Een site-naar-site-VPN configureren voor gebruik met Azure Files

U kunt een site-naar-site-VPN-verbinding (S2S) gebruiken om uw Azure-bestandsshares te koppelen vanuit uw on-premises netwerk, zonder gegevens via het open internet te verzenden. U kunt een S2S VPN instellen met behulp van Azure VPN Gateway. Dit is een Azure-resource die VPN-services biedt. U implementeert VPN Gateway in een resourcegroep naast opslagaccounts of andere Azure-resources.

We raden u ten zeerste aan azure Files-netwerkoverzicht te lezen voordat u verdergaat met dit artikel voor een volledige bespreking van de beschikbare netwerkopties voor Azure Files.

In het artikel worden de stappen beschreven voor het configureren van een site-naar-site-VPN om Azure-bestandsshares rechtstreeks on-premises te koppelen. Als u synchronisatieverkeer voor Azure File Sync wilt routeren via een S2S VPN, raadpleegt u de configuratie van azure File Sync-proxy- en firewallinstellingen.

Van toepassing op

Bestands sharetype	SMB	NFS
Standaardbestandsshares (GPv2), LRS/ZRS
Standaardbestandsshares (GPv2), GRS/GZRS
Premium bestandsshares (FileStorage), LRS/ZRS

Vereisten

• Een Azure-bestandsshare die u on-premises wilt koppelen. Azure-bestandsshares worden geïmplementeerd in opslagaccounts. Dit zijn beheerconstructies die een gedeelde opslaggroep vertegenwoordigen waarin u meerdere bestandsshares kunt implementeren, evenals andere opslagbronnen, zoals blobs of wachtrijen. Meer informatie over het implementeren van Azure-bestandsshares en opslagaccounts vindt u in Een Azure-bestandsshare maken.

• Een netwerkapparaat of server in uw on-premises datacenter dat compatibel is met Azure VPN Gateway. Azure Files is agnostisch van het on-premises netwerkapparaat dat is gekozen, maar Azure VPN Gateway onderhoudt een lijst met geteste apparaten. Verschillende netwerkapparaten bieden verschillende functies, prestatiekenmerken en beheerfuncties. Houd er dus rekening mee wanneer u een netwerkapparaat selecteert.

Als u geen bestaand netwerkapparaat hebt, bevat Windows Server een ingebouwde serverfunctie, routering en externe toegang (RRAS), die kan worden gebruikt als het on-premises netwerkapparaat. Zie RAS-gateway voor meer informatie over het configureren van routering en externe toegang in Windows Server.

Virtueel netwerk toevoegen aan opslagaccount

Volg deze stappen om een nieuw of bestaand virtueel netwerk toe te voegen aan uw opslagaccount.

Portal

1. Meld u aan bij Azure Portal en navigeer naar het opslagaccount met de Azure-bestandsshare die u on-premises wilt koppelen.

2. Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken. Tenzij u een virtueel netwerk hebt toegevoegd aan uw opslagaccount toen u het maakte, moet in het resulterende deelvenster het keuzerondje zijn ingeschakeld voor alle netwerken die zijn geselecteerd onder Openbare netwerktoegang.

3. Als u een virtueel netwerk wilt toevoegen, selecteert u het keuzerondje Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen . Selecteer onder de subkop Virtuele netwerken de optie + Bestaand virtueel netwerk toevoegen of + Nieuw virtueel netwerk toevoegen. Als u een nieuw virtueel netwerk maakt, wordt er een nieuwe Azure-resource gemaakt. De nieuwe of bestaande virtuele netwerkresource moet zich in dezelfde regio bevinden als het opslagaccount, maar hoeft zich niet in dezelfde resourcegroep of hetzelfde abonnement te bevinden. Houd er echter rekening mee dat de resourcegroep, regio en het abonnement waarin u uw virtuele netwerk implementeert, overeenkomen met de locatie waar u uw virtuele netwerkgateway in de volgende stap implementeert.

   

   Als u een bestaand virtueel netwerk toevoegt, moet u eerst een gatewaysubnet in het virtuele netwerk maken. U wordt gevraagd om een of meer subnetten van dat virtuele netwerk te selecteren. Als u een nieuw virtueel netwerk maakt, maakt u een subnet als onderdeel van het aanmaakproces. U kunt later meer subnetten toevoegen via de resulterende Azure-resource voor het virtuele netwerk.

