Configurar uma VPN site a site para uso com os Arquivos do Azure

Você pode usar uma conexão VPN site a site (S2S) para montar seus compartilhamentos de arquivos do Azure a partir de sua rede local, sem enviar dados pela Internet aberta. Você pode configurar uma VPN S2S usando o Gateway de VPN do Azure, que é um recurso do Azure que oferece serviços VPN. Você implanta o Gateway de VPN em um grupo de recursos ao lado de contas de armazenamento ou outros recursos do Azure.

Um gráfico de topologia que ilustra a topologia de um gateway de VPN do Azure conectando um compartilhamento de arquivos do Azure a um site local usando uma VPN S2S

É altamente recomendável que você leia a visão geral de rede dos Arquivos do Azure antes de continuar com este artigo para obter uma discussão completa das opções de rede disponíveis para os Arquivos do Azure.

O artigo detalha as etapas para configurar uma VPN site a site para montar compartilhamentos de arquivos do Azure diretamente no local. Se você estiver procurando rotear o tráfego de sincronização para o Azure File Sync em uma VPN S2S, consulte Definindo as configurações de proxy e firewall do Azure File Sync.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Sim Sim

Pré-requisitos

  • Um compartilhamento de arquivos do Azure que você gostaria de montar localmente. Os compartilhamentos de arquivos do Azure são implantados em contas de armazenamento, que são construções de gerenciamento que representam um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como blobs ou filas. Você pode saber mais sobre como implantar compartilhamentos de arquivos e contas de armazenamento do Azure em Criar um compartilhamento de arquivos do Azure.

  • Um dispositivo de rede ou servidor em seu data center local compatível com o Gateway de VPN do Azure. O Azure Files é independente do dispositivo de rede local escolhido, mas o Gateway de VPN do Azure mantém uma lista de dispositivos testados. Diferentes dispositivos de rede oferecem diferentes recursos, características de desempenho e funcionalidades de gerenciamento, portanto, considere-os ao selecionar um dispositivo de rede.

Se você não tiver um dispositivo de rede existente, o Windows Server conterá uma RRAS (Função de Servidor, Roteamento e Acesso Remoto) interna, que pode ser usada como o dispositivo de rede local. Para saber mais sobre como configurar o Roteamento e Acesso Remoto no Windows Server, consulte Gateway RAS.

Adicionar rede virtual à conta de armazenamento

Para adicionar uma rede virtual nova ou existente à sua conta de armazenamento, siga estas etapas.

  1. Entre no portal do Azure e navegue até a conta de armazenamento que contém o compartilhamento de arquivos do Azure que você gostaria de montar localmente.

  2. No menu de serviço, em Segurança + rede, selecione Rede. A menos que você tenha adicionado uma rede virtual à sua conta de armazenamento quando a criou, o painel resultante deve ter o botão de opção Habilitado de todas as redes selecionado em Acesso à rede pública.

  3. Para adicionar uma rede virtual, selecione o botão de opção Ativado a partir de redes virtuais selecionadas e endereços IP. No subtítulo Redes virtuais, selecione + Adicionar rede virtual existente ou + Adicionar nova rede virtual. A criação de uma nova rede virtual resultará na criação de um novo recurso do Azure. O recurso de rede virtual novo ou existente deve estar na mesma região que a conta de armazenamento, mas não precisa estar no mesmo grupo de recursos ou assinatura. No entanto, lembre-se de que o grupo de recursos, a região e a assinatura em que você implanta sua rede virtual devem corresponder ao local em que você implanta seu gateway de rede virtual na próxima etapa.

    Captura de ecrã do portal do Azure que dá a opção de adicionar uma rede virtual nova ou existente à conta de armazenamento.

    Se você adicionar uma rede virtual existente, deverá primeiro criar uma sub-rede de gateway na rede virtual. Ser-lhe-á pedido para selecionar uma ou mais sub-redes dessa rede virtual. Se você criar uma nova rede virtual, criará uma sub-rede como parte do processo de criação. Você pode adicionar mais sub-redes posteriormente por meio do recurso do Azure resultante para a rede virtual.

