Configuración de una VPN de sitio a sitio para su uso con Azure Files

Puede usar una conexión VPN de sitio a sitio (S2S) para montar los recursos compartidos de archivos de Azure desde la red local, sin necesidad de enviar datos por la red abierta de Internet. Puede configurar una VPN S2S mediante Azure VPN Gateway, que es un recurso de Azure que ofrece servicios VPN. Puede implementar VPN Gateway en un grupo de recursos junto con cuentas de almacenamiento u otros recursos de Azure.

Un gráfico de topología que ilustra la topología de una puerta de enlace de VPN de Azure que conecta un recurso compartido de archivos de Azure con un sitio local mediante una VPN de sitio a sitio

Se recomienda encarecidamente que lea introducción a la conexión en red de Azure Files antes de continuar con este artículo para obtener una explicación completa de las opciones de red disponibles para Azure Files.

En el artículo se detallan los pasos para configurar una VPN de sitio a sitio para montar recursos compartidos de archivos de Azure directamente en el entorno local. Si quiere enrutar el tráfico de sincronización de Azure File Sync a través de una VPN S2S, consulte Configuración del proxy y el firewall de Azure File Sync.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí Sí

Requisitos previos

  • Un recurso compartido de archivos de Azure que le gustaría montar en el entorno local. Los recursos compartidos de archivos de Azure se implementan en cuentas de almacenamiento, que son construcciones de administración que representan un grupo compartido de almacenamiento en el que puede implementar varios recursos compartidos de archivos, así como otros recursos de almacenamiento, como blobs o colas. Puede encontrar más información sobre cómo implementar cuentas de almacenamiento y recursos compartidos de archivos de Azure en Creación de un recurso compartido de archivos de Azure.

  • Un dispositivo de red o un servidor en el centro de datos local que sea compatible con Azure VPN Gateway. Azure Files es independiente del dispositivo de red local elegido, pero Azure VPN Gateway mantiene una lista de los dispositivos probados. Los diferentes dispositivos de red ofrecen distintas funciones, características de rendimiento y funcionalidades de administración, por lo que debe tenerlas en cuenta al seleccionar un dispositivo de red.

Si no tiene un dispositivo de red existente, Windows Server contiene un rol de servidor integrado, enrutamiento y acceso remoto (RRAS), que se puede usar como dispositivo de red local. Para obtener más información acerca de cómo configurar el enrutamiento y acceso remoto en Windows Server, consulte Puerta de enlace de RAS.

Agregar red virtual a una cuenta de almacenamiento

Para agregar una red virtual nueva o existente a la cuenta de almacenamiento, siga estos pasos.

  1. Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento que contiene el recurso compartido de archivos de Azure que desea montar en el entorno local.

  2. En el menú del servicio, en Seguridad y redes, seleccione Redes. A menos que haya agregado una red virtual a la cuenta de almacenamiento al crearla, el panel resultante debe tener el botón de radio para Habilitado desde todas las redes seleccionada en Acceso a la red pública.

  3. Para agregar una red virtual, seleccione el Habilitado en redes virtuales seleccionadas y direcciones IP botón de radio. En el subred Redes virtuales, seleccione + Agregar de red virtual existente o + Agregar nueva red virtual. Al crear una nueva red virtual, se creará un nuevo recurso de Azure. El recurso de red virtual nuevo o existente debe estar en la misma región que la cuenta de almacenamiento, pero no es necesario que esté en el mismo grupo de recursos o suscripción. Sin embargo, tenga en cuenta que el grupo de recursos, la región y la suscripción en los que implemente la red virtual deben coincidir donde implemente la puerta de enlace de red virtual en el paso siguiente.

    Captura de pantalla de Azure Portal que permite agregar una red virtual existente o nueva a la cuenta de almacenamiento.

    Si agrega una red virtual existente, primero debe crear una subred de puerta de enlace en la red virtual. Se le pedirá que seleccione una o varias subredes de esa red virtual. Si crea una nueva red virtual, creará una subred como parte del proceso de creación. Puede agregar más subredes más adelante a través del recurso de Azure resultante para la red virtual.

