- Настройка VPN-подключения «сеть — сеть» для использования с Файлами Azure Configure a Site-to-Site VPN for use with Azure Files
- Предварительные условия Prerequisites
- Добавление учетной записи хранения в виртуальную сеть Add storage account to VNet
- Развертывание VPN-шлюза Azure Deploy an Azure VPN Gateway
- Создание шлюза локальной сети для локального шлюза Create a local network gateway for your on-premises gateway
- Настройка локального сетевого устройства Configure on-premises network appliance
- Создание подключения «сеть — сеть» Create the Site-to-Site connection
- Подключение файлового ресурса Azure Mount Azure file share
Настройка VPN-подключения «сеть — сеть» для использования с Файлами Azure Configure a Site-to-Site VPN for use with Azure Files
Вы можете использовать VPN-подключение «сеть — сеть» (S2S) для подключения файловых ресурсов Azure по протоколу SMB в локальной сети, не открывая порт 445. You can use a Site-to-Site (S2S) VPN connection to mount your Azure file shares over SMB from your on-premises network, without opening up port 445. VPN-подключение «сеть — сеть» можно настроить с помощью VPN-шлюза Azure, который является ресурсом Azure, предлагающим службы VPN, и развертывается в группе ресурсов вместе с учетными записями хранения или другими ресурсами Azure. You can set up a Site-to-Site VPN using Azure VPN Gateway, which is an Azure resource offering VPN services, and is deployed in a resource group alongside storage accounts or other Azure resources.
Мы настоятельно рекомендуем ознакомиться с общими сведениями о службе «Файлы Azure» перед продолжением работы с этой статьей, чтобы подробно ознакомиться с возможностями сети, доступными для службы «Файлы Azure». We strongly recommend that you read Azure Files networking overview before continuing with this how to article for a complete discussion of the networking options available for Azure Files.
В статье подробно описано, как настроить VPN-подключение «сеть — сеть» для подключения общих файловых ресурсов Azure локально. The article details the steps to configure a Site-to-Site VPN to mount Azure file shares directly on-premises. Если вы хотите направить трафик синхронизации для Синхронизации файлов Azure через VPN-подключение «сеть — сеть», см. статью Azure File Sync proxy and firewall settings (Параметры брандмауэра и прокси-сервера службы «Синхронизация файлов Azure»). If you’re looking to route sync traffic for Azure File Sync over a Site-to-Site VPN, please see configuring Azure File Sync proxy and firewall settings.
Предварительные условия Prerequisites
Общая папка Azure, которую вы хотите подключить локально. An Azure file share you would like to mount on-premises. Файловые ресурсы Azure развертываются в учетных записях хранения, которые являются конструкциями управления, представляющими общий пул хранилища, в котором можно развернуть несколько файловых ресурсов, а также другие ресурсы хранилища, такие как контейнеры больших двоичных объектов или очереди. Azure file shares are deployed within storage accounts, which are management constructs that represent a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Дополнительные сведения о развертывании файловых ресурсов Azure и учетных записей хранения см. в статье Создание общего файлового ресурса Azure. You can learn more about how to deploy Azure file shares and storage accounts in Create an Azure file share.
Частная конечная точка для учетной записи хранения, содержащей общую папку Azure, которую вы хотите подключить локально. A private endpoint for the storage account containing the Azure file share you want to mount on-premises. Дополнительные сведения о создании частной конечной точки см. в статье Настройка сетевых конечных точек в службе файлов Azure. To learn more about how to create a private endpoint, see Configuring Azure Files network endpoints.
Сетевое устройство или сервер в локальном центре обработки данных, совместимый с VPN-шлюзом Azure. A network appliance or server in your on-premises datacenter that is compatible with Azure VPN Gateway. Служба «Файлы Azure» не зависит от выбранного локального сетевого устройства, но VPN-шлюз Azure поддерживает список протестированных устройств. Azure Files is agnostic of the on-premises network appliance chosen but Azure VPN Gateway maintains a list of tested devices. Различные сетевые устройства предлагают различные функции, характеристики производительности и возможности управления, поэтому их следует учитывать при выборе сетевого устройства. Different network appliances offer different features, performance characteristics, and management functionalities, so consider these when selecting a network appliance.
Если у вас нет сетевого устройства, Windows Server содержит встроенную роль сервера (маршрутизация и удаленный доступ (RRAS)), которую можно использовать в качестве локального сетевого устройства. If you do not have an existing network appliance, Windows Server contains a built-in Server Role, Routing and Remote Access (RRAS), which may be used as the on-premises network appliance. Дополнительные сведения о настройке маршрутизации и удаленного доступа в Windows Server см. в статье RAS Gateway (Шлюз RAS-сервера). To learn more about how to configure Routing and Remote Access in Windows Server, see RAS Gateway.