   Als u eerder geen openbare netwerktoegang tot het virtuele netwerk hebt ingeschakeld, moet het Microsoft.Storage service-eindpunt worden toegevoegd aan het subnet van het virtuele netwerk. Dit kan tot 15 minuten duren, hoewel het in de meeste gevallen veel sneller wordt voltooid. Totdat deze bewerking is voltooid, hebt u geen toegang tot de Azure-bestandsshares binnen dat opslagaccount, inclusief via de VPN-verbinding. Het service-eindpunt routeert verkeer van het virtuele netwerk via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden.

4. Selecteer Opslaan boven aan de pagina.

Azure PowerShell

1. Meld u aan bij Azure.

   Connect-AzAccount
   

2. Als u een nieuw virtueel netwerk en gatewaysubnet wilt toevoegen, voert u het volgende script uit. Als u een bestaand virtueel netwerk hebt dat u wilt gebruiken, slaat u deze stap over en gaat u verder met stap 3. Zorg ervoor dat u uw eigen waarden vervangt <your-subscription-id>, <resource-group>en <storage-account-name> vervangt. Geef desgewenst uw eigen waarden op voor $location en $vnetName. De -AddressPrefix parameter definieert de IP-adresblokken voor het virtuele netwerk en het subnet, dus vervang deze door uw respectieve waarden.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $location = "East US" # Change to desired Azure region
   $vnetName = "myVNet"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $vnetAddressPrefix = "10.0.0.0/16" # Update this address as per your requirements
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Define subnet configuration  
   $subnetConfig = New-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix
   
   # Create a virtual network  
   New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup -Location $location -AddressPrefix $vnetAddressPrefix -Subnet $subnetConfig  
   

3. Als u in de vorige stap een nieuw virtueel netwerk en subnet hebt gemaakt, slaat u deze stap over. Als u een bestaand virtueel netwerk hebt dat u wilt gebruiken, moet u eerst een gatewaysubnet in het virtuele netwerk maken voordat u een virtuele netwerkgateway kunt implementeren.

   Voer het volgende script uit om een gatewaysubnet toe te voegen aan een bestaand virtueel netwerk. Zorg ervoor dat u uw eigen waarden vervangt <your-subscription-id>, <resource-group>en <virtual-network-name> vervangt. De $subnetAddressPrefix parameter definieert het IP-adresblok voor het subnet, dus vervang het IP-adres volgens uw vereisten.

   # Select subscription  
   $subscriptionId = "<your-subscription-id>"
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Define parameters
   $storageAccount = "<storage-account-name>"
   $resourceGroup = "<resource-group>"
   $vnetName = "<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   $subnetName = "GatewaySubnet"
   $subnetAddressPrefix = "10.0.0.0/24" # Update this address as per your requirements
   
   # Set current storage account
   Set-AzCurrentStorageAccount -ResourceGroupName $resourceGroup -Name $storageAccount
   
   # Get the virtual network
   $vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup
   
   # Add the gateway subnet
   Add-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet -AddressPrefix $subnetAddressPrefix
   
   # Apply the configuration to the virtual network
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de Update-AzStorageAccountNetworkRuleSet opdracht en stelt u de -DefaultAction parameter in op Weigeren.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroup -Name $storageAccount -DefaultAction Deny
   

5. Schakel een Microsoft.Storage service-eindpunt in op het virtuele netwerk en subnet. Dit kan tot 15 minuten duren, hoewel het in de meeste gevallen veel sneller wordt voltooid. Totdat deze bewerking is voltooid, hebt u geen toegang tot de Azure-bestandsshares binnen dat opslagaccount, inclusief via de VPN-verbinding. Het service-eindpunt routeert verkeer van het virtuele netwerk via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden.

   Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Set-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix $subnetAddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

6. Voeg een netwerkregel toe voor het virtuele netwerk en subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName $resourceGroup -Name $vnetName | Get-AzVirtualNetworkSubnetConfig -Name $subnetName
   Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroup -Name $storageAccount -VirtualNetworkResourceId $subnet.Id
   

Azure-CLI

1. Meld u aan bij Azure.

   az login
   

2. Als u een nieuw virtueel netwerk en gatewaysubnet wilt toevoegen, voert u het volgende script uit. Als u een bestaand virtueel netwerk hebt dat u wilt gebruiken, slaat u deze stap over en gaat u verder met stap 3. Zorg ervoor dat u uw eigen waarden vervangt <your-subscription-id>, <storage-account-name>en <resource-group> vervangt. Vervang door <virtual-network-name> de naam van het nieuwe virtuele netwerk dat u wilt maken. De --address-prefix en --subnet-prefixes parameters definiëren de IP-adresblokken voor het virtuele netwerk en het subnet, dus vervang deze door uw respectieve waarden. Het virtuele netwerk wordt gemaakt in dezelfde regio als de resourcegroep.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"  
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   vnetAddressPrefix="10.0.0.0/16" # Update this address per your requirements
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create a virtual network and subnet
   az network vnet create \
     --resource-group $resourceGroup \
     --name $vnetName \
     --address-prefix $vnetAddressPrefix \
     --subnet-name $subnetName \
     --subnet-prefixes $subnetAddressPrefix  
   

3. Als u in de vorige stap een nieuw virtueel netwerk en subnet hebt gemaakt, slaat u deze stap over. Als u een bestaand virtueel netwerk hebt dat u wilt gebruiken, moet u eerst een gatewaysubnet in het virtuele netwerk maken voordat u een virtuele netwerkgateway kunt implementeren.

   Voer het volgende script uit om een gatewaysubnet toe te voegen aan een bestaand virtueel netwerk. Zorg ervoor dat u uw eigen waarden vervangt <your-subscription-id>, <resource-group>en <virtual-network-name> vervangt. De --address-prefixes parameter definieert het IP-adresblok voor het subnet, dus vervang indien nodig het IP-adresblok.

   # Set your subscription  
   az account set --subscription "<your-subscription-id>"
   
   # Define parameters
   storageAccount="<storage-account-name>"
   resourceGroup="<resource-group>"
   vnetName="<virtual-network-name>"
   # Virtual network gateway can only be created in subnet with name 'GatewaySubnet'.
   subnetName="GatewaySubnet"
   subnetAddressPrefix="10.0.0.0/24" # Update this address per your requirements
   
   # Create the gateway subnet
   az network vnet subnet create \
     --resource-group $resourceGroup \
     --vnet-name $vnetName \
     --name $subnetName \
     --address-prefixes $subnetAddressPrefix
   

4. Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de az storage account update opdracht en stelt u de --default-action parameter in op Weigeren.

   az storage account update --resource-group $resourceGroup --name $storageAccount --default-action Deny
   

5. Schakel een Microsoft.Storage service-eindpunt in op het virtuele netwerk en subnet. Dit kan tot 15 minuten duren, hoewel het in de meeste gevallen veel sneller wordt voltooid. Totdat deze bewerking is voltooid, hebt u geen toegang tot de Azure-bestandsshares binnen dat opslagaccount, inclusief via de VPN-verbinding. Het service-eindpunt routeert verkeer van het virtuele netwerk via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden.

   az network vnet subnet update --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --service-endpoints "Microsoft.Storage.Global"
   

6. Voeg een netwerkregel toe voor het virtuele netwerk en subnet.

   subnetid=$(az network vnet subnet show --resource-group $resourceGroup --vnet-name $vnetName --name $subnetName --query id --output tsv)
   az storage account network-rule add --resource-group $resourceGroup --account-name $storageAccount --subnet $subnetid
   

Een virtuele netwerkgateway implementeren

Volg deze stappen om een virtuele netwerkgateway te implementeren.

Portal

1. Zoek in het zoekvak boven aan De Azure-portal naar virtuele netwerkgateways en selecteer deze. De pagina Gateways van het virtuele netwerk moet worden weergegeven. Selecteer + Maken boven aan de pagina.

2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails. Uw virtuele netwerkgateway moet zich in hetzelfde abonnement, dezelfde Azure-regio en dezelfde resourcegroep bevinden als het virtuele netwerk.

