Konfigurowanie sieci VPN typu lokacja-lokacja do użycia z usługą Azure Files

Możesz użyć połączenia sieci VPN typu lokacja-lokacja (S2S), aby zainstalować udziały plików platformy Azure z sieci lokalnej bez wysyłania danych za pośrednictwem otwartego Internetu. Sieć VPN S2S można skonfigurować przy użyciu usługi Azure VPN Gateway, która jest zasobem platformy Azure oferującym usługi sieci VPN. Usługa VPN Gateway jest wdrażana w grupie zasobów wraz z kontami magazynu lub innymi zasobami platformy Azure.

Zdecydowanie zalecamy zapoznanie się z omówieniem sieci usługi Azure Files przed kontynuowaniem pracy z tym artykułem, aby zapoznać się z pełnym omówieniem opcji sieci dostępnych dla usługi Azure Files.

W tym artykule szczegółowo opisano kroki konfigurowania sieci VPN typu lokacja-lokacja w celu zainstalowania udziałów plików platformy Azure bezpośrednio w środowisku lokalnym. Jeśli chcesz kierować ruch synchronizacji dla usługi Azure File Sync za pośrednictwem sieci VPN S2S, zobacz konfigurowanie ustawień serwera proxy i zapory usługi Azure File Sync.

Dotyczy

Model zarządzania	Model rozliczania	Poziom mediów	Redundancja	Małe i Średnie Przedsiębiorstwa (SMB)	System plików sieciowych (NFS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa geograficzna (GZRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Lokalna sieć (LRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa geograficzna (GZRS)

Wymagania wstępne

• Udział plików platformy Azure, który chcesz zainstalować lokalnie. Udziały plików platformy Azure są wdrażane na kontach magazynu, które są konstrukcjami zarządzania, które reprezentują udostępnioną pulę przechowywania, w której można wdrożyć wiele udziałów plików, a także inne zasoby magazynu, takie jak bloby lub kolejki. Dowiedz się więcej o tym, jak wdrażać udziały plików platformy Azure i konta magazynu, w sekcji Tworzenie udziału plików platformy Azure.

• Urządzenie sieciowe lub serwer w lokalnym centrum danych, które jest zgodne z usługą Azure VPN Gateway. Usługa Azure Files jest niezależna od wybranego lokalnego urządzenia sieciowego, ale usługa Azure VPN Gateway utrzymuje listę przetestowanych urządzeń. Różne urządzenia sieciowe oferują różne funkcje, charakterystykę wydajności i funkcje zarządzania, dlatego należy je wziąć pod uwagę podczas wybierania urządzenia sieciowego.

Jeśli nie masz istniejącego urządzenia sieciowego, system Windows Server zawiera wbudowaną rolę serwera, routing i dostęp zdalny (RRAS), który może być używany jako lokalne urządzenie sieciowe. Aby dowiedzieć się więcej na temat konfigurowania routingu i dostępu zdalnego w systemie Windows Server, zobacz Brama RAS.

Dodaj sieć wirtualną do konta magazynowego

Aby dodać nową lub istniejącą sieć wirtualną do konta magazynowego, należy wykonać następujące kroki.

Portal

1. Zaloguj się do witryny Azure Portal i przejdź do konta magazynu zawierającego udział plików platformy Azure, który chcesz zainstalować lokalnie.

2. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć. Jeśli nie dodano sieci wirtualnej do konta magazynu podczas jego tworzenia, wynikowe okienko powinno mieć przycisk radiowy Włączone ze wszystkich sieci wybranych w obszarze Dostęp do sieci publicznej.

3. Aby dodać sieć wirtualną, wybierz przycisk radiowy Włączone z wybranych sieci wirtualnych i adresów IP. W obszarze Podpozycja sieci wirtualnych wybierz pozycję + Dodaj istniejącą sieć wirtualną lub + Dodaj nową sieć wirtualną. Utworzenie nowej sieci wirtualnej spowoduje utworzenie nowego zasobu platformy Azure. Nowy lub istniejący zasób sieci wirtualnej musi znajdować się w tym samym regionie co konto magazynowe, jednak nie musi znajdować się w tej samej grupie zasobów ani subskrypcji. Należy jednak pamiętać, że grupa zasobów, region i subskrypcja wdrażana w sieci wirtualnej muszą być zgodne z miejscem wdrażania bramy sieci wirtualnej w następnym kroku.

