Sdílet prostřednictvím


Konfigurace sítě VPN typu site-to-site pro použití se službou Azure Files

Připojení VPN typu site-to-site (S2S) můžete použít k připojení sdílených složek Azure z místní sítě bez odesílání dat přes otevřený internet. Vpn typu S2S můžete nastavit pomocí služby Azure VPN Gateway, což je prostředek Azure nabízející služby VPN. Službu VPN Gateway nasadíte ve skupině prostředků společně s účty úložiště nebo jinými prostředky Azure.

Graf topologie znázorňující topologii služby Azure VPN Gateway připojující sdílenou složku Azure k místní lokalitě pomocí S2S VPN

Než budete pokračovat v tomto článku, důrazně doporučujeme přečíst si přehled sítí Azure Files, abyste si mohli přečíst kompletní diskuzi o možnostech sítí dostupných pro Azure Files.

Tento článek podrobně popisuje postup konfigurace sítě VPN typu site-to-site pro připojení sdílených složek Azure přímo místně. Pokud chcete směrovat synchronizační provoz pro Synchronizace souborů Azure přes S2S VPN, přečtěte si informace o konfiguraci Synchronizace souborů Azure nastavení proxy serveru a brány firewall.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Ano Yes

Požadavky

  • Sdílená složka Azure, kterou chcete připojit místně. Sdílené složky Azure se nasazují v účtech úložiště, což jsou konstrukce správy, které představují sdílený fond úložiště, ve kterém můžete nasadit více sdílených složek, a také další prostředky úložiště, jako jsou objekty blob nebo fronty. Další informace o nasazení sdílených složek Azure a účtů úložiště najdete v tématu Vytvoření sdílené složky Azure.

  • Síťové zařízení nebo server v místním datovém centru, které je kompatibilní se službou Azure VPN Gateway. Služba Azure Files je nezávislá na zvoleném místním síťovém zařízení, ale Azure VPN Gateway udržuje seznam otestovaných zařízení. Různá síťová zařízení nabízejí různé funkce, charakteristiky výkonu a funkce správy, proto je zvažte při výběru síťového zařízení.

Pokud nemáte stávající síťové zařízení, Windows Server obsahuje integrovanou roli serveru, směrování a vzdálený přístup (RRAS), kterou je možné použít jako místní síťové zařízení. Další informace o konfiguraci směrování a vzdáleného přístupu ve Windows Serveru najdete v tématu Brána RAS.

Přidání virtuální sítě do účtu úložiště

Pokud chcete do účtu úložiště přidat novou nebo existující virtuální síť, postupujte takto.

  1. Přihlaste se k webu Azure Portal a přejděte k účtu úložiště obsahujícímu sdílenou složku Azure, kterou chcete připojit místně.

  2. V nabídce služby v části Zabezpečení a sítě vyberte Sítě. Pokud jste do účtu úložiště při vytváření nezadali virtuální síť, mělo by výsledné podokno obsahovat přepínač Povoleno ze všech sítí vybraných v části Veřejný přístup k síti.

  3. Pokud chcete přidat virtuální síť, vyberte přepínač Povoleno z vybraných virtuálních sítí a IP adres . V podnadpisu Virtuální sítě vyberte buď + Přidat existující virtuální síť, nebo + Přidat novou virtuální síť. Vytvoření nové virtuální sítě způsobí vytvoření nového prostředku Azure. Nový nebo existující prostředek virtuální sítě musí být ve stejné oblasti jako účet úložiště, ale nemusí být ve stejné skupině prostředků nebo předplatném. Mějte ale na paměti, že skupina prostředků, oblast a předplatné, do kterého nasadíte virtuální síť, musí odpovídat tomu, kam bránu virtuální sítě nasadíte v dalším kroku.

    Snímek obrazovky webu Azure Portal s možností přidat existující nebo novou virtuální síť do účtu úložiště

    Pokud přidáte existující virtuální síť, musíte nejprve vytvořit podsíť brány ve virtuální síti. Zobrazí se výzva k výběru jedné nebo více podsítí této virtuální sítě. Pokud vytvoříte novou virtuální síť, v rámci procesu vytváření vytvoříte podsíť. Později můžete přidat další podsítě prostřednictvím výsledného prostředku Azure pro virtuální síť.

