Teilen über


Konfigurieren des Netzwerkzugriffs für Azure Elastic SAN

Sie können den Zugriff auf Ihre Azure Elastic SAN-Volumes (Storage Area Network) steuern. Durch die Steuerung des Zugriffs können Sie Ihre Daten schützen und die Anforderungen Ihrer Anwendungen und Unternehmensumgebungen erfüllen.

In diesem Artikel wird beschrieben, wie Sie Ihr Elastic SAN so konfigurieren, dass der Zugriff von Ihrer Virtuellen Azure-Netzwerkinfrastruktur aus zugelassen wird.

So konfigurieren Sie den Netzwerkzugriff auf Ihr Elastic SAN:

Voraussetzungen

  • Wenn Sie Azure PowerShell verwenden, installieren Sie das neueste Azure PowerShell-Modul.
  • Wenn Sie die Azure CLI verwenden, installieren Sie die neueste Version.
  • Nachdem Sie die neueste Version installiert haben, führen Sie az extension add -n elastic-san zum Installieren der Erweiterung für Elastic SAN aus. Es sind keine zusätzlichen Registrierungsschritte erforderlich.

Begrenzungen

Die folgende Liste enthält die Regionen, in denen Elastic SAN derzeit verfügbar ist, und zeigt, in welchen Regionen zonenredundanter Speicher (ZRS) sowie lokal redundanter Speicher (LRS) oder nur LRS unterstützt wird:

  • Australien, Osten: LRS
  • Brasilien, Süden - LRS
  • Kanada, Mitte - LRS
  • USA, Mitte – LRS
  • Ostasien - LRS
  • USA, Osten: LRS
  • USA, Osten 2: LRS
  • Frankreich, Mitte – LRS und ZRS
  • Deutschland, Westen-Mitte - LRS
  • Indien, Mitte – LRS
  • Japan, Osten - LRS
  • Südkorea, Mitte - LRS
  • Europa, Norden – LRS und ZRS
  • Norwegen, Osten – LRS
  • Südafrika, Norden - LRS
  • USA, Süden-Mitte: LRS
  • Asien, Südosten – LRS
  • Schweden, Mitte: LRS
  • Schweiz, Norden - LRS
  • VAE, Norden – LRS
  • Vereinigtes Königreich, Süden: LRS
  • Europa, Westen – LRS und ZRS
  • USA, Westen 2 – LRS und ZRS
  • USA, Westen 3: LRS

Elastic SAN ist auch in den folgenden Regionen verfügbar, aber ohne Unterstützung für Verfügbarkeitszonen:

  • Kanada, Osten – LRS
  • Japan, Westen – LRS
  • USA, Norden-Mitte – LRS

Um diese Regionen zu aktivieren, führen Sie den folgenden Befehl aus, um das erforderliche Feature-Flag zu registrieren:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Konfigurieren des öffentlichen Netzwerkzugriffs

Sie aktivieren den öffentlichen Internetzugriff auf Ihre Elastic SAN-Endpunkte auf SAN-Ebene. Durch Aktivieren des öffentlichen Netzwerkzugriffs für ein Elastic SAN können Sie den öffentlichen Zugriff auf einzelne Datenträgergruppen über Speicherdienstendpunkte konfigurieren. Standardmäßig wird der öffentliche Zugriff auf einzelne Datenträgergruppen verweigert, auch wenn Sie ihn auf SAN-Ebene zulassen. Sie müssen Ihre Datenträgergruppen explizit so konfigurieren, dass der Zugriff von bestimmten IP-Adressbereichen und virtuellen Netzwerksubnetzen zugelassen wird.

Sie können den Zugriff auf öffentliche Netzwerke aktivieren, wenn Sie ein elastisches SAN erstellen oder es für ein vorhandenes SAN aktivieren, indem Sie das Azure PowerShell-Modul oder die Azure-Befehlszeilenschnittstelle verwenden.

Verwenden Sie das Azure PowerShell-Modul oder die Azure-Befehlszeilenschnittstelle, um den Zugriff auf öffentliche Netzwerke zu ermöglichen.