   

   • Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.
   • Resourcegroep: deze instelling wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.
   • Naam: geef uw virtuele netwerkgateway een naam. De naam van uw gateway is niet hetzelfde als het benoemen van een gatewaysubnet. Dit is de naam van het gatewayobject van het virtuele netwerk dat u maakt.
   • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway van het virtuele netwerk moet hetzelfde zijn als het virtuele netwerk.
   • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.
   • SKU: Selecteer de gateway-SKU die ondersteuning biedt voor de functies die u in de vervolgkeuzelijst wilt gebruiken. De SKU bepaalt het aantal toegestane site-naar-site-tunnels en de gewenste prestaties van het VPN. Zie Gateway-SKU's. Gebruik de Basic-SKU niet als u IKEv2-verificatie (op route gebaseerde VPN) wilt gebruiken.
   • Generatie: selecteer de generatie die u wilt gebruiken. U wordt aangeraden een Generation2-SKU te gebruiken. Zie Gateway-SKU's voor meer informatie.
   • Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk dat u in de vorige stap aan uw opslagaccount hebt toegevoegd.
   • Subnet: Dit veld moet grijs worden weergegeven en vermeld de naam van het gatewaysubnet dat u hebt gemaakt, samen met het IP-adresbereik. Als u in plaats daarvan een gatewaysubnetadresbereikveld met een tekstvak ziet, hebt u nog geen gatewaysubnet geconfigureerd in het virtuele netwerk.

3. Geef de waarden op voor het openbare IP-adres dat wordt gekoppeld aan de gateway van het virtuele netwerk. Het openbare IP-adres wordt toegewezen aan dit object wanneer de gateway van het virtuele netwerk wordt gemaakt. De enige keer dat het primaire openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet bij het wijzigen van het formaat, het opnieuw instellen of andere interne onderhoud/upgrades.

   

   • Openbaar IP-adres: het IP-adres van de gateway van het virtuele netwerk die beschikbaar wordt gemaakt voor internet. Waarschijnlijk moet u een nieuw IP-adres maken, maar u kunt ook een bestaand ongebruikt IP-adres gebruiken. Als u Nieuw maken selecteert, wordt er een nieuw IP-adres gemaakt in dezelfde resourcegroep als de gateway van het virtuele netwerk. De naam van het openbare IP-adres is de naam van het zojuist gemaakte IP-adres. Als u Bestaande gebruiken selecteert, moet u het bestaande ongebruikte IP-adres selecteren.
   • Naam van openbaar IP-adres: Typ in het tekstvak een naam voor uw openbare IP-adresexemplaren.
   • Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd.
   • Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd en kan dynamisch of statisch zijn.
   • Actief-actiefmodus inschakelen: Selecteer Uitgeschakeld. Schakel deze instelling alleen in als u een actief-actief-gatewayconfiguratie maakt. Zie cross-premises en VNet-naar-VNet-connectiviteit voor meer informatie over de modus actief-actief.
   • BGP configureren: Selecteer Uitgeschakeld, tenzij voor uw configuratie specifiek Border Gateway Protocol is vereist. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd. Zie Over BGP met Azure VPN Gateway voor meer informatie over deze instelling.

4. Selecteer Beoordelen en maken om de validatie uit te voeren. Zodra de validatie is geslaagd, selecteert u Maken om de gateway van het virtuele netwerk te implementeren. Het kan tot 45 minuten duren voordat de implementatie is voltooid.

Azure PowerShell

1. Vraag eerst een openbaar IP-adres aan. Als u een bestaand ongebruikt IP-adres hebt dat u wilt gebruiken, kunt u deze stap overslaan. Vervang <resource-group> door de naam van uw resourcegroep en geef dezelfde Azure-regio op die u hebt gebruikt voor uw virtuele netwerk.

   $gwpip = New-AzPublicIpAddress -Name "mypublicip" -ResourceGroupName "<resource-group>" -Location "East US" -AllocationMethod Static -Sku Standard
   

2. Maak vervolgens de configuratie van het IP-adres van de gateway door het subnet en het openbare IP-adres te definiëren dat moet worden gebruikt. Het openbare IP-adres van de VPN-gateway wordt blootgesteld aan internet. Vervang <virtual-network-name> en <resource-group> door uw eigen waarden.

   $vnet = Get-AzVirtualNetwork -Name <virtual-network-name> -ResourceGroupName <resource-group>
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id
   

3. Voer het volgende script uit om de VPN-gateway te maken.

   Vervang door <resource-group> dezelfde resourcegroep als uw virtuele netwerk. Geef de gateway-SKU op die ondersteuning biedt voor de functies die u wilt gebruiken. De gateway-SKU bepaalt het aantal toegestane site-naar-site-tunnels en de gewenste prestaties van het VPN. U wordt aangeraden een SKU van de tweede generatie te gebruiken. Gebruik de Basic-SKU niet als u IKEv2-verificatie (op route gebaseerde VPN) wilt gebruiken.

