dapat membuatnya di sini dan menyediakannya ke peranti Anda.
   • Protokol IKE: Bergantung pada perangkat VPN Anda, pilih IKEv1 untuk VPN berbasis kebijakan atau IKEv2 untuk VPN berbasis rute. Untuk mempelajari selengkapnya tentang dua jenis gateway VPN, lihat Tentang gateway VPN berbasis kebijakan dan berbasis rute.
   • Gunakan Alamat IP Privat Azure: Memeriksa opsi ini memungkinkan Anda menggunakan IP privat Azure untuk membuat koneksi VPN IPsec. Dukungan untuk IP privat harus diatur pada gateway VPN agar opsi ini berfungsi. Ini hanya didukung pada SKU Gateway AZ.
   • Aktifkan BGP: Biarkan tidak dicentang kecuali organisasi Anda secara khusus memerlukan pengaturan ini.
   • Aktifkan Alamat BGP Kustom: Biarkan tidak dicentang kecuali organisasi Anda secara khusus memerlukan pengaturan ini.
   • FastPath: FastPath dirancang untuk meningkatkan performa jalur data antara jaringan lokal dan jaringan virtual Anda. Pelajari lebih lanjut.
   • Kebijakan IPsec / IKE: Kebijakan IPsec / IKE yang akan dinegosiasikan untuk koneksi. Biarkan Default dipilih kecuali organisasi Anda memerlukan kebijakan kustom. Pelajari lebih lanjut.
   • Gunakan pemilih lalu lintas berbasis kebijakan: Biarkan dinonaktifkan kecuali Anda perlu mengonfigurasi gateway VPN Azure untuk menyambungkan ke firewall VPN berbasis kebijakan di tempat. Jika Anda mengaktifkan bidang ini, Anda harus memastikan perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke/dari awalan jaringan virtual Azure, bukan prefiks apa pun. Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda harus menentukan pemilih lalu lintas berikut:
     • 10.1.0.0/16 <====> 192.168.0.0/16
     • 10.1.0.0/16 <====> 172.16.0.0/16
     • 10.2.0.0/16 <====> 192.168.0.0/16
     • 10.2.0.0/16 <====> 172.16.0.0/16
   • Batas waktu DPD dalam hitungan detik: Batas Waktu Deteksi Peer Mati koneksi dalam hitungan detik. Nilai yang direkomendasikan dan default untuk properti ini adalah 45 detik.
   • mode Koneksi ion: mode Koneksi ion digunakan untuk memutuskan gateway mana yang dapat memulai koneksi. Ketika nilai ini diatur ke:
     • Default: Azure dan gateway VPN lokal dapat memulai koneksi.
     • ResponderOnly: Gateway VPN Azure tidak akan pernah memulai koneksi. Gateway VPN lokal harus memulai koneksi.
     • InisiatorOnly: Gateway VPN Azure akan memulai koneksi dan menolak upaya koneksi apa pun dari gateway VPN lokal.

4. Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi berlalu, pilih Buat untuk membuat koneksi. Anda dapat memverifikasi bahwa koneksi telah berhasil dibuat melalui halaman Koneksi gateway jaringan virtual.

Memasang berbagi file Azure

Langkah terakhir dalam mengonfigurasi S2S VPN adalah memverifikasi bahwa ini berfungsi untuk Azure Files. Anda dapat melakukan ini dengan memasang berbagi file Azure anda secara lokal. Lihat instruksi untuk memasang berdasarkan OS di sini:

• Windows
• macOS
• Linux (NFS)
• Linux (SMB)

Baca juga

• Gambaran umum jaringan Azure Files
• Konfigurasikan Point-to-Site VPN (P2S) di Windows untuk digunakan dengan Azure Files
• Mengonfigurasi VPN Titik-ke-Situs (P2S) di Linux untuk digunakan dengan Azure Files