Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Privátní koncové body pro účty Azure Storage můžete použít k tomu, aby klienti ve službě Azure Virtual Network mohli bezpečně přistupovat k datům přes Private Link. Privátní koncový bod používá pro každou službu účtu úložiště samostatnou IP adresu od adresního prostoru virtuální sítě. Síťový provoz mezi klienty ve virtuální síti a účtem úložiště prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu.
Poznámka:
Privátní koncové body nejsou k dispozici pro úložiště verze 1 určené pro obecné účely.
Použití privátních koncových bodů pro váš účet úložiště umožňuje:
- Zabezpečte svůj účet úložiště pomocí privátního propojení. Bránu firewall úložiště můžete ručně nakonfigurovat tak, aby blokovala připojení na veřejném koncovém bodu služby úložiště. Vytvoření privátního propojení automaticky neblokuje připojení ve veřejném koncovém bodu.
- Zvyšte zabezpečení virtuální sítě tím, že můžete zablokovat exfiltraci dat z virtuální sítě.
- Bezpečně se připojte k účtům úložiště z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoutes s privátním partnerským vztahem.
Koncepční přehled
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když pro svůj účet úložiště vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a úložištěm. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službou úložiště používá zabezpečené privátní propojení.
Aplikace ve virtuální síti se můžou bez problémů připojit ke službě úložiště přes privátní koncový bod pomocí stejných připojovacích řetězců a autorizačních mechanismů, které by jinak používaly. Privátní koncové body je možné používat se všemi protokoly podporovanými účtem úložiště, včetně rozhraní REST a SMB.
Privátní koncové body je možné vytvářet v podsítích, které používají koncové body služby. Klienti v podsíti se tak můžou připojit k jednomu účtu úložiště pomocí privátního koncového bodu a současně používat koncové body služby pro přístup k ostatním.
Když ve virtuální síti vytvoříte privátní koncový bod pro službu úložiště, odešle se žádost o souhlas ke schválení vlastníkovi účtu úložiště. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, zároveň vlastníkem účtu úložiště, tato žádost o vyjádření souhlasu se automaticky schválí.
Vlastníci účtu úložiště můžou spravovat žádosti o souhlas a privátní koncové body prostřednictvím karty Privátní koncové body pro účet úložiště na webu Azure Portal.
Návod
Pokud chcete omezit přístup k účtu úložiště pouze prostřednictvím privátního koncového bodu, nakonfigurujte bránu firewall úložiště tak, aby odepřela nebo kontrolovala přístup prostřednictvím veřejného koncového bodu.
Účet úložiště můžete zabezpečit tak, aby přijímal pouze připojení z vaší virtuální sítě tím, že nakonfigurujete bránu firewall úložiště tak, aby odepřela přístup prostřednictvím svého veřejného koncového bodu ve výchozím nastavení. K povolení provozu z virtuální sítě s privátním koncovým bodem nepotřebujete pravidlo firewallu, protože firewall úložiště řídí přístup pouze přes veřejný koncový bod. Privátní koncové body místo toho spoléhají na tok souhlasu pro udělení přístupu podsítí ke službě úložiště.
Poznámka:
Při kopírování objektů blob mezi účty úložiště musí mít klient síťový přístup k oběma účtům. Pokud se tedy rozhodnete použít privátní propojení pouze pro jeden účet (zdroj nebo cíl), ujistěte se, že váš klient má síťový přístup k druhému účtu. Další informace o dalších způsobech konfigurace síťového přístupu najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí.
Vytvoření privátního koncového bodu
Pokud chcete vytvořit privátní koncový bod pomocí Azure portálu, podívejte se na Privátní připojení k účtu úložiště v sekci Účet úložiště v Azure portálu.
Pokud chcete vytvořit privátní koncový bod pomocí PowerShellu nebo Azure CLI, podívejte se na některý z těchto článků. Obě z nich obsahují webovou aplikaci Azure jako cílovou službu, ale postup vytvoření privátního propojení je stejný pro účet Azure Storage.
