設定站對站 VPN 以搭配 Azure 檔案儲存體

您可以使用站對站 VPN 連線，從內部部署網路掛接 Azure 檔案共用，而不需透過開放式因特網傳送數據。 您可以使用 Azure VPN 閘道 來設定 S2S VPN，這是提供 VPN 服務的 Azure 資源，並且會與記憶體帳戶或其他 Azure 資源一起部署在資源群組中。

強烈建議您先閱讀 Azure 檔案儲存體網路概觀，再繼續閱讀此文章，以充分了解適用於 Azure 檔案儲存體的網路選項。

本文詳細說明設定站對站 VPN 以直接在內部部署掛接 Azure 檔案共用的步驟。 如果您想要透過 S2S VPN 路由傳送 Azure 檔案同步 同步流量，請參閱設定 Azure 檔案同步 Proxy 和防火牆設定。

適用於

檔案共用類型	SMB	NFS
標準檔案共用 (GPv2)、LRS/ZRS
標準檔案共用 (GPv2)、GRS/GZRS
進階檔案共用 (FileStorage)、LRS/ZRS

必要條件

• 您要在內部部署掛接的 Azure 檔案共用。 Azure 檔案共用會部署在儲存體帳戶中，也就是代表儲存體共用集區的管理結構，您可以在此集區中部署多個檔案共用，以及其他儲存體資源 (例如，Blob 或佇列)。 您可以在建立 Azure 檔案共用中深入了解如何部署 Azure 檔案共用和儲存體帳戶。

• 要在內部部署掛接的 Azure 檔案共用所屬的儲存體帳戶私人端點。 若要深入了解如何建立私人端點，請參閱設定 Azure 檔案儲存體網路端點。

• 您的內部部署資料中心內與 Azure VPN 閘道相容的網路設備或伺服器。 Azure 檔案儲存體與所選的內部部署網路設備無關，但 Azure VPN 閘道會維護已測試的裝置清單。 不同的網路設備會提供不同的功能、效能特性和管理功能，因此在選取網路設備時，請將其納入考量。

如果您沒有現有的網路設備，Windows Server 包含內建的伺服器角色、路由和遠端存取 (RRAS)，可供您作為內部部署網路設備。 若要深入了解如何在 Windows Server 中設定路由和遠端存取，請參閱 RAS 閘道。

將虛擬網路新增至儲存體帳戶

若要將新的或現有的虛擬網路新增至您的儲存體帳戶，請遵循下列步驟。

1. 登入 Azure 入口網站，並瀏覽至要在內部部署掛接的 Azure 檔案共用所屬的儲存體帳戶。

2. 在儲存體帳戶的目錄中，選取 [安全性 + 網路] > [網路]。 除非您在建立虛擬網路時已將其新增至儲存體帳戶，否則在產生的窗格中，應在 [公用網路存取] 下選取 [從所有網路啟用] 選項按鈕。

3. 若要新增虛擬網路，請選取 [從選取的虛擬網路和 IP 位址啟用] 選項按鈕。 在 [虛擬網路] 子標題下，選取 [+ 新增現有的虛擬網路] 或 [+ 新增新的虛擬網路]。 建立新的虛擬網路後，將會建立新的 Azure 資源。 新的或現有的虛擬網路資源必須位於與儲存體帳戶相同的區域中，但不需要位於相同的資源群組或訂用帳戶中。 不過，請記住，您部署虛擬網路的資源群組、區域和訂用帳戶必須符合您在下一個步驟中部署虛擬網路閘道的位置。

   

   如果您新增現有的虛擬網路，您必須先在虛擬網路上建立閘道子網路。 系統會要求您選取該虛擬網路的一或多個子網路。 如果您建立新的虛擬網路，您將建立子網路作為建立程序的一部分。 您稍後可以透過虛擬網路產生的 Azure 資源來新增更多子網路。

   如果您先前尚未啟用虛擬網路的公用網路存取，則必須將 Microsoft.Storage 服務端點新增至虛擬網路子網路。 這最多可能需要 15 分鐘才能完成，但在大多數情況下，完成速度會快得多。 在此作業完成之前，您將無法存取該儲存體帳戶中的 Azure 檔案共用，包括透過 VPN 連線。

4. 在頁面頂端，選取儲存。

部署虛擬網路閘道

若要部署虛擬網路閘道，請遵循下列步驟。

1. 在 Azure 入口網站頂端的搜尋方塊中，搜尋並選取 [虛擬網路閘道]。 [虛擬網路閘道] 頁面應該會出現。 在頁面頂端選取 [+ 建立]。

2. 在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。 您的虛擬網路閘道必須位於與虛擬網路相同的訂用帳戶、Azure 區域和資源群組中。

   

