استخدام نقاط نهاية خاصة لـ Azure Storage
يمكنك استخدام نقاط النهاية الخاصة لحسابات Azure Storage للسماح للعملاء على شبكة ظاهرية (VNet) بالوصول إلى البيانات بأمان عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP منفصلاً عن مساحة عنوان VNet لكل خدمة حساب تخزين. تمر حركة مرور الشبكة بين العملاء على VNet وحساب التخزين عبر VNet ورابط خاص على شبكة Microsoft الأساسية، ما يقضي على التعرض من الإنترنت العام.
إشعار
نقاط النهاية الخاصة غير متاحة لحسابات التخزين ذات الأغراض العامة الإصدار 1.
يتيح لك استخدام نقاط النهاية الخاصة لحساب التخزين خاصتك ما يلي:
- أمِّن حساب التخزين خاصتك عن طريق تكوين جدار حماية التخزين لحظر جميع الاتصالات على نقطة النهاية العامة لخدمة التخزين.
- زِد الأمان للشبكة الافتراضية (VNet )، من خلال تمكينك من حظر تصفية البيانات من VNet.
- الاتصال بأمان بحسابات التخزين من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو ExpressRoutes مع نظير خاص.
نظرة عامة منطقية
نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية (VNet). عند إنشاء نقطة نهاية خاصة لحساب التخزين الخاص بك، فإنه يوفر اتصال آمن بين العملاء على الشبكة الظاهرية والتخزين الخاص بك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة التخزين رابطًا خاصًا آمنًا.
يمكن للتطبيقات في VNet الاتصال بخدمة التخزين عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك. يُمْكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها حساب التخزين، بما في ذلك REST وSMB.
يمكن إنشاء نقاط النهاية الخاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. ومن ثمَّ يمكن للعملاء في الشبكة الفرعية الاتصال بحساب تخزين واحد باستخدام نقطة نهاية خاصة، مع استخدام نقاط نهاية الخدمة للوصول إلى الآخرين.
عند إنشاء نقطة نهاية خاصة لخدمة تخزين في VNet، يتم إرسال طلب موافقة للموافقة عليه إلى مالك حساب التخزين. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضًا مالكًا لحساب التخزين، يتم قبول طلب الموافقة هذا تلقائيًا.
يمكن لمالكي حساب التخزين إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال علامة التبويب "نقاط النهاية الخاصة" لحساب التخزين في مدخل Microsoft Azure.
تلميح
إذا كنت تريد تقييد الوصول إلى حساب التخزين خاصتك من خلال نقطة النهاية الخاصة فقط، فكوِّن جدار حماية التخزين لرفض الوصول أو التحكم فيه من خلال نقطة النهاية العامة.
يمكنك تأمين حساب التخزين الخاص بك لقبول الاتصالات فقط من VNet الخاص بك عن طريق تكوين جدار حماية التخزين لرفض الوصول من خلال نقطة النهاية العامة الخاصة به بشكل افتراضي. لستَ بحاجة إلى قاعدة جدار حماية للسماح بحركة المرور من VNet التي تحتوي على نقطة نهاية خاصة، نظرًا إلى أن جدار حماية التخزين يتحكم فقط في الوصول من خلال نقطة النهاية العامة. تعتمد نقاط النهاية الخاصة بدلاً من ذلك على تدفق الموافقة لمنح الشبكات الفرعية من الوصول إلى خدمة التخزين.
إشعار
عند نسخ النقط بين حسابات التخزين، يجب أن يكون لدى عميلك إمكانية الوصول إلى كلا الحسابين خلال الشبكة. لذلك إذا اخترت استخدام رابط خاص لحساب واحد فقط (إما المصدر أو الوجهة )، فتأكد من أن عميلك لديه وصول شبكي إلى الحساب الآخر. للتعرف على طرق أخرى لتكوين الوصول إلى الشبكة، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية.
إنشاء نقطة نهاية خاصة
لإنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure، راجع الاتصال بشكل خاص إلى حساب تخزين من تجربة حساب التخزين في مدخل Microsoft Azure.
لإنشاء نقطة نهاية خاصة باستخدام PowerShell أو واجهة سطر الأوامر من Azure، راجع أي من هذه المقالات. يتميز كلاهما بتطبيق Azure كخدمة مستهدفة، ولكن خطوات إنشاء رابط خاص هي نفسها لحساب تخزين Azure.
عند إنشاء نقطة نهاية خاصة، يجب تحديد حساب التخزين وخدمة التخزين التي يتصل بها.
