Настройка VPN-подключения "сеть — сеть" для использования с Файлами Azure

Вы можете использовать VPN-подключение "сеть — сеть" (S2S) для подключения файловых ресурсов Azure через локальную сеть, не используя общедоступный Интернет. VPN-подключение "сеть — сеть" можно настроить с помощью VPN-шлюза Azure, который является ресурсом Azure, предлагающим службы VPN, и развертывается в группе ресурсов вместе с учетными записями хранения или другими ресурсами Azure.

Мы настоятельно рекомендуем ознакомиться с общими сведениями о сети Файлы Azure перед продолжением работы с этой статьей для полного обсуждения параметров сети, доступных для Файлы Azure.

В статье подробно описано, как настроить VPN-подключение "сеть — сеть" для подключения общих файловых ресурсов Azure локально. Если вы хотите маршрутизировать трафик синхронизации для Синхронизация файлов Azure через VPN типа "сеть — сеть", ознакомьтесь с настройкой параметров прокси-сервера и брандмауэра Синхронизация файлов Azure.

Применяется к

Тип общей папки	SMB	NFS
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS

Необходимые компоненты

• Общая папка Azure, которую вы хотите подключить локально. Общие папки Azure развертываются в учетных записях хранения, которые представляют собой общий пул хранилища, в котором можно развернуть несколько общих папок, а также другие ресурсы хранилища, такие как большие двоичные объекты или очереди. Дополнительные сведения о развертывании общих папок Azure и учетных записей хранения см. в статье Создание общей папки Azure.

• Частная конечная точка учетной записи хранения, содержащей общую папку Azure, которую вы хотите подключить локально. Сведения о создании частной конечной точки см. в статье "Настройка Файлы Azure сетевых конечных точек".

• Сетевой (модуль) или сервер в локальном центре обработки данных, совместимом с Azure VPN-шлюз. Файлы Azure не зависит от выбранного локального сетевого (модуль), но Azure VPN-шлюз поддерживает список протестированных устройств. Различные сетевые устройства предлагают различные функции, характеристики производительности и возможности управления, поэтому их следует учитывать при выборе сетевого устройства.

Если у вас нет существующей сети (модуль), Windows Server содержит встроенную роль сервера, маршрутизацию и удаленный доступ (RRAS), которая может использоваться в качестве локальной сети (модуль). Дополнительные сведения о настройке маршрутизации и удаленного доступа в Windows Server см. в статье RAS Gateway (Шлюз RAS-сервера).

Добавление виртуальной сети в учетную запись хранения

Чтобы добавить новую или существующую виртуальную сеть в учетную запись хранения, выполните следующие действия.

1. Войдите в портал Azure и перейдите к учетной записи хранения, содержащей общую папку Azure, в которой вы хотите подключить локальную папку.

2. В оглавлении учетной записи хранения выберите "Безопасность и сеть".> Если вы не добавили виртуальную сеть в учетную запись хранения при ее создании, результирующая панель должна иметь переключатель для включения из всех сетей, выбранных в разделе "Доступ к общедоступной сети".

3. Чтобы добавить виртуальную сеть, выберите включенную из выбранных виртуальных сетей и IP-адресов переключатель. В подзаголовок "Виртуальные сети" выберите "+ Добавить существующую виртуальную сеть" или "Добавить новую виртуальную сеть". Создание виртуальной сети приведет к созданию ресурса Azure. Новый или существующий ресурс виртуальной сети должен находиться в том же регионе, что и учетная запись хранения, но она не должна находиться в той же группе ресурсов или подписке. Однако помните, что группа ресурсов, регион и подписка, в которой развертывается виртуальная сеть, должна соответствовать развертыванию шлюза виртуальной сети на следующем шаге.

   

   При добавлении существующей виртуальной сети необходимо сначала создать подсеть шлюза в виртуальной сети. Вам будет предложено выбрать одну или несколько подсетей этой виртуальной сети. При создании виртуальной сети вы создадите подсеть в рамках процесса создания. Вы можете добавить дополнительные подсети позже с помощью результирующего ресурса Azure для виртуальной сети.