    Pokud jste dříve nepovolili přístup k virtuální síti, Microsoft.Storage bude potřeba přidat koncový bod služby do podsítě virtuální sítě. Dokončení může trvat až 15 minut, ale ve většině případů se dokončí mnohem rychleji. Dokud se tato operace nedokončí, nebudete mít přístup ke sdíleným složkám Azure v rámci tohoto účtu úložiště, včetně připojení VPN. Koncový bod služby směruje provoz z virtuální sítě přes optimální cestu ke službě Azure Storage. S každým požadavkem se odesílají také identity podsítě a virtuální sítě.

  4. V horní části stránky vyberte Uložit.

Nasazení brány virtuální sítě

Pokud chcete nasadit bránu virtuální sítě, postupujte takto.

  1. Do vyhledávacího pole v horní části webu Azure Portal vyhledejte a vyberte brány virtuální sítě. Měla by se zobrazit stránka brány virtuální sítě. V horní části stránky vyberte + Vytvořit.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance. Brána virtuální sítě musí být ve stejném předplatném, oblasti Azure a skupině prostředků jako virtuální síť.

    Snímek obrazovky znázorňující, jak vytvořit bránu virtuální sítě pomocí webu Azure Portal

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.
    • Skupina prostředků: Toto nastavení se automaticky vyplňuje, když vyberete virtuální síť na této stránce.
    • Název: Pojmenujte bránu virtuální sítě. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány virtuální sítě, který vytváříte.
    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány virtuální sítě musí být stejná jako virtuální síť.
    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.
    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Skladová položka řídí počet povolených tunelů Site-to-Site a požadovaný výkon sítě VPN. Viz skladové položky brány. Pokud chcete použít ověřování IKEv2 (síť VPN založená na směrování), nepoužívejte skladovou položku Basic.
    • Generování: Vyberte generaci, kterou chcete použít. Doporučujeme použít skladovou položku Generation2. Další informace najdete v části Skladové jednotky (SKU) brány.
    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, kterou jste přidali do svého účtu úložiště v předchozím kroku.
    • Podsíť: Toto pole by mělo být neaktivní a uveďte název podsítě brány, kterou jste vytvořili, spolu s rozsahem IP adres. Pokud se místo toho zobrazí pole rozsahu adres podsítě brány s textovým polem, ještě jste ve virtuální síti nenakonfigurovali podsíť brány.
  3. Zadejte hodnoty pro veřejnou IP adresu , která se přidružuje k bráně virtuální sítě. Při vytvoření brány virtuální sítě se k tomuto objektu přiřadí veřejná IP adresa. Jedinou dobou, kdy se primární veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. Nemění se v rámci změny velikosti, resetování ani jiné interní údržby nebo upgradů.

    Snímek obrazovky znázorňující, jak zadat veřejnou IP adresu brány virtuální sítě pomocí webu Azure Portal

    • Veřejná IP adresa: IP adresa brány virtuální sítě, která bude vystavena internetu. Pravděpodobně budete muset vytvořit novou IP adresu, ale můžete také použít stávající nepoužívané IP adresy. Pokud vyberete Vytvořit nový, vytvoří se nový prostředek IP adresy Azure ve stejné skupině prostředků jako brána virtuální sítě a název veřejné IP adresy bude název nově vytvořené IP adresy. Pokud vyberete Možnost Použít existující, musíte vybrat stávající nepoužívané IP adresy.
    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.
    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno.
    • Přiřazení: Přiřazení je obvykle automaticky vybráno a může být dynamické nebo statické.
    • Povolit režim aktivní-aktivní: Vyberte Zakázáno. Toto nastavení povolte jenom v případě, že vytváříte konfiguraci brány aktivní-aktivní. Další informace o režimu aktivní-aktivní najdete v tématu Vysoce dostupné připojení mezi místními sítěmi a připojení typu VNet-to-VNet.
    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje protokol Border Gateway Protocol. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit. Další informace o tomto nastavení najdete v tématu O protokolu BGP se službou Azure VPN Gateway.
  4. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit . Jakmile ověření projde, vyberte Vytvořit a nasaďte bránu virtuální sítě. Dokončení nasazení může trvat až 45 minut.

Vytvoření brány místní sítě pro místní bránu

Brána místní sítě je prostředek Azure, který představuje vaše místní síťové zařízení. Nasadí se společně s vaším účtem úložiště, virtuální sítí a bránou virtuální sítě, ale nemusí být ve stejné skupině prostředků nebo předplatném jako účet úložiště. Pokud chcete vytvořit bránu místní sítě, postupujte takto.