Konfigurieren der iSCSI-Fehlererkennung

Aktivieren der iSCSI-Fehlererkennung

Um die CRC-32C-Prüfsummenüberprüfung für iSCSI-Header oder Datennutzlasten zu aktivieren, setzen Sie CRC-32C auf Header- oder Daten-Digests für alle Verbindungen auf Ihren Clients, die eine Verbindung mit Elastic SAN-Volumes herstellen. Verbinden Sie dazu Ihre Clients mit Elastic SAN-Volumes mithilfe von Multisession-Skripten, die entweder im Azure-Portal generiert oder in den Windows- oder Linux-Artikeln zur Elastic SAN-Verbindung bereitgestellt wurden.

Falls erforderlich, können Sie dies auch ohne die Multisession-Verbindungsskripte tun. Bei Windows können Sie dies tun, indem Sie Header- oder Daten-Digests während der Anmeldung bei den Elastic SAN-Volumes (LoginTarget und PersistentLoginTarget) auf 1 festlegen. Bei Linux können Sie dies tun, indem Sie die globale iSCSI-Konfigurationsdatei aktualisieren (iscsid.conf, normalerweise im Verzeichnis /etc/iscsi verfügbar). Wenn ein Volume verbunden wird, wird ein Knoten mit einer für diesen Knoten spezifischen Konfigurationsdatei erstellt (unter Ubuntu befindet sie sich beispielsweise im Verzeichnis /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port), die die Einstellungen aus der globalen Konfigurationsdatei übernimmt. Wenn Sie bereits ein oder mehrere Volumes mit Ihrem Client verbunden haben, bevor Sie Ihre globale Konfigurationsdatei aktualisieren, aktualisieren Sie die knotenspezifische Konfigurationsdatei für jedes Volume direkt oder mit dem folgenden Befehl:

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Hierbei gilt:

  • $volume_iqn: IQN des Elastic SAN-Volume
  • $portal_hostname: Portal-Hostname des Elastic SAN-Volume
  • $port: 3260
  • $iscsi_setting_name: node.conn[0].iscsi.HeaderDigest (or) node.conn[0].iscsi.DataDigest
  • $setting_value: CRC32C

Erzwingen der iSCSI-Fehlererkennung

Um die iSCSI-Fehlererkennung zu erzwingen, stellen Sie CRC-32C für Header- und Daten-Digests auf Ihren Clients ein und aktivieren Sie die CRC-Schutzeigenschaft in der Volumegruppe, die Volumes enthält, die bereits mit Ihren Clients verbunden sind oder noch verbunden werden müssen. Wenn Ihre Elastic SAN-Volumes bereits verbunden sind und nicht über CRC-32C für beide Prüfsummen verfügen, sollten Sie die Volumes trennen und mithilfe von Multisession-Skripts, die im Azure-Portal beim Verbinden mit einem Elastic SAN-Volume generiert werden, oder mithilfe der Windows- oder Linux-Artikel zur Elastic SAN-Verbindung erneut verbinden.

Hinweis

Das CRC-Schutzfeature ist derzeit in Europa, Norden und USA, Süden-Mitte nicht verfügbar.

So aktivieren Sie den CRC-Schutz für die Volumegruppe:

So aktivieren Sie den CRC-Schutz für eine neue Volumegruppe:

Screenshot der Aktivierung des CRC-Schutzes für eine neue Volumegruppe.

So aktivieren Sie den CRC-Schutz für eine bestehende Volumegruppe:

Screenshot der Aktivierung des CRC-Schutzes für eine bestehende Volumegruppe.

Konfigurieren eines virtuellen Netzwerkendpunkts

Sie können Ihre Elastic SAN-Volumegruppen so konfigurieren, dass der Zugriff nur über bestimmte Endpunkte in bestimmten VNet-Subnetzen zugelassen wird. Die zulässigen Subnetze können zu virtuellen Netzwerken in demselben Abonnement oder in einem anderen Abonnement gehören, einschließlich Abonnements, die zu einem anderen Microsoft Entra-Mandanten gehören.

