Configurar uma VPN Site a Site para uso com Arquivos do Azure

  • Artigo

Você pode usar uma conexão VPN Site a Site (S2S) para montar seus compartilhamentos de arquivos do Azure a partir de sua rede local, sem enviar dados pela Internet aberta. Você pode configurar uma VPN Site a Site usando o Gateway de VPN do Azure, que é um recurso do Azure que oferece serviços VPN e é implantado em um grupo de recursos junto com contas de armazenamento ou outros recursos do Azure.

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

É altamente recomendável que você leia a visão geral de rede dos Arquivos do Azure antes de continuar com este artigo para obter uma discussão completa das opções de rede disponíveis para os Arquivos do Azure.

O artigo detalha as etapas para configurar uma VPN Site a Site para montar compartilhamentos de arquivos do Azure diretamente no local. Se você estiver procurando rotear o tráfego de sincronização para a Sincronização de Arquivos do Azure por meio de uma VPN Site a Site, consulte Definindo as configurações de proxy e firewall do Azure File Sync.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes Yes

Pré-requisitos

  • Um compartilhamento de arquivos do Azure que você gostaria de montar localmente. Os compartilhamentos de arquivos do Azure são implantados em contas de armazenamento, que são construções de gerenciamento que representam um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como blobs ou filas. Você pode saber mais sobre como implantar compartilhamentos de arquivos e contas de armazenamento do Azure em Criar um compartilhamento de arquivos do Azure.

  • Um ponto de extremidade privado para a conta de armazenamento que contém o compartilhamento de arquivos do Azure que você deseja montar localmente. Para saber como criar um ponto de extremidade privado, consulte Configurando pontos de extremidade de rede dos Arquivos do Azure.

  • Um dispositivo de rede ou servidor em seu data center local compatível com o Gateway de VPN do Azure. O Azure Files é independente do dispositivo de rede local escolhido, mas o Gateway de VPN do Azure mantém uma lista de dispositivos testados. Diferentes dispositivos de rede oferecem diferentes recursos, características de desempenho e funcionalidades de gerenciamento, portanto, considere-os ao selecionar um dispositivo de rede.

Se você não tiver um dispositivo de rede existente, o Windows Server conterá uma RRAS (Função de Servidor, Roteamento e Acesso Remoto) interna, que pode ser usada como o dispositivo de rede local. Para saber mais sobre como configurar o Roteamento e Acesso Remoto no Windows Server, consulte Gateway RAS.

Adicionar rede virtual à conta de armazenamento

Para adicionar uma rede virtual nova ou existente à sua conta de armazenamento, siga estas etapas.

  1. Entre no portal do Azure e navegue até a conta de armazenamento que contém o compartilhamento de arquivos do Azure que você gostaria de montar localmente.

  2. No sumário da conta de armazenamento, selecione Segurança + rede de rede>. A menos que você tenha adicionado uma rede virtual à sua conta de armazenamento quando a criou, o painel resultante deve ter o botão de opção Habilitado de todas as redes selecionado em Acesso à rede pública.

  3. Para adicionar uma rede virtual, selecione o botão de opção Ativado a partir de redes virtuais selecionadas e endereços IP. No subtítulo Redes virtuais, selecione + Adicionar rede virtual existente ou + Adicionar nova rede virtual. A criação de uma nova rede virtual resultará na criação de um novo recurso do Azure. O recurso de rede virtual novo ou existente deve estar na mesma região que a conta de armazenamento, mas não precisa estar no mesmo grupo de recursos ou assinatura. No entanto, lembre-se de que o grupo de recursos, a região e a assinatura em que você implanta sua rede virtual devem corresponder ao local em que você implanta seu gateway de rede virtual na próxima etapa.

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    Se você adicionar uma rede virtual existente, deverá primeiro criar uma sub-rede de gateway na rede virtual. Ser-lhe-á pedido para selecionar uma ou mais sub-redes dessa rede virtual. Se você criar uma nova rede virtual, criará uma sub-rede como parte do processo de criação. Você pode adicionar mais sub-redes posteriormente por meio do recurso do Azure resultante para a rede virtual.

    Se você não tiver habilitado o acesso à rede pública para a rede virtual anteriormente, o ponto de extremidade do serviço Microsoft.Storage precisará ser adicionado à sub-rede da rede virtual. Isso pode levar até 15 minutos para ser concluído, embora na maioria dos casos seja concluído muito mais rápido. Até que essa operação seja concluída, você não poderá acessar os compartilhamentos de arquivos do Azure nessa conta de armazenamento, inclusive por meio da conexão VPN.