  1. Do vyhledávacího pole v horní části webu Azure Portal vyhledejte a vyberte brány místní sítě. Měla by se zobrazit stránka Brány místní sítě. V horní části stránky vyberte + Vytvořit.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující, jak vytvořit bránu místní sítě pomocí webu Azure Portal

    • Předplatné: Požadované předplatné Azure. Nemusí se shodovat s předplatným používaným pro bránu virtuální sítě ani účet úložiště.
    • Skupina prostředků: Požadovaná skupina prostředků. Nemusí se shodovat se skupinou prostředků používanou pro bránu virtuální sítě ani účet úložiště.
    • Oblast: V oblasti Azure by se měl vytvořit prostředek brány místní sítě. To by se mělo shodovat s oblastí, kterou jste vybrali pro bránu virtuální sítě, a účet úložiště.
    • Název: Název prostředku Azure pro bránu místní sítě. Tento název může být libovolný název, který je pro vaši správu užitečný.
    • Koncový bod: Ponechte vybranou IP adresu .
    • IP adresa: Veřejná IP adresa místní brány.
    • Adresní prostor: Rozsah adres nebo rozsahy pro síť představuje tato brána místní sítě. Příklad: 192.168.0.0/16. Pokud přidáte více rozsahů adresního prostoru, ujistěte se, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se chcete připojit. Pokud plánujete použít tuto bránu místní sítě v připojení s povoleným protokolem BGP, je minimální předpona, kterou musíte deklarovat, je hostitelská adresa IP adresy partnerského uzlu protokolu BGP na vašem zařízení VPN.
  3. Pokud vaše organizace vyžaduje protokol BGP, vyberte kartu Upřesnit a nakonfigurujte nastavení protokolu BGP. Další informace najdete v tématu O protokolu BGP se službou Azure VPN Gateway.

  4. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit . Jakmile ověření projde, vyberte Vytvořit a vytvořte bránu místní sítě.

Konfigurace místního síťového zařízení

Konkrétní postup konfigurace místního síťového zařízení závisí na síťovém zařízení, které vaše organizace vybrala.

Při konfiguraci síťového zařízení budete potřebovat následující položky:

  • Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáte při vytváření připojení VPN typu site-to-site. V našich příkladech používáme základní sdílený klíč, například "abc123". Doporučujeme vygenerovat složitější klíč, který bude vyhovovat požadavkům vaší organizace na zabezpečení.

  • Veřejná IP adresa brány virtuální sítě. Pokud chcete najít veřejnou IP adresu brány virtuální sítě pomocí PowerShellu, spusťte následující příkaz. V tomto příkladu je název prostředku veřejné IP adresy, mypublicip který jste vytvořili v předchozím kroku.

    Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
    

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

  • Informace o kompatibilních zařízeních VPN najdete v tématu o zařízeních VPN.

  • Před konfigurací zařízení VPN zkontrolujte případné známé problémy s kompatibilitou zařízení.

  • Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Poskytujeme odkazy na konfiguraci zařízení na základě maximálního úsilí, ale vždy je nejlepší zkontrolovat u výrobce zařízení nejnovější informace o konfiguraci.

    V seznamu jsou uvedené verze, které jsme otestovali. Pokud verze operačního systému pro vaše zařízení VPN není v seznamu, může být stále kompatibilní. Obraťte se na výrobce zařízení.

  • Základní informace o konfiguraci zařízení VPN najdete v tématu Přehled konfigurací partnerských zařízení VPN.

  • Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

  • Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.

  • Informace oparametrch Mezi tyto informace patří verze protokolu IKE, skupina Diffie-Hellman (DH), metoda ověřování, šifrovací a hashovací algoritmy, životnost přidružení zabezpečení (SA), perfektní předávání tajemství (PFS) a detekce mrtvých partnerských uzlů (DPD).

  • Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet.