   New-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group> -Location "East US" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration Generation2
   

   U kunt er ook voor kiezen om andere functies zoals Border Gateway Protocol (BGP) en Active-Active op te nemen. Raadpleeg de documentatie voor de cmdlet New-AzVirtualNetworkGateway . Als u BGP wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.

4. Het maken van een gateway kan 45 minuten of langer duren, afhankelijk van de gateway-SKU die u hebt opgegeven. U kunt de VPN-gateway weergeven met behulp van de cmdlet Get-AzVirtualNetworkGateway .

   Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroup <resource-group>
   

Azure-CLI

1. Vraag eerst een openbaar IP-adres aan. Als u een bestaand ongebruikt IP-adres hebt dat u wilt gebruiken, kunt u deze stap overslaan. Vervang <resource-group> door uw resourcegroepnaam.

   az network public-ip create -n mypublicip -g <resource-group>
   

2. Voer het volgende script uit om de VPN-gateway te maken. Het maken van een gateway kan 45 minuten of langer duren, afhankelijk van de gateway-SKU die u opgeeft.

   Vervang door <resource-group> dezelfde resourcegroep als uw virtuele netwerk. Geef de gateway-SKU op die ondersteuning biedt voor de functies die u wilt gebruiken. De gateway-SKU bepaalt het aantal toegestane site-naar-site-tunnels en de gewenste prestaties van het VPN. U wordt aangeraden een SKU van de tweede generatie te gebruiken. Gebruik de Basic-SKU niet als u IKEv2-verificatie (op route gebaseerde VPN) wilt gebruiken.

   az network vnet-gateway create -n MyVnetGateway -l eastus --public-ip-address mypublicip -g <resource-group> --vnet <virtual-network-name> --gateway-type Vpn --sku VpnGw2 --vpn-gateway-generation Generation2 --no-wait
   

   Met --no-wait de parameter kan de gateway op de achtergrond worden gemaakt. Dit betekent niet dat de VPN-gateway onmiddellijk wordt gemaakt.

3. U kunt de VPN-gateway weergeven met behulp van de volgende opdracht. Als de VPN-gateway niet volledig is geïmplementeerd, wordt er een foutbericht weergegeven.

   az network vnet-gateway show -n MyVnetGateway -g <resource-group>
   

Een lokale netwerkgateway maken voor uw on-premises gateway

Een lokale netwerkgateway is een Azure-resource die uw on-premises netwerkapparaat vertegenwoordigt. Deze wordt geïmplementeerd naast uw opslagaccount, virtuele netwerk en virtuele netwerkgateway, maar hoeft zich niet in dezelfde resourcegroep of hetzelfde abonnement als het opslagaccount te bevinden. Volg deze stappen om een lokale netwerkgateway te maken.

Portal

1. Zoek in het zoekvak boven aan Azure Portal naar lokale netwerkgateways en selecteer deze. De pagina Lokale netwerkgateways moet worden weergegeven. Selecteer + Maken boven aan de pagina.

2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

   

   • Abonnement: het gewenste Azure-abonnement. Dit hoeft niet overeen te komen met het abonnement dat wordt gebruikt voor de gateway van het virtuele netwerk of het opslagaccount.
   • Resourcegroep: de gewenste resourcegroep. Dit hoeft niet overeen te komen met de resourcegroep die wordt gebruikt voor de gateway van het virtuele netwerk of het opslagaccount.
   • Regio: De Azure-regio waarin de lokale netwerkgatewayresource moet worden gemaakt. Dit moet overeenkomen met de regio die u hebt geselecteerd voor de gateway van het virtuele netwerk en het opslagaccount.
   • Naam: De naam van de Azure-resource voor de lokale netwerkgateway. Deze naam kan elke naam zijn die u nuttig vindt voor uw beheer.
   • Eindpunt: Laat het IP-adres geselecteerd.
   • IP-adres: het openbare IP-adres van uw lokale gateway on-premises.
   • Adresruimte: het adresbereik of de adresbereiken voor het netwerk dat deze lokale netwerkgateway vertegenwoordigt. Bijvoorbeeld: 192.168.0.0/16. Als u meerdere adresruimtebereiken toevoegt, moet u ervoor zorgen dat de bereiken die u opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken. Als u van plan bent om deze lokale netwerkgateway te gebruiken in een BGP-verbinding, is het minimale voorvoegsel dat u moet declareren het hostadres van uw BGP-peer-IP-adres op uw VPN-apparaat.