   • 訂用帳戶：從下拉式清單選取您想要使用的訂用帳戶。
   • 資源群組：在此頁面上選取虛擬網路時，系統會自動填入此設定。
   • 名稱：指定虛擬網路閘道的名稱。 為您的閘道命名與為閘道子網路命名不同。 這是您要建立的虛擬網路閘道物件的名稱。
   • 區域：選取您要在其中建立此資源的區域。 虛擬網路閘道的區域必須與虛擬網路相同。
   • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
   • SKU：從下拉式清單中選取支援您想要使用之功能的閘道 SKU。 SKU 會控制允許的站對站通道數目和所需的 VPN 效能。 請參閱閘道 SKU。 如果您想要使用 IKEv2 驗證 (以路由為基礎的 VPN)，請勿使用基本 SKU。
   • 世代：選取您要使用的世代。 我們建議使用第 2 代 SKU。 如需詳細資訊，請參閱閘道 SKU。
   • 虛擬網路：從下拉式清單中，選取您在上一個步驟中新增至儲存體帳戶的虛擬網路。
   • 子網路：此欄位會變成灰色，並列出您建立的閘道子網路名稱及其 IP 位址範圍。 如果您反而看到 [閘道子網路位址範圍] 欄位與文字輸入框，則您尚未在虛擬網路上設定閘道子網路。

3. 指定與虛擬網路閘道相關聯之公用 IP 位址的值。 建立虛擬網路閘道時，系統會將公用 IP 位址指派給此物件。 主要公用 IP 位址只會在刪除或重新建立閘道時變更。 不會因為重新調整、重設或其他內部維護/升級而變更。

   

   • 公用 IP 位址：將公開至網際網路之虛擬網路閘道的 IP 位址。 可能的話，您必須建立新的 IP 位址，但您也可以使用未使用的現有 IP 位址。 如果您選取 [新建]，則會在與虛擬網路閘道相同的資源群組中建立新的 IP 位址 Azure 資源，而公用 IP 位址名稱將是新建 IP 位址的名稱。 如果您選取 [使用現有的]，則必須選取未使用的現有 IP 位址。
   • 公用 IP 位址名稱：在文字輸入框中，輸入公用 IP 位址執行個體的名稱。
   • 公用 IP 位址 SKU：系統會自動選取設定。
   • 指派：指派通常是自動選取的，可以是動態或靜態。
   • 啟用主動-主動模式：選取 [已停用]。 只有在您要建立主動-主動閘道組態時，才啟用此設定。 若要深入了解「主動-主動」模式，請參閱高可用性跨單位和 VNet 對 VNet 連線能力。
   • 設定 BGP：選取 [已停用]，除非您的組態特別需要邊界閘道協定 (BGP)。 如果您需要此設定，則預設的 ASN 為 65515，不過您可以變更此值。 若要深入了解此設定，請參閱關於 BGP 與 Azure VPN 閘道。

4. 選取 [檢閱 + 建立] 以執行驗證。 驗證通過後，選取 [建立] 以部署虛擬網路閘道。 部署最多需要 45 分鐘的時間才能完成。

建立區域網路閘道以作為您的內部部署閘道

區域網路閘道是代表內部部署網路設備的 Azure 資源。 它會與您的儲存體帳戶、虛擬網路和虛擬網路閘道一起部署，但不需要位於與儲存體帳戶相同的資源群組或訂用帳戶中。 若要建立區域網路閘道，請遵循下列步驟。

1. 在 Azure 入口網站頂端的搜尋方塊中，搜尋並選取 [區域網路閘道]。 [區域網路閘道] 頁面應該會出現。 在頁面頂端選取 [+ 建立]。

2. 在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

   

   • 訂用帳戶：所需的 Azure 訂用帳戶。 這不需要符合用於虛擬網路閘道或儲存體帳戶的訂用帳戶。
   • 資源群組：所需的資源群組。 這不需要符合用於虛擬網路閘道或儲存體帳戶的資源群組。
   • 區域：應在其中建立區域網路閘道資源的 Azure 區域。 這應符合您為虛擬網路閘道和儲存體帳戶選取的區域。
   • 名稱：區域網路閘道的 Azure 資源名稱。 此名稱可以是您認為在管理方面有其效用的任何名稱。
   • 端點：保持選取 IP 位址。
   • IP 位址：內部部署區域閘道的公用 IP 位址。
   • 位址空間：此區域網路閘道所代表之網路的位址範圍。 例如：192.168.0.0/16。 您可以新增多個位址空間範圍，但請確定您指定的範圍不會與您要連接到的其他網路範圍重疊。 如果您打算在已啟用 BGP 連線中使用此區域網路閘道，則您需要宣告的最小前置詞是 VPN 裝置上 BGP 對等互連 IP 位址的主機位址。

3. 如果您的組織需要 BGP，請選取 [進階] 索引標籤來設定 BGP 設定。 若要深入瞭解，請參閱關於 BGP 與 Azure VPN 閘道。

4. 選取 [檢閱 + 建立] 以執行驗證。 驗證通過之後，選取 [建立] 以建立區域網路閘道。

設定內部部署網路設備

設定內部部署網路設備的具體步驟，取決於您的組織選取的網路設備。 根據組織所選擇的裝置，已測試的裝置清單可能會連結至裝置廠商針對 Azure 虛擬網路閘道的設定而提供的指示。