    Se você não tiver habilitado o acesso à rede pública para a rede virtual anteriormente, o Microsoft.Storage ponto de extremidade do serviço precisará ser adicionado à sub-rede da rede virtual. Isso pode levar até 15 minutos para ser concluído, embora na maioria dos casos seja concluído muito mais rápido. Até que essa operação seja concluída, você não poderá acessar os compartilhamentos de arquivos do Azure nessa conta de armazenamento, inclusive por meio da conexão VPN. O ponto de extremidade do serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da sub-rede e da rede virtual também são transmitidas com cada pedido.

  4. Selecione Guardar no topo da página.

Implantar um gateway de rede virtual

Para implantar um gateway de rede virtual, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, procure e selecione Gateways de rede virtual. A página Gateways de rede virtual deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância. Seu gateway de rede virtual deve estar na mesma assinatura, região do Azure e grupo de recursos que a rede virtual.

    Captura de tela mostrando como criar um gateway de rede virtual usando o portal do Azure.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.
    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.
    • Nome: nomeie seu gateway de rede virtual. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway de rede virtual que você está criando.
    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway de rede virtual deve ser a mesma da rede virtual.
    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.
    • SKU: Selecione a SKU do gateway que suporta os recursos que você deseja usar na lista suspensa. O SKU controla o número de túneis Site-to-Site permitidos e o desempenho desejado da VPN. Consulte SKUs de gateway. Não use o SKU básico se quiser usar a autenticação IKEv2 (VPN baseada em rota).
    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.
    • Rede virtual: na lista suspensa, selecione a rede virtual que você adicionou à sua conta de armazenamento na etapa anterior.
    • Sub-rede: este campo deve estar acinzentado e listar o nome da sub-rede do gateway que você criou, juntamente com seu intervalo de endereços IP. Se, em vez disso, vir um campo de intervalo de endereços de sub-rede de gateway com uma caixa de texto, ainda não configurou uma sub-rede de gateway na rede virtual.
  3. Especifique os valores para o endereço IP público que fica associado ao gateway de rede virtual. O endereço IP público é atribuído a este objeto quando o gateway de rede virtual é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Ele não muda em redimensionamento, redefinição ou outras manutenções/atualizações internas.

    Captura de tela mostrando como especificar o endereço IP público para um gateway de rede virtual usando o portal do Azure.

    • Endereço IP público: o endereço IP do gateway de rede virtual que será exposto à Internet. Provavelmente, você precisará criar um novo endereço IP, no entanto, você também pode usar um endereço IP não utilizado existente. Se você selecionar Criar novo, um novo recurso do Azure de endereço IP será criado no mesmo grupo de recursos que o gateway de rede virtual e o nome do endereço IP público será o nome do endereço IP recém-criado. Se você selecionar Usar existente, deverá selecionar o endereço IP não utilizado existente.
    • Nome do endereço IP público: na caixa de texto, digite um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: A atribuição é normalmente selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Ativar modo ativo-ativo: Selecione Desativado. Habilite essa configuração somente se estiver criando uma configuração de gateway ativo-ativo. Para saber mais sobre o modo ativo-ativo, consulte Conectividade entre locais altamente disponível e VNet-to-VNet.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente o Protocolo de Gateway de Borda. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado. Para saber mais sobre essa configuração, consulte Sobre o BGP com o Gateway de VPN do Azure.
  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para implantar o gateway de rede virtual. A implantação pode levar até 45 minutos para ser concluída.

Criar um gateway de rede local para seu gateway local

Um gateway de rede local é um recurso do Azure que representa seu dispositivo de rede local. Ele é implantado junto com sua conta de armazenamento, rede virtual e gateway de rede virtual, mas não precisa estar no mesmo grupo de recursos ou assinatura que a conta de armazenamento. Para criar um gateway de rede local, siga estas etapas.

  1. Na caixa de pesquisa na parte superior do portal do Azure, procure e selecione gateways de rede local. A página Gateways de rede local deve aparecer. Na parte superior da página, selecione + Criar.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Captura de tela mostrando como criar um gateway de rede local usando o portal do Azure.