   

   Jeśli dodasz istniejącą sieć wirtualną, musisz najpierw utworzyć podsieć bramy w sieci wirtualnej. Zostanie wyświetlony monit o wybranie co najmniej jednej podsieci tej sieci wirtualnej. Jeśli tworzysz nową sieć wirtualną, utworzysz podsieć w ramach procesu tworzenia. Więcej podsieci można dodać później za pomocą wynikowego zasobu platformy Azure dla sieci wirtualnej.

   Jeśli wcześniej nie włączono dostępu do sieci publicznej do sieci wirtualnej, Microsoft.Storage punkt końcowy usługi musi zostać dodany do podsieci sieci wirtualnej. Ukończenie tego procesu może potrwać do 15 minut, chociaż w większości przypadków zostanie ukończone znacznie szybciej. Dopóki ta operacja nie zostanie ukończona, nie będzie można uzyskać dostępu do udziałów plików usługi Azure w tym koncie magazynu, w tym za pośrednictwem połączenia VPN. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Identyfikatory podsieci oraz sieci wirtualnej są również przesyłane wraz z każdym żądaniem.

4. W górnej części strony wybierz pozycję Zapisz.

Azure PowerShell

1. Zaloguj się do Azure.

   Connect-AzAccount
   

2. Jeśli chcesz dodać nową sieć wirtualną i podsieć bramy, uruchom następujący skrypt. Jeśli masz istniejącą sieć wirtualną, której chcesz użyć, pomiń ten krok i przejdź do kroku 3. Pamiętaj, aby zastąpić <your-subscription-id>wartości , <resource-group>i <storage-account-name> własnymi wartościami. Jeśli chcesz, podaj własne wartości dla $location i $vnetName. Parametr -AddressPrefix definiuje bloki adresów IP dla sieci wirtualnej i podsieci, więc zastąp je odpowiednimi wartościami.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $location = "East US" # Change to desired Azure region
   $vnetName = "myVNet"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $vnetAddressPrefix = "10.0.0.0/16" # Update this address as per your requirements
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Define subnet configuration  
   $subnetConfig = New-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix
   
   # Create a virtual network  
   New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup -Location $location -AddressPrefix $vnetAddressPrefix -Subnet $subnetConfig  
   

3. Jeśli w poprzednim kroku utworzono nową sieć wirtualną i podsieć, pomiń ten krok. Jeśli masz istniejącą sieć wirtualną, której chcesz użyć, musisz najpierw utworzyć podsieć bramy w sieci wirtualnej, zanim będzie można wdrożyć bramę sieci wirtualnej.

   Aby dodać podsieć bramową do istniejącej sieci wirtualnej, uruchom następujący skrypt. Pamiętaj, aby zastąpić <your-subscription-id>wartości , <resource-group>i <virtual-network-name> własnymi wartościami. Parametr $subnetAddressPrefix definiuje blok adresów IP dla podsieci, więc zastąp adres IP zgodnie z wymaganiami.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $vnetName = "<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Get the virtual network
   $vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup
   
   # Add the gateway subnet
   Add-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet -AddressPrefix $subnetAddressPrefix
   
   # Apply the configuration to the virtual network
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Aby zezwolić na ruch tylko z określonych sieci wirtualnych, użyj Update-AzStorageAccountNetworkRuleSet polecenia i ustaw -DefaultAction parametr na Odmów.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroup -Name $storageAccount -DefaultAction Deny
   

5. Włącz punkt końcowy usługi Microsoft.Storage na sieci wirtualnej i w podsieci. Ukończenie tego procesu może potrwać do 15 minut, chociaż w większości przypadków zostanie ukończone znacznie szybciej. Dopóki ta operacja nie zostanie ukończona, nie będzie można uzyskać dostępu do udziałów plików usługi Azure w tym koncie magazynu, w tym za pośrednictwem połączenia VPN. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Identyfikatory podsieci oraz sieci wirtualnej są również przesyłane wraz z każdym żądaniem.

   Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Set-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

6. Dodaj regułę sieci dla sieci wirtualnej i podsieci.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Get-AzVirtualNetworkSubnetConfig -Name $subnetName
   Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroup -Name $storageAccount -VirtualNetworkResourceId $subnet.Id
   

Interfejs wiersza polecenia platformy Azure

1. Zaloguj się do Azure.

   az login
   

2. Jeśli chcesz dodać nową sieć wirtualną i podsieć bramy, uruchom następujący skrypt. Jeśli masz istniejącą sieć wirtualną, której chcesz użyć, pomiń ten krok i przejdź do kroku 3. Pamiętaj, aby zastąpić <your-subscription-id>wartości , <storage-account-name>i <resource-group> własnymi wartościami. Zastąp <virtual-network-name> ciąg nazwą nowej sieci wirtualnej, którą chcesz utworzyć. Parametry --address-prefix i --subnet-prefixes definiują bloki adresów IP dla sieci wirtualnej i podsieci, więc zastąp je odpowiednimi wartościami. Sieć wirtualna zostanie utworzona w tym samym regionie co grupa zasobów.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"  
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   vnetAddressPrefix="10.0.0.0/16" # Update this address per your requirements
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create a virtual network and subnet
   az network vnet create \
     --resource-group $resourceGroup \
     --name $vnetName \
     --address-prefix $vnetAddressPrefix \
     --subnet-name $subnetName \
     --subnet-prefixes $subnetAddressPrefix  
   

3. Jeśli w poprzednim kroku utworzono nową sieć wirtualną i podsieć, pomiń ten krok. Jeśli masz istniejącą sieć wirtualną, której chcesz użyć, musisz najpierw utworzyć podsieć bramy w sieci wirtualnej, zanim będzie można wdrożyć bramę sieci wirtualnej.

   Aby dodać podsieć bramową do istniejącej sieci wirtualnej, uruchom następujący skrypt. Pamiętaj, aby zastąpić <your-subscription-id>wartości , <resource-group>i <virtual-network-name> własnymi wartościami. Parametr --address-prefixes definiuje blok adresów IP dla podsieci, więc zastąp blok adresów IP zgodnie z potrzebami.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create the gateway subnet
   az network vnet subnet create \
     --resource-group $resourceGroup \
     --vnet-name $vnetName \
     --name $subnetName \
     --address-prefixes $subnetAddressPrefix
   

4. Aby zezwolić na ruch tylko z określonych sieci wirtualnych, użyj az storage account update polecenia i ustaw --default-action parametr na Odmów.

   az storage account update --resource-group $resourceGroup --name $storageAccount --default-action Deny
   

5. Włącz punkt końcowy usługi Microsoft.Storage na sieci wirtualnej i w podsieci. Ukończenie tego procesu może potrwać do 15 minut, chociaż w większości przypadków zostanie ukończone znacznie szybciej. Dopóki ta operacja nie zostanie ukończona, nie będzie można uzyskać dostępu do udziałów plików usługi Azure w tym koncie magazynu, w tym za pośrednictwem połączenia VPN. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Identyfikatory podsieci oraz sieci wirtualnej są również przesyłane wraz z każdym żądaniem.

   az network vnet subnet update --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --service-endpoints "Microsoft.Storage.Global"
   

6. Dodaj regułę sieci dla sieci wirtualnej i podsieci.

   subnetid=$(az network vnet subnet show --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --query id --output tsv)
   az storage account network-rule add --resource-group $resourceGroup --account-name $storageAccount --subnet $subnetid
   

Wdrażanie bramy sieci wirtualnej

Aby wdrożyć bramę sieci wirtualnej, wykonaj następujące kroki.

Portal

1. W polu wyszukiwania w górnej części witryny Azure Portal wyszukaj, a następnie wybierz pozycję Bramy sieci wirtualnej. Powinna zostać wyświetlona strona Bramy sieci wirtualnej. W górnej części strony wybierz pozycję + Utwórz.

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia. Brama sieci wirtualnej musi znajdować się w tej samej subskrypcji, regionie platformy Azure i grupie zasobów co sieć wirtualna.

