Share via

Azure Dosyalar ile kullanmak üzere siteden siteye VPN yapılandırma

  • Makale

Azure dosya paylaşımlarınızı açık İnternet üzerinden veri göndermeden şirket içi ağınızdan bağlamak için siteden siteye (S2S) VPN bağlantısı kullanabilirsiniz. VPN hizmetleri sunan bir Azure kaynağı olan ve depolama hesapları veya diğer Azure kaynaklarıyla birlikte bir kaynak grubuna dağıtılan Azure VPN Gateway'i kullanarak S2S VPN ayarlayabilirsiniz.

S2S VPN kullanarak azure dosya paylaşımını şirket içi siteye bağlayan bir Azure VPN ağ geçidinin topolojisini gösteren topoloji grafiği

Azure Dosyalar için kullanılabilen ağ seçeneklerinin tam olarak tartışılması için bu makaleye devam etmeden önce ağa genel bakış Azure Dosyalar okumanızı kesinlikle öneririz.

Makalede, azure dosya paylaşımlarını doğrudan şirket içinde bağlamak için siteden siteye VPN yapılandırma adımları ayrıntılı olarak açıklanmaktadır. S2S VPN üzerinden Azure Dosya Eşitleme eşitleme trafiğini yönlendirmek istiyorsanız bkz. Azure Dosya Eşitleme ara sunucu ve güvenlik duvarı ayarlarını yapılandırma.

Şunlara uygulanır

Dosya paylaşımı türü SMB NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS Yes Hayır
Standart dosya paylaşımları (GPv2), GRS/GZRS Yes Hayır
Premium dosya paylaşımları (filestorage), LRS/ZRS Yes Yes

Önkoşullar

  • Şirket içinde bağlamak istediğiniz bir Azure dosya paylaşımı. Azure dosya paylaşımları, birden çok dosya paylaşımının yanı sıra bloblar veya kuyruklar gibi diğer depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden yönetim yapıları olan depolama hesapları içinde dağıtılır. Azure dosya paylaşımlarını ve depolama hesaplarını dağıtma hakkında daha fazla bilgi için Bkz. Azure dosya paylaşımı oluşturma.

  • Şirket içinde bağlamak istediğiniz Azure dosya paylaşımını içeren depolama hesabı için özel uç nokta. Özel uç nokta oluşturmayı öğrenmek için bkz. Azure Dosyalar ağ uç noktalarını yapılandırma.

  • Şirket içi veri merkezinizde Azure VPN Gateway ile uyumlu bir ağ gereci veya sunucusu. Azure Dosyalar, seçilen şirket içi ağ aletinden bağımsızdır, ancak Azure VPN Gateway test edilmiş cihazların listesini tutar. Farklı ağ gereçleri farklı özellikler, performans özellikleri ve yönetim işlevleri sunar, bu nedenle bir ağ gereci seçerken bunları göz önünde bulundurun.

Mevcut bir ağ gereciniz yoksa, Windows Server şirket içi ağ gereci olarak kullanılabilecek yerleşik bir Sunucu Rolü, Yönlendirme ve Uzaktan Erişim (RRAS) içerir. Windows Server'da Yönlendirme ve Uzaktan Erişim yapılandırma hakkında daha fazla bilgi edinmek için bkz . RAS Ağ Geçidi.

Depolama hesabına sanal ağ ekleme

Depolama hesabınıza yeni veya mevcut bir sanal ağ eklemek için şu adımları izleyin.

  1. Azure portalında oturum açın ve şirket içinde bağlamak istediğiniz Azure dosya paylaşımını içeren depolama hesabına gidin.

  2. Depolama hesabının içindekiler tablosunda Güvenlik + ağ Ağı'nı >seçin. Oluşturduğunuz sırada depolama hesabınıza bir sanal ağ eklemediğiniz sürece, sonuçta elde edilen bölmede Genel ağ erişimi altında Tüm ağlardan etkinleştirildi radyo düğmesi seçili olmalıdır.

