Configurare una VPN da sito a sito per l'uso con File di Azure

  • Articolo

È possibile usare una connessione VPN da sito a sito (S2S) per montare le condivisioni file di Azure dalla rete locale, senza inviare dati tramite Internet aperto. È possibile configurare una VPN da sito a sito usando il servizio Gateway VPN di Azure, ovvero una risorsa di Azure che offre servizi VPN e viene distribuita in un gruppo di risorse insieme ad account di archiviazione o altre risorse di Azure.

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

È consigliabile leggere File di Azure panoramica della rete prima di continuare con questo articolo per una descrizione completa delle opzioni di rete disponibili per File di Azure.

Questo articolo illustra i passaggi della configurazione di una VPN da sito a sito per montare le condivisioni file di Azure direttamente in locale. Se si sta cercando di instradare il traffico di sincronizzazione per Sincronizzazione file di Azure tramite una VPN da sito a sito, vedere Configurazione Sincronizzazione file di Azure impostazioni proxy e firewall.

Si applica a

Tipo di condivisione file SMB NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Yes No
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona Yes No
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Yes Yes

Prerequisiti

  • Una condivisione file di Azure che si vuole montare in locale. Le condivisioni file di Azure vengono distribuite all'interno di account di archiviazione, ovvero costrutti di gestione che rappresentano un pool condiviso di archiviazione in cui è possibile distribuire più condivisioni file, nonché altre risorse di archiviazione, ad esempio BLOB o code. Per altre informazioni su come distribuire condivisioni file di Azure e account di archiviazione, vedere Creare una condivisione file di Azure.

  • Un endpoint privato per l'account di archiviazione contenente l'archiviazione file di Azure da montare in locale. Per informazioni su come creare un endpoint privato, vedere Configurazione di endpoint di rete File di Azure.

  • Un'appliance di rete o un server nel data center locale compatibile con Azure Gateway VPN. File di Azure è indipendente dall'appliance di rete locale scelta, ma Azure Gateway VPN mantiene un elenco di dispositivi testati. Per la selezione di un'appliance di rete, è opportuno tenere presente che dispositivi diversi offrono funzionalità, caratteristiche di prestazioni e funzionalità di gestione diverse.

Se non si dispone di un'appliance di rete esistente, Windows Server contiene un ruolo server predefinito, routing e accesso remoto (RRAS), che può essere usato come appliance di rete locale. Per altre informazioni su come configurare Routing e Accesso remoto Windows Server, vedere Gateway RAS.

Aggiungere una rete virtuale all'account di archiviazione

Per aggiungere una rete virtuale nuova o esistente all'account di archiviazione, seguire questa procedura.

  1. Accedere al portale di Azure e passare all'account di archiviazione contenente la condivisione file di Azure da montare in locale.

  2. Nel sommario per l'account di archiviazione selezionare Sicurezza e rete>. A meno che non sia stata aggiunta una rete virtuale all'account di archiviazione al momento della creazione, il riquadro risultante deve avere il pulsante di opzione Abilitato da tutte le reti selezionate in Accesso alla rete pubblica.

  3. Per aggiungere una rete virtuale, selezionare il pulsante di opzione Abilitato nelle reti virtuali selezionate e negli indirizzi IP. Nella sottotitolo Reti virtuali selezionare + Aggiungi rete virtuale esistente o + Aggiungi nuova rete virtuale. La creazione di una nuova rete virtuale genera la creazione di una nuova risorsa di Azure. La risorsa di rete virtuale nuova o esistente deve trovarsi nella stessa area dell'account di archiviazione, ma non deve trovarsi nello stesso gruppo di risorse o nella stessa sottoscrizione. Tenere tuttavia presente che il gruppo di risorse, l'area e la sottoscrizione in cui si distribuisce la rete virtuale devono corrispondere al punto in cui distribuire il gateway di rete virtuale nel passaggio successivo.

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    Se si aggiunge una rete virtuale esistente, è prima necessario creare una subnet del gateway nella rete virtuale. Verrà chiesto di selezionare una o più subnet della rete virtuale. Se si crea una nuova rete virtuale, si creerà una subnet come parte del processo di creazione. È possibile aggiungere altre subnet in un secondo momento tramite la risorsa di Azure risultante per la rete virtuale.