    Si no ha habilitado el acceso de red pública a la red virtual anteriormente, es necesario agregar el punto de conexión de servicio Microsoft.Storage a la subred de la red virtual. Esto puede tardar hasta 15 minutos en completarse, aunque en la mayoría de los casos se completará mucho más rápido. Hasta que se haya completado esta operación, no podrá acceder a los recursos compartidos de archivos de Azure dentro de esa cuenta de almacenamiento, incluido a través de la conexión VPN. El punto de conexión de servicio enruta el tráfico desde la red virtual hasta el servicio Azure Storage mediante una ruta de acceso óptima. Las identidades de la red virtual y la subred también se transmiten con cada solicitud.

  4. En la parte superior de la página, seleccione Guardar.

Implementación de una puerta de enlace de red virtual

Para implementar una puerta de enlace de red virtual, siga estos pasos.

  1. En el cuadro de búsqueda de la parte superior de Azure Portal, busque y seleccione Puertas de enlace de red virtual. Debería aparecer la página puertas de enlace de red virtual. En la parte superior de la página, seleccione + Crear.

  2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia. La puerta de enlace de red virtual debe estar en la misma suscripción, región de Azure y grupo de recursos que la red virtual.

    Captura de pantalla que muestra cómo crear una puerta de enlace de red virtual mediante Azure Portal.

    • Suscripción: seleccione la suscripción que desea usar en la lista desplegable.
    • Grupo de recursos: esta configuración se rellena automáticamente cuando selecciona la red virtual en esta página.
    • Nombre: Nombre a la puerta de enlace de red virtual. Asignar un nombre a la puerta de enlace no es el mismo que asignar un nombre a una subred de puerta de enlace. Es el nombre del objeto de puerta de enlace de red virtual que está creando.
    • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace de red virtual debe ser la misma que la red virtual.
    • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.
    • SKU: seleccione el SKU de puerta de enlace que admita las características que desea usar en la lista desplegable. la SKU controla el número de túneles de sitio a sitio permitidos y el rendimiento deseado de la VPN. Consulte SKU de puerta de enlace. No use la SKU básico si desea usar la autenticación IKEv2 (VPN basada en rutas).
    • Generación: seleccione la generación que desea usar. Se recomienda usar una SKU de segunda generación. Consulte SKU de puertas de enlace para más información.
    • Red virtual: En la lista desplegable, seleccione la red virtual que agregó a la cuenta de almacenamiento en el paso anterior.
    • Subred: este campo debería estar atenuado y enumerar el nombre de la subred de la puerta de enlace que ha creado, junto con su intervalo IP de direcciones. Si en su lugar ve un intervalo de direcciones de subred de puerta de enlace campo con un cuadro de texto, aún no ha configurado una subred de puerta de enlace en la red virtual.
  3. Especifique los valores de la dirección IP pública que se asocia a la puerta de enlace de red virtual. La dirección IP pública se asigna a este objeto cuando se crea la puerta de enlace de red virtual. La única vez que la dirección IP pública principal cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambiará al modificar el tamaño, restablecer o realizar otro tipo de mantenimiento interno o actualizaciones.

    Captura de pantalla que muestra cómo especificar la dirección IP pública de una puerta de enlace de red virtual mediante Azure Portal.

    • Dirección IP pública: la dirección IP de la puerta de enlace de red virtual que se expondrá a Internet. Es probable que tenga que crear una nueva dirección IP, pero también puede usar una dirección IP existente sin usar. Si selecciona Crear nuevo, se creará un nuevo recurso de Azure de dirección IP en el mismo grupo de recursos que la puerta de enlace de red virtual y el nombre de dirección IP pública será el nombre de la dirección IP recién creada. Si selecciona Usar existente, debe seleccionar la dirección IP existente sin usar.
    • Nombre de dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
    • SKU de dirección IP pública: la configuración se selecciona automáticamente.
    • Asignación: por lo general, la asignación se selecciona automáticamente y puede ser dinámica o estática.
    • Habilitar el modo activo/activo: seleccione Deshabilitado. Habilite esta configuración solo si va a crear una configuración de puerta de enlace activa-activa. Para obtener más información sobre el modo activo/activo, consulte Conectividad de alta disponibilidad entre locales y de red virtual a red virtual.
    • Configurar BGP: Seleccione Deshabilitado, a menos que la configuración requiera específicamente el protocolo de puerta de enlace de borde. Si necesita este valor de configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar. Para obtener más información acerca de esta configuración, consulte Acerca de BGP con Azure VPN Gateway.
  4. Seleccione Revisar y crear para ejecutar la validación. Una vez superada la validación, seleccione Crear para implementar la puerta de enlace de red virtual. La implementación puede tardar hasta 45 minutos en completarse.

