Configuración del acceso de red para Azure Elastic SAN
Artículo
Puede controlar el acceso a los volúmenes de la red de área de almacenamiento (SAN) de Azure Elastic. El control del acceso permite proteger los datos y satisfacer las necesidades de las aplicaciones y los entornos empresariales.
En este artículo se describe cómo configurar Elastic SAN para permitir el acceso desde la infraestructura de red virtual de Azure.
Para configurar el acceso de red a la Elastic SAN:
Una vez que instale la versión más reciente, ejecute az extension add -n elastic-san para instalar la extensión para Elastic SAN.
No se necesita ningún otro paso de registro.
Limitaciones
La lista siguiente contiene las regiones en las que Elastic SAN está disponible actualmente y en qué regiones se admite tanto el almacenamiento con redundancia de zona (ZRS) como el almacenamiento con redundancia local (LRS) o solo LRS:
Norte de Sudáfrica: LRS
Este de Asia: LRS
Sudeste de Asia: LRS
Sur de Brasil: LRS
Centro de Canadá: LRS
Centro de Francia: LRS y ZRS
Centro-oeste de Alemania: LRS
Este de Australia: LRS
Norte de Europa: LRS y ZRS
Oeste de Europa: LRS y ZRS
Sur de Reino Unido: LRS
Este de Japón: LRS
Centro de Corea del Sur: LRS
Centro de EE. UU. - LRS
Este de EE. UU.: LRS
Centro-sur de EE. UU.: LRS
Este de EE. UU. 2: LRS
Oeste de EE. UU. 2: LRS y ZRS
Oeste de EE. UU. 3: LRS
Centro de Suecia: LRS
Norte de Suiza: LRS
Este de Noruega: LRS
Norte de Emiratos Árabes: LRS
Centro de la India: LRS
Configuración del acceso a la red pública
Habilite el acceso público a Internet a los puntos de conexión de Elastic SAN a nivel de SAN. Habilitar el acceso a la red pública para Elastic SAN le permite configurar el acceso público a grupos de volúmenes individuales a través de puntos de conexión de servicio de almacenamiento. De forma predeterminada, se deniega el acceso público a grupos de volúmenes individuales incluso si se permite en el nivel SAN. Debe configurar explícitamente los grupos de volúmenes para permitir el acceso desde intervalos de direcciones IP específicos y subredes de red virtual.
Puede habilitar el acceso a la red pública al crear una SAN elástica o habilitarla para una SAN existente mediante el módulo de Azure PowerShell o la CLI de Azure.
Use el módulo de Azure PowerShell o la CLI de Azure para habilitar el acceso a la red pública.
Use este código de ejemplo para crear una instancia de Elastic SAN con acceso a la red pública habilitada mediante PowerShell. Reemplace los valores de las variables antes de ejecutar el ejemplo.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
Name = $EsanName
ResourceGroupName = $RgName
BaseSizeTiB = $BaseSize
ExtendedCapacitySizeTiB = $ExtendedSize
Location = $Location
SkuName = $SkuName
PublicNetworkAccess = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments
Use este código de ejemplo para crear una instancia de Elastic SAN con acceso a la red pública habilitada mediante PowerShell. Reemplace los valores de RgName y EsanName por los suyos y, a continuación, ejecute el ejemplo:
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled
Use este código de ejemplo para crear una instancia de Elastic SAN con acceso a la red pública habilitada mediante CLI de Azure. Reemplace los valores de las variables antes de ejecutar el ejemplo.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"
# Create the Elastic San.
az elastic-san create \
--elastic-san-name $EsanName \
--resource-group $RgName \
--location $Location \
--base-size-tib $BaseSize \
--extended-capacity-size-tib $ExtendedSize \
--sku $SkuName \
--public-network-access enabled
Use este código de ejemplo para crear una instancia de Elastic SAN con acceso a la red pública habilitada mediante CLI de Azure. Reemplace los valores de RgName y EsanName por sus propios valores:
# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--public-network-access enabled
Configuración de un punto de conexión de red virtual
Puede configurar los grupos de volúmenes de Elastic SAN para permitir el acceso solo desde puntos de conexión en subredes de red virtual específicas. Las subredes permitidas pueden pertenecer a redes virtuales de la misma suscripción o a las de una suscripción diferente, como las suscripciones que pertenecen a un inquilino de Microsoft Entra diferente.
Puede permitir el acceso al grupo de volúmenes de Elastic SAN desde dos tipos de puntos de conexión de red virtual de Azure:
Un punto de conexión privado usa una o varias direcciones IP privadas de la subred de la red virtual para acceder a un grupo de volúmenes de Elastic SAN a través de la red troncal de Microsoft. Con un punto de conexión privado, el tráfico entre la red virtual y el volumen de grupo se protegen a través de un vínculo privado.
Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de Internet. Puede configurar reglas de red virtual para controlar el acceso al grupo de volúmenes al usar puntos de conexión de servicio de almacenamiento.
Las reglas de red solo se aplican a los puntos de conexión públicos de un grupo de volúmenes, no a los puntos de conexión privados. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado. Puede usar Directivas de red para controlar el tráfico a través de puntos de conexión privados si desea refinar las reglas de acceso. Si desea usar puntos de conexión privados exclusivamente, no habilite los puntos de conexión de servicio para el grupo de volúmenes.
En el caso de las Elastic SAN que usan almacenamiento con redundancia local (LRS) como opción de redundancia, los puntos de conexión privados se admiten en todas las regiones donde Elastic SAN está disponible. Los puntos de conexión privados no son compatibles actualmente con SAN elásticas desplegadas usando almacenamiento redundante por zonas (ZRS) como opción de redundancia.
Hay dos pasos necesarios para configurar una conexión de punto de conexión privado:
Crear el punto de conexión y la conexión asociada.
Aprobar la conexión.
También puede usar directivas de red para refinar el control de acceso a los puntos de conexión privados.
Para crear un punto de conexión privado para un grupo de volúmenes de Elastic SAN, debe tener el rol Propietario del grupo de volúmenes de Elastic SAN. Para aprobar una nueva conexión de punto de conexión privado, debe tener permiso para la operación del proveedor de recursos de AzureMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. El permiso para esta operación se incluye en el rol Administrador de red de Elastic SAN, pero también se puede conceder a través de un rol personalizado de Azure.
Si crea el punto de conexión a partir de una cuenta de usuario que tiene todos los roles y permisos necesarios para la creación y aprobación, el proceso se puede completar en un paso. Si no es así, necesitará dos pasos independientes con dos usuarios diferentes.
La Elastic SAN y la red virtual pueden estar en diferentes grupos de recursos, regiones y suscripciones, incluidas las suscripciones que pertenecen a distintos inquilinos de Microsoft Entra. En estos ejemplos, vamos a crear el punto de conexión privado en el mismo grupo de recursos que la red virtual.
Puede crear una conexión de punto de conexión privado al grupo de volúmenes en Azure Portal al crear un grupo de volúmenes o al modificar un grupo de volúmenes existente. Necesita una red virtual existente para crear un punto de conexión privado.
Al crear o modificar un grupo de volúmenes, seleccione Redesy, después, seleccione + Crear un punto de conexión privado en conexiones de punto de conexión privado.
Rellene los valores del menú que aparece, seleccione la red virtual y la subred que usarán las aplicaciones para conectarse. Cuando haya terminado, seleccione Agregary Guardar.
La implementación de un punto de conexión privado para un grupo de volúmenes de Elastic SAN mediante PowerShell implica estos pasos:
Obtenga la subred desde las aplicaciones que se conectarán.
Obtenga el grupo de volúmenes de Elastic SAN.
Cree una conexión de servicio de vínculo privado mediante el grupo de volúmenes como entrada.
Cree el punto de conexión privado mediante la subred y la conexión del servicio Private Link como entrada.
(Opcional)si usa el proceso de dos pasos (creación y aprobación)): el administrador de red