Během vytváření privátního koncového bodu je nutné zadat účet a službu úložiště, ke které se chcete připojit.
Potřebujete samostatný soukromý koncový bod pro každý prostředek úložiště, ke kterému potřebujete přístup, konkrétně Blobům, Data Lake Storage, souborům, frontám, tabulkám nebo statickým webům. V privátním koncovém bodu jsou tyto služby úložiště definované jako cílový dílčí prostředek přidruženého účtu úložiště.
Pokud vytvoříte privátní koncový bod pro prostředek úložiště Data Lake Storage, měli byste ho také vytvořit pro prostředek Blob Storage. Důvodem je to, že operace, které cílí na koncový bod Data Lake Storage, se můžou přesměrovat na koncový bod objektu blob. Podobně pokud přidáte privátní koncový bod jenom pro službu Blob Storage, a ne pro Data Lake Storage, některé operace (například Správa seznamu ACL, Vytvoření adresáře, Odstranění adresáře atd.) selžou, protože rozhraní API vyžadují privátní koncový bod DFS. Vytvořením privátního koncového bodu pro oba prostředky zajistíte úspěšné dokončení všech operací.
Návod
Vytvořte samostatný privátní koncový bod pro sekundární instanci služby úložiště pro lepší výkon čtení u účtů RA-GRS. Nezapomeňte vytvořit účet úložiště pro obecné účely verze 2 (Standard nebo Premium).
Pro přístup pro čtení k sekundární oblasti s účtem úložiště nakonfigurovaným pro geograficky redundantní úložiště potřebujete samostatné privátní koncové body pro primární i sekundární instance služby. Pro sekundární instanci pro převzetí služeb při selhání nemusíte vytvářet privátní koncový bod. Privátní koncový bod se po převzetí služeb při selhání automaticky připojí k nové primární instanci. Další informace o možnostech redundance úložiště najdete v tématu Redundance služby Azure Storage.
Připojení k privátnímu koncovému bodu
Klienti ve virtuální síti používající privátní koncový bod by měli použít stejný připojovací řetězec pro účet úložiště jako klienti připojující se k veřejnému koncovému bodu. Spoléháme na řešení DNS k automatickému směrování připojení z virtuální sítě do účtu úložiště přes privátní propojení.
Důležité
Stejný připojovací řetězec použijte pro připojení k účtu úložiště pomocí privátních koncových bodů, jaké byste použili v opačném případě. Nepřipojujte se k účtu úložiště pomocí jeho privatelink adresy URL subdomény.
Ve výchozím nastavení vytvoříme privátní zónu DNS připojenou k virtuální síti s potřebnými aktualizacemi pro privátní koncové body. Pokud ale používáte vlastní server DNS, možná budete muset provést další změny konfigurace DNS. Část o změnách DNS níže popisuje aktualizace vyžadované pro privátní koncové body.
Změny DNS pro privátní koncové body
Poznámka:
Podrobnosti o tom, jak nakonfigurovat nastavení DNS pro privátní koncové body, najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Při vytváření privátního koncového bodu se záznam prostředku DNS CNAME pro účet úložiště aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení vytvoříme také privátní zónu DNS odpovídající privatelink subdoméně se záznamy prostředků DNS A pro privátní koncové body.
Při řešení adresy URL koncového bodu úložiště z vnějšku virtuální sítě pomocí privátního koncového bodu se adresa přeloží na veřejný koncový bod služby úložiště. Při překladu z virtuální sítě hostující privátní koncový bod se adresa URL koncového bodu úložiště přeloží na IP adresu privátního koncového bodu.
V příkladu výše uvedeném příkladu budou záznamy prostředků DNS pro účet úložiště StorageAccountA při překladu mimo virtuální síť hostující privátní koncový bod:
| Název | Typ | Hodnota |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <Veřejný koncový bod služby storage> |
| <Veřejný koncový bod služby storage> | A | <Veřejná IP adresa služby storage> |
Jak jsme zmínili, můžete odmítnout nebo kontrolovat přístup klientů mimo virtuální síť prostřednictvím veřejného koncového bodu pomocí firewallu pro úložiště.