تحتاج إلى نقطة نهاية خاصة منفصلة لكل مورد تخزين تحتاج إلى الوصول إليه، وهي الكائنات الثنائية كبيرة الحجم أو Data Lake Storage Gen2 أو الملفات أو قوائم الانتظار أو الجداول أو مواقع الويب الثابتة. في نقطة النهاية الخاصة، يتم تعريف خدمات التخزين هذه كمورد فرعي مستهدف لحساب التخزين المقترن.
إذا قمت بإنشاء نقطة نهاية خاصة لمورد تخزين Data Lake Storage Gen2، فيجب عليك أيضا إنشاء نقطة لمورد Blob Storage. وذلك لأن العمليات التي تستهدف نقطة النهاية Data Lake Storage Gen2 قد تتم إعادة توجيهها إلى نقطة نهاية كائن ثنائي كبير الحجم. وبالمثل، إذا أضفت نقطة نهاية خاصة ل Blob Storage فقط، وليس ل Data Lake Storage Gen2، فستفشل بعض العمليات (مثل إدارة ACL وإنشاء دليل وحذف الدليل وما إلى ذلك) نظرا لأن واجهات برمجة تطبيقات Gen2 تتطلب نقطة نهاية خاصة ل DFS. من خلال إنشاء نقطة نهاية خاصة لكلا الموارد، تأكد من أن جميع العمليات يمكن أن تكتمل بنجاح.
تلميح
أنشئ نقطة نهاية خاصة منفصلة للمثيل الثانوي لخدمة التخزين للحصول على أداء قراءة أفضل على حسابات RA - GRS. تأكد من إنشاء حساب تخزين v 2(قياسي أو ممتاز) للأغراض العامة.
لقراءة الوصول إلى المنطقة الثانوية مع حساب تخزين تم تكوينه للتخزين المتكرر جغرافيًا، تحتاج إلى نقاط نهاية خاصة منفصلة لكل من الحالات الأساسية والثانوية للخدمة. لا تحتاج إلى إنشاء نقطة نهاية خاصة للمثيل الثانوي لتجاوز الفشل. ستتصل نقطة النهاية الخاصة تلقائيًا بالمثيل الأساسي الجديد بعد تجاوز الفشل. لمزيد من المعلومات حول خيارات تكرار التخزين، راجع تكرار تخزين Azure.
الاتصال بنقطة نهاية خاصة
يجب على العملاء على VNet المستخدمين نقطة النهاية الخاصة استخدام نفس سلسلة الاتصال لحساب التخزين مثل العملاء الذين يتصلون بنقطة النهاية العامة. نعتمد على حل DNS لتوجيه الاتصالات تلقائيًا من VNet إلى حساب التخزين عبر رابط خاص.
هام
استخدم نفس سلسلة الاتصال للاتصال بحساب التخزين باستخدام نقاط النهاية الخاصة التي ستستخدمها بخلاف ذلك. يرجى عدم الاتصال بحساب التخزين باستخدام عنوان URL للمجال الفرعي الخاص به privatelink .
بشكل افتراضي، نقوم بإنشاء منطقة DNS خاصة مرفقة بالشبكة الظاهرية مع التحديثات الضرورية لنقاط النهاية الخاصة. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات إضافية على تكوين DNS لديك. يصف القسم الخاص بتغييرات DNS أدناه التحديثات المطلوبة لنقاط النهاية الخاصة.
تغييرات DNS لنقاط النهاية الخاصة
إشعار
للحصول على تفاصيل حول كيفية تكوين إعدادات DNS لنقاط النهاية الخاصة، راجع تكوين Azure Private Endpoint DNS.
عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل مورد DNS CNAME لحساب التخزين إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، نقوم أيضا بإنشاء منطقة DNS خاصة، مطابقة للمجال privatelink الفرعي، مع سجلات موارد DNS A لنقاط النهاية الخاصة.
عند حل عنوان URL لنقطة نهاية التخزين من خارج VNet باستخدام نقطة النهاية الخاصة، يتم حلها إلى نقطة النهاية العامة لخدمة التخزين. عند حلها من استضافة VNet لنقطة النهاية الخاصة، تحل نقطة نهاية التخزين URL إلى عنوان IP الخاص بنقطة النهاية الخاصة.
بالنسبة إلى المثال الموضح أعلاه، ستكون سجلات مورد DNS لحساب التخزين "StorageAccountA "، عند حلها من خارج VNet التي تستضيف نقطة النهاية الخاصة، كما يلي:
| Name | نوع | القيمة |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <نقطة النهاية العامة لخدمة التخزين> |
| <نقطة النهاية العامة لخدمة التخزين> | ش | <عنوان IP العام لخدمة التخزين> |
من المعلوم مسبقًا، أنه يمكنك رفض أو التحكم في وصول العملاء خارج VNet من خلال نقطة النهاية العامة باستخدام جدار حماية التخزين.