  • Pokud chcete připojit více zařízení VPN založených na zásadách, přečtěte si téma Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Vytvoření připojení typu site-to-site

K dokončení nasazení sítě VPN S2S musíte vytvořit připojení mezi místním síťovým zařízením (reprezentovaným prostředkem brány místní sítě) a bránou virtuální sítě Azure. Postup je následující:

  1. Přejděte k bráně virtuální sítě, kterou jste vytvořili. V obsahu brány virtuální sítě vyberte Nastavení > připojení a pak vyberte + Přidat.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující, jak vytvořit připojení VPN typu site-to-site pomocí webu Azure Portal

    • Předplatné: Požadované předplatné Azure.
    • Skupina prostředků: Požadovaná skupina prostředků.
    • Typ připojení: Protože se jedná o připojení S2S, vyberte z rozevíracího seznamu možnost Site-to-Site (IPsec ).
    • Název: Název připojení. Brána virtuální sítě může hostovat více připojení, proto zvolte název, který je užitečný pro vaši správu a který bude toto konkrétní připojení rozlišovat.
    • Oblast: Oblast, kterou jste vybrali pro bránu virtuální sítě a účet úložiště.
  3. Na kartě Nastavení zadejte následující informace.

    Snímek obrazovky znázorňující, jak nakonfigurovat nastavení připojení VPN typu site-to-site pomocí webu Azure Portal

    • Brána virtuální sítě: Vyberte bránu virtuální sítě, kterou jste vytvořili.
    • Brána místní sítě: Vyberte bránu místní sítě, kterou jste vytvořili.
    • Sdílený klíč (PSK):: Kombinace písmen a čísel používaných k vytvoření šifrování připojení. Stejný sdílený klíč musí být použit ve virtuální síti i v branách místní sítě. Pokud vaše zařízení brány ho neposkytuje, můžete si ho tady vytvořit a poskytnout ho vašemu zařízení.
    • Protokol IKE: V závislosti na zařízení VPN vyberte IKEv1 pro síť VPN založenou na zásadách nebo IKEv2 pro síť VPN založenou na směrování. Další informace o dvou typech bran VPN najdete v tématu o branách VPN založených na zásadách a bránách VPN založených na směrování.
    • Použití privátní IP adresy Azure: Kontrola této možnosti umožňuje použít privátní IP adresy Azure k navázání připojení VPN IPsec. Aby tato možnost fungovala, musí být na bráně VPN nastavená podpora privátních IP adres. Podporuje se jenom u skladových položek služby AZ Gateway.
    • Povolit protokol BGP: Pokud vaše organizace toto nastavení výslovně nevyžaduje, nechte nezaškrtnuté.
    • Povolit vlastní adresy protokolu BGP: Nechte nezaškrtnuté, pokud vaše organizace toto nastavení výslovně nevyžaduje.
    • FastPath: FastPath je navržený tak, aby zlepšil výkon cesty k datům mezi vaší místní sítí a vaší virtuální sítí. Další informace.
    • Zásady IPsec / IKE: Zásady IPsec / IKE, které budou pro připojení vyjednávány. Ponechte vybranou možnost Výchozí , pokud vaše organizace nevyžaduje vlastní zásady. Další informace.
    • Použití selektoru provozu na základě zásad: Pokud potřebujete nakonfigurovat bránu Azure VPN Gateway pro připojení k místní bráně VPN založené na zásadách, ponechte ji zakázanou. Pokud toto pole povolíte, musíte zajistit, aby vaše zařízení VPN měl definované odpovídající selektory provozu se všemi kombinacemi předpon místní sítě (brány místní sítě) do a z předpon virtuální sítě Azure místo předpon typu any-to-any. Pokud jsou například předpony místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, budete muset zadat následující selektory provozu:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Časový limit DPD v sekundách: Časový limit detekce mrtvých partnerských uzlů připojení v sekundách Doporučená a výchozí hodnota této vlastnosti je 45 sekund.
    • Režim připojení: Režim připojení se používá k rozhodnutí, která brána může zahájit připojení. Pokud je tato hodnota nastavená na:
      • Výchozí nastavení: Připojení může iniciovat Azure i místní brána VPN.
      • ResponderOnly: Azure VPN Gateway nikdy nespouštět připojení. Místní brána VPN musí zahájit připojení.
      • IniciátorOnly: Azure VPN Gateway zahájí připojení a odmítne všechny pokusy o připojení z místní brány VPN.
  4. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit . Jakmile ověření projde, vyberte Vytvořit a vytvořte připojení. Úspěšné připojení můžete ověřit na stránce Připojení brány virtuální sítě.

Připojení sdílené složky Azure

Posledním krokem při konfiguraci sítě VPN S2S je ověření, že funguje pro Azure Files. Můžete to udělat připojením místní sdílené složky Azure. Pokyny pro připojení k operačnímu systému najdete tady:

Viz také