   

   • Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.
   • Grupa zasobów: to ustawienie jest wypełniane automatycznie po wybraniu sieci wirtualnej na tej stronie.
   • Nazwa: nadaj bramie sieci wirtualnej nazwę. Nadanie nazwy bramie nie jest tym samym co nadanie nazwy podsieci bramy. Jest to nazwa tworzonego obiektu bramy sieci wirtualnej.
   • Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy sieci wirtualnej musi być taki sam jak sieć wirtualna.
   • Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.
   • SKU: Wybierz jednostkę SKU bramy z listy rozwijanej, która obsługuje funkcje, których chcesz użyć. SKU kontroluje liczbę dozwolonych tuneli między lokalizacjami oraz żądaną wydajność sieci VPN. Zobacz Jednostki SKU bramy. Nie używaj jednostki SKU w warstwie Podstawowa, jeśli chcesz użyć uwierzytelniania IKEv2 (sieci VPN opartej na trasach).
   • Generacja: wybierz generację, której chcesz użyć. Zalecamy używanie jednostki SKU generacji2. Aby uzyskać więcej informacji, zobacz Gateway SKUs.
   • Sieć wirtualna: z listy rozwijanej wybierz wirtualną sieć, którą dodałeś do swojego konta magazynu w poprzednim kroku.
   • Podsieć: to pole powinno być wyszarane i wyświetlić nazwę utworzonej podsieci bramy wraz z zakresem adresów IP. Jeśli zamiast tego zostanie wyświetlone pole zakresów adresów podsieci bramy z polem tekstowym, nie skonfigurowano jeszcze podsieci bramy w sieci wirtualnej.

3. Określ wartości publicznego adresu IP skojarzonego z bramą sieci wirtualnej. Publiczny adres IP jest przypisywany do tego obiektu podczas tworzenia bramy sieci wirtualnej. Jedynym momentem zmiany podstawowego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się ona między zmianą rozmiaru, resetowaniem ani inną konserwacją/uaktualnieniami wewnętrznymi.

   

   • Publiczny adres IP: adres IP bramy sieci wirtualnej, który będzie udostępniony w Internecie. Prawdopodobnie musisz utworzyć nowy adres IP, jednak możesz również użyć istniejącego nieużywanego adresu IP. W przypadku wybrania opcji Utwórz nowy, zasób adresu IP platformy Azure zostanie utworzony w tej samej grupie zasobów co brama sieci wirtualnej, a nazwa publicznego adresu IP będzie nazwą nowo utworzonego publicznego adresu IP. Jeśli wybierzesz pozycję Użyj istniejącej, musisz wybrać istniejący nieużywany adres IP.
   • Nazwa publicznego adresu IP: w polu tekstowym wpisz nazwę publicznego adresu IP.
   • SKU publicznego adresu IP: ustawienie jest wybierane automatycznie.
   • Przypisanie: przypisanie jest zazwyczaj wybierane automatycznie i może być dynamiczne lub statyczne.
   • Włącz tryb aktywny-aktywny: wybierz Wyłączony. Włącz to ustawienie tylko wtedy, gdy tworzysz konfigurację bramy aktywne-aktywne. Aby dowiedzieć się więcej o trybie aktywny-aktywny, zobacz Łączność między lokalizacjami i sieciami wirtualnymi o wysokiej dostępności.
   • Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga specjalnie protokołu Border Gateway Protocol. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić. Aby dowiedzieć się więcej o tym ustawieniu, zobacz About BGP with Azure VPN Gateway (Informacje o protokole BGP w usłudze Azure VPN Gateway).

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci wirtualnej. Ukończenie wdrożenia może potrwać do 45 minut.

Azure PowerShell

1. Najpierw zażądaj publicznego adresu IP. Jeśli masz istniejący nieużywany adres IP, którego chcesz użyć, możesz pominąć ten krok. Zastąp <resource-group> nazwą grupy zasobów i określ ten sam region Azure, którego użyłeś dla sieci wirtualnej.

   $gwpip = New-AzPublicIpAddress -Name "mypublicip" -ResourceGroupName "<resource-group>" -Location "East US" -AllocationMethod Static -Sku Standard
   

2. Następnie utwórz konfigurację adresu IP bramy, definiując podsieć i publiczny adres IP do użycia. Publiczny adres IP bramy sieci VPN zostanie uwidoczniony w Internecie. Zastąp <virtual-network-name> wartości i <resource-group> własnymi wartościami.