    Se in precedenza non è stato abilitato l'accesso alla rete pubblica alla rete virtuale, Microsoft. Archiviazione endpoint di servizio deve essere aggiunto alla subnet della rete virtuale. Il completamento può richiedere fino a 15 minuti, anche se nella maggior parte dei casi il completamento sarà molto più veloce. Fino al completamento di questa operazione, non sarà possibile accedere alle condivisioni file di Azure all'interno di tale account di archiviazione, inclusa la connessione VPN.

  4. Seleziona Salva nella parte superiore della pagina.

Distribuire un gateway di rete virtuale

Per distribuire un gateway di rete virtuale, seguire questa procedura.

  1. Nella casella di ricerca nella parte superiore della portale di Azure cercare e quindi selezionare Gateway di rete virtuale. Verrà visualizzata la pagina Gateway di rete virtuale. Nella parte superiore della pagina selezionare + Crea.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza. Il gateway di rete virtuale deve trovarsi nella stessa sottoscrizione, nell'area di Azure e nel gruppo di risorse della rete virtuale.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • Sottoscrizione: selezionare la sottoscrizione da usare nell'elenco a discesa.
    • Gruppo di risorse: questa impostazione viene compilata automaticamente quando si seleziona la rete virtuale in questa pagina.
    • Nome: assegnare un nome al gateway di rete virtuale. La denominazione del gateway non equivale alla denominazione di una subnet del gateway. Si tratta del nome dell'oggetto gateway di rete virtuale che si sta creando.
    • Area: selezionare l'area in cui si vuole creare questa risorsa. L'area per il gateway di rete virtuale deve essere la stessa della rete virtuale.
    • Tipo di gateway: selezionare VPN. I gateway VPN usano il gateway di rete virtuale di tipo VPN.
    • SKU: selezionare lo SKU del gateway che supporta le funzionalità da usare nell'elenco a discesa. lo SKU controlla il numero di tunnel consentiti da sito a sito e le prestazioni desiderate per la VPN. Vedere SKU del gateway. Non usare lo SKU Basic se si vuole usare l'autenticazione IKEv2 (VPN basata su route).
    • Generazione: selezionare la generazione da usare. È consigliabile usare uno SKU Generation2. Per altre informazioni, vedere SKU del gateway.
    • Rete virtuale: nell'elenco a discesa selezionare la rete virtuale aggiunta all'account di archiviazione nel passaggio precedente.
    • Subnet: questo campo deve essere disattivato ed elencare il nome della subnet del gateway creata, insieme al relativo intervallo di indirizzi IP. Se invece viene visualizzato un campo intervallo di indirizzi della subnet gateway con una casella di testo, non è stata ancora configurata una subnet del gateway nella rete virtuale.

  3. Specificare i valori per l'indirizzo IP pubblico associato al gateway di rete virtuale. L'indirizzo IP pubblico viene assegnato a questo oggetto quando viene creato il gateway di rete virtuale. L'unica volta che l'indirizzo IP pubblico primario cambia è quando il gateway viene eliminato e ricreato. Non cambia tra il ridimensionamento, la reimpostazione o altri aggiornamenti/manutenzione interni.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • Indirizzo IP pubblico: indirizzo IP del gateway di rete virtuale che verrà esposto a Internet. È probabile che sia necessario creare un nuovo indirizzo IP, ma è anche possibile usare un indirizzo IP inutilizzato esistente. Se si seleziona Crea nuovo, verrà creata una nuova risorsa di Azure indirizzo IP nello stesso gruppo di risorse del gateway di rete virtuale e il nome dell'indirizzo IP pubblico sarà il nome dell'indirizzo IP appena creato. Se si seleziona Usa esistente, è necessario selezionare un indirizzo IP esistente inutilizzato.
    • Nome indirizzo IP pubblico: nella casella di testo digitare un nome per l'istanza dell'indirizzo IP pubblico.
    • SKU indirizzo IP pubblico: l'impostazione è selezionata automaticamente.
    • Assegnazione: l'assegnazione viene in genere selezionata automaticamente e può essere dinamica o statica.
    • Abilita la modalità attiva-attiva: selezionare Disabilitato. Abilitare questa impostazione solo se si sta creando una configurazione del gateway attivo-attivo. Per altre informazioni sulla modalità attiva-attiva, vedere Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevata.
    • Configurare BGP: selezionare Disabilitato, a meno che la configurazione non richieda in modo specifico border gateway Protocol. Se è necessaria questa impostazione, l'ASN predefinito è 65515, anche se questo valore può essere modificato. Per altre informazioni su questa impostazione, vedere Informazioni su BGP con i gateway VPN di Azure.