  4. Selecione Guardar no topo da página.

Implantar um gateway de rede virtual

Para implantar um gateway de rede virtual, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, procure e selecione Gateways de rede virtual. A página Gateways de rede virtual deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância. Seu gateway de rede virtual deve estar na mesma assinatura, região do Azure e grupo de recursos que a rede virtual.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.
    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.
    • Nome: nomeie seu gateway de rede virtual. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway de rede virtual que você está criando.
    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway de rede virtual deve ser a mesma da rede virtual.
    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.
    • SKU: Selecione a SKU do gateway que suporta os recursos que você deseja usar na lista suspensa. O SKU controla o número de túneis Site-to-Site permitidos e o desempenho desejado da VPN. Consulte SKUs de gateway. Não use o SKU básico se quiser usar a autenticação IKEv2 (VPN baseada em rota).
    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.
    • Rede virtual: na lista suspensa, selecione a rede virtual que você adicionou à sua conta de armazenamento na etapa anterior.
    • Sub-rede: este campo deve estar acinzentado e listar o nome da sub-rede do gateway que você criou, juntamente com seu intervalo de endereços IP. Se, em vez disso, vir um campo de intervalo de endereços de sub-rede de gateway com uma caixa de texto, ainda não configurou uma sub-rede de gateway na rede virtual.

  3. Especifique os valores para o endereço IP público que fica associado ao gateway de rede virtual. O endereço IP público é atribuído a este objeto quando o gateway de rede virtual é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Ele não muda no redimensionamento, redefinição ou outras manutenções/atualizações internas.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • Endereço IP público: o endereço IP do gateway de rede virtual que será exposto à Internet. Provavelmente, você precisará criar um novo endereço IP, no entanto, você também pode usar um endereço IP não utilizado existente. Se você selecionar Criar novo, um novo recurso do Azure de endereço IP será criado no mesmo grupo de recursos que o gateway de rede virtual e o nome do endereço IP público será o nome do endereço IP recém-criado. Se você selecionar Usar existente, deverá selecionar o endereço IP não utilizado existente.
    • Nome do endereço IP público: na caixa de texto, digite um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: A atribuição é normalmente selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Ativar modo ativo-ativo: Selecione Desativado. Habilite essa configuração somente se estiver criando uma configuração de gateway ativo-ativo. Para saber mais sobre o modo ativo-ativo, consulte Conectividade entre locais altamente disponível e VNet-to-VNet.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente o Protocolo de Gateway de Borda. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado. Para saber mais sobre essa configuração, consulte Sobre o BGP com o Gateway de VPN do Azure.

  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para implantar o gateway de rede virtual. A implantação pode levar até 45 minutos para ser concluída.

Criar um gateway de rede local para seu gateway local

Um gateway de rede local é um recurso do Azure que representa seu dispositivo de rede local. Ele é implantado junto com sua conta de armazenamento, rede virtual e gateway de rede virtual, mas não precisa estar no mesmo grupo de recursos ou assinatura que a conta de armazenamento. Para criar um gateway de rede local, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, procure e selecione gateways de rede local. A página Gateways de rede local deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Screenshot showing how to create a local network gateway using the Azure portal.

    • Assinatura: a assinatura desejada do Azure. Isso não precisa corresponder à assinatura usada para o gateway de rede virtual ou a conta de armazenamento.
    • Grupo de recursos: o grupo de recursos desejado. Isso não precisa corresponder ao grupo de recursos usado para o gateway de rede virtual ou a conta de armazenamento.
    • Região: a região do Azure na qual o recurso de gateway de rede local deve ser criado. Isso deve corresponder à região selecionada para o gateway de rede virtual e a conta de armazenamento.
    • Nome: O nome do recurso do Azure para o gateway de rede local. Este nome pode ser qualquer nome que considere útil para a sua gestão.
    • Ponto de extremidade: Deixe o endereço IP selecionado.
    • Endereço IP: o endereço IP público do gateway local local.
    • Espaço de endereço: o intervalo ou intervalos de endereços para a rede que este gateway de rede local representa. Por exemplo: 192.168.0.0/16. Se adicionar vários intervalos de espaço de endereço, certifique-se de que os intervalos especificados não se sobrepõem aos intervalos de outras redes às quais pretende ligar. Se você planeja usar esse gateway de rede local em uma conexão habilitada para BGP, o prefixo mínimo que você precisa declarar é o endereço de host do seu endereço IP de par BGP em seu dispositivo VPN.

  3. Se sua organização exigir BGP, selecione a guia Avançado para definir as configurações do BGP. Para saber mais, consulte Sobre o BGP com o Gateway de VPN do Azure.

  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para criar o gateway de rede local.