   $vnet = Get-AzVirtualNetwork -Name <virtual-network-name> -ResourceGroupName <resource-group>
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id
   

3. Uruchom następujący skrypt, aby utworzyć bramę sieci VPN.

   Zastąp <resource-group> tą samą grupą zasobów jak sieć wirtualna. Określ SKU bramy, które obsługuje potrzebne funkcje. Jednostka SKU bramy kontroluje liczbę dozwolonych tuneli typu lokacja-lokacja i żądaną wydajność sieci VPN. Zalecamy użycie jednostki SKU generacji 2. Nie używaj jednostki SKU w warstwie Podstawowa, jeśli chcesz użyć uwierzytelniania IKEv2 (sieci VPN opartej na trasach).

   New-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group> -Location "East US" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration Generation2
   

   Możesz również uwzględnić inne funkcje, takie jak Border Gateway Protocol (BGP) i Active-Active. Zapoznaj się z dokumentacją cmdletu New-AzVirtualNetworkGateway. Jeśli potrzebujesz protokołu BGP, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.

4. Tworzenie bramy może potrwać 45 minut lub więcej, w zależności od SKU bramy, który określiłeś. Bramę sieci VPN można wyświetlić przy użyciu polecenia cmdlet Get-AzVirtualNetworkGateway .

   Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroup <resource-group>
   

Interfejs wiersza polecenia platformy Azure

1. Najpierw zażądaj publicznego adresu IP. Jeśli masz istniejący nieużywany adres IP, którego chcesz użyć, możesz pominąć ten krok. Zastąp wartość <resource-group> nazwą grupy zasobów.

   az network public-ip create -n mypublicip -g <resource-group>
   

2. Uruchom następujący skrypt, aby utworzyć bramę sieci VPN. Tworzenie bramy może potrwać 45 minut lub więcej, w zależności od określonego SKU bramy.

   Zastąp <resource-group> tą samą grupą zasobów jak sieć wirtualna. Określ SKU bramy, które obsługuje potrzebne funkcje. Jednostka SKU bramy kontroluje liczbę dozwolonych tuneli typu lokacja-lokacja i żądaną wydajność sieci VPN. Zalecamy użycie jednostki SKU generacji 2. Nie używaj jednostki SKU w warstwie Podstawowa, jeśli chcesz użyć uwierzytelniania IKEv2 (sieci VPN opartej na trasach).

   az network vnet-gateway create -n MyVnetGateway -l eastus --public-ip-address mypublicip -g <resource-group> --vnet <virtual-network-name> --gateway-type Vpn --sku VpnGw2 --vpn-gateway-generation Generation2 --no-wait
   

   Parametr --no-wait umożliwia utworzenie bramy w tle. Nie oznacza to, że brama sieci VPN jest tworzona natychmiast.

3. Bramę sieci VPN można wyświetlić przy użyciu następującego polecenia. Jeśli brama sieci VPN nie jest w pełni wdrożona, zostanie wyświetlony komunikat o błędzie.

   az network vnet-gateway show -n MyVnetGateway -g <resource-group>
   

Utwórz bramę sieci lokalnej dla bramy lokalnej infrastruktury

Brama sieci lokalnej to zasób platformy Azure reprezentujący lokalne urządzenie sieciowe. Jest wdrażany razem z kontem przechowywania, siecią wirtualną i bramą sieci wirtualnej, ale nie musi być w tej samej grupie zasobów ani subskrypcji co konto przechowywania. Aby utworzyć bramę sieci lokalnej, wykonaj następujące kroki.

Portal

1. W polu wyszukiwania w górnej części witryny Azure Portal wyszukaj i wybierz bramy sieci lokalnej. Powinna pojawić się strona Bram sieci lokalnej. W górnej części strony wybierz pozycję + Utwórz.

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

   

   • Subskrypcja: żądana subskrypcja platformy Azure. Nie musi być taka sama jak subskrypcja używana dla bramy sieci wirtualnej lub konta magazynu.
   • Grupa zasobów: żądana grupa zasobów. Nie musi być zgodna z grupą zasobów używaną dla bramy sieci wirtualnej ani konta magazynu.
   • Region: region świadczenia usługi Azure, w którym należy utworzyć zasób bramy sieci lokalnej. Powinno to być zgodne z regionem wybranym dla bramy sieci wirtualnej i konta magazynu.
   • Nazwa: nazwa zasobu platformy Azure dla bramy sieci lokalnej. Ta nazwa może być dowolną nazwą przydatną dla zarządzania.
   • Punkt końcowy: pozostaw wybrany adres IP.
   • Adres IP: publiczny adres IP lokalnej bramy.
   • Przestrzeń adresowa: zakres adresów lub zakresy dla sieci, którą reprezentuje ta lokalna brama sieciowa. Na przykład: 192.168.0.0/16. Jeśli dodasz wiele zakresów przestrzeni adresowych, upewnij się, że określone zakresy nie nakładają się na zakresy innych sieci, z którymi chcesz nawiązać połączenie. Jeśli planujesz używać tej bramy sieci lokalnej w połączeniu z włączonym protokołem BGP, minimalny prefiks, który musisz zadeklarować, to adres IP równorzędnego BGP na urządzeniu sieci VPN.

