تكوين نقاط النهاية الخاصة ل Azure Elastic SAN

2025-06-22

تسمح لك نقطة النهاية الخاصة بالاتصال بمجموعة وحدة تخزين Elastic SAN عبر عنوان IP خاص داخل شبكتك الظاهرية. عند استخدام نقطة نهاية خاصة، تظل نسبة استخدام الشبكة بين شبكتك الظاهرية و Elastic SAN بالكامل على العمود الفقري الخاص ل Azure، دون اجتياز الإنترنت العام. بمجرد تكوين نقطة نهاية خاصة والموافقة عليها، يتم منح الوصول تلقائيا إلى الشبكة الفرعية حيث توجد. يوفر هذا التكوين عزلا قويا للشبكة وهو مثالي لأحمال العمل الحساسة للإنتاج أو الأمان.

تتناول هذه المقالة تكوين مجموعة وحدة تخزين Elastic SAN لاستخدام نقاط النهاية الخاصة.

المتطلبات الأساسية

توزيع Elastic SAN.
اقرأ من خلال التعرف على تكوينات الشبكات ل Elastic SAN لفهم ما إذا كانت نقاط النهاية الخاصة أو نقاط نهاية الخدمة تعمل بشكل أفضل للبيئة الخاصة بك.
إذا كنت تستخدم Azure PowerShell، فقم بتثبيت أحدث وحدة نمطية ل Azure PowerShell.
إذا كنت تستخدم Azure CLI، فقم بتثبيت أحدث إصدار.
بمجرد تثبيت أحدث إصدار، قم بتشغيل az extension add -n elastic-san لتثبيت ملحق Elastic SAN.

تكوين نقطة نهاية خاصة

هناك خطوتان مضمنتان في تكوين اتصال نقطة نهاية خاصة:

إنشاء نقطة النهاية والاتصال المقترن.
الموافقة على الاتصال.

يجب أن يكون لديك دور مالك مجموعة وحدة تخزين Elastic SAN لإنشاء نقطة نهاية خاصة لمجموعة وحدة تخزين Elastic SAN. للموافقة على اتصال نقطة نهاية خاصة جديدة، يجب أن يكون لديك إذن لعمليةMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/actionموفر موارد Azure . يتم تضمين إذن هذه العملية في دور مسؤول شبكة Elastic SAN، ولكن يمكن أيضا منحه عبر دور Azure مخصص.

إذا قمت بإنشاء نقطة النهاية من حساب مستخدم يحتوي على جميع الأدوار والأذونات الضرورية المطلوبة للإنشاء والموافقة، فيمكنك القيام بذلك في خطوة واحدة. وإلا، سيتطلب الأمر خطوتين منفصلتين من قبل مستخدمين مختلفين.

عند إعداد الارتباطات الخاصة، يمكن أن تكون Elastic SAN والشبكة الظاهرية في مجموعات موارد ومناطق واشتراكات مختلفة، بما في ذلك الاشتراكات التي تنتمي إلى مستأجري Microsoft Entra مختلفين. في هذه الأمثلة، نقوم بإنشاء نقطة النهاية الخاصة في نفس مجموعة الموارد مثل الشبكة الظاهرية.

يمكنك إنشاء اتصال نقطة نهاية خاصة بمجموعة وحدة التخزين الخاصة بك في مدخل Microsoft Azure إما عند إنشاء مجموعة وحدة تخزين أو عند تعديل مجموعة وحدة تخزين موجودة. تحتاج إلى شبكة ظاهرية موجودة لإنشاء نقطة نهاية خاصة.

عند إنشاء مجموعة وحدة تخزين أو تعديلها، حدد Networking، ثم حدد + Create a private endpoint ضمن Private endpoint connections.

املأ القيم الموجودة في القائمة المنبثقة، وحدد الشبكة الظاهرية والشبكة الفرعية التي ستستخدمها تطبيقاتك للاتصال. عند الانتهاء، حدد إضافة وحفظ.

ينشئ البرنامج النصي التالي نقطة نهاية خاصة لمجموعة وحدة تخزين Elastic SAN. استبدل قيم RgNameو VnetNameSubnetNameEsanNameEsanVgNamePLSvcConnectionNameEndpointNameLocation(المنطقة) بقيمك الخاصة، وقم بإلغاء التعليق -ByManualRequest إذا كنت تتبع عملية الخطوتين، ثم قم بتشغيل البرنامج النصي.

بعد ذلك، إذا لم يكن لديك جميع الأذونات الضرورية وتحتاج إلى مسؤول الشبكة للموافقة على الاتصال، فتأكد أيضا من تشغيل البرنامج النصي في الموافقة على الاتصال.

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

الموافقة على الاتصال

استخدم نموذج التعليمات البرمجية هذا للموافقة على اتصال خدمة الارتباط الخاص إذا كنت تستخدم العملية المكونة من خطوتين. استخدم نفس المتغيرات من نموذج التعليمات البرمجية السابق:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

ينشئ البرنامج النصي التالي نقطة نهاية خاصة لمجموعة وحدة تخزين Elastic SAN. قم بإلغاء تعليق المعلمة --manual-request إذا كنت تستخدم العملية المكونة من خطوتين. استبدل جميع قيم المتغيرات المثال بقيمك الخاصة، ثم قم بتشغيل البرنامج النصي.

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

الموافقة على الاتصال

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

ملاحظة

إذا كانت Elastic SAN ونقطة النهاية الخاصة في اشتراكات مختلفة، فسجل موفر موارد Microsoft.ElasticSan في الاشتراك الذي يحتوي على نقطة النهاية الخاصة. اتبع الخطوات الواردة في هذه المقالة للموافقة على نقاط النهاية الخاصة وتسجيلها.

اختياري - نهج الشبكة

لا تنطبق قواعد الشبكة الظاهرية على نقاط النهاية الخاصة. لذلك، إذا كنت بحاجة إلى تحسين قواعد الوصول والتحكم في نسبة استخدام الشبكة عبر نقطة نهاية خاصة، فاستخدم نهج الشبكة. بشكل افتراضي، يتم تعطيل نهج الشبكة لشبكة فرعية في شبكة ظاهرية. لاستخدام نهج الشبكة مثل المسارات المعرفة من قبل المستخدم ودعم مجموعة أمان الشبكة، قم بتمكين دعم نهج الشبكة للشبكة الفرعية. ينطبق هذا الإعداد فقط على نقاط النهاية الخاصة في الشبكة الفرعية ويؤثر على جميع نقاط النهاية الخاصة في الشبكة الفرعية. بالنسبة للموارد الأخرى في الشبكة الفرعية، يتم التحكم في الوصول بناءً على قواعد الأمان في مجموعة أمان الشبكة. للحصول على التفاصيل، راجع نهج الشبكة.

تكوين اتصالات العميل

بعد تمكين نقاط النهاية المطلوبة، تكون مستعدا لتكوين عملائك للاتصال بوحدات تخزين Elastic SAN المناسبة.

إذا تم فقدان اتصال بين جهاز ظاهري (VM) ووحدة تخزين Elastic SAN، فسيعيد الاتصال المحاولة لمدة 90 ثانية حتى الإنهاء. لن يؤدي فقدان اتصال إلى وحدة تخزين Elastic SAN إلى إعادة تشغيل الجهاز الظاهري.

مشاركة عبر

تكوين نقاط النهاية الخاصة ل Azure Elastic SAN

المتطلبات الأساسية

تكوين نقطة نهاية خاصة

اختياري - نهج الشبكة

تكوين اتصالات العميل

الخطوات التالية

الملاحظات

الموارد الإضافية