   Если вы ранее не включили доступ к виртуальной сети, корпорация Майкрософт не включила доступ к общедоступной сети. служба хранилища конечную точку службы необходимо добавить в подсеть виртуальной сети. Это может занять до 15 минут, хотя в большинстве случаев он будет выполняться гораздо быстрее. Пока эта операция не завершится, вы не сможете получить доступ к общим папкам Azure в этой учетной записи хранения, включая VPN-подключение.

4. Выберите Сохранить в верхней части страницы.

Развертывание шлюза виртуальной сети

Чтобы развернуть шлюз виртуальной сети, выполните следующие действия.

1. В поле поиска в верхней части портал Azure найдите и выберите шлюзы виртуальной сети. Должна появиться страница шлюзов виртуальной сети. В верхней части страницы нажмите кнопку +Создать.

2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре. Шлюз виртуальной сети должен находиться в той же подписке, регионе Azure и группе ресурсов, что и виртуальная сеть.

   

   • Подписка. В раскрывающемся списке выберите нужную подписку.
   • Группа ресурсов. Этот параметр заполняется автоматически при выборе виртуальной сети на этой странице.
   • Имя. Назовите шлюз виртуальной сети. Именование шлюза не совпадает с именованием подсети шлюза. Это имя создаваемого объекта шлюза виртуальной сети.
   • Регион. Выберите регион, в котором требуется создать ресурс. Регион для шлюза виртуальной сети должен совпадать с виртуальной сетью.
   • Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.
   • SKU. Выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать в раскрывающемся списке. Номер SKU определяет количество разрешенных туннелей "сеть — сеть" и требуемую производительность VPN. См . номера SKU шлюза. Не используйте номер SKU уровня "Базовый", если вы хотите использовать проверку подлинности IKEv2 (VPN на основе маршрутов).
   • Поколение. Выберите поколение, которое необходимо использовать. Рекомендуется использовать номер SKU поколения 2. Дополнительные сведения см. в разделе о номерах SKU шлюзов.
   • Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, добавленную в учетную запись хранения на предыдущем шаге.
   • Подсеть: это поле должно быть серым и вывести имя созданной подсети шлюза, а также диапазон IP-адресов. Если вместо этого отображается поле диапазона адресов подсети шлюза с текстовым полем, то вы еще не настроили подсеть шлюза в виртуальной сети.

3. Укажите значения общедоступного IP-адреса , связанного с шлюзом виртуальной сети. Общедоступный IP-адрес назначается этому объекту при создании шлюза виртуальной сети. Единственное время изменения основного общедоступного IP-адреса — при удалении и повторном создании шлюза. Он не изменяется при изменении размера, сбросе или других внутренних обновлениях и обслуживании.

   

   • Общедоступный IP-адрес: IP-адрес шлюза виртуальной сети, который будет предоставляться в Интернете. Скорее всего, вам потребуется создать новый IP-адрес, однако вы также можете использовать существующий неиспользуемый IP-адрес. При выборе "Создать" новый ресурс Azure IP-адреса будет создан в той же группе ресурсов, что и шлюз виртуальной сети, а имя общедоступного IP-адреса будет именем только что созданного IP-адреса. Если выбрать Использовать существующие, необходимо выбрать имеющийся неиспользуемый IP-адрес.
   • Имя общедоступного IP-адреса. В текстовом поле укажите имя общедоступного IP-адреса.
   • Номер SKU общедоступного IP-адреса: параметр выбирается автоматически.
   • Назначение: назначение обычно выбирается автоматически и может быть динамическим или статическим.
   • Включение активно-активного режима: выберите "Отключено". Включите этот параметр только в том случае, если вы создаете конфигурацию шлюза active-active. Дополнительные сведения о режиме "активный — активный" см. в статье Highly available cross-premises and VNet-to-VNet connectivity (Настройка высокодоступных подключений: распределенных и между виртуальными сетями).
   • Настройка BGP: выберите "Отключено", если для настройки не требуется протокол пограничного шлюза. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить. Дополнительные сведения об этом параметре см. в статье About BGP with Azure VPN Gateway (Использования BGP с VPN-шлюзами Azure).

