Configurar uma VPN Site a Site para uso com os Arquivos do Azure

  • Artigo

Você pode usar uma conexão VPN S2S (Site a Site) para montar compartilhamentos de arquivo do Azure da rede local, sem precisar enviar dados pela Internet aberta. Você pode configurar uma VPN Site a Site usando o Gateway de VPN do Azure, que é um recurso do Azure que oferece serviços de VPN e é implantado em um grupo de recursos em conjunto com contas de armazenamento ou outros recursos do Azure.

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

É altamente recomendável que você leia a visão geral da rede dos Arquivos do Azure antes de continuar com este artigo para uma discussão completa sobre as opções de rede disponíveis para arquivos do Azure.

O artigo detalha as etapas de configuração de uma VPN Site a Site para montar compartilhamentos de arquivo do Azure diretamente no local. Se você estiver procurando rotear o tráfego de sincronização para a Sincronização de Arquivos do Azure em uma VPN Site a Site, consulte configurando o proxy de Sincronização de Arquivos do Azure e as configurações de firewall.

Aplica-se a

Tipo de compartilhamento de arquivos SMB NFS
Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS Yes No
Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS Yes No
Compartilhamento de arquivos premium (FileStorage), LRS/ZRS Yes Yes

Pré-requisitos

  • Um compartilhamento de arquivos do Azure que você gostaria de montar no local. Os compartilhamentos de arquivos do Azure são implantados em contas de armazenamento, que são construções de gerenciamento que representam um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como blobs ou filas. Você pode aprender mais sobre como implantar compartilhamentos de arquivo do Azure e contas de armazenamento em Criar um compartilhamento de arquivo do Azure.

  • Um ponto de extremidade privado para a conta de armazenamento contendo o compartilhamento de arquivo do Azure que você deseja montar localmente. Para saber como criar um ponto de extremidade privado, confira Configuração de pontos de extremidades de rede do serviço Arquivos do Azure.

  • Um dispositivo de rede ou servidor em seu data center local compatível com o Gateway de VPN do Azure. Os Arquivos do Azure são independentes do dispositivo de rede local escolhido, mas o Gateway de VPN do Azure mantém uma lista de dispositivos testados. Dispositivos de rede diferentes oferecem recursos, características de desempenho e funcionalidades de gerenciamento diferentes, portanto, considere isso ao selecionar um dispositivo de rede.

Se você não tiver um dispositivo de rede existente, o Windows Server conterá uma RRAS (Função de Servidor, Roteamento e Acesso Remoto) interna, que pode ser usada como o dispositivo de rede local. Para saber mais sobre como configurar o Roteamento e Acesso Remoto no Windows Server, consulte Gateway de RAS.

Adicionar rede virtual à conta de armazenamento

Para adicionar uma rede virtual nova ou existente à sua conta de armazenamento, siga estas etapas.

  1. Entre no portal do Azure e navegue até a conta de armazenamento que contém o compartilhamento de arquivos do Azure que você deseja montar localmente.

  2. No sumário da conta de armazenamento, selecione Segurança + Rede > Rede. A menos que você tenha adicionado uma rede virtual à sua conta de armazenamento ao criá-la, o painel resultante deverá ter o botão de opção para Habilitado de todas as redes selecionadas em Acesso à rede pública.

  3. Para adicionar uma rede virtual, selecione o botão de opção Habilitado em redes virtuais selecionadas e endereços IP. No subtítulo redes virtuais, selecione + Adicionar de rede virtual existente ou + Adicionar nova rede virtual. A criação de uma nova rede virtual resultará na criação de um novo recurso do Azure. O recurso de rede virtual novo ou existente deve estar na mesma região que a conta de armazenamento, mas não precisa estar no mesmo grupo de recursos ou assinatura. No entanto, tenha em mente que o grupo de recursos, a região e a assinatura em que você implanta sua rede virtual devem corresponder ao local em que você implanta o gateway de rede virtual na próxima etapa.

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    Se você adicionar uma rede virtual existente, primeiro deverá criar uma sub-rede de gateway na rede virtual. Você será solicitado a selecionar uma ou mais sub-redes dessa rede virtual. Se você criar uma nova rede virtual, criará uma sub-rede como parte do processo de criação. Você pode adicionar mais sub-redes posteriormente por meio do recurso resultante do Azure para a rede virtual.

    Se você não tiver habilitado o acesso à rede pública à rede virtual anteriormente, o ponto de extremidade do serviço Microsoft.Storage precisará ser adicionado à sub-rede de rede virtual. Isso pode levar até 15 minutos para ser concluído, embora, na maioria dos casos, ele seja concluído muito mais rápido. Até que essa operação seja concluída, você não poderá acessar os compartilhamentos de arquivos do Azure dentro dessa conta de armazenamento, inclusive por meio da conexão VPN.