3. Als uw organisatie BGP vereist, selecteert u het tabblad Geavanceerd om BGP-instellingen te configureren. Zie Voor meer informatie over BGP met Azure VPN Gateway.

4. Selecteer Beoordelen en maken om de validatie uit te voeren. Zodra de validatie is geslaagd, selecteert u Maken om de lokale netwerkgateway te maken.

Azure PowerShell

Voer de volgende opdracht uit om een nieuwe lokale netwerkgateway te maken. Vervang door <resource-group> uw eigen waarde.

De -AddressPrefix parameter specificeert het adresbereik of de adresbereiken voor het netwerk dat deze lokale netwerkgateway vertegenwoordigt. Als u meerdere adresruimtebereiken toevoegt, moet u ervoor zorgen dat de bereiken die u opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken.

New-AzLocalNetworkGateway -Name MyLocalGateway -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') -GatewayIpAddress "5.4.3.2" -ResourceGroupName <resource-group>

Azure-CLI

Voer de volgende opdracht uit om een nieuwe lokale netwerkgateway te maken. Vervang door <resource-group> uw eigen waarde.

De --local-address-prefixes parameter specificeert het adresbereik of de adresbereiken voor het netwerk dat deze lokale netwerkgateway vertegenwoordigt. Als u meerdere adresruimtebereiken toevoegt, moet u ervoor zorgen dat de bereiken die u opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken.

az network local-gateway create --gateway-ip-address 5.4.3.2 --name MyLocalGateway -g <resource-group> --local-address-prefixes 10.101.0.0/24 10.101.1.0/24

On-premises netwerkapparaat configureren

De specifieke stappen voor het configureren van uw on-premises netwerkapparaat zijn afhankelijk van het netwerkapparaat dat uw organisatie heeft geselecteerd.

Bij het configureren van uw netwerkapparaat hebt u het volgende nodig:

• Een gedeelde sleutel. Dit is dezelfde gedeelde sleutel die u opgeeft bij het maken van uw site-naar-site-VPN-verbinding. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel zoals 'abc123'. U wordt aangeraden een complexere sleutel te genereren die voldoet aan de beveiligingsvereisten van uw organisatie.

• Het openbare IP-adres van uw virtuele netwerkgateway. Voer de volgende opdracht uit om het openbare IP-adres van uw virtuele netwerkgateway te vinden met behulp van PowerShell. In dit voorbeeld mypublicip is dit de naam van de openbare IP-adresresource die u in een eerdere stap hebt gemaakt.

  Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
  

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een configuratiescript voor een VPN-apparaat downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

De volgende koppelingen bevatten meer configuratiegegevens:

• Zie Over VPN-apparaten voor meer informatie over compatibele VPN-apparaten.

• Controleer voordat u uw VPN-apparaat configureert op bekende compatibiliteitsproblemen met apparaten.

• Zie Gevalideerde VPN-apparaten voor koppelingen naar instellingen voor apparaatconfiguratie. We bieden de apparaatconfiguratiekoppelingen op basis van best effort, maar het is altijd raadzaam om contact op te nemen met de fabrikant van uw apparaat voor de meest recente configuratiegegevens.

  De lijst bevat de versies die we hebben getest. Als de versie van het besturingssysteem voor uw VPN-apparaat niet in de lijst staat, is deze mogelijk nog steeds compatibel. Neem contact op met de fabrikant van uw apparaat.

• Zie Overzicht van vpn-apparaatconfiguraties van partners voor basisinformatie over de configuratie van VPN-apparaten.

• Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.

• Zie Informatie over cryptografische vereisten en Azure VPN-gateways voor informatie over cryptografische vereisten.