Sie können den Zugriff auf Ihre Elastic SAN-Volumegruppen über zwei Arten von Azure-VNet-Endpunkten zulassen:

Ein privater Endpunkt verwendet eine oder mehrere private IP-Adressen aus Ihrem Subnetz des virtuellen Netzwerks, um über das Microsoft-Backbonenetzwerk auf eine Elastic SAN-Volumegruppe zuzugreifen. Bei einem privaten Endpunkt wird der Datenverkehr zwischen Ihrem virtuellen Netzwerk und der Volumegruppe über eine private Verbindung gesichert.

VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Sie können Regeln für virtuelle Netzwerke konfigurieren, um den Zugriff auf Ihre Volumegruppe zu steuern, wenn Sie Speicherdienstendpunkte verwenden.

Netzwerkregeln gelten nur für die öffentlichen Endpunkte einer Volumegruppe, nicht für private Endpunkte. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet. Sie können Netzwerkrichtlinien verwenden, um den Datenverkehr über private Endpunkte zu steuern, wenn Sie differenziertere Zugriffsregeln definieren möchten. Wenn Sie ausschließlich private Endpunkte verwenden möchten, aktivieren Sie keine Dienstendpunkte für die Datenträgergruppe.

Informationen dazu, welcher Endpunkt für Sie am besten geeignet ist, finden Sie unter Private Endpunkte und Dienstendpunkte im Vergleich.

Sobald der Netzwerkzugriff für eine Volumegruppe konfiguriert ist, wird die Konfiguration von allen Volumes geerbt, die zur Gruppe gehören.

Der Prozess zum Aktivieren der einzelnen Endpunkttypen:

Konfigurieren eines privaten Endpunkts

Wichtig

Beim Konfigurieren einer Verbindung mit einem privaten Endpunkt sind zwei Schritte erforderlich:

  • Erstellen des Endpunkts und der zugeordneten Verbindung.
  • Genehmigen der Verbindung.

Sie können auch Netzwerkrichtlinien verwenden, um die Zugriffssteuerung für private Endpunkte zu verfeinern.

Um einen privaten Endpunkt für eine Elastic SAN-Volumegruppe zu erstellen, müssen Sie über die Rolle Elastic SAN Volumegruppenbesitzer verfügen. Um eine neue Verbindung mit einem privaten Endpunkt zu genehmigen, benötigen Sie die Berechtigung für den Azure-Ressourcenanbietervorgang Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. Die Berechtigung für diesen Vorgang ist in der Rolle Elastic SAN Netzwerkadministrator enthalten, kann aber auch über eine benutzerdefinierte Azure-Rolle erteilt werden.

Wenn Sie den Endpunkt aus einem Benutzerkonto erstellen, das über alle für die Erstellung und Genehmigung erforderlichen Rollen und Berechtigungen verfügt, kann der Prozess in einem Schritt abgeschlossen werden. Andernfalls sind zwei separate Schritte von zwei verschiedenen Benutzern erforderlich.

Die Elastic SAN-Instanz und das virtuelle Netzwerk können sich in verschiedenen Ressourcengruppen, Regionen und Abonnements befinden, einschließlich Abonnements, die verschiedenen Microsoft Entra-Mandanten gehören. In diesen Beispielen erstellen wir den privaten Endpunkt in derselben Ressourcengruppe wie das virtuelle Netzwerk.

Sie können eine private Endpunktverbindung mit Ihrer Volumegruppe im Azure-Portal erstellen, wenn Sie eine Volumegruppe erstellen oder eine vorhandene Volumegruppe ändern. Sie benötigen ein vorhandenes virtuelles Netzwerk, um einen privaten Endpunkt zu erstellen.

Wenn Sie eine Volumegruppe erstellen oder ändern, wählen Sie Netzwerk und dann unter Verbindungen mit privatem Endpunkt die Option + Privaten Endpunkt erstellen aus.

Füllen Sie die Werte im angezeigten Menü aus, und wählen Sie das virtuelle Netzwerk und das Subnetz aus, die Ihre Anwendungen für die Verbindungsherstellung verwenden werden. Wenn Sie fertig sind, wählen Sie Hinzufügen und Speichern aus.

Screenshot: Oberfläche zum Erstellen des privaten Endpunkts für eine Volumegruppe

Konfigurieren eines Azure Storage-Dienstendpunkts

Zum Konfigurieren eines Azure Storage-Dienstendpunkts über das virtuelle Netzwerk, in dem Zugriff erforderlich ist, benötigen Sie die Berechtigung für den Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure-Ressourcenanbietervorgang über eine benutzerdefinierte Azure-Rolle, um einen Dienstendpunkt zu konfigurieren.

VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Sie können Regeln für virtuelle Netzwerke konfigurieren, um den Zugriff auf Ihre Volumegruppe zu steuern, wenn Sie Speicherdienstendpunkte verwenden.

Hinweis

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Microsoft Entra-Mandanten sind, wird zurzeit nur über PowerShell, CLI und Rest-APIs unterstützt. Diese Regeln können nicht über das Azure-Portal konfiguriert werden, obwohl sie darin möglicherweise angezeigt werden.

  1. Navigieren Sie zu Ihrem virtuellen Netzwerk, und wählen Sie Dienstendpunkte aus.

  2. Klicken Sie auf + Hinzufügen.

  3. Auf dem Bildschirm Dienstendpunkte hinzufügen:

    1. Wählen Sie unter Dienst die Option Microsoft.Storage.Global aus, um einen regionsübergreifenden Dienstendpunkt hinzuzufügen.

    Hinweis

    Möglicherweise wird Microsoft.Storage als verfügbarer Speicherdienstendpunkt aufgeführt. Diese Option gilt für Endpunkte innerhalb einer Region, die nur aus Gründen der Abwärtskompatibilität existieren. Verwenden Sie immer regionsübergreifende Endpunkte, es sei denn, Sie haben einen bestimmten Grund für die Verwendung regionsinterner Endpunkte.

  4. Wählen Sie für Subnetze alle Subnetze aus, in denen Sie den Zugriff zulassen möchten.

  5. Wählen Sie Hinzufügen.

Screenshot: Hinzufügen des Storage-Dienstendpunkts auf der Dienstendpunktseite des virtuellen Netzwerks

Konfigurieren von Regeln für virtuelle Netzwerke

Alle eingehenden Anforderungen für Daten über einen Dienstendpunkt werden standardmäßig blockiert. Nur Anwendungen, die Daten aus zulässigen Quellen anfordern, die Sie in den Netzwerkregeln konfigurieren, können auf Ihre Daten zugreifen.

Sie können VNET-Regeln für Volumegruppen über das Azure-Portal, PowerShell oder die CLI verwalten.

Wichtig

Wenn Sie den Zugriff auf Ihr Speicherkonto über ein virtuelles Netzwerk/Subnetz in einem anderen Microsoft Entra-Mandanten aktivieren möchten, müssen Sie PowerShell oder die Azure CLI verwenden. Das Azure-Portal zeigt keine Subnetze in anderen Microsoft Entra-Mandanten an.

Wenn Sie ein Subnetz löschen, das in eine Netzwerkregel einbezogen wurde, wird es aus den Netzwerkregeln für die Volumegruppe entfernt. Wenn Sie ein neues Subnetz mit demselben Namen erstellen, hat es keinen Zugriff auf die Volumegruppe. Wenn Sie den Zugriff zulassen möchten, müssen Sie das neue Subnetz in den Netzwerkregeln für die Volumegruppe explizit autorisieren.

  1. Navigieren Sie zu Ihrem SAN, und wählen Sie Volumegruppen aus.
  2. Wählen Sie eine Volumegruppe und anschließend Erstellen aus.
  3. Fügen Sie ein vorhandenes virtuelles Netzwerk und Subnetz hinzu, und wählen Sie Speichern aus.

Konfigurieren von Clientverbindungen

Nachdem Sie die gewünschten Endpunkte aktiviert und den Zugriff in Ihren Netzwerkregeln gewährt haben, können Sie Ihre Clients so konfigurieren, dass sie eine Verbindung mit den entsprechenden Elastic SAN-Datenträgern herstellen.

Hinweis

Wenn eine Verbindung zwischen einem virtuellen Computer (einer VM) und einem Elastic SAN-Volume verloren geht, wird der Aufbau der Verbindung 90 Sekunden lang erneut versucht, bis sie beendet wird. Wenn eine Verbindung mit einem Elastic SAN-Volume verloren geht, wird die VM nicht neu gestartet.

Nächste Schritte