Creación de una puerta de enlace de red local para la puerta de enlace local

Una puerta de enlace de red local es un recurso de Azure que representa al dispositivo de red local. Se implementa junto con la cuenta de almacenamiento, la red virtual y la puerta de enlace de red virtual, pero no es necesario estar en el mismo grupo de recursos o suscripción que la cuenta de almacenamiento. Para crear una puerta de enlace de red local, siga estos pasos.

  1. En el cuadro de búsqueda de la parte superior de Azure Portal, busque y seleccione puertas de enlace de red locales. Debería aparecer la página puertas de enlace de red local. En la parte superior de la página, seleccione + Crear.

  2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

    Captura de pantalla que muestra cómo crear una puerta de enlace de red local mediante Azure Portal.

    • Suscripción: La suscripción de Azure deseada. No es necesario que coincida con la suscripción que se usa para la puerta de enlace de red virtual o la cuenta de almacenamiento.
    • Grupo de recursos: el grupo de recursos deseado. No es necesario que coincida con el grupo de recursos usado para la puerta de enlace de red virtual o la cuenta de almacenamiento.
    • Región: la región de Azure en la que se debe crear el recurso de puerta de enlace de red local. Debe coincidir con la región seleccionada para la puerta de enlace de red virtual y la cuenta de almacenamiento.
    • Nombre: nombre del recurso de Azure para la puerta de enlace de red local. Este puede ser cualquier nombre que le resulte útil para la administración.
    • Punto de conexión: deje seleccionada la dirección IP.
    • Dirección IP: dirección IP pública de la puerta de enlace local en el entorno local.
    • Espacio de direcciones: intervalo o intervalos de direcciones de la red que representa esta puerta de enlace de red local. Por ejemplo:192.168.0.0/16. Si agrega varios intervalos de espacio de direcciones, asegúrese de que los intervalos especificados no se superpongan con intervalos de otras redes a las que desea conectarse. Si tiene previsto usar esta puerta de enlace de red local en una conexión habilitada para BGP, el prefijo mínimo que debe declarar es la dirección de host de la dirección IP del par BGP en el dispositivo VPN.
  3. Si su organización requiere BGP, seleccione la pestaña Avanzado para configurar los valores de BGP. Para más información, consulte Acerca de BGP con Azure VPN Gateway.

  4. Seleccione Revisar y crear para ejecutar la validación. Una vez superada la validación, seleccione Crear para crear la puerta de enlace de red local.

Configuración del dispositivo de red local

Los pasos específicos para configurar el dispositivo de red local dependen del dispositivo de red seleccionado por la organización.

Al configurar el dispositivo de red, necesitará los siguientes elementos:

  • Una clave compartida. Se trata de la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio. En estos ejemplos se utiliza una clave compartida básica, como abc123'. Se recomienda generar una clave más compleja para usarla que cumpla los requisitos de seguridad de su organización.

  • La dirección IP pública de la puerta de enlace de red virtual. Para buscar la dirección IP pública de la puerta de enlace de red virtual mediante PowerShell, ejecute el siguiente comando. En este ejemplo, mypublicip es el nombre del recurso de dirección IP pública que creó en un paso anterior.

    Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
    

En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.

En los siguientes vínculos se proporciona más información de configuración:

Creación de la conexión de sitio a sitio

Para completar la implementación de una VPN S2S, debe crear una conexión entre el dispositivo de red local (representado por el recurso de puerta de enlace de red local) y la puerta de enlace de red virtual de Azure. Para hacerlo, siga estos pasos.

  1. Vaya a la puerta de enlace de red virtual que creó. En la tabla de contenido de la puerta de enlace de red virtual, seleccione Configuración > Conexionesy luego seleccione+ Agregar.

  2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

    Captura de pantalla que muestra cómo crear una conexión VPN de sitio a sitio mediante Azure Portal.