  3. Sanal ağ eklemek için Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi radyo düğmesini seçin. Sanal ağlar alt başlığı altında + Var olan sanal ağı ekle veya + Yeni sanal ağ ekle'yi seçin. Yeni bir sanal ağ oluşturmak, yeni bir Azure kaynağının oluşturulmasına neden olur. Yeni veya mevcut sanal ağ kaynağının depolama hesabıyla aynı bölgede olması gerekir, ancak aynı kaynak grubunda veya abonelikte olması gerekmez. Ancak, sanal ağınızı dağıttığınız kaynak grubunun, bölgenin ve aboneliğin bir sonraki adımda sanal ağ geçidinizi dağıttığınız yerle eşleşmesi gerektiğini unutmayın.

    Depolama hesabına mevcut veya yeni bir sanal ağ ekleme seçeneği sunan Azure portalının ekran görüntüsü.

    Mevcut bir sanal ağ eklerseniz, önce sanal ağda bir ağ geçidi alt ağı oluşturmanız gerekir. Bu sanal ağın bir veya daha fazla alt ağını seçmeniz istenir. Yeni bir sanal ağ oluşturursanız, oluşturma işleminin bir parçası olarak bir alt ağ oluşturursunuz. Daha sonra sanal ağ için elde edilen Azure kaynağı aracılığıyla daha fazla alt ağ ekleyebilirsiniz.

    Daha önce sanal ağa genel ağ erişimini etkinleştirmediyseniz, Microsoft. Depolama hizmet uç noktasının sanal ağ alt ağına eklenmesi gerekir. Bu işlemin tamamlanması 15 dakika kadar sürebilir, ancak çoğu durumda çok daha hızlı tamamlanır. Bu işlem tamamlanana kadar, VPN bağlantısı da dahil olmak üzere bu depolama hesabı içindeki Azure dosya paylaşımlarına erişemezsiniz.

  4. Sayfanın üst kısmında Kaydet'i seçin.

Sanal ağ geçidi dağıtma

Sanal ağ geçidi dağıtmak için aşağıdaki adımları izleyin.

  1. Azure portalının üst kısmındaki arama kutusunda Sanal ağ geçitleri'ni arayın ve seçin. Sanal ağ geçitleri sayfası görünmelidir. Sayfanın üst kısmında + Oluştur'u seçin.

  2. Temel Bilgiler sekmesinde Proje ayrıntıları ve Örnek ayrıntıları değerlerini doldurun. Sanal ağ geçidiniz, sanal ağ ile aynı abonelikte, Azure bölgesinde ve kaynak grubunda olmalıdır.

    Azure portalını kullanarak sanal ağ geçidi oluşturmayı gösteren ekran görüntüsü.

    • Abonelik: Açılan listeden kullanmak istediğiniz aboneliği seçin.
    • Kaynak Grubu: Bu sayfada sanal ağınızı seçtiğinizde bu ayar otomatik olarak doldurulur.
    • Ad: Sanal ağ geçidinize ad verin. Ağ geçidinizi adlandırmak, ağ geçidi alt akını adlandırmayla aynı değildir. Oluşturduğunuz sanal ağ geçidi nesnesinin adıdır.
    • Bölge: Bu kaynağı oluşturmak istediğiniz bölgeyi seçin. Sanal ağ geçidinin bölgesi, sanal ağ ile aynı olmalıdır.
    • Ağ geçidi türü: VPN’i seçin. VPN ağ geçitleri, VPN sanal ağ geçidi türünü kullanır.
    • SKU: Açılan listeden kullanmak istediğiniz özellikleri destekleyen ağ geçidi SKU'sunu seçin. SKU, izin verilen Siteden Siteye tünel sayısını ve VPN'nin istenen performansını denetler. Bkz. Ağ geçidi SKU'ları. IKEv2 kimlik doğrulamasını (rota tabanlı VPN) kullanmak istiyorsanız Temel SKU'yu kullanmayın.
    • Oluşturma: Kullanmak istediğiniz nesli seçin. 2. Nesil SKU kullanmanızı öneririz. Daha fazla bilgi için bkz. Ağ geçidi SKU'ları.
    • Sanal ağ: Açılan listeden, önceki adımda depolama hesabınıza eklediğiniz sanal ağı seçin.
    • Alt ağ: Bu alan gri gösterilmeli ve oluşturduğunuz ağ geçidi alt ağdaki adın yanı sıra IP adresi aralığı listelenmelidir. Bunun yerine metin kutusu içeren bir Ağ Geçidi alt ağ adres aralığı alanı görürseniz, sanal ağda henüz bir ağ geçidi alt ağı yapılandırmadınız demektir.