Záznamy prostředků DNS pro StorageAccountA budou při překládání klientem ve virtuální síti, která hostí privátní koncový bod:
| Název | Typ | Hodnota |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Tento přístup umožňuje přístup k účtu úložiště pomocí stejného připojovacího řetězce pro klienty ve virtuální síti hostující privátní koncové body a také klienty mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, klienti musí být schopni přeložit plně kvalifikovaný název domény pro koncový bod účtu úložiště na IP adresu privátního koncového bodu. Server DNS byste měli nakonfigurovat tak, aby delegoval subdoménu privátního propojení na privátní zónu DNS pro virtuální síť, nebo nakonfigurujte záznamy A pro StorageAccountA.privatelink.blob.core.windows.net s IP adresou privátního koncového bodu.
Návod
Při použití vlastního nebo místního serveru DNS byste měli nakonfigurovat server DNS tak, aby přeložil název účtu úložiště v privatelink subdoméně na IP adresu privátního koncového bodu. Můžete to provést tak, že delegujete privatelink subdoménu do privátní zóny DNS virtuální sítě nebo nakonfigurujete zónu DNS na serveru DNS a přidáte záznamy DNS A.
Doporučené názvy zón DNS pro privátní koncové body pro služby úložiště a přidružené cílové dílčí prostředky jsou:
| Služba úložiště | Cílová podresursa | Název zóny |
|---|---|---|
| Blob service | objekt blob | privatelink.blob.core.windows.net |
| Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
| Služba souborů | soubor | privatelink.file.core.windows.net |
| Služba front | fronta | privatelink.queue.core.windows.net |
| služba Table | tabulka | privatelink.table.core.windows.net |
| Statické weby | web | privatelink.web.core.windows.net |
Další informace o konfiguraci vlastního serveru DNS pro podporu privátních koncových bodů najdete v následujících článcích:
Ceny
Podrobnosti o cenách najdete v tématu s cenami služby Azure Private Link.
Známé problémy
Mějte na paměti následující známé problémy týkající se privátních koncových bodů pro Azure Storage.
Omezení přístupu k úložišti pro klienty ve virtuálních sítích s privátními koncovými body
Klienti ve virtuálních sítích s existujícími privátními koncovými body čelí omezením při přístupu k jiným účtům úložiště, které mají privátní koncové body. Předpokládejme například, že virtuální síť N1 má privátní koncový bod pro účet úložiště A1 pro úložiště Blob. Pokud má účet úložiště A2 privátní koncový bod ve virtuální síti N2 pro úložiště objektů blob, klienti ve virtuální síti N1 musí také přistupovat k úložišti objektů blob v účtu A2 pomocí privátního koncového bodu. Pokud účet úložiště A2 nemá žádné privátní koncové body pro úložiště objektů blob, můžou klienti ve virtuální síti N1 přistupovat k úložišti objektů blob v daném účtu bez privátního koncového bodu.
Toto omezení je výsledkem změn DNS provedených při vytvoření privátního koncového bodu účtu A2.
Kopírování objektů blob mezi účty úložiště
Objekty blob mezi účty úložiště můžete kopírovat pomocí privátních koncových bodů jenom v případě, že používáte rozhraní Azure REST API nebo nástroje, které používají rozhraní REST API. Mezi tyto nástroje patří AzCopy, Průzkumník služby Storage, Azure PowerShell, Azure CLI a sady SDK služby Azure Blob Storage.
Podporují se jenom privátní koncové body, které cílí na blobfile koncový bod prostředku úložiště. To zahrnuje volání rozhraní REST API vůči účtům služby Data Lake Storage, ve kterých je koncový bod prostředku blob odkazován explicitně nebo implicitně. Nepodporují se zatím privátní koncové body, které cílí na koncový bod prostředku Data Lake Storage dfs. Kopírování mezi účty úložiště pomocí protokolu NFS (Network File System) se zatím nepodporuje.