  4. Selezionare Rivedi e crea per eseguire la convalida. Al termine della convalida, selezionare Crea per distribuire il gateway di rete virtuale. Il completamento della distribuzione può richiedere fino a 45 minuti.

Creare un gateway di rete locale per il gateway locale

Un gateway di rete locale è una risorsa di Azure che rappresenta l'appliance di rete locale. Viene distribuito insieme all'account di archiviazione, alla rete virtuale e al gateway di rete virtuale, ma non deve trovarsi nello stesso gruppo di risorse o sottoscrizione dell'account di archiviazione. Per creare un gateway di rete locale, seguire questa procedura.

  1. Nella casella di ricerca nella parte superiore del portale di Azure cercare e selezionare gateway di rete locali. Verrà visualizzata la pagina Gateway di rete locale. Nella parte superiore della pagina selezionare + Crea.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

    Screenshot showing how to create a local network gateway using the Azure portal.

    • Sottoscrizione: la sottoscrizione di Azure desiderata. Non è necessario che corrisponda alla sottoscrizione usata per il gateway di rete virtuale o per l'account di archiviazione.
    • Gruppo di risorse: gruppo di risorse desiderato. Non è necessario che corrisponda al gruppo di risorse usato per il gateway di rete virtuale o l'account di archiviazione.
    • Area: l'area di Azure in cui deve essere creata la risorsa del gateway di rete locale. Deve corrispondere all'area selezionata per il gateway di rete virtuale e l'account di archiviazione.
    • Nome: nome della risorsa di Azure per il gateway di rete locale. Può essere qualsiasi nome che si ritiene utile per la gestione.
    • Endpoint: lasciare selezionato l'indirizzo IP.
    • Indirizzo IP: indirizzo IP pubblico del gateway locale.
    • Spazio indirizzi: l'intervallo di indirizzi o gli intervalli per la rete rappresentata dal gateway di rete locale. Ad esempio: 192.168.0.0/16. Se si aggiungono più intervalli di spazio indirizzi, assicurarsi che gli intervalli specificati non si sovrappongano agli intervalli di altre reti a cui connettersi. Se si prevede di usare questo gateway di rete locale in una connessione abilitata per BGP, il prefisso minimo che è necessario dichiarare è l'indirizzo host dell'indirizzo IP del peer BGP nel dispositivo VPN.

  3. Se l'organizzazione richiede BGP, selezionare la scheda Avanzate per configurare le impostazioni BGP. Per altre informazioni, vedere Informazioni su BGP con Azure Gateway VPN.

  4. Selezionare Rivedi e crea per eseguire la convalida. Al termine della convalida, selezionare Crea per creare il gateway di rete locale.

Configurare l'appliance di rete locale

I passaggi specifici per configurare l'appliance di rete locale dipendono dall'appliance di rete selezionata dall'organizzazione. A seconda del dispositivo scelto dall'organizzazione, l'elenco dei dispositivi testati potrebbe avere un collegamento alle istruzioni del fornitore del dispositivo per la configurazione con il gateway di rete virtuale di Azure.

Creare la connessione da sito a sito

Per completare la distribuzione di una VPN da sito a sito, è necessario creare una connessione tra l'appliance di rete locale (rappresentata dalla risorsa gateway di rete locale) e il gateway di rete virtuale di Azure. A tale scopo, eseguire la procedura seguente.

  1. Passare al gateway di rete virtuale creato. Nel sommario per il gateway di rete virtuale selezionare Impostazioni > Connessione ions e quindi selezionare + Aggiungi.