    • Assinatura: a assinatura desejada do Azure. Isso não precisa corresponder à assinatura usada para o gateway de rede virtual ou a conta de armazenamento.
    • Grupo de recursos: o grupo de recursos desejado. Isso não precisa corresponder ao grupo de recursos usado para o gateway de rede virtual ou a conta de armazenamento.
    • Região: a região do Azure na qual o recurso de gateway de rede local deve ser criado. Isso deve corresponder à região selecionada para o gateway de rede virtual e a conta de armazenamento.
    • Nome: O nome do recurso do Azure para o gateway de rede local. Este nome pode ser qualquer nome que considere útil para a sua gestão.
    • Ponto de extremidade: Deixe o endereço IP selecionado.
    • Endereço IP: o endereço IP público do gateway local local.
    • Espaço de endereço: o intervalo ou intervalos de endereços para a rede que este gateway de rede local representa. Por exemplo: 192.168.0.0/16. Se adicionar vários intervalos de espaço de endereço, certifique-se de que os intervalos especificados não se sobrepõem aos intervalos de outras redes às quais pretende ligar. Se você planeja usar esse gateway de rede local em uma conexão habilitada para BGP, o prefixo mínimo que você precisa declarar é o endereço de host do seu endereço IP de par BGP em seu dispositivo VPN.
  3. Se sua organização exigir BGP, selecione a guia Avançado para definir as configurações do BGP. Para saber mais, consulte Sobre BGP com o Gateway de VPN do Azure.

  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para criar o gateway de rede local.

Configurar dispositivo de rede local

As etapas específicas para configurar seu dispositivo de rede local dependem do dispositivo de rede selecionado pela sua organização.

Ao configurar seu dispositivo de rede, você precisará dos seguintes itens:

  • Uma chave partilhada. Essa é a mesma chave compartilhada que você especifica ao criar sua conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada básica, como 'abc123'. Recomendamos que você gere uma chave mais complexa para usar que esteja em conformidade com os requisitos de segurança da sua organização.

  • O endereço IP público do gateway de rede virtual. Para localizar o endereço IP público do seu gateway de rede virtual usando o PowerShell, execute o seguinte comando. Neste exemplo, mypublicip é o nome do recurso de endereço IP público que você criou em uma etapa anterior.

    Get-AzPublicIpAddress -Name mypublicip -ResourceGroupName <resource-group>
    

Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, consulte Transferir os scripts de configuração do dispositivo VPN.

Os links a seguir fornecem mais informações de configuração:

  • Para obter informações sobre dispositivos VPN compatíveis, consulte Sobre dispositivos VPN.

  • Antes de configurar seu dispositivo VPN, verifique se há problemas conhecidos de compatibilidade do dispositivo.

  • Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. Fornecemos os links de configuração do dispositivo com base no melhor esforço, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.

    A lista mostra as versões que testamos. Se a versão do SO do seu dispositivo VPN não estiver na lista, poderá ainda ser compatível. Consulte o fabricante do dispositivo.

  • Para obter informações básicas sobre a configuração do dispositivo VPN, consulte Visão geral das configurações do dispositivo VPN do parceiro.

  • Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).

  • Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.

  • Para obter informações sobre os parâmetros necessários para concluir a configuração, consulte Parâmetros IPsec/IKE padrão. As informações incluem versão IKE, grupo Diffie-Hellman (DH), método de autenticação, algoritmos de criptografia e hash, tempo de vida da associação de segurança (SA), sigilo de encaminhamento perfeito (PFS) e Dead Peer Detection (DPD).

  • Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.

  • Para conectar vários dispositivos VPN baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.

Criar a conexão site a site

Para concluir a implantação de uma VPN S2S, você deve criar uma conexão entre seu dispositivo de rede local (representado pelo recurso de gateway de rede local) e o gateway de rede virtual do Azure. Para o fazer, siga estes passos.

  1. Navegue até o gateway de rede virtual que você criou. No sumário do gateway de rede virtual, selecione Configurações de Conexões e selecione + Adicionar.>

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Captura de tela mostrando como criar uma conexão VPN site a site usando o portal do Azure.