建立站對站連線

若要完成 S2S VPN 的部署，您必須建立內部部署網路設備 (以區域網路閘道資源表示) 與 Azure 虛擬網路閘道之間的連線。 若要這麼做，請執行下列步驟。

1. 瀏覽至您所建立的虛擬網路閘道。 在虛擬網路閘道的目錄中，選取 [設定 > 連線]，然後選取 [+ 新增]。

2. 在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

   

   • 訂用帳戶：所需的 Azure 訂用帳戶。
   • 資源群組：所需的資源群組。
   • 連線類型：由於這是 S2S 連線，請在下拉式清單中選取 [站對站 (IPSec)]。
   • 名稱：連線的名稱。 虛擬網路閘道可以裝載多個連線，因此請選取一個名稱，以協助您管理及區分此特定連線。
   • 區域：您為虛擬網路閘道和儲存體帳戶選取的區域。

3. 在 [設定] 索引標籤上，提供下列資訊。

   

   • 虛擬網路閘道：選取您所建立的虛擬網路閘道。
   • 區域網路閘道：選取您所建立的區域網路閘道。
   • 共用金鑰 (PSK)：字母和數字的混合，用以建立連線的加密。 虛擬網路和區域網路閘道中必須使用相同的共用金鑰。 如果您的閘道裝置未提供此金鑰，您可以在此建立，並將其提供給您的裝置。
   • IKE 通訊協定：根據您的 VPN 裝置，針對以原則為基礎的 VPN 選取 [IKEv1]，針對以路由為基礎的 VPN 選取 [IKEv2]。 若要深入了解這兩種類型的 VPN 閘道，請參閱關於以原則為基礎和以路由為基礎的 VPN 閘道。
   • 使用 Azure 私人 IP 位址：檢查此選項可讓您使用 Azure 私人 IP 來建立 IPsec VPN 連線。 您必須在 VPN 閘道上設定私人 IP 的支援，此選項才能運作。 只有在 AZ 閘道 SKU 上才支援此項。
   • 啟用 BGP：除非您的組織特別需要此設定，否則請保持不勾選。
   • 啟用自訂 BGP 位址：除非您的組織特別需要此設定，否則請保持不勾選。
   • FastPath：FastPath 專用於提升內部部署網路與虛擬網路之間的資料路徑效能。 深入了解。
   • IPsec/IKE 原則：將用來交涉連線的 IPsec/IKE 原則。 除非您的組織需要自訂原則，否則請保持選取 [預設]。 深入了解。
   • 使用以原則為基礎的流量選取器：除非您需要設定 Azure VPN 閘道以連線到內部部署以原則為基礎的 VPN 防火牆，否則請保持停用。 如果您啟用此欄位，則必須確定 VPN 裝置的流量選取器已定義內部部署網路 (區域網路閘道) 前置詞往/返 Azure 虛擬網路前置詞的所有組合，而不是任意對任意的組合。 例如，如果內部部署網路的前置詞為 10.1.0.0/16 和 10.2.0.0/16，而虛擬網路的前置詞為 192.168.0.0/16 和 172.16.0.0/16，則需要指定下列流量選取器：
     • 10.1.0.0/16 <====> 192.168.0.0/16
     • 10.1.0.0/16 <====> 172.16.0.0/16
     • 10.2.0.0/16 <====> 192.168.0.0/16
     • 10.2.0.0/16 <====> 172.16.0.0/16
   • DPD 逾時 (秒)：連線的失效對等偵測逾時，以秒為單位。 此屬性的建議和預設值為 45 秒。
   • 連線模式：連線模式可用來決定哪個閘道可以起始連線。 當此值設定為：
     • Default：Azure 和內部部署 VPN 閘道都可以起始連線。
     • ResponderOnly：Azure VPN 閘道永遠不會起始連線。 內部部署 VPN 閘道必須起始連線。
     • InitiatorOnly：Azure VPN 閘道會起始連線，並拒絕來自內部部署 VPN 閘道的任何連線嘗試。

4. 選取 [檢閱 + 建立] 以執行驗證。 驗證通過後，選取 [建立]，以建立連線。 您可以透過虛擬網路閘道的 [連線] 頁面，確認連線已成功建立。

掛接 Azure 檔案共用

設定 S2S VPN 的最後一個步驟，是確認它適用於 Azure 檔案儲存體。 您可以藉由掛接內部部署的 Azure 檔案共用來執行此動作。 如需依作業系統掛接的指示，請參閱：

• Windows
• macOS
• Linux (NFS)
• Linux (SMB)

另請參閱

• Azure 檔案儲存體網路概觀
• 在 Windows 上設定點對站 (P2S) VPN 以用於 Azure 檔案儲存體
• 在 Linux 上設定點對站 (P2S) VPN 以用於 Azure 檔案儲存體