  4. No início da página, selecione Salvar.

Implantar um gateway de rede virtual

Para implantar um gateway de rede virtual, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, pesquise e selecione gateways de rede virtual. A página gateways de rede virtual deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância. Seu gateway de rede virtual deve estar na mesma assinatura, região do Azure e grupo de recursos que a rede virtual.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • Assinatura: Selecione na lista suspensa a assinatura que deseja usar.
    • Grupo de Recursos: Essa configuração é preenchida automaticamente quando você seleciona a rede virtual nesta página.
    • Nome: nomeie seu gateway de rede virtual. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway de rede virtual que você está criando.
    • Região: Selecione a região na qual deseja criar este recurso. A região do gateway de rede virtual deve ser a mesma que a rede virtual.
    • Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.
    • SKU: selecione o SKU do gateway que dá suporte aos recursos que você deseja usar na lista suspensa. a SKU controla o número de túneis de Site a Site permitidos e o desempenho desejado da VPN. Confira SKUs de Gateway. Não use a SKU Básica se você quiser usar a autenticação IKEv2 (VPN baseada em rota).
    • Geração: selecione a geração que você quer usar. Recomendamos usar um SKU de Geração2. Para obter mais informações, confira SKUs de gateway.
    • Rede virtual: na lista suspensa, selecione a rede virtual que você adicionou à sua conta de armazenamento na etapa anterior.
    • Sub-rede: esse campo deverá estar acinzentado e listar o nome da sub-rede de Gateway que você criou, juntamente com o intervalo de endereços IP. Se você vir um campo de intervalo de endereços de sub-rede do Gateway com uma caixa de texto, ainda não configurou uma sub-rede de gateway na rede virtual.

  3. Especifique os valores para o Endereço IP público que é associado ao gateway de rede virtual. O endereço IP público é atribuído a esse objeto quando o gateway de rede virtual é criado. A única vez em que o endereço IP público primário muda é quando o gateway é excluído e recriado. Ele não se altera com o redimensionamento, a redefinição ou outras manutenções/atualizações internas.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • Endereço IP público: o endereço IP do gateway de rede virtual que será exposto à Internet. Provavelmente, você precisará criar um novo endereço IP, no entanto, também pode usar um endereço IP não utilizado existente. Se você selecionar Criar novo, um novo recurso do Azure de endereço IP será criado no mesmo grupo de recursos que o gateway de rede virtual e o nome do endereço IP público será o nome do endereço IP recém-criado. Se selecionar Usar existente, você deverá selecionar o endereço IP não utilizado existente.
    • Nome do endereço IP público: Na caixa de texto, digite um nome para a instância do endereço IP público.
    • SKU de endereço IP público: A configuração é selecionada automaticamente.
    • Atribuição: A atribuição normalmente é selecionada automaticamente e pode ser dinâmica ou estática.
    • Habilitar o modo ativo-ativo: selecione Desabilitado. Habilite esta configuração somente se você estiver criando uma configuração de gateway ativo-ativo. Para saber mais sobre o modo ativo-ativo, confira Conectividade Altamente Disponível entre os Locais e VNet com VNet.
    • Configurar o BGP: Selecione Desabilitado, a menos que sua configuração exija especificamente o Border Gateway Protocol. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado. Para saber mais sobre essa configuração, confira Sobre o BGP com o Gateway de VPN do Azure.

  4. Selecione Examinar + criar para executar a validação. Uma vez aprovada a validação, selecione Criar para implantar o gateway de rede virtual. A implantação pode levar até 45 minutos para ser concluída.

Criar um gateway de rede local para seu gateway local

Um gateway de rede local é um recurso do Azure que representa seu dispositivo de rede local. Ele é implantado junto com sua conta de armazenamento, rede virtual e gateway de rede virtual, mas não precisa estar no mesmo grupo de recursos ou assinatura que a conta de armazenamento. Para criar um gateway de rede local, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, pesquise e selecione gateways de rede locais. A página gateways de rede local deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.

    Screenshot showing how to create a local network gateway using the Azure portal.

    • Assinatura: a assinatura desejada do Azure. Isso não precisa corresponder à assinatura usada para o gateway de rede virtual ou a conta de armazenamento.
    • Grupo de recursos: o grupo de recursos desejado. Isso não precisa corresponder ao grupo de recursos usado para o gateway de rede virtual ou a conta de armazenamento.
    • Região: a região do Azure na qual o recurso de gateway de rede local deve ser criado. Isso deve corresponder à região selecionada para o gateway de rede virtual e a conta de armazenamento.
    • Nome: o nome do recurso do Azure para o gateway de rede local. Esse nome pode ser qualquer nome que você acha útil para seu gerenciamento.
    • Ponto de extremidade: deixe o endereço IP selecionado.
    • Endereço IP: o endereço IP público do seu gateway local.
    • Espaço de endereço: o intervalo de endereços ou intervalos para a rede que este gateway de rede local representa. Por exemplo: 192.168.0.0/16. Se você adicionar vários intervalos de espaço de endereço, verifique se os intervalos especificados não se sobrepõem a intervalos de outras redes às quais você deseja se conectar. Se você planeja usar esse gateway de rede local em uma conexão habilitada para BGP, o prefixo mínimo que precisa declarar é o endereço de host do endereço IP do par no nível de protocolo BGP do seu dispositivo VPN.