  2. Nella scheda Informazioni di base immettere i valori per Dettagli progetto e Dettagli istanza.

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • Sottoscrizione: la sottoscrizione di Azure desiderata.
    • Gruppo di risorse: gruppo di risorse desiderato.
    • Connessione ion: poiché si tratta di una connessione da sito a sito selezionare Da sito a sito (IPSec) dall'elenco a discesa.
    • Nome: nome della connessione. Un gateway di rete virtuale può ospitare più connessioni, quindi scegliere un nome utile per la gestione e che distinguerà questa particolare connessione.
    • Area: l'area selezionata per il gateway di rete virtuale e l'account di archiviazione.

  3. Nella scheda Impostazioni specificare le informazioni seguenti.

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • Gateway di rete virtuale: selezionare il gateway di rete virtuale creato.
    • Gateway di rete locale: selezionare il gateway di rete locale creato.
    • Chiave condivisa (PSK): combinazione di lettere e numeri usati per stabilire la crittografia per la connessione. È necessario usare la stessa chiave condivisa sia nella rete virtuale che nei gateway di rete locali. Se il gateway non ne prevede una, è possibile crearla qui e fornirla al dispositivo.
    • Protocollo IKE: a seconda del dispositivo VPN, selezionare IKEv1 per VPN basata su criteri o IKEv2 per vpn basata su route. Per altre informazioni sui due tipi di gateway VPN, vedere Informazioni sui gateway VPN basati su criteri e basati su route.
    • Usare l'indirizzo IP privato di Azure: la verifica di questa opzione consente di usare gli indirizzi IP privati di Azure per stabilire una connessione VPN IPsec. Per il corretto funzionamento di questa opzione, è necessario impostare il supporto per gli INDIRIZZI IP privati nel gateway VPN. È supportato solo per gli SKU del gateway AZ.
    • Abilita BGP: lasciare deselezionata a meno che l'organizzazione non richieda specificamente questa impostazione.
    • Abilita indirizzi BGP personalizzati: lasciare deselezionata a meno che l'organizzazione non richieda specificamente questa impostazione.
    • FastPath: FastPath è progettato per migliorare le prestazioni del percorso dati tra la rete locale e la rete virtuale. Ulteriori informazioni.
    • Criterio IPsec/IKE: criterio IPsec/IKE che verrà negoziato per la connessione. Lasciare selezionata l'opzione Predefinita a meno che l'organizzazione non richieda criteri personalizzati. Ulteriori informazioni.
    • Usare il selettore di traffico basato su criteri: lasciare disabilitato, a meno che non sia necessario configurare il gateway VPN di Azure per connettersi a un firewall VPN basato su criteri in locale. Se si abilita questo campo, è necessario assicurarsi che il dispositivo VPN abbia i selettori di traffico corrispondenti definiti con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché da qualsiasi a qualsiasi. Ad esempio, se i prefissi di rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, è necessario specificare i selettori di traffico seguenti:
      • 10.1.0.0/16 <===> 192.168.0.0/16
      • 10.1.0.0/16 <===> 172.16.0.0/16
      • 10.2.0.0/16 <===> 192.168.0.0/16
      • 10.2.0.0/16 <===> 172.16.0.0/16
    • Timeout DPD in secondi: timeout di rilevamento peer non recapitabili della connessione in secondi. Il valore consigliato e predefinito per questa proprietà è 45 secondi.
    • Connessione modalità di connessione: viene usata la modalità Connessione ion per decidere quale gateway può avviare la connessione. Quando questo valore è impostato su:
      • Impostazione predefinita: sia Azure che il gateway VPN locale possono avviare la connessione.
      • ResponderOnly: il gateway VPN di Azure non avvierà mai la connessione. Il gateway VPN locale deve avviare la connessione.
      • InitiatorOnly: il gateway VPN di Azure avvierà la connessione e rifiuterà eventuali tentativi di connessione dal gateway VPN locale.

  4. Selezionare Rivedi e crea per eseguire la convalida. Al termine della convalida, selezionare Crea per creare la connessione. È possibile verificare che la connessione sia stata stabilita correttamente tramite la pagina Connessione ions del gateway di rete virtuale.

Montare la condivisione file di Azure

Il passaggio finale per la configurazione di una VPN da sito a sito consiste nel verificare che funzioni per File di Azure. A tale scopo, è possibile montare la condivisione file di Azure in locale. Per le istruzioni per il montaggio in base a sistema operativo, vedere qui:

Vedi anche