Добавление учетной записи хранения в виртуальную сеть Add storage account to VNet
На портале Azure перейдите к учетной записи хранения, содержащей общую папку Azure, которую вы хотите подключить локально. In the Azure portal, navigate to the storage account containing the Azure file share you would like to mount on-premises. В содержании учетной записи хранения выберите запись Брандмауэры и виртуальные сети. In the table of contents for the storage account, select the Firewalls and virtual networks entry. Если виртуальная сеть не была добавлена в учетную запись хранения при ее создании, в результирующей области должен быть установлен переключатель Разрешить доступ из для параметра Все сети. Unless you added a virtual network to your storage account when you created it, the resulting pane should have the Allow access from radio button for All networks selected.
Чтобы добавить учетную запись хранения в нужную виртуальную сеть, щелкните Выбранные сети. To add your storage account to the desired virtual network, select Selected networks. В подзаголовке Виртуальные сети щелкните либо + Add existing virtual network (+ Добавить существующую виртуальную сеть), либо +Add new virtual network (+ Добавить новую виртуальную сеть) в зависимости от требуемого состояния. Under the Virtual networks subheading, click either + Add existing virtual network or +Add new virtual network depending on the desired state. Создание виртуальной сети приведет к созданию ресурса Azure. Creating a new virtual network will result in a new Azure resource being created. Новый или имеющийся ресурс виртуальной сети не обязательно должен находиться в той же группе ресурсов или подписке, что и учетная запись хранения, однако он должен находиться в том же регионе, что и учетная запись хранения, а группа ресурсов и подписка, в которые развертывается виртуальная сеть, должны соответствовать той, в которую будет развертываться ваш VPN-шлюз. The new or existing VNet resource does not need to be in the same resource group or subscription as the storage account, however it must be in the same region as the storage account and the resource group and subscription you deploy your VNet into must match the one you will deploy your VPN Gateway into.
Если вы добавляете имеющуюся виртуальную сеть, вам будет предложено выбрать одну или несколько подсетей виртуальной сети, в которую должна быть добавлена учетная запись хранения. If you add existing virtual network, you will be asked to select one or more subnets of that virtual network which the storage account should be added to. Если вы выбираете новую виртуальную сеть, создайте подсеть в процессе создания виртуальной сети, и позже вы сможете добавить дополнительные ресурсы Azure для виртуальной сети. If you select a new virtual network, you will create a subnet as part of the creation of the virtual network, and you can add more later through the resulting Azure resource for the virtual network.
Если вы ранее не добавили учетную запись хранения в подписку, необходимо добавить конечную точку службы Microsoft.Storage в виртуальную сеть. If you have not added a storage account to your subscription before, the Microsoft.Storage service endpoint will need to be added to the virtual network. Это может занять некоторое время, и пока эта операция не завершится, вы не сможете получить доступ к общим файлам Azure в этой учетной записи хранения, в том числе через VPN-подключение. This may take some time, and until this operation has completed, you will not be able to access the Azure file shares within that storage account, including via the VPN connection.
Развертывание VPN-шлюза Azure Deploy an Azure VPN Gateway
В содержании портала Azure щелкните Создать ресурс и найдите шлюз виртуальной сети. In the table of contents for the Azure portal, select Create a new resource and search for Virtual network gateway. Шлюз виртуальной сети должен располагаться в той же подписке, том же регионе Azure и той же группе ресурсов, что и виртуальная сеть, развернутая на предыдущем шаге (обратите внимание, что группа ресурсов выбирается автоматически при выборе виртуальной сети). Your virtual network gateway must be in the same subscription, Azure region, and resource group as the virtual network you deployed in the previous step (note that resource group is automatically selected when the virtual network is picked).
В рамках развертывания VPN-шлюза Azure необходимо заполнить следующие поля: For the purposes of deploying an Azure VPN Gateway, you must populate the following fields:
- Имя. имя ресурса Azure для VPN-шлюза. Name: The name of the Azure resource for the VPN Gateway. Этим именем может быть любое имя, которое можно использовать для управления. This name may be any name you find useful for your management.
- Регион: регион, в котором будет РАЗВЕРНУТ VPN-шлюз. Region: The region into which the VPN Gateway will be deployed.
- Тип шлюза. в целях развертывания VPN типа «сеть — сеть» необходимо выбрать VPN. Gateway type: For the purpose of deploying a Site-to-Site VPN, you must select VPN.