  3. Se sua organização exigir BGP, selecione a guia Avançado para definir as configurações do BGP. Para saber mais, consulte Sobre o BGP com o Gateway de VPN do Azure.

  4. Selecione Examinar + criar para executar a validação. Depois que a validação for aprovada, selecione Criar para criar o gateway de rede local.

Configurar um dispositivo de rede local

As etapas específicas para configurar o dispositivo de rede local dependem do dispositivo de rede selecionado pela sua organização. Dependendo do dispositivo escolhido pela sua organização, a lista de dispositivos testados pode ter um link para as instruções do fornecedor do dispositivo para configurar com o gateway de rede virtual do Azure.

Criar a conexão Site a Site

Para concluir a implantação de uma VPN S2S, você deve criar uma conexão entre o dispositivo de rede local (representado pelo recurso de gateway de rede local) e o gateway de rede virtual do Azure. Para fazer isso, siga estas etapas:

  1. Navegue até o gateway de rede virtual que você criou. No sumário do gateway de rede virtual, selecione Configurações > Conexõesm e selecione + Adicionar.

  2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • Assinatura: a assinatura desejada do Azure.
    • Grupo de recursos: o grupo de recursos desejado.
    • Tipo de conexão: como se trata de uma conexão site a site, selecione IPSec (site a site) na lista suspensa.
    • Nome: o nome da conexão. Um gateway de rede virtual pode hospedar várias conexões, portanto, escolha um nome que seja útil para seu gerenciamento e que distingue essa conexão específica.
    • Região: a região selecionada para o gateway de rede virtual e a conta de armazenamento.

  3. Na guia Configurações, forneça as informações a seguir.

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • Gateway de rede virtual: selecione o gateway de rede virtual que você criou.
    • Gateway de rede local: selecione o gateway de rede local que você criou.
    • Chave compartilhada (PSK): uma mistura de letras e números usados para estabelecer a criptografia para a conexão. A mesma chave compartilhada deve ser usada tanto na rede virtual quanto nos gateways de rede local. Se o seu dispositivo de gateway não fornecer um, você poderá criar um aqui e fornecê-lo ao seu dispositivo.
    • Protocolo IKE: dependendo do dispositivo VPN, selecione IKEv1 para VPN baseada em política ou IKEv2 para VPN baseada em rota. Para saber mais sobre os dois tipos de gateways de VPN, consulte Sobre gateways de VPN baseados em política e de rota.
    • Use o Endereço IP Privado do Azure: verificar essa opção permite que você use IPs privados do Azure para estabelecer uma conexão VPN IPsec. O suporte para IPs privados deve ser definido no gateway de VPN para que essa opção funcione. Ele só tem suporte em SKUs do Gateway do AZ.
    • Habilite o BGP: deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • Habilitar Endereços BGP Personalizados: deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • FastPath: o FastPath foi projetado para melhorar o desempenho do datapath entre sua rede local e sua rede virtual. Saiba mais.
    • Política IPsec/IKE: a política IPsec/IKE que será negociada para a conexão. Deixe Padrão selecionado, a menos que sua organização exija uma política personalizada. Saiba mais.
    • Use o seletor de tráfego baseado em política: deixe desabilitado, a menos que seja necessário configurar o gateway de VPN do Azure para se conectar a um firewall de VPN baseado em política local. Se você habilitar esse campo, deverá garantir que seu dispositivo VPN tenha os seletores de tráfego correspondentes definidos com todas as combinações dos prefixos de rede local (gateway de rede local) de/para os prefixos de rede virtual do Azure, em vez de qualquer um. Por exemplo, se os prefixos de rede local forem 10.1.0.0/16 e 10.2.0.0/16 e seus prefixos de rede virtual forem 192.168.0.0/16 e 172.16.0.0/16, você precisará especificar os seguintes seletores de tráfego:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Tempo limite de DPD em segundos: tempo limite de detecção de pares mortos da conexão em segundos. O valor padrão e recomendado para essa propriedade é de 45 segundos.
    • Modo de conexão: o modo de conexão é usado para decidir qual gateway pode iniciar a conexão. Quando esse valor é definido como:
      • Padrão: o Azure e o gateway de VPN local podem iniciar a conexão.
      • ResponderOnly: o gateway de VPN do Azure nunca iniciará a conexão. O gateway de VPN local deve iniciar a conexão.
      • InitiatorOnly: o gateway de VPN do Azure iniciará a conexão e rejeitará todas as tentativas de conexão do gateway de VPN local.

  4. Selecione Examinar + criar para executar a validação. Depois que a validação for aprovada, selecione Criar para criar a conexão. Você pode verificar se a conexão foi feita com êxito por meio da página Conexões do gateway de rede virtual.

Montar o compartilhamento de arquivo do Azure

A etapa final da configuração de uma VPN S2S é verificar se ela funciona para os Arquivos do Azure. Você pode fazer isso montando seu compartilhamento de arquivos do Azure localmente. Consulte as instruções de montagem segundo o sistema operacional aqui:

Confira também