    • Assinatura: a assinatura desejada do Azure.
    • Grupo de recursos: o grupo de recursos desejado.
    • Tipo de conexão: Como se trata de uma conexão S2S, selecione Site a site (IPSec) na lista suspensa.
    • Nome: O nome da conexão. Um gateway de rede virtual pode hospedar várias conexões, portanto, escolha um nome que seja útil para seu gerenciamento e que distinga essa conexão específica.
    • Região: a região selecionada para o gateway de rede virtual e a conta de armazenamento.
  3. Na guia Configurações, forneça as seguintes informações.

    Captura de tela mostrando como definir as configurações de uma conexão VPN site a site usando o portal do Azure.

    • Gateway de rede virtual: selecione o gateway de rede virtual que você criou.
    • Gateway de rede local: selecione o gateway de rede local que você criou.
    • Chave compartilhada (PSK): uma mistura de letras e números usada para estabelecer a criptografia para a conexão. A mesma chave compartilhada deve ser usada na rede virtual e nos gateways de rede local. Se o seu dispositivo de gateway não fornecer um, você pode criar um aqui e fornecê-lo ao seu dispositivo.
    • Protocolo IKE: Dependendo do seu dispositivo VPN, selecione IKEv1 para VPN baseada em políticas ou IKEv2 para VPN baseada em rota. Para saber mais sobre os dois tipos de gateways VPN, consulte Sobre gateways VPN baseados em política e rota.
    • Usar Endereço IP Privado do Azure: marcar essa opção permite que você use IPs privados do Azure para estabelecer uma conexão VPN IPsec. O suporte para IPs privados deve ser definido no gateway VPN para que essa opção funcione. Ele só é suportado em SKUs do AZ Gateway.
    • Ativar BGP: Deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • Habilitar endereços BGP personalizados: deixe desmarcado, a menos que sua organização exija especificamente essa configuração.
    • FastPath: o FastPath foi projetado para melhorar o desempenho do caminho de dados entre sua rede local e sua rede virtual. Mais informações.
    • Política IPsec / IKE: A política IPsec / IKE que será negociada para a conexão. Deixe Padrão selecionado, a menos que sua organização exija uma política personalizada. Mais informações.
    • Usar seletor de tráfego baseado em política: deixe desabilitado, a menos que você precise configurar o gateway de VPN do Azure para se conectar a um firewall VPN baseado em política no local. Se você habilitar esse campo, deverá garantir que seu dispositivo VPN tenha os seletores de tráfego correspondentes definidos com todas as combinações de seus prefixos de rede local (gateway de rede local) de/para os prefixos de rede virtual do Azure, em vez de qualquer. Por exemplo, se os prefixos de rede local forem 10.1.0.0/16 e 10.2.0.0/16 e os prefixos de rede virtual forem 192.168.0.0/16 e 172.16.0.0/16, será necessário especificar os seguintes seletores de tráfego:
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • Tempo limite do DPD em segundos: Tempo limite de deteção de peer morto da conexão em segundos. O valor recomendado e padrão para essa propriedade é 45 segundos.
    • Modo de conexão: o modo de conexão é usado para decidir qual gateway pode iniciar a conexão. Quando esse valor é definido como:
      • Padrão: o Azure e o gateway de VPN local podem iniciar a conexão.
      • ResponderOnly: o gateway de VPN do Azure nunca iniciará a conexão. O gateway VPN local deve iniciar a conexão.
      • InitiatorOnly: o gateway de VPN do Azure iniciará a conexão e rejeitará quaisquer tentativas de conexão do gateway de VPN local.
  4. Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para criar a conexão. Você pode verificar se a conexão foi feita com êxito por meio da página Conexões do gateway de rede virtual.

Monte o compartilhamento de arquivos do Azure

A etapa final na configuração de uma VPN S2S é verificar se ela funciona para Arquivos do Azure. Você pode fazer isso montando seu compartilhamento de arquivos do Azure localmente. Veja as instruções para montar pelo SO aqui:

Consulte também