• Zie De standaard-IPsec-/IKE-parameters voor informatie over parameters die u nodig hebt om uw configuratie te voltooien. De informatie bevat IKE-versie, Diffie-Hellman-groep (DH), verificatiemethode, versleutelings- en hash-algoritmen, sa-levensduur (security association), perfect forward secrecy (PFS) en Dead Peer Detection (DPD).

• Zie Aangepast IPsec-/IKE-verbindingsbeleid configureren voor S2S VPN en VNet-naar-VNet voor configuratiestappen voor IPsec-/IKE-beleid.

• Als u meerdere op beleid gebaseerde VPN-apparaten wilt verbinden, raadpleegt u Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten.

De site-naar-site-verbinding maken

Als u de implementatie van een S2S VPN wilt voltooien, moet u een verbinding maken tussen uw on-premises netwerkapparaat (vertegenwoordigd door de lokale netwerkgatewayresource) en de gateway van het virtuele Azure-netwerk. Daarvoor voert u de volgende stappen uit.

Portal

1. Navigeer naar de virtuele netwerkgateway die u hebt gemaakt. Selecteer Instellingenverbindingen > in de inhoudsopgave voor de gateway van het virtuele netwerk en selecteer vervolgens + Toevoegen.

2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

   

   • Abonnement: het gewenste Azure-abonnement.
   • Resourcegroep: de gewenste resourcegroep.
   • Verbindingstype: Omdat dit een S2S-verbinding is, selecteert u Site-naar-site (IPsec) in de vervolgkeuzelijst.
   • Naam: De naam van de verbinding. Een virtuele netwerkgateway kan meerdere verbindingen hosten, dus kies een naam die nuttig is voor uw beheer en die deze specifieke verbinding onderscheidt.
   • Regio: De regio die u hebt geselecteerd voor de gateway van het virtuele netwerk en het opslagaccount.

3. Geef op het tabblad Instellingen de volgende informatie op.

   

   • Virtuele netwerkgateway: selecteer de virtuele netwerkgateway die u hebt gemaakt.
   • Lokale netwerkgateway: selecteer de lokale netwerkgateway die u hebt gemaakt.
   • Gedeelde sleutel (PSK): Een combinatie van letters en cijfers die worden gebruikt om versleuteling voor de verbinding tot stand te brengen. Dezelfde gedeelde sleutel moet worden gebruikt in zowel het virtuele netwerk als de lokale netwerkgateways. Als uw gatewayapparaat er geen biedt, kunt u er hier een maken en deze aan uw apparaat verstrekken.
   • IKE-protocol: Afhankelijk van uw VPN-apparaat, selecteert u IKEv1 voor op beleid gebaseerde VPN of IKEv2 voor op route gebaseerde VPN. Zie Vpn-gateways op basis van beleid en op route gebaseerde VPN-gateways voor meer informatie over de twee typen VPN-gateways.
   • Privé-IP-adres van Azure gebruiken: als u deze optie inschakelt, kunt u privé-IP-adressen van Azure gebruiken om een IPsec VPN-verbinding tot stand te brengen. Ondersteuning voor privé-IP-adressen moet worden ingesteld op de VPN-gateway, zodat deze optie werkt. Dit wordt alleen ondersteund op AZ Gateway-SKU's.
   • Schakel BGP in: Laat uitgeschakeld tenzij uw organisatie deze instelling specifiek vereist.
   • Aangepaste BGP-adressen inschakelen: Laat dit selectievakje uitgeschakeld, tenzij uw organisatie deze instelling specifiek vereist.
   • FastPath: FastPath is ontworpen om de prestaties van het gegevenspad tussen uw on-premises netwerk en uw virtuele netwerk te verbeteren. Meer informatie.
   • IPsec-/IKE-beleid: het IPsec-/IKE-beleid dat wordt onderhandeld voor de verbinding. Laat standaard geselecteerd, tenzij uw organisatie een aangepast beleid vereist. Meer informatie.
   • Gebruik op beleid gebaseerde verkeerskiezer: Laat uitgeschakeld, tenzij u de Azure VPN-gateway moet configureren om verbinding te maken met een on-premises VPN-firewall op basis van beleid. Als u dit veld inschakelt, moet u ervoor zorgen dat uw VPN-apparaat beschikt over de overeenkomende verkeersselectors die zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar/van de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any. Als uw on-premises netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn en uw virtuele netwerkvoorvoegsels 192.168.0.0/16 en 172.16.0.0/16 zijn, moet u de volgende verkeerskiezers opgeven:
     • 10.1.0.0/16 <===> 192.168.0.0/16
     • 10.1.0.0/16 <===> 172.16.0.0/16
     • 10.2.0.0/16 <===> 192.168.0.0/16
     • 10.2.0.0/16 <===> 172.16.0.0/16
   • TIME-out van DPD in seconden: Time-out voor detectie van dode peers van de verbinding in seconden. De aanbevolen en standaardwaarde voor deze eigenschap is 45 seconden.
   • Verbindingsmodus: de verbindingsmodus wordt gebruikt om te bepalen welke gateway de verbinding kan initiëren. Wanneer deze waarde is ingesteld op:
     • Standaard: Zowel Azure als de on-premises VPN-gateway kunnen de verbinding initiëren.
     • ResponderOnly: Azure VPN Gateway zal de verbinding nooit initiëren. De on-premises VPN-gateway moet de verbinding initiëren.
     • InitiatorOnly: Azure VPN Gateway start de verbinding en weigert eventuele verbindingspogingen van de on-premises VPN-gateway.

