Sdílet prostřednictvím


Konfigurace koncových bodů sítě pro přístup ke sdíleným složkám Azure

Azure Files poskytuje dva hlavní typy koncových bodů pro přístup ke sdíleným složkám Azure:

  • Veřejné koncové body, které mají veřejnou IP adresu a jsou přístupné odkudkoli na světě.
  • Privátní koncové body, které existují ve virtuální síti a mají privátní IP adresu z adresního prostoru dané virtuální sítě.

Veřejné a privátní koncové body existují v účtu úložiště Azure. Účet úložiště je konstruktor správy, který představuje sdílený fond úložiště, ve kterém můžete nasadit více sdílených složek a také další prostředky úložiště, jako jsou kontejnery objektů blob nebo fronty.

Tento článek se zaměřuje na to, jak nakonfigurovat koncové body účtu úložiště pro přímý přístup ke sdílené složce Azure. Většina tohoto článku se týká také toho, jak Synchronizace souborů Azure spolupracovat s veřejnými a privátními koncovými body pro účet úložiště. Další informace o aspektech sítí pro Synchronizace souborů Azure najdete v tématu konfigurace Synchronizace souborů Azure nastavení proxy serveru a brány firewall.

Před přečtením této příručky doporučujeme přečíst si důležité informace o sítích služby Azure Files.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Ano Yes

Požadavky

  • Tento článek předpokládá, že jste už vytvořili předplatné Azure. Pokud ještě nemáte předplatné, vytvořte si bezplatný účet , než začnete.
  • Tento článek předpokládá, že jste už vytvořili sdílenou složku Azure v účtu úložiště, ke kterému se chcete připojit z místního prostředí. Informace o tom, jak vytvořit sdílenou složku Azure, najdete v tématu Vytvoření sdílené složky Azure.
  • Pokud máte v úmyslu používat Azure PowerShell, nainstalujte nejnovější verzi.
  • Pokud máte v úmyslu používat Azure CLI, nainstalujte si nejnovější verzi.

Konfigurace koncových bodů

Koncové body můžete nakonfigurovat tak, aby omezovaly síťový přístup k vašemu účtu úložiště. Existují dva přístupy k omezení přístupu k účtu úložiště na virtuální síť:

  • Vytvořte jeden nebo více privátních koncových bodů pro účet úložiště a omezte veškerý přístup k veřejnému koncovému bodu. Tím se zajistí, že přístup ke sdíleným složkám Azure v rámci účtu úložiště bude mít přístup jenom provoz pocházející z požadovaných virtuálních sítí. Podívejte se na náklady na Private Link.
  • Omezte veřejný koncový bod na jednu nebo více virtuálních sítí. Funguje to pomocí funkce virtuální sítě označované jako koncové body služby. Když omezíte provoz na účet úložiště prostřednictvím koncového bodu služby, stále přistupujete k účtu úložiště přes veřejnou IP adresu, ale přístup je možný jenom z umístění, která zadáte ve své konfiguraci.

Vytvoření privátního koncového bodu

Když pro svůj účet úložiště vytvoříte privátní koncový bod, nasadí se následující prostředky Azure:

  • Privátní koncový bod: Prostředek Azure představující privátní koncový bod účtu úložiště. Můžete si to představit jako prostředek, který propojuje účet úložiště a síťové rozhraní.
  • Síťové rozhraní: Síťové rozhraní, které udržuje privátní IP adresu v rámci zadané virtuální sítě nebo podsítě. Jedná se o úplně stejný prostředek, který se nasadí při nasazení virtuálního počítače, ale místo přiřazení k virtuálnímu počítači vlastní privátní koncový bod.
  • Zóna DNS (Private Domain Name System): Pokud jste ještě nenasadili privátní koncový bod pro tuto virtuální síť, nasadí se pro vaši virtuální síť nová zóna privátního DNS. Vytvoří se také záznam DNS A pro účet úložiště v této zóně DNS. Pokud jste už v této virtuální síti nasadili privátní koncový bod, přidá se do existující zóny DNS nový záznam A pro účet úložiště. Nasazení zóny DNS je volitelné. Důrazně se ale doporučuje a vyžaduje se, pokud připojujete sdílené složky Azure s instančním objektem AD nebo pomocí rozhraní FileREST API.

Poznámka:

Tento článek používá příponu DNS účtu úložiště pro veřejné oblasti Azure. core.windows.net Tento komentář platí také pro suverénní cloudy Azure, jako je cloud Azure US Government a Microsoft Azure provozovaný cloudem 21Vianet. Stačí nahradit příslušné přípony pro vaše prostředí.

Přejděte do účtu úložiště, pro který chcete vytvořit privátní koncový bod. V obsahu účtu úložiště vyberte sítě, připojení privátního koncového bodu a potom + privátní koncový bod a vytvořte nový privátní koncový bod.

Snímek obrazovky s položkou připojení privátního koncového bodu v obsahu účtu úložiště

Výsledný průvodce má k dokončení více stránek.

V okně Základy vyberte požadované předplatné, skupinu prostředků, název, název síťového rozhraní a oblast pro váš privátní koncový bod. Může to být cokoli, nemusí se nijak shodovat s účtem úložiště, i když musíte vytvořit privátní koncový bod ve stejné oblasti jako virtuální síť, ve které chcete privátní koncový bod vytvořit. Pak vyberte Další: Prostředek.