4. Выберите Просмотр и создание, чтобы выполнить проверку. После прохождения проверки выберите "Создать ", чтобы развернуть шлюз виртуальной сети. Развертывание может занять до 45 минут.

Создание шлюза локальной сети для локального шлюза

Шлюз локальной сети — это ресурс Azure, который представляет локальное сетевое устройство. Он развертывается вместе с учетной записью хранения, виртуальной сетью и шлюзом виртуальной сети, но не требуется находиться в той же группе ресурсов или подписке, что и учетная запись хранения. Чтобы создать шлюз локальной сети, выполните следующие действия.

1. В поле поиска в верхней части портал Azure найдите и выберите шлюзы локальной сети. Откроется страница шлюзов локальной сети. В верхней части страницы нажмите кнопку +Создать.

2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

   

   • Подписка: требуемая подписка Azure. Это не обязательно соответствует подписке, используемой для шлюза виртуальной сети или учетной записи хранения.
   • Группа ресурсов: нужная группа ресурсов. Это не обязательно соответствует группе ресурсов, используемой для шлюза виртуальной сети или учетной записи хранения.
   • Регион: регион Azure, в который должен быть создан ресурс шлюза локальной сети. Это должно соответствовать региону, выбранному для шлюза виртуальной сети, и учетной записи хранения.
   • Имя: имя ресурса Azure для шлюза локальной сети. Этим именем может быть любое имя, которое можно использовать для управления.
   • Конечная точка: оставьте выбранный IP-адрес .
   • IP-адрес: общедоступный IP-адрес локального шлюза.
   • Адресное пространство: диапазон адресов или диапазоны сети, представленные этим шлюзом локальной сети. Например: 192.168.0.0/16. При добавлении нескольких диапазонов адресного пространства убедитесь, что указанные диапазоны не перекрываются с диапазонами других сетей, к которым требуется подключиться. Если вы планируете использовать этот шлюз локальной сети в подключении с поддержкой BGP, то минимальный префикс, который необходимо объявить, — это адрес узла IP-адреса узла BGP на VPN-устройстве.

3. Если для организации требуется BGP, перейдите на вкладку "Дополнительно ", чтобы настроить параметры BGP. Дополнительные сведения см. в статье "О BGP" с помощью Azure VPN-шлюз.

4. Выберите Просмотр и создание, чтобы выполнить проверку. После прохождения проверки нажмите кнопку "Создать ", чтобы создать шлюз локальной сети.

Настройка локального сетевого устройства

Конкретные действия по настройке локальной сети (модуль) зависят от выбранной сети (модуль) вашей организации. В зависимости от выбранного устройства список тестируемых устройств может иметь ссылку на инструкции поставщика устройств по настройке с помощью шлюза виртуальной сети Azure.

Создание подключения "сеть — сеть"

Чтобы завершить развертывание VPN S2S, необходимо создать подключение между локальной сетью (модуль) (представлен ресурсом шлюза локальной сети) и шлюзом виртуальной сети Azure. Для этого требуется выполнить следующие шаги.

1. Перейдите к созданному шлюзу виртуальной сети. В оглавлении шлюза виртуальной сети выберите Параметры Подключение > и нажмите кнопку +Добавить.

2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

   

   • Подписка: требуемая подписка Azure.
   • Группа ресурсов: нужная группа ресурсов.
   • тип Подключение ion: так как это подключение S2S, выберите "Сеть — сеть" (IPSec) из раскрывающегося списка.
   • Имя: имя подключения. Шлюз виртуальной сети может размещать несколько подключений, поэтому выберите имя, полезное для управления и которое будет различать это конкретное подключение.
   • Регион: регион, выбранный для шлюза виртуальной сети и учетной записи хранения.

3. На вкладке Параметры укажите следующие сведения.