- Тип VPN. в зависимости от VPN-устройства можно выбрать на основе маршрута* или на основе политики . VPN type: You may choose either Route-based* or Policy-based depending on your VPN device. Виртуальные частные сети на основе маршрутов поддерживают IKEv2, тогда как виртуальные частные сети на основе политик поддерживают только IKEv1. Route-based VPNs support IKEv2, while policy-based VPNs only support IKEv1. Дополнительные сведения о двух типах VPN-шлюзов см. в разделе VPN-шлюзы на основе политики и маршрутов. To learn more about the two types of VPN gateways, see About policy-based and route-based VPN gateways
- SKU. SKU определяет количество разрешенных туннелей «сеть-сеть» и требуемую производительность VPN. SKU: The SKU controls the number of allowed Site-to-Site tunnels and desired performance of the VPN. Чтобы выбрать соответствующий номер SKU для своего варианта использования, просмотрите список номеров SKU шлюза. To select the appropriate SKU for your use case, consult the Gateway SKU listing. При необходимости номер SKU VPN-шлюза можно изменить позже. The SKU of the VPN Gateway may be changed later if necessary.
- Виртуальная сеть. Виртуальная сеть, созданная на предыдущем шаге. Virtual network: The virtual network you created in the previous step.
- Общедоступный IP-адрес: IP-адрес VPN-шлюза, который будет открыт для Интернета. Public IP address: The IP address of VPN Gateway that will be exposed to the internet. Скорее всего, потребуется создать IP-адрес, но при необходимости можно также использовать имеющийся неиспользуемый IP-адрес. Likely, you will need to create a new IP address, however you may also use an existing unused IP address if that is appropriate. Если щелкнуть раздел Создать, в той же группе ресурсов, что и VPN-шлюз, будет создан ресурс Azure с IP-адресом, а общедоступный IP-адрес будет именем только что созданного IP-адреса. If you select to Create new, a new IP address Azure resource will be created in the same resource group as the VPN Gateway and the Public IP address name will be the name of the newly created IP address. Если выбрать Использовать существующие, необходимо выбрать имеющийся неиспользуемый IP-адрес. If you select Use existing, you must select the existing unused IP address.
- Включить режим «активный — активный«: выберите параметр включено , только если создается конфигурация «активный — активный». в противном случае оставьте значение отключено . Enable active-active mode: Only select Enabled if you are creating an active-active gateway configuration, otherwise leave Disabled selected. Дополнительные сведения о режиме «активный — активный» см. в статье Highly available cross-premises and VNet-to-VNet connectivity (Настройка высокодоступных подключений: распределенных и между виртуальными сетями). To learn more about active-active mode, see Highly available cross-premises and VNet-to-VNet connectivity.
- Настройка BGP ASN: выберите параметр включено , только если конфигурация требует этого параметра. Configure BGP ASN: Only select Enabled if your configuration specifically requires this setting. Дополнительные сведения об этом параметре см. в статье About BGP with Azure VPN Gateway (Использования BGP с VPN-шлюзами Azure). To learn more about this setting, see About BGP with Azure VPN Gateway.
Щелкните Просмотр и создание для создания VPN-шлюза. Select Review + create to create the VPN Gateway. Полное создание и развертывание VPN-шлюза может занять до 45 минут. A VPN Gateway may take up to 45 minutes to fully create and deploy.
Создание шлюза локальной сети для локального шлюза Create a local network gateway for your on-premises gateway
Шлюз локальной сети — это ресурс Azure, который представляет локальное сетевое устройство. A local network gateway is an Azure resource that represents your on-premises network appliance. В содержании портала Azure щелкните Создать ресурс и найдите шлюз локальной сети. In the table of contents for the Azure portal, select Create a new resource and search for local network gateway. Шлюз локальной сети — это ресурс Azure, который будет развернут вместе с учетной записью хранения, виртуальной сетью и VPN-шлюзом, но не обязательно должен находиться в той же группе ресурсов или подписке, что и учетная запись хранения. The local network gateway is an Azure resource that will be deployed alongside your storage account, virtual network, and VPN Gateway, but does not need to be in the same resource group or subscription as the storage account.
В рамках развертывания ресурса шлюза локальной сети необходимо заполнить следующие поля: For the purposes of deploying the local network gateway resource, you must populate the following fields:
- Имя: имя ресурса Azure для шлюза локальной сети. Name: The name of the Azure resource for the local network gateway. Этим именем может быть любое имя, которое можно использовать для управления. This name may be any name you find useful for your management.
- IP-адрес: общедоступный IP-адрес локального шлюза. IP address: The public IP address of your local gateway on-premises.
- Адресное пространство: диапазоны адресов для сети, которые представляет шлюз локальной сети. Address space: The address ranges for the network this local network gateway represents. Можно добавить несколько диапазонов адресного пространства, но убедитесь, что указанные диапазоны не перекрывают диапазоны других сетей, к которым необходимо подключиться. You can add multiple address space ranges, but make sure that the ranges you specify here do not overlap with ranges of other networks that you want to connect to.