Snímek obrazovky znázorňující, jak zadat podrobnosti o projektu a instanci pro nový privátní koncový bod

V okně Prostředek vyberte soubor pro cílový dílčí prostředek. Pak vyberte Další: Virtuální síť.

Snímek obrazovky znázorňující, jak vybrat prostředek, ke kterému se chcete připojit pomocí nového privátního koncového bodu

Okno Virtuální síť umožňuje vybrat konkrétní virtuální síť a podsíť, ke které chcete přidat privátní koncový bod. Vyberte dynamické nebo statické přidělování IP adres pro nový privátní koncový bod. Pokud vyberete statickou adresu, budete také muset zadat název a privátní IP adresu. Volitelně můžete také zadat skupinu zabezpečení aplikace. Až budete hotovi, vyberte Další: DNS.

Snímek obrazovky znázorňující, jak zadat podrobnosti virtuální sítě, podsítě a IP adresy pro nový privátní koncový bod

Okno DNS obsahuje informace pro integraci privátního koncového bodu s privátní zónou DNS. Ujistěte se, že je předplatné a skupina prostředků správné, a pak vyberte Další: Značky.

Snímek obrazovky znázorňující, jak integrovat privátní koncový bod se zónou privátního DNS

Volitelně můžete použít značky pro kategorizaci prostředků, jako je použití názvu Prostředí a hodnota Test u všech testovacích prostředků. V případě potřeby zadejte páry název/hodnota a pak vyberte Další: Zkontrolovat a vytvořit.

Snímek obrazovky znázorňující, jak volitelně označit privátní koncový bod pomocí párů název/hodnota pro snadnou kategorizaci

Kliknutím na Zkontrolovat a vytvořit privátní koncový bod.

Ověření připojení

Pokud máte virtuální počítač uvnitř virtuální sítě nebo jste nakonfigurovali předávání DNS podle popisu konfigurace předávání DNS pro službu Azure Files, můžete otestovat, jestli je váš privátní koncový bod správně nastavený. Z PowerShellu, příkazového řádku nebo terminálu (funguje pro Windows, Linux nebo macOS) spusťte následující příkazy. Musíte nahradit <storage-account-name> odpovídajícím názvem účtu úložiště:

nslookup <storage-account-name>.file.core.windows.net

V případě úspěchu by se měl zobrazit následující výstup, kde 192.168.0.5 je privátní IP adresa privátního koncového bodu ve vaší virtuální síti (výstup zobrazený pro Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Omezení přístupu k veřejnému koncovému bodu

Omezení přístupu k veřejnému koncovému bodu nejprve vyžaduje, abyste zakázali obecný přístup k veřejnému koncovému bodu. Zakázání přístupu k veřejnému koncovému bodu nemá vliv na privátní koncové body. Po zakázání veřejného koncového bodu můžete vybrat konkrétní sítě nebo IP adresy, které k němu můžou dál přistupovat. Obecně platí, že většina zásad brány firewall pro účet úložiště omezuje síťový přístup k jedné nebo více virtuálním sítím.

Zakázání přístupu k veřejnému koncovému bodu

Pokud je přístup k veřejnému koncovému bodu zakázaný, bude k účtu úložiště stále možné přistupovat prostřednictvím jeho privátních koncových bodů. Jinak budou platné požadavky na veřejný koncový bod účtu úložiště odmítnuty, pokud nejsou z konkrétního povoleného zdroje.

Přejděte do účtu úložiště, pro který chcete omezit veškerý přístup k veřejnému koncovému bodu. V obsahu účtu úložiště vyberte Sítě.

V horní části stránky vyberte přepínač Povoleno z vybraných virtuálních sítí a IP adres . Tím se zruší skrytí řady nastavení pro řízení omezení veřejného koncového bodu. Výběrem možnosti Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště povolte důvěryhodným služby Microsoft první strany, jako je Synchronizace souborů Azure pro přístup k účtu úložiště.

Snímek obrazovky okna Sítě s požadovaným nastavením pro zakázání přístupu k veřejnému koncovému bodu účtu úložiště

Omezení přístupu k veřejnému koncovému bodu na konkrétní virtuální sítě

Když omezíte účet úložiště na konkrétní virtuální sítě, povolíte požadavky na veřejný koncový bod v rámci zadaných virtuálních sítí. Funguje to pomocí funkce virtuální sítě označované jako koncové body služby. Můžete ho použít s privátními koncovými body nebo bez.

Přejděte na účet úložiště, pro který chcete omezit veřejný koncový bod na konkrétní virtuální sítě. V obsahu účtu úložiště vyberte Sítě.

V horní části stránky vyberte přepínač Povoleno z vybraných virtuálních sítí a IP adres . Tím se zruší skrytí řady nastavení pro řízení omezení veřejného koncového bodu. Vyberte +Přidat existující virtuální síť a vyberte konkrétní virtuální síť, která by měla mít povolený přístup k účtu úložiště prostřednictvím veřejného koncového bodu. Vyberte virtuální síť a podsíť pro tuto virtuální síť a pak vyberte Povolit.

Výběrem možnosti Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště povolte důvěryhodným služby Microsoft první strany, jako je Synchronizace souborů Azure pro přístup k účtu úložiště.

Snímek obrazovky okna Sítě s konkrétní virtuální sítí, která má povolený přístup k účtu úložiště přes veřejný koncový bod

Viz také