3. Jeśli twoja organizacja wymaga protokołu BGP, wybierz kartę Zaawansowane , aby skonfigurować ustawienia protokołu BGP. Aby dowiedzieć się więcej, zobacz About BGP with Azure VPN Gateway (Informacje o protokole BGP w usłudze Azure VPN Gateway).

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć bramę sieci lokalnej.

Azure PowerShell

Uruchom następujące polecenie, aby utworzyć nową bramę sieci lokalnej. Zastąp <resource-group> swoją wartością.

Parametr -AddressPrefix określa zakres adresów lub zakresy dla sieci, którą reprezentuje ta lokalna brama sieciowa. Jeśli dodasz wiele zakresów przestrzeni adresowych, upewnij się, że określone zakresy nie nakładają się na zakresy innych sieci, z którymi chcesz nawiązać połączenie.

New-AzLocalNetworkGateway -Name MyLocalGateway -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') -GatewayIpAddress "5.4.3.2" -ResourceGroupName <resource-group>

Interfejs wiersza polecenia platformy Azure

Uruchom następujące polecenie, aby utworzyć nową bramę sieci lokalnej. Zastąp <resource-group> swoją wartością.

Parametr --local-address-prefixes określa zakres adresów lub zakresy dla sieci, którą reprezentuje ta lokalna brama sieciowa. Jeśli dodasz wiele zakresów przestrzeni adresowych, upewnij się, że określone zakresy nie nakładają się na zakresy innych sieci, z którymi chcesz nawiązać połączenie.

az network local-gateway create --gateway-ip-address 5.4.3.2 --name MyLocalGateway -g <resource-group> --local-address-prefixes 10.101.0.0/24 10.101.1.0/24

Konfigurowanie lokalnego urządzenia sieciowego

Konkretne kroki konfigurowania lokalnego urządzenia sieciowego zależą od wybranego urządzenia sieciowego.

Podczas konfigurowania urządzenia sieciowego potrzebne są następujące elementy:

• Klucz wspólny. Jest to ten sam klucz współużytkowany, który podajesz przy tworzeniu połączenia VPN typu site-to-site. W naszych przykładach używamy podstawowego klucza wspólnego, takiego jak "abc123". Zalecamy wygenerowanie bardziej złożonego klucza do użycia zgodnego z wymaganiami organizacji dotyczącymi zabezpieczeń.

• Publiczny adres IP bramy sieci wirtualnej. Aby znaleźć publiczny adres IP bramy sieci wirtualnej przy użyciu programu PowerShell, uruchom następujące polecenie. W tym przykładzie mypublicip jest nazwą zasobu publicznego adresu IP utworzonego we wcześniejszym kroku.

  Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
  

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Poniższe linki zawierają więcej informacji o konfiguracji:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).

• Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Udostępniamy linki do konfiguracji urządzeń w oparciu o najlepsze rozwiązanie, ale zawsze najlepiej jest sprawdzić u producenta urządzenia najnowsze informacje o konfiguracji.

  Lista zawiera przetestowane wersje. Jeśli wersja systemu operacyjnego dla urządzenia sieci VPN nie znajduje się na liście, nadal może być zgodna. Sprawdź producenta urządzenia.

• Aby uzyskać podstawowe informacje na temat konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN partnera.

• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).

• Aby uzyskać informacje o parametrach potrzebnych do ukończenia konfiguracji, zobacz Domyślne parametry protokołu IPsec/IKE. Informacje obejmują wersję protokołu IKE, grupę Diffie-Hellman (DH), metodę uwierzytelniania, algorytmy szyfrowania i skrótu, okres istnienia skojarzenia zabezpieczeń (SA), doskonałą tajemnicę przesyłania dalej (PFS) i wykrywanie utraconych elementów równorzędnych (DPD).

• Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE dla VPN S2S i połączeń VNet-do-VNet.

• Aby połączyć wiele urządzeń sieci VPN opartych na zasadach, zobacz Łączenie bramy sieci VPN z wieloma lokalnymi urządzeniami sieci VPN opartymi na zasadach.

Utwórz połączenie między lokalizacjami

Aby ukończyć wdrażanie sieci VPN typu lokacja-lokacja, należy utworzyć połączenie między lokalnym urządzeniem sieciowym (reprezentowanym przez zasób bramy sieci lokalnej) i bramą sieci wirtualnej platformy Azure. W tym celu należy wykonać następujące czynności:

Portal

1. Przejdź do utworzonej bramy sieci wirtualnej. W spisie treści bramy sieci wirtualnej wybierz pozycję > ustawień, a następnie wybierz pozycję + Dodaj.

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

   

   • Subskrypcja: żądana subskrypcja platformy Azure.
   • Grupa zasobów: żądana grupa zasobów.
   • Typ połączenia: Ponieważ to połączenie typu site-to-site, wybierz z listy rozwijanej opcję site-to-site (IPsec).
   • Nazwa: nazwa połączenia. Brama sieci wirtualnej może hostować wiele połączeń, dlatego wybierz nazwę, która jest przydatna do zarządzania i będzie rozróżniać to konkretne połączenie.
   • Region: Region wybrany przez użytkownika dla bramy sieci wirtualnej i konta pamięci masowej.

3. Na karcie Ustawienia podaj następujące informacje.

   

   • Brama sieci wirtualnej: wybierz utworzoną bramę sieci wirtualnej.
   • Brama sieci lokalnej: wybierz utworzoną bramę sieci lokalnej.
   • Klucz wspólny (PSK): kombinacja liter i cyfr używanych do ustanawiania szyfrowania połączenia. Ten sam klucz współużytkowany musi być używany zarówno w sieci wirtualnej, jak i w bramach sieci lokalnej. Jeśli urządzenie bramy nie udostępnia go, możesz wygenerować je tutaj i udostępnić je swojemu urządzeniu.
   • Protokół IKE: w zależności od urządzenia sieci VPN wybierz pozycję IKEv1 dla sieci VPN opartej na zasadach lub protokołu IKEv2 dla sieci VPN opartej na trasach. Aby dowiedzieć się więcej o dwóch typach bram sieci VPN, zobacz About policy-based and route-based VPN gateways (Informacje o bramach sieci VPN opartych na zasadach i bramach sieci VPN opartych na trasach).
   • Użyj prywatnego adresu IP platformy Azure: sprawdzenie tej opcji umożliwia użycie prywatnych adresów IP platformy Azure do ustanowienia połączenia sieci VPN protokołu IPsec. Aby ta opcja działała, obsługa prywatnych adresów IP musi być ustawiona na bramie sieci VPN. Jest ona obsługiwana tylko w jednostkach SKU bramy AZ.
   • Włącz protokół BGP: pozostaw niezaznaczone, chyba że organizacja wymaga tego ustawienia.
   • Włącz niestandardowe adresy BGP: Pozostaw niezaznaczone, chyba że twoja organizacja wymaga tego ustawienia.
   • FastPath: program FastPath został zaprojektowany w celu zwiększenia wydajności ścieżki danych między siecią lokalną a siecią wirtualną. Dowiedz się więcej.
   • Zasady protokołu IPsec/IKE: zasady protokołu IPsec/IKE, które zostaną wynegocjowane dla połączenia. Pozostaw Domyślny, chyba że organizacja wymaga niestandardowej polityki. Dowiedz się więcej.
   • Użyj selektora ruchu opartego na zasadach: pozostaw wyłączone, chyba że musisz skonfigurować bramę sieci VPN platformy Azure w celu nawiązania połączenia z lokalną zaporą sieci VPN opartą na zasadach. Jeśli to pole zostanie włączone, upewnij się, że urządzenie sieci VPN ma zgodne selektory ruchu zdefiniowane ze wszystkimi kombinacjami prefiksów sieci lokalnej (bramy sieci lokalnej) do/z prefiksów sieci wirtualnej platformy Azure, a nie z prefiksów sieci wirtualnej platformy Azure. Jeśli na przykład prefiksy sieci lokalnej to 10.1.0.0/16 i 10.2.0.0/16, a prefiksy sieci wirtualnej to 192.168.0.0/16 i 172.16.0.0/16, należy określić następujące selektory ruchu:
     • 10.1.0.0/16 <=*> 192.168.0.0/16
     • 10.1.0.0/16 <=*> 172.16.0.0/16
     • 10.2.0.0/16 <=*> 192.168.0.0/16
     • 10.2.0.0/16 <=*> 172.16.0.0/16
   • Limit czasu usługi DPD w sekundach: limit czasu wykrywania nieaktywnego elementu równorzędnego połączenia w sekundach. Zalecana i domyślna wartość tej właściwości to 45 sekund.
   • Tryb połączenia: tryb połączenia służy do decydowania, która brama może zainicjować połączenie. Gdy ta wartość jest ustawiona na:
     • Ustawienie domyślne: zarówno platforma Azure, jak i lokalna brama sieci VPN mogą zainicjować połączenie.
     • ResponderOnly: brama sieci VPN platformy Azure nigdy nie zainicjuje połączenia. Lokalna brama sieci VPN musi zainicjować połączenie.
     • InicjatorOnly: brama sieci VPN platformy Azure zainicjuje połączenie i odrzuci wszelkie próby połączenia z lokalnej bramy sieci VPN.