ستصبح سجلات موارد DNS لـ StorageAccountA، عند حلها من قبل عميل في VNet يستضيف نقطة النهاية الخاصة:
| Name | نوع | القيمة |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
ش | 10.1.1.5 |
يتيح هذا الأسلوب الوصول إلى حساب التخزين باستخدام نفس سلسلة الاتصال للعملاء على الشبكة الظاهرية التي تستضيف نقاط النهاية الخاصة، بالإضافة إلى العملاء خارج VNet.
إذا كنت تستخدم خادم DNS مخصصًا على شبكتك، فإنه يجب أن يكون العملاء قادرين على حل FQDN لنقطة نهاية حساب التخزين إلى عنوان IP الخاص لنقطة النهاية. يجب تكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية، أو تكوين سجلات A ل StorageAccountA.privatelink.blob.core.windows.net مع عنوان IP لنقطة النهاية الخاصة.
تلميح
عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS الخاص بك لحل اسم حساب التخزين في privatelink المجال الفرعي إلى عنوان IP لنقطة النهاية الخاصة. يمكنك القيام بذلك عن طريق تفويض privatelink المجال الفرعي إلى منطقة DNS الخاصة للشبكة الظاهرية أو عن طريق تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.
أسماء مناطق DNS الموصى بها لنقاط النهاية الخاصة لخدمات التخزين، والموارد الفرعية لنقطة النهاية المستهدفة المرتبطة بها، هي:
| خدمة التخزين | المورد الفرعي المستهدف | اسم المنطقة |
|---|---|---|
| خدمة كائن البيانات الثنائية | كائن ثنائي كبير الحجم | privatelink.blob.core.windows.net |
| Data Lake Storage Gen2 | dfs | privatelink.dfs.core.windows.net |
| خدمة الملفات | ملف | privatelink.file.core.windows.net |
| خدمة قائمة الانتظار | صف | privatelink.queue.core.windows.net |
| خدمة الجدول | طاولتنا | privatelink.table.core.windows.net |
| مواقع ويب ثابتة | الويب | privatelink.web.core.windows.net |
لمزيد من المعلومات حول تكوين ملقم DNS الخاص بك لدعم نقاط النهاية الخاصة، راجع المقالات التالية:
التسعير
للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.
المشكلات المعروفة
ضع في اعتبارك المشكلات المعروفة التالية حول نقاط النهاية الخاصة لـ Azure Storage.
قيود الوصول إلى التخزين للعملاء في VNets مع نقاط النهاية الخاصة
يواجه العملاء في VNets الذين لديهم نقاط نهاية خاصة موجودة قيودًا عند الوصول إلى حسابات التخزين الأخرى التي تحتوي على نقاط نهاية خاصة. على سبيل المثال، لنفترض أن VNet N 1 يحتوي على نقطة نهاية خاصة لحساب تخزين A 1 لتخزين كائن ثنائي كبير الحجم. إذا كان حساب التخزين A 2 يحتوي على نقطة نهاية خاصة في VNet N 2 لتخزين كائن ثنائي كبير الحجم، فإنه يجب على العملاء في VNet N 1 الوصول إلى تخزين كائن ثنائي كبير الحجم في الحساب A 2 باستخدام نقطة نهاية خاصة. إذا لم يكن لدى حساب التخزين A 2 أي نقاط نهاية خاصة لتخزين كائن ثنائي كبير الحجم، فإنه يمكن للعملاء في VNet N 1 الوصول إلى تخزين كائن ثنائي كبير الحجم في هذا الحساب دون نقطة نهاية خاصة.
هذا القيد ناتج عن تغييرات DNS التي أُجريت عندما ينشئ الحساب A 2 نقطة نهاية خاصة.
نسخ الكائنات الثنائية كبيرة الحجم بين حسابات التخزين
يمكنك نسخ النقط بين حسابات التخزين باستخدام نقاط النهاية الخاصة فقط إذا كنت تستخدم واجهة برمجة تطبيقات REST من Azure، أو الأدوات التي تستخدم واجهة برمجة تطبيقات REST. تشمل هذه الأدوات AzCopy وStorage Explorer وAzure PowerShell وAzure CLI وAzure Blob Storage SDKs.
يتم دعم نقاط النهاية الخاصة التي تستهدف blob نقطة نهاية مورد التخزين أو فقط file . يتضمن ذلك استدعاءات REST API مقابل حسابات Data Lake Storage Gen2 التي blob تتم فيها الإشارة إلى نقطة نهاية المورد بشكل صريح أو ضمني. نقاط النهاية الخاصة التي تستهدف نقطة نهاية مورد Data Lake Storage Gen2 dfs غير مدعومة بعد. النسخ بين حسابات التخزين باستخدام بروتوكول نظام ملفات الشبكة (NFS) غير مدعوم حتى الآن.