  3. Sanal ağ geçidiyle ilişkilendirilen Genel IP adresinin değerlerini belirtin. Sanal ağ geçidi oluşturulduğunda genel IP adresi bu nesneye atanır. Birincil genel IP adresinin değiştiği tek zaman, ağ geçidinin silinip yeniden oluşturulmasıdır. Yeniden boyutlandırma, sıfırlama veya diğer iç bakım/yükseltme işlemlerinde değişmez.

    Azure portalını kullanarak bir sanal ağ geçidi için genel IP adresinin nasıl belirtileceğini gösteren ekran görüntüsü.

    • Genel IP adresi: İnternet'e sunulacak sanal ağ geçidinin IP adresi. Büyük olasılıkla yeni bir IP adresi oluşturmanız gerekir, ancak mevcut kullanılmayan bir IP adresini de kullanabilirsiniz. Yeni oluştur'u seçerseniz, sanal ağ geçidiyle aynı kaynak grubunda yeni bir IP adresi Azure kaynağı oluşturulur ve Genel IP adresi adı yeni oluşturulan IP adresinin adı olur. Var olanı kullan'ı seçerseniz, mevcut kullanılmayan IP adresini seçmeniz gerekir.
    • Genel IP adresi adı: Metin kutusuna genel IP adresi örneğinin adını yazın.
    • Genel IP adresi SKU'su: Ayar otomatik olarak seçilir.
    • Atama: Atama genellikle otomatik olarak seçilir ve Dinamik veya Statik olabilir.
    • Etkin-etkin modu etkinleştir: Devre Dışı'nı seçin. Bu ayarı yalnızca etkin-etkin ağ geçidi yapılandırması oluşturuyorsanız etkinleştirin. Etkin-etkin mod hakkında daha fazla bilgi edinmek için bkz . Yüksek oranda kullanılabilir şirket içi ve sanal ağdan sanal ağa bağlantı.
    • BGP'yi yapılandırma: Yapılandırmanız özellikle Sınır Ağ Geçidi Protokolü gerektirmediği sürece Devre Dışı'yı seçin. Bu ayarı zorunlu kılarsanız, varsayılan ASN 65515'tir, ancak bu değer değiştirilebilir. Bu ayar hakkında daha fazla bilgi edinmek için bkz . Azure VPN Gateway ile BGP hakkında.

  4. Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin. Doğrulama başarılı olduktan sonra Oluştur'u seçerek sanal ağ geçidini dağıtın. Dağıtımın tamamlanması 45 dakika kadar sürebilir.

Şirket içi ağ geçidiniz için yerel ağ geçidi oluşturma

Yerel ağ geçidi, şirket içi ağ gerecinizi temsil eden bir Azure kaynağıdır. Depolama hesabınız, sanal ağınız ve sanal ağ geçidiniz ile birlikte dağıtılır, ancak depolama hesabıyla aynı kaynak grubunda veya abonelikte olması gerekmez. Yerel ağ geçidi oluşturmak için şu adımları izleyin.

  1. Azure portalının üst kısmındaki arama kutusunda yerel ağ geçitlerini arayın ve seçin. Yerel ağ geçitleri sayfası görünmelidir. Sayfanın üst kısmında + Oluştur'u seçin.

  2. Temel Bilgiler sekmesinde Proje ayrıntıları ve Örnek ayrıntıları değerlerini doldurun.

    Azure portalını kullanarak yerel ağ geçidi oluşturmayı gösteren ekran görüntüsü.