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć połączenie. Połączenie zostało pomyślnie nawiązane za pośrednictwem strony Połączenia bramy sieci wirtualnej.

Azure PowerShell

Uruchom następujące polecenia, aby utworzyć połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a urządzeniem lokalnym. Przedstawione na nich wartości należy zastąpić własnymi. Klucz wspólny musi odpowiadać wartości użytej podczas konfiguracji urządzenia sieci VPN. Sieć VPN typu lokacja-lokacja -ConnectionType to IPsec.

Aby uzyskać więcej opcji, zobacz dokumentację polecenia cmdlet New-AzVirtualNetworkGatewayConnection.

1. Ustaw zmienne.

   $gateway1 = Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group>
   $local = Get-AzLocalNetworkGateway -Name MyLocalGateway -ResourceGroupName <resource-group>
   

2. Utwórz połączenie sieci VPN.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group> `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

3. Po chwili zostanie nawiązane połączenie. Połączenie sieci VPN można zweryfikować, uruchamiając następujące polecenie. Po wyświetleniu monitu wybierz „A”, aby uruchomić „Wszystko”.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group>
   

   Stan połączenia powinien być wyświetlany jako "Połączono".

Interfejs wiersza polecenia platformy Azure

Uruchom następujące polecenia, aby utworzyć połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a urządzeniem lokalnym. Przedstawione na nich wartości należy zastąpić własnymi. Klucz wspólny musi odpowiadać wartości użytej podczas konfiguracji urządzenia sieci VPN.

Aby uzyskać więcej opcji, zobacz dokumentację dla polecenia az network vnet create.

az network vpn-connection create --name VNet1toSite1 --resource-group <resource-group> --vnet-gateway1 MyVnetGateway -l eastus --shared-key abc123 --local-gateway MyLocalGateway

Po chwili zostanie nawiązane połączenie. Połączenie sieci VPN można zweryfikować, uruchamiając następujące polecenie. Gdy proces nawiązywania połączenia trwa, jego stan połączenia to „Łączenie”. Gdy połączenie zostanie nawiązane, jego stan zmienia się na „Połączone”.

az network vpn-connection show --name VNet1toSite1 --resource-group <resource-group>

Instalowanie udziału plików platformy Azure

Ostatnim krokiem konfigurowania sieci VPN S2S jest sprawdzenie, czy działa ona dla usługi Azure Files. Można to zrobić, montując udostępnienie plików Azure na miejscu. Zobacz instrukcje montowania według systemu operacyjnego tutaj:

• Windows
• macOS
• Linux (NFS)
• Linux (SMB)

Zobacz też

• Omówienie sieci usługi Azure Files
• Konfigurowanie sieci VPN typu punkt-lokacja (P2S) w systemie Windows do użycia z usługą Azure Files
• Konfigurowanie sieci VPN typu punkt-lokacja (P2S) w systemie Linux do użycia z usługą Azure Files