- Настройка параметров BGP. Настройте параметры BGP, только если для конфигурации требуется этот параметр. Configure BGP settings: Only configure BGP settings if your configuration requires this setting. Дополнительные сведения об этом параметре см. в статье About BGP with Azure VPN Gateway (Использования BGP с VPN-шлюзами Azure). To learn more about this setting, see About BGP with Azure VPN Gateway.
- Подписка. нужная подписка. Subscription: The desired subscription. Это не обязательно должна быть подписка, используемая для VPN-шлюза или учетной записи хранения. This does not need to match the subscription used for the VPN Gateway or the storage account.
- Группа ресурсов. нужная группа ресурсов. Resource group: The desired resource group. Это не обязательно должна быть группа ресурсов, используемая для VPN-шлюза или учетной записи хранения. This does not need to match the resource group used for the VPN Gateway or the storage account.
- Расположение: регион Azure, в котором должен быть создан ресурс шлюза локальной сети. Location: The Azure Region the local network gateway resource should be created in. Он должен соответствовать региону, выбранному для VPN-шлюза и учетной записи хранения. This should match the region you selected for the VPN Gateway and the storage account.
Нажмите кнопку Создать, чтобы создать ресурс шлюза локальной сети. Select Create to create the local network gateway resource.
Настройка локального сетевого устройства Configure on-premises network appliance
Конкретные действия по настройке локального сетевого устройства зависят от сетевого устройства, выбранного в организации. The specific steps to configure your on-premises network appliance depend based on the network appliance your organization has selected. В зависимости от устройства, выбранного в организации, в списке протестированных устройств может быть ссылка на инструкции поставщика устройства по настройке с помощью VPN-шлюза Azure. Depending on the device your organization has chosen, the list of tested devices may have a link out to your device vendor’s instructions for configuring with Azure VPN Gateway.
Создание подключения «сеть — сеть» Create the Site-to-Site connection
Чтобы завершить развертывание VPN-подключения «сеть — сеть», необходимо создать подключение между локальным сетевым устройством (представленным ресурсом локального сетевого шлюза) и VPN-шлюзом. To complete the deployment of a S2S VPN, you must create a connection between your on-premises network appliance (represented by the local network gateway resource) and the VPN Gateway. Для этого перейдите к VPN-шлюзу, созданному ранее. To do this, navigate to the VPN Gateway you created above. В оглавлении VPN-шлюза щелкните Подключения и нажмите кнопку Добавить. In the table of contents for the VPN Gateway, select Connections, and click Add. В открывшейся панели Добавление подключения введите следующие поля. The resulting Add connection pane requires the following fields:
- Имя. имя соединения. Name: The name of the connection. VPN-шлюз может содержать несколько подключений, поэтому выберите имя, которое будет полезно для управления, чтобы отличать это конкретное подключение. A VPN Gateway can host multiple connections, so pick a name helpful for your management that will distinguish this particular connection.
- Тип подключения. так как это подключение S2S, в раскрывающемся списке выберите » сеть — сеть» (IPSec) . Connection type: Since this a S2S connection, select Site-to-site (IPSec) in the drop-down list.
- Шлюз виртуальной сети: это поле выбрано для VPN-шлюза, с которым устанавливается подключение, и не может быть изменен. Virtual network gateway: This field is auto-selected to the VPN Gateway you’re making the connection to and can’t be changed.
- Шлюз локальной сети. это шлюз локальной сети, который вы хотите подключить к VPN-шлюзу. Local network gateway: This is the local network gateway you want to connect to your VPN Gateway. В результате область выбора должна иметь имя локального сетевого шлюза, созданного ранее. The resulting selection pane should have the name of the local network gateway you created above.
- Общий ключ (PSK): сочетание букв и цифр, используемых для установления шифрования соединения. Shared key (PSK): A mixture of letters and numbers, used to establish encryption for the connection. В шлюзах локальной и виртуальной сети следует использовать один общий ключ. The same shared key must be used in both the virtual network and local network gateways. Если устройство шлюза не предоставляет его, вы можете создать и предоставить его для своего устройства здесь. If your gateway device doesn’t provide one, you can make one up here and provide it to your device.
Нажмите кнопку ОК, чтобы создать подключение. Select OK to create the connection. Убедиться, что подключение успешно установлено, можно на странице Подключения. You can verify the connection has been made successfully through the Connections page.
Подключение файлового ресурса Azure Mount Azure file share
Заключительным шагом в настройке VPN «сеть — сеть» будет проверка работы подключения для Файлов Azure. The final step in configuring a S2S VPN is verifying that it works for Azure Files. Это можно сделать, подключив файловый ресурс Azure в локальной среде с вашей предпочитаемой ОС. You can do this by mounting your Azure file share on-premises with your preferred OS. Ниже приведены инструкции по подключению к различным ОС: See the instructions to mount by OS here:
