Einschränken des Import-/Exportzugriffs für verwaltete Datenträger mithilfe von Azure Private Link

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Sie können private Endpunkte verwenden, um den Export und Import verwalteter Datenträger einzuschränken und sichereren Zugriff auf Daten über eine private Verbindung von Clients in Ihrem virtuellen Azure-Netzwerk zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks für Ihre verwalteten Datenträger. Der Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und den verwalteten Datenträgern wird nur über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt.

Wenn Sie Private Link zum Exportieren und Importieren verwalteter Datenträger verwenden möchten, erstellen Sie zunächst eine Datenträgerzugriffsressource und verknüpfen sie mit einem virtuellen Netzwerk im gleichen Abonnement, indem Sie einen privaten Endpunkt erstellen. Ordnen Sie dann einer Instanz des Datenträgerzugriffs einen Datenträger oder eine Momentaufnahme zu.

Einschränkungen

  • Ihr virtuelles Netzwerk muss sich im gleichen Abonnement befinden wie das Datenträgerzugriffsobjekt, damit die beiden verknüpft werden können.
  • Sie können maximal fünf Datenträger oder Momentaufnahmen gleichzeitig mit demselben Datenträgerzugriffsobjekt importieren oder exportieren.
  • Sie können keine manuelle Genehmigung anfordern, um ein virtuelles Netzwerk mit einem Datenträgerzugriffsobjekt zu verknüpfen.

Erstellen einer Datenträgerzugriffsressource

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie über diesen Link zu Datenträgerzugriffe.

    Wichtig

    Sie müssen über den bereitgestellten Link zum Bereich „Datenträgerzugriffe“ navigieren. Andernfalls wird das Blatt nicht im öffentlichen Portal angezeigt.

  2. Wählen Sie + Erstellen aus, um eine neue Datenträgerzugriffsressource zu erstellen.

  3. Wählen Sie im Bereich Datenträgerzugriff erstellen Ihr Abonnement und eine Ressourcengruppe aus. Geben Sie unter Details zur Instanz einen Namen ein, und wählen Sie eine Region aus.

    Screenshot: Bereich zum Erstellen des Datenträgerzugriffs. Geben Sie den gewünschten Namen ein, wählen Sie eine Region und eine Ressourcengruppe aus, und setzen Sie den Vorgang fort.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Wenn Ihre Ressource erstellt wurde, navigieren Sie direkt zu ihr.

    Screenshot: Schaltfläche „Zu Ressource wechseln“ im Portal

Erstellen eines privaten Endpunkts

Als Nächstes müssen Sie einen privaten Endpunkt erstellen und für den Datenträgerzugriff konfigurieren.

  1. Wählen Sie für Ihre Datenträgerzugriffsressource unter Einstellungen die Option Verbindungen mit privatem Endpunkt aus.

  2. Wählen Sie + Privaten Endpunkt hinzufügen aus.

    Screenshot: Übersichtsbereich für die Datenträgerzugriffsressource. „Verbindungen mit privatem Endpunkt“ ist hervorgehoben.

  3. Wählen Sie im Bereich Privaten Endpunkt erstellen eine Ressourcengruppe aus.

  4. Geben Sie einen Namen ein, und wählen Sie die gleiche Region aus, in der auch Ihre Datenträgerzugriffsressource erstellt wurde.

    Screenshot: Workflow zur Erstellung des privaten Endpunkts (erster Bereich). Falls Sie nicht die richtige Region auswählen, treten später unter Umständen Fehler auf.

  5. Klicken Sie auf Weiter: Ressource aus.

  6. Wählen Sie im Bereich Ressource die Option Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus.

  7. Wählen Sie für Ressourcentyp den Wert Microsoft.Compute/diskAccesses aus.

  8. Wählen Sie für Ressource die zuvor erstellte Datenträgerzugriffsressource aus.

  9. Übernehmen Sie unter Untergeordnete Zielressource den Wert Datenträger.

    Screenshot: Workflow zum Erstellen des privaten Endpunkts (zweiter Bereich) mit hervorgehobenen Werten (Ressourcentyp, Ressource, Untergeordnete Zielressource)

  10. Wählen Sie Weiter: Konfiguration aus.

  11. Wählen Sie das virtuelle Netzwerk aus, auf das Sie den Import und Export von Datenträgern beschränken möchten. Dadurch wird der Import und Export Ihres Datenträgers für andere virtuelle Netzwerke verhindert.

    Hinweis

    Wenn für das ausgewählte Subnetz eine Netzwerksicherheitsgruppe (NSG) aktiviert ist, wird diese nur für private Endpunkte in diesem Subnetz deaktiviert. Für andere Ressourcen in diesem Subnetz wird die Netzwerksicherheitsgruppe weiterhin durchgesetzt.

  12. Wählen Sie das richtige Subnetz aus.

    Screenshot: Workflow zum Erstellen des privaten Endpunkts (dritter Bereich) mit hervorgehobenem virtuellem Netzwerk und Subnetz

  13. Klicken Sie auf Überprüfen + erstellen.

Aktivieren des privaten Endpunkts auf Ihrem Datenträger

  1. Navigieren Sie zu dem Datenträger, den Sie konfigurieren möchten.

  2. Wählen Sie unter Einstellungen die Option Netzwerk aus.

  3. Wählen Sie Private endpoint (through disk access) (Privater Endpunkt (über Datenträgerzugriff)) und dann den zuvor erstellten Datenträgerzugriff aus.

    Screenshot: Bereich „Netzwerk“ für verwaltete Datenträger. Privater Endpunkt und ausgewählter Datenträgerzugriff hervorgehoben. Durch das Speichern wird der Datenträger für diesen Zugriff konfiguriert.

  4. Wählen Sie Speichern aus.

Sie haben nun eine private Verbindung konfiguriert, die Sie zum Importieren und Exportieren Ihres verwalteten Datenträgers verwenden können.

Nächste Schritte