    • Abonelik: İstenen Azure aboneliği. Bunun sanal ağ geçidi veya depolama hesabı için kullanılan abonelikle eşleşmesi gerekmez.
    • Kaynak grubu: İstenen kaynak grubu. Bunun sanal ağ geçidi veya depolama hesabı için kullanılan kaynak grubuyla eşleşmesi gerekmez.
    • Bölge: Yerel ağ geçidi kaynağının oluşturulması gereken Azure bölgesi. Bu, sanal ağ geçidi ve depolama hesabı için seçtiğiniz bölgeyle eşleşmelidir.
    • Ad: Yerel ağ geçidi için Azure kaynağının adı. Bu ad, yönetiminiz için yararlı bulduğunuz herhangi bir ad olabilir.
    • Uç nokta: IP adresini seçili bırakın.
    • IP adresi: Şirket içi yerel ağ geçidinizin genel IP adresi.
    • Adres alanı: Bu yerel ağ geçidinin temsil ettiği ağın adres aralığı veya aralıkları. Örneğin: 192.168.0.0/16. Birden çok adres alanı aralığı eklerseniz, belirttiğiniz aralıkların bağlanmak istediğiniz diğer ağ aralıklarıyla çakışmadığından emin olun. Bu yerel ağ geçidini BGP özellikli bir bağlantıda kullanmayı planlıyorsanız, bildirmeniz gereken en düşük ön ek, VPN cihazınızda BGP Eş IP adresinizin ana bilgisayar adresidir.

  3. Kuruluşunuz BGP gerektiriyorsa, BGP ayarlarını yapılandırmak için Gelişmiş sekmesini seçin. Daha fazla bilgi edinmek için bkz . Azure VPN Gateway ile BGP hakkında.

  4. Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin. Doğrulama başarılı olduktan sonra Oluştur'u seçerek yerel ağ geçidini oluşturun.

Şirket içi ağ aletini yapılandırma

Şirket içi ağ gerecinizi yapılandırmaya yönelik belirli adımlar, kuruluşunuzun seçtiği ağ gerecine bağlıdır. Kuruluşunuzun seçtiği cihaza bağlı olarak, test edilen cihazlar listesinde cihaz satıcınızın Azure sanal ağ geçidiyle yapılandırma yönergelerine bir bağlantı bulunabilir.

Siteden siteye bağlantıyı oluşturma

S2S VPN dağıtımını tamamlamak için şirket içi ağ gereciniz (yerel ağ geçidi kaynağıyla temsil edilir) ile Azure sanal ağ geçidi arasında bir bağlantı oluşturmanız gerekir. Bunu yapmak için aşağıdaki adımları uygulayın.

  1. Oluşturduğunuz sanal ağ geçidine gidin. Sanal ağ geçidinin içindekiler tablosunda Ayarlar Bağlan > yonlar'ı ve ardından + Ekle'yi seçin.

  2. Temel Bilgiler sekmesinde Proje ayrıntıları ve Örnek ayrıntıları değerlerini doldurun.

    Azure portalını kullanarak siteden siteye VPN bağlantısının nasıl oluşturulacağını gösteren ekran görüntüsü.

    • Abonelik: İstenen Azure aboneliği.
    • Kaynak grubu: İstenen kaynak grubu.
    • Bağlan türü: Bu bir S2S bağlantısı olduğundan, açılan listeden Siteden siteye (IPSec) öğesini seçin.
    • Ad: Bağlantının adı. Sanal ağ geçidi birden çok bağlantı barındırabilir, bu nedenle yönetiminiz için yararlı olan ve bu bağlantıyı ayırt edecek bir ad seçin.
    • Bölge: Sanal ağ geçidi ve depolama hesabı için seçtiğiniz bölge.

  3. Ayarlar sekmesinde aşağıdaki bilgileri sağlayın.

    Azure portalını kullanarak siteden siteye VPN bağlantısının ayarlarını yapılandırmayı gösteren ekran görüntüsü.