4. Selecteer Beoordelen en maken om de validatie uit te voeren. Zodra de validatie is geslaagd, selecteert u Maken om de verbinding te maken. U kunt controleren of de verbinding is gemaakt via de pagina Verbindingen van de virtuele netwerkgateway.

Azure PowerShell

Voer de volgende opdrachten uit om de site-naar-site-VPN-verbinding tussen uw virtuele netwerkgateway en uw on-premises apparaat te maken. Zorg dat u de waarden vervangt door die van uzelf. De gedeelde sleutel moet overeenkomen met de waarde die u hebt gebruikt voor de configuratie van uw VPN-apparaat. Het -ConnectionType voor site-naar-site-VPN is IPsec.

Zie de documentatie voor de cmdlet New-AzVirtualNetworkGatewayConnection voor meer opties.

1. Stel de variabelen in.

   $gateway1 = Get-AzVirtualNetworkGateway -Name MyVnetGateway -ResourceGroupName <resource-group>
   $local = Get-AzLocalNetworkGateway -Name MyLocalGateway -ResourceGroupName <resource-group>
   

2. Maak de VPN-verbinding.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group> `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

3. Na een korte tijd wordt de verbinding tot stand gebracht. U kunt uw VPN-verbinding controleren door de volgende opdracht uit te voeren. Selecteer A als dit wordt gevraagd om alles uit te voeren.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName <resource-group>
   

   De verbindingsstatus moet worden weergegeven als 'Verbonden'.

Azure-CLI

Voer de volgende opdrachten uit om de site-naar-site-VPN-verbinding tussen uw virtuele netwerkgateway en uw on-premises apparaat te maken. Zorg dat u de waarden vervangt door die van uzelf. De gedeelde sleutel moet overeenkomen met de waarde die u hebt gebruikt voor de configuratie van uw VPN-apparaat.

Zie de documentatie voor de opdracht az network vnet create voor meer opties.

az network vpn-connection create --name VNet1toSite1 --resource-group <resource-group> --vnet-gateway1 MyVnetGateway -l eastus --shared-key abc123 --local-gateway MyLocalGateway

Na een korte tijd wordt de verbinding tot stand gebracht. U kunt uw VPN-verbinding controleren door de volgende opdracht uit te voeren. Zolang het tot stand brengen van de verbinding bezig is, is de verbindingsstatus "Verbinding maken". Wanneer de verbinding tot stand is gebracht, verandert de status in "Verbonden".

az network vpn-connection show --name VNet1toSite1 --resource-group <resource-group>

Azure-bestandsshare koppelen

De laatste stap bij het configureren van een S2S VPN controleert of het werkt voor Azure Files. U kunt dit doen door uw Azure-bestandsshare on-premises te koppelen. Zie de instructies om het besturingssysteem hier te koppelen:

• Windows
• MacOS
• Linux (NFS)
• Linux (SMB)

Zie ook

• Overzicht van Azure Files-netwerken
• Een punt-naar-site-VPN (P2S) configureren op Windows voor gebruik met Azure Files
• Een punt-naar-site-VPN (P2S) configureren op Linux voor gebruik met Azure Files