Configurar dispositivo de rede local

As etapas específicas para configurar seu dispositivo de rede local dependem do dispositivo de rede selecionado pela sua organização. Dependendo do dispositivo escolhido pela sua organização, a lista de dispositivos testados pode ter um link para as instruções do fornecedor do dispositivo para configurar com o gateway de rede virtual do Azure.

Criar a conexão Site a Site

Para concluir a implantação de uma VPN S2S, você deve criar uma conexão entre seu dispositivo de rede local (representado pelo recurso de gateway de rede local) e o gateway de rede virtual do Azure. Para o fazer, siga estes passos.

  1. Navegue até o gateway de rede virtual que você criou. No sumário do gateway de rede virtual, selecione Configurações de Conexões e selecione + Adicionar.>

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • Assinatura: a assinatura desejada do Azure.
    • Grupo de recursos: o grupo de recursos desejado.
    • Tipo de conexão: Como se trata de uma conexão S2S, selecione Site a site (IPSec) na lista suspensa.
    • Nome: O nome da conexão. Um gateway de rede virtual pode hospedar várias conexões, portanto, escolha um nome que seja útil para seu gerenciamento e que distinga essa conexão específica.
    • Região: a região selecionada para o gateway de rede virtual e a conta de armazenamento.

  3. Na guia Configurações, forneça as seguintes informações.

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • Gateway de rede virtual: selecione o gateway de rede virtual que você criou.
    • Gateway de rede local: selecione o gateway de rede local que você criou.
    • Chave compartilhada (PSK): uma mistura de letras e números usada para estabelecer a criptografia para a conexão. A mesma chave compartilhada deve ser usada na rede virtual e nos gateways de rede local. Se o seu dispositivo de gateway não fornecer um, você pode criar um aqui e fornecê-lo ao seu dispositivo.
    • Protocolo IKE: Dependendo do seu dispositivo VPN, selecione IKEv1 para VPN baseada em políticas ou IKEv2 para VPN baseada em rota. Para saber mais sobre os dois tipos de gateways VPN, consulte Sobre gateways VPN baseados em política e rota.
    • Usar Endereço IP Privado do Azure: marcar essa opção permite que você use IPs privados do Azure para estabelecer uma conexão VPN IPsec. O suporte para IPs privados deve ser definido no gateway VPN para que essa opção funcione. Ele só é suportado em SKUs do AZ Gateway.
    • Ativar BGP: Deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • Habilitar endereços BGP personalizados: deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • FastPath: o FastPath foi projetado para melhorar o desempenho do caminho de dados entre sua rede local e sua rede virtual. Saiba mais.
    • Política IPsec / IKE: A política IPsec / IKE que será negociada para a conexão. Deixe Padrão selecionado, a menos que sua organização exija uma política personalizada. Saiba mais.
    • Usar seletor de tráfego baseado em política: deixe desabilitado, a menos que você precise configurar o gateway de VPN do Azure para se conectar a um firewall VPN baseado em política no local. Se você habilitar esse campo, deverá garantir que seu dispositivo VPN tenha os seletores de tráfego correspondentes definidos com todas as combinações de seus prefixos de rede local (gateway de rede local) de/para os prefixos de rede virtual do Azure, em vez de qualquer. Por exemplo, se os prefixos de rede local forem 10.1.0.0/16 e 10.2.0.0/16 e os prefixos de rede virtual forem 192.168.0.0/16 e 172.16.0.0/16, será necessário especificar os seguintes seletores de tráfego:
      • 10.1.0.0/16 ====> 192.168.0.0/16 <
      • 10.1.0.0/16 ====> 172.16.0.0/16 <
      • 10.2.0.0/16 ====> 192.168.0.0/16 <
      • 10.2.0.0/16 ====> 172.16.0.0/16 <
    • Tempo limite do DPD em segundos: Tempo limite de deteção de peer morto da conexão em segundos. O valor recomendado e padrão para essa propriedade é 45 segundos.
    • Modo de conexão: o modo de conexão é usado para decidir qual gateway pode iniciar a conexão. Quando esse valor é definido como:
      • Padrão: o Azure e o gateway de VPN local podem iniciar a conexão.
      • ResponderOnly: o gateway de VPN do Azure nunca iniciará a conexão. O gateway VPN local deve iniciar a conexão.
      • InitiatorOnly: o gateway de VPN do Azure iniciará a conexão e rejeitará quaisquer tentativas de conexão do gateway de VPN local.

  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para criar a conexão. Você pode verificar se a conexão foi feita com êxito por meio da página Conexões do gateway de rede virtual.

Monte o compartilhamento de arquivos do Azure

A etapa final na configuração de uma VPN S2S é verificar se ela funciona para Arquivos do Azure. Você pode fazer isso montando seu compartilhamento de arquivos do Azure localmente. Veja as instruções para montar pelo SO aqui:

Consulte também