    • Sanal ağ geçidi: Oluşturduğunuz sanal ağ geçidini seçin.
    • Yerel ağ geçidi: Oluşturduğunuz yerel ağ geçidini seçin.
    • Paylaşılan anahtar (PSK):Bağlantı için şifreleme oluşturmak için kullanılan harf ve sayıların karışımı. Aynı paylaşılan anahtar hem sanal ağda hem de yerel ağ geçitlerinde kullanılmalıdır. Ağ geçidi cihazınız sağlamıyorsa, buradan bir tane oluşturabilir ve bunu cihazınıza sağlayabilirsiniz.
    • IKE protokolü: VPN cihazınıza bağlı olarak, ilke tabanlı VPN için IKEv1'i veya rota tabanlı VPN için IKEv2'yi seçin. İki vpn ağ geçidi türü hakkında daha fazla bilgi edinmek için bkz . İlke tabanlı ve rota tabanlı VPN ağ geçitleri hakkında.
    • Azure Özel IP Adresini kullan: Bu seçeneğin işaretlenmesi, IPsec VPN bağlantısı kurmak için Azure özel IP'lerini kullanmanıza olanak tanır. Bu seçeneğin çalışması için VPN ağ geçidinde özel IP desteği ayarlanmalıdır. Yalnızca AZ Gateway SKU'larında desteklenir.
    • BGP'yi etkinleştir: Kuruluşunuz bu ayarı özellikle gerektirmediği sürece işaretsiz bırakın.
    • Özel BGP Adreslerini Etkinleştir: Kuruluşunuz bu ayarı özellikle gerektirmediği sürece işaretsiz bırakın.
    • FastPath: FastPath, şirket içi ağınızla sanal ağınız arasındaki veri yolu performansını geliştirmek için tasarlanmıştır. Daha fazla bilgi edinin.
    • IPsec / IKE ilkesi: Bağlantı için anlaşma yapılacak IPsec / IKE ilkesi. Kuruluşunuz özel bir ilke gerektirmediği sürece Varsayılan seçeneğini seçili bırakın. Daha fazla bilgi edinin.
    • İlke tabanlı trafik seçiciyi kullanma: Azure VPN ağ geçidini şirket içi ilke tabanlı vpn güvenlik duvarına bağlanacak şekilde yapılandırmanız gerekmediği sürece devre dışı bırakın. Bu alanı etkinleştirirseniz, VPN cihazınızın, azure sanal ağ ön eklerine/azure sanal ağ ön eklerinden herhangi birine değil tüm şirket içi ağ (yerel ağ geçidi) ön eklerinin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Örneğin, şirket içi ağ ön ekleriniz 10.1.0.0/16 ve 10.2.0.0/16 ise ve sanal ağ ön ekleriniz 192.168.0.0/16 ve 172.16.0.0/16 ise, aşağıdaki trafik seçicilerini belirtmeniz gerekir:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Saniyeler içinde DPD zaman aşımı: Bağlantının saniyeler içinde Ölü Eş Algılama Zaman Aşımı. Bu özellik için önerilen ve varsayılan değer 45 saniyedir.
    • Bağlan ion modu: bağlantıyı başlatabilecek ağ geçidine karar vermek için Bağlan ion modu kullanılır. Bu değer olarak ayarlandığında:
      • Varsayılan: Hem Azure hem de şirket içi VPN ağ geçidi bağlantıyı başlatabilir.
      • ResponderOnly: Azure VPN ağ geçidi bağlantıyı hiçbir zaman başlatmaz. Şirket içi VPN ağ geçidi bağlantıyı başlatmalıdır.
      • InitiatorOnly: Azure VPN ağ geçidi bağlantıyı başlatır ve şirket içi VPN ağ geçidinden gelen tüm bağlantı girişimlerini reddeder.

  4. Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin. Doğrulama geçtikten sonra oluştur'u seçerek bağlantıyı oluşturun. Bağlantının başarıyla yapıldığını sanal ağ geçidinin Bağlan ions sayfasından doğrulayabilirsiniz.

Azure dosya paylaşımını bağlama

S2S VPN'i yapılandırmanın son adımı, Azure Dosyalar için çalıştığını doğrulamaktır. Bunu yapmak için Azure dosya paylaşımınızı şirket içinde bağlamanız gerekir. İşletim sistemine göre bağlama yönergelerine buradan bakın:

Ayrıca bkz.