   

   • Шлюз виртуальной сети: выберите созданный шлюз виртуальной сети.
   • Шлюз локальной сети: выберите созданный шлюз локальной сети.
   • Общий ключ (PSK): смесь букв и чисел, используемых для установления шифрования для подключения. В шлюзах локальной и виртуальной сети следует использовать один общий ключ. Если устройство шлюза не предоставляет его, вы можете создать и предоставить его для своего устройства здесь.
   • Протокол IKE. В зависимости от VPN-устройства выберите IKEv1 для VPN на основе политик или IKEv2 для VPN на основе маршрутов. Дополнительные сведения о двух типах VPN-шлюзов см. в статье "Сведения о VPN-шлюзах на основе политик и маршрутов".
   • Использование частного IP-адреса Azure. Проверка этого параметра позволяет использовать частные IP-адреса Azure для установления VPN-подключения IPsec. Для работы этого параметра необходимо настроить поддержку частных IP-адресов на VPN-шлюзе. Она поддерживается только в номерах SKU шлюза AZ.
   • Включите BGP: оставьте без проверка если для вашей организации не требуется этот параметр.
   • Включите пользовательские адреса BGP: оставьте без проверка если ваша организация не требует этого параметра.
   • FastPath: FastPath предназначен для повышения производительности пути данных между локальной сетью и виртуальной сетью. Подробнее.
   • Политика IPsec / IKE: политика IPsec / IKE, которая будет согласована для подключения. Оставьте значение по умолчанию , если для организации не требуется настраиваемая политика. Подробнее.
   • Используйте селектор трафика на основе политики: оставьте отключенным, если вам не нужно настроить VPN-шлюз Azure для подключения к локальному vpn-брандмауэру на основе политик. Если вы включите это поле, необходимо убедиться, что vpn-устройство имеет соответствующие селекторы трафика, определенные со всеми сочетаниями префиксов локальной сети (шлюза локальной сети) в префиксы виртуальной сети Azure и из префиксов виртуальной сети Azure, а не любого типа. Например, если префиксы локальной сети — 10.1.0.0/16 и 10.2.0.0.0/16, а префиксы виртуальной сети — 192.168.0.0/16 и 172.16.0.0.0/16, необходимо указать следующие селекторы трафика:
     • 10.1.0.0/16 <====> 192.168.0.0/16
     • 10.1.0.0/16 <====> 172.16.0.0/16
     • 10.2.0.0/16 <====> 192.168.0.0/16
     • 10.2.0.0/16 <====> 172.16.0.0/16
   • Время ожидания DPD в секундах: время ожидания обнаружения недоставленных одноранговых узлов подключения в секундах. Рекомендуемое и значение по умолчанию для этого свойства составляет 45 секунд.
   • режим Подключение ion: режим Подключение ion используется для выбора того, какой шлюз может инициировать подключение. Если для этого значения задано следующее:
     • По умолчанию: Azure и локальный VPN-шлюз могут инициировать подключение.
     • ResponderOnly: VPN-шлюз Azure никогда не инициирует подключение. Локальный VPN-шлюз должен инициировать подключение.
     • ИнициаторOnly: VPN-шлюз Azure инициирует подключение и отклоняет любые попытки подключения из локального VPN-шлюза.

4. Выберите Просмотр и создание, чтобы выполнить проверку. После прохождения проверки нажмите кнопку "Создать ", чтобы создать подключение. Вы можете убедиться, что подключение выполнено успешно с помощью страницы Подключение подключений шлюза виртуальной сети.

Подключение файлового ресурса Azure

Заключительным шагом в настройке VPN "сеть — сеть" будет проверка работы подключения для Файлов Azure. Для этого можно подключить общую папку Azure в локальной среде. Ниже приведены инструкции по подключению к различным ОС:

• Windows
• macOS
• Linux (NFS)
• Linux (SMB)

См. также

• Рекомендации по работе с сетями службы "Файлы Azure"
• Настройка VPN-подключения "точка — сеть" (P2S) в Windows для использования с файлами Azure
• Настройка VPN-подключения "точка — сеть" (P2S) в Linux для использования с Файлами Azure