    • Suscripción: La suscripción de Azure deseada.
    • Grupo de recursos: el grupo de recursos deseado.
    • Tipo de conexión: Como se trata de una conexión S2S, seleccione Sitio a sitio de (IPSec) en la lista desplegable.
    • Nombre: nombre de la conexión. Una puerta de enlace de red virtual puede hospedar varias conexiones, por lo que elija un nombre que sea útil para la administración y que distinguirá esta conexión determinada.
    • Región: La región seleccionada para la puerta de enlace de red virtual y la cuenta de almacenamiento.
  3. En la pestaña Configuración, proporcione la siguiente información.

    Captura de pantalla que muestra cómo configurar las opciones de una conexión VPN de sitio a sitio mediante Azure Portal.

    • Puerta de enlace de red virtual: seleccione la puerta de enlace de red virtual que ha creado.
    • Puerta de enlace de red local: seleccione la puerta de enlace de red local que ha creado.
    • Clave compartida (PSK): una combinación de letras y números usados para establecer el cifrado de la conexión. Se debe usar la misma clave compartida tanto en la red virtual como en las puertas de enlace de red locales. Si el dispositivo de puerta de enlace no proporciona una, puede crearla aquí y establecerla en el dispositivo.
    • Protocolo IKE: en función del dispositivo VPN, seleccione IKEv1 para VPN basada en directivas o IKEv2 para VPN basada en rutas. Para obtener más información sobre los dos tipos de puertas de enlace de VPN, consulte Acerca de las puertas de enlace de VPN basadas en directivas y en rutas.
    • Uso de la dirección IP privada de Azure: la comprobación de esta opción le permite usar direcciones IP privadas de Azure para establecer una conexión VPN IPsec. El soporte para IPs privadas debe estar configurado debe establecerse en la puerta de enlace VPN para que esta opción funcione. Solo es admitido en las SKU de puerta de enlace AZ.
    • Habilitar BGP: deje desactivada a menos que la organización requiera específicamente esta configuración.
    • Habilitar direcciones BGP personalizadas: deje desactivada a menos que la organización requiera específicamente este valor.
    • FastPath: FastPath está diseñado para mejorar el rendimiento de la ruta de datos entre la red local y la red virtual. Más información.
    • Directiva de IPsec o IKE: la directiva IPsec o IKE que se negociará para la conexión. Deje Predeterminado seleccionado a menos que la organización requiera una directiva personalizada. Más información.
    • Use el selector de tráfico basado en directivas: Deje deshabilitado a menos que necesite configurar la puerta de enlace de VPN de Azure para conectarse a un firewall de VPN basado en directivas local. Si habilita este campo, debe asegurarse de que el dispositivo VPN tiene los selectores de tráfico coincidentes definidos con todas las combinaciones de los prefijos de red local (puerta de enlace de red local) hacia y desde los prefijos de red virtual de Azure, en lugar de cualquier uno a cualquiera. Por ejemplo, si los prefijos de red locales son 10.1.0.0/16 y 10.2.0.0/16, y los prefijos de red virtual son 192.168.0.0/16 y 172.16.0.0/16, debe especificar los siguientes selectores de tráfico:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Tiempo de espera de DPD en segundos: tiempo de espera de detección del nodo mismo nivel inactivo de la conexión en segundos. El valor recomendado y predeterminado de esta propiedad es de 45 segundos.
    • Modo de conexión: el modo de conexión se usa para decidir qué puerta de enlace puede iniciar la conexión. Cuando este valor se establece en:
      • Predeterminado: Tanto Azure como la puerta de enlace VPN local pueden iniciar la conexión.
      • ResponderOnly: Azure VPN Gateway nunca iniciará la conexión. La puerta de enlace de VPN local debe iniciar la conexión.
      • IniciadorOnly: Azure VPN Gateway iniciará la conexión y rechazará los intentos de conexión de la puerta de enlace de VPN local.
  4. Seleccione Revisar y crear para ejecutar la validación. Una vez superada la validación, seleccione Crear para crear la conexión. Puede comprobar que la conexión se ha realizado correctamente a través de la página Conexiones de la puerta de enlace de red virtual.

Montaje de un recurso compartido de archivos de Azure

El último paso para configurar una VPN de sitio a sitio es comprobar que funciona para Azure Files. Para ello, monte el recurso compartido de archivos de Azure local. Consulte las instrucciones de montaje por sistema operativo aquí:

Consulte también