你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置站点到站点 VPN 以与 Azure 文件存储配合使用

可以使用站点到站点 (S2S) VPN 连接从本地网络中装载 Azure 文件共享,无需通过开放式 Internet 发送数据。 可以使用 Azure VPN 网关设置 S2S VPN,该网关是一种提供 VPN 服务的 Azure 资源。 可以将 VPN 网关与存储账户或其他 Azure 资源一起部署在一个资源组中。

此拓扑图描绘了这样的拓扑结构:Azure VPN 网关将 Azure 文件共享连接到使用 S2S VPN 的本地站点

我们强烈建议先阅读 Azure 文件存储网络概述,然后再继续阅读本文,以全面探讨可用于 Azure 文件存储的网络选项。

本文详细介绍了配置站点到站点 VPN 以直接在本地装载 Azure 文件共享的步骤。 如果你想要通过 S2S VPN 路由 Azure 文件同步的同步流量,请参阅配置 Azure 文件同步代理和防火墙设置

适用于

文件共享类型 SMB NFS
标准文件共享 (GPv2)、LRS/ZRS 是 否
标准文件共享 (GPv2)、GRS/GZRS 是 否
高级文件共享 (FileStorage)、LRS/ZRS 是 是

先决条件

  • 要在本地装载的 Azure 文件共享。 Azure 文件共享部署在存储帐户中,它是表示共享存储池的管理结构,可以在其中部署多个文件共享以及其他存储资源(例如 Blob 或队列)。 可以在创建 Azure 文件共享中详细了解如何部署 Azure 文件共享和存储帐户。

  • 本地数据中心内与 Azure VPN 网关兼容的网络设备或服务器。 Azure 文件存储与所选的本地网络设备无关,但 Azure VPN 网关会维护已测试的设备列表。 不同的网络设备提供不同的特性、性能特征和管理功能,因此,在选择网络设备时要将这些因素考虑在内。

如果没有现有网络设备,则 Windows Server 包含内置服务器角色、路由和远程访问 (RRAS),它们可以用作本地网络设备。 若要详细了解如何在 Windows Server 中配置路由和远程访问,请参阅 RAS 网关

将虚拟网络添加到存储帐户

要将新建或现有虚拟网络添加到存储帐户,请执行以下步骤。

  1. 登录到 Azure 门户,然后导航到包含了要在本地装载的 Azure 文件共享的存储帐户。

  2. 在服务菜单中的“安全性 + 网络”下,选择“网络”。 除非在创建虚拟网络时将其添加到存储帐户中,否则生成的窗格中应在“公用网络访问”下已选择“从所有网络启用”单选按钮

  3. 要添加虚拟网络,请选择“从所选虚拟网络和 IP 地址启用”单选按钮。 在“虚拟网络”子标题下,选择“+ 添加现有虚拟网络”或“+ 添加新虚拟网络”。 创建新的虚拟网络将导致创建新的 Azure 资源。 新建或现有虚拟网络资源必须与存储帐户位于同一区域,但不必位于同一资源组或订阅中。 但请记住,将虚拟网络部署到的资源组、区域和订阅必须与下一步中部署虚拟网络网关的位置匹配。

    Azure 门户的屏幕截图,显示了将现有的或新的虚拟网络添加到存储帐户的选项。

    如果添加现有虚拟网络,必须先在虚拟网络上创建网关子网。 系统将要求你选择该虚拟网络的一个或多个子网。 如果创建新的虚拟网络,则会在创建过程中创建子网。 稍后可以通过为虚拟网络生成的 Azure 资源添加更多子网。

    如果以前未启用对虚拟网络的公用网络访问,则需要将 Microsoft.Storage 服务终结点添加到虚拟网络子网。 这最多可能需要 15 分钟才能完成,但在大多数情况下,完成速度要快得多。 在此操作完成之前,你将无法访问该存储帐户中的 Azure 文件共享,包括无法通过 VPN 连接进行访问。 服务终结点通过最优路径将流量从虚拟网络路由到 Azure 存储服务。 子网和虚拟网络的标识也随每个请求进行传输。

  4. 在页面顶部选择“保存”。

部署虚拟网络网关

要部署虚拟网络网关,请执行以下步骤。

  1. 在 Azure 门户顶部的搜索框中,搜索并选择“虚拟网络网关”。 此时应会显示“虚拟网络网关”页。 在页面顶部选择“+创建”

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。 虚拟网络网关必须与虚拟网络位于同一订阅、Azure 区域和资源组中。

    显示如何使用 Azure 门户创建虚拟网络网关的屏幕截图。

    • 订阅:从下拉列表中选择要使用的订阅。
    • 资源组:在此页上选择虚拟网络后,此设置将自动进行填充。
    • “名称”:为虚拟网络网关命名。 为网关命名与为网关子网命名不同。 它是要创建的虚拟网络网关对象的名称。
    • 区域:选择要在其中创建此资源的区域。 虚拟网络网关的区域必须与虚拟网络相同。
    • 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。
    • SKU:从下拉列表中选择支持你想要使用的功能的网关 SKU。 SKU 控制允许的站点到站点隧道数和所需的 VPN 性能。 请参阅网关 SKU。 如果要使用 IKEv2 身份验证(基于路由的 VPN),请不要使用基本 SKU。
    • 代系:选择想要使用的代系。 建议使用第 2 代 SKU。 有关详细信息,请参阅网关 SKU
    • “虚拟网络”:从下拉列表中,选择在上一步添加到存储帐户的虚拟网络。
    • “子网”:此字段应灰显,并列出创建的网关子网的名称及其 IP 地址范围。 相反,如果看到“网关子网地址范围”字段,则表示尚未配置在虚拟网络上配置网关子网。
  3. 请指定已分配给该虚拟网络网关的“公共 IP 地址”。 创建虚拟网络网关后,公共 IP 地址会被分配给此对象。 仅当删除并重新创建网关时,主公共 IP 地址才会发生更改。 该地址不会因为网关大小调整、重置或其他内部维护/升级而更改。

    显示如何使用 Azure 门户为虚拟网络网关指定公共 IP 地址的屏幕截图。

    • “公共 IP 地址”:要向 Internet 公开的虚拟网络网关的 IP 地址。 你很可能需要创建新的 IP 地址,但也可以使用现有的未使用的 IP 地址。 如果选择“新建”,则将在与虚拟网络网关相同的资源组中创建新的 IP 地址 Azure 资源,并且“公共 IP 地址名称”将是新建 IP 地址的名称。 如果选择“使用现有的”,则必须选择现有未使用的 IP 地址
    • 公共 IP 地址名称:在文本框中,键入公共 IP 地址实例的名称。
    • 公共 IP 地址 SKU:将自动选择设置。
    • 分配:分配通常是自动选择的,可以是动态的,也可以是静态的。
    • 启用主动-主动模式:选择“已禁用”。 仅当创建主动-主动网关配置时,才启用此设置。 若要详细了解主动-主动模式,请参阅高可用性跨界连接与 VNet 到 VNet 连接
    • “配置 BGP”:除非你的配置特别需要边界网关协议,否则请选择“已禁用”。 如果确实需要此设置,则默认 ASN 为 65515,但可以更改此值。 若要了解有关此设置的详细信息,请参阅关于 Azure VPN 网关的 BGP
  4. 选择“查看 + 创建” ,运行验证。 验证通过后,选择“创建”以部署虚拟网络网关。 部署可能需要 45 分钟才能完成。

为本地网关创建本地网络网关

本地网络网关是代表本地网络设备的 Azure 资源。 它与存储帐户、虚拟网络和虚拟网络网关一起部署,但不需要与存储帐户位于同一资源组或订阅中。 要创建本地网络网关,请执行以下步骤。

  1. 在 Azure 门户顶部的搜索栏中,搜索并选择“本地网络网关”。 此时应会显示“本地网络网关”页。 在页面顶部选择“+ 创建”

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    显示如何使用 Azure 门户创建本地网络网关的屏幕截图。

    • “订阅”:所需的 Azure 订阅。 这不需要与用于虚拟网络网关或存储帐户的订阅匹配。
    • 资源组:所需的资源组。 这不需要与用于虚拟网络网关或存储帐户的资源组匹配。
    • “位置”:应在其中创建本地网络网关资源的 Azure 区域。 这应该与你为虚拟网络网关和存储帐户选择的区域匹配。
    • 名称:用于本地网络网关的 Azure 资源的名称。 此名称可以是任何你认为有助于管理的名称。
    • “终结点”:保持“IP 地址”处于选中状态
    • IP 地址:本地网关的公共 IP 地址。
    • “地址空间”:此本地网络网关所代表的网络的地址范围。 例如:192.168.0.0/16。 如果添加多个地址空间范围,请确保所指定的范围不会与要连接到的其他网络的范围重叠。 如果在已启用 BGP 的连接中计划使用此本地网关,则需要声明的最小前缀是 VPN 设备上的 BGP 对等 IP 地址的主机地址。
  3. 如果你的组织需要 BGP,请选择“高级”选项卡以配置 BGP 设置。 要了解详细信息,请参阅关于使用 Azure VPN 网关的 BGP

  4. 选择“查看 + 创建” ,运行验证。 验证通过后,选择“创建”以创建本地网络网关

配置本地网络设备

配置本地网络设备的特定步骤取决于组织所选的网络设备。

配置网络设备时,需要以下项:

  • 共享密钥。 此共享密钥就是在创建站点到站点 VPN 连接时指定的共享密钥。 在示例中,我们使用基本的共享密钥,例如“abc123”。 建议生成更复杂的密钥,以符合组织的安全要求。

  • 虚拟网络网关的公共 IP 地址。 要使用 PowerShell 查找虚拟网络网关的公共 IP 地址,请运行以下命令。 在此示例中,mypublicip 是在前面步骤中创建的公共 IP 地址资源的名称。

    Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
    

根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本

以下链接提供了更多配置信息:

创建站点到站点连接

要完成 S2S VPN 的部署,必须在本地网络设备(由本地网络网关资源表示)和 Azure 虚拟网络网关之间创建连接。 要设置部门,请按照以下步骤操作。

  1. 导航到你创建的虚拟网络网关。 在虚拟网络网关的目录中,选择“设置 > 连接”,然后选择“+ 添加”

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    显示如何使用 Azure 门户创建站点到站点 VPN 连接的屏幕截图。

    • “订阅”:所需的 Azure 订阅。
    • 资源组:所需的资源组。
    • “连接类型”:由于这是 S2S 连接,因此请从下拉列表选择“站点到站点 (IPSec)”
    • 名称:连接的名称。 虚拟网络网关可以托管多个连接,因此请选择一个有助于管理的名称,这会区分此特定连接。
    • “区域”:为虚拟网络网关和存储帐户选择的区域。
  3. 在“设置”选项卡上,提供以下信息。

    显示如何使用 Azure 门户配置站点到站点 VPN 连接设置的屏幕截图。

    • “虚拟网络网关”:选择已创建的虚拟网络网关。
    • 本地网关:选择创建的本地网关。
    • “共享密钥 (PSK)”:字母和数字的组合,用于为连接实现加密。 虚拟网络网关和本地网络网关必须使用同一共享密钥。 如果网关设备没有提供密钥,可以在此处创建一个密钥,并将其提供给设备。
    • “IEK 协议”:根据 VPN 设备,为基于策略的 VPN 选择 IKEv1,或为基于路由的 VPN 选择 IKEv2。 要详细了解两种类型的 VPN 网关,请参阅关于基于策略和基于路由的 VPN 网关
    • “使用 Azure 专用 IP 地址”:通过选中此选项,可以使用 Azure 专用 IP 建立 IPsec VPN 连接。 必须在 VPN 网关上设置对专用 IP 的支持,此选项才能正常工作。 它仅在 AZ 网关 SKU 上受支持。
    • “启用 BGP”:除非组织特别需要此设置,否则请保持未选中状态。
    • “启用自定义 BGP 地址”:除非组织特别需要此设置,否则请保持未选中状态。
    • “FastPath”:FastPath 旨在改善本地网络和虚拟网络之间的数据路径性能。 了解详细信息
    • “IPsec/IKE 策略”:将为连接协商的 IPsec/IKE 策略。 除非组织需要自定义策略,否则保留“默认”处于选中状态了解详细信息
    • “使用基于策略的流量选择器”:除非需要将 Azure VPN 网关配置为连接到本地基于策略的 VPN 防火墙,否则请保持禁用状态。 如果启用此字段,则必须确保 VPN 设备已使用本地网络(本地网络网关)前缀与 Azure 虚拟网络前缀的所有组合定义了匹配的流量选择器(而不是任意到任意)。 例如,如果本地网络前缀为 10.1.0.0/16 和 10.2.0.0/16,而虚拟网络前缀为 192.168.0.0/16 和 172.16.0.0/16,则需指定以下流量选择器:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • “DPD 超时(秒)”:连接的失效对等检测超时(以秒为单位)。 此属性的建议和默认值为 45 秒。
    • “连接模式”:连接模式用于确定哪些网关可以启动连接。 当此值设为以下值时:
      • “默认”:Azure 和本地 VPN 网关都可以启动连接。
      • “ResponderOnly”:Azure VPN 网关从不启动连接。 本地 VPN 网关必须启动连接。
      • “InitiatorOnly”:Azure VPN 网关将启动连接,并拒绝来自本地 VPN 网关的任何连接尝试。
  4. 选择“查看 + 创建” ,运行验证。 验证通过后,选择“创建”以创建虚拟连接。 可以通过虚拟网络网关的“连接”页验证是否已成功建立连接

装载 Azure 文件共享

配置 S2S VPN 的最后一步是验证其是否适用于 Azure 文件存储。 可以通过在本地装载 Azure 文件共享来执行此操作。 请在这里参阅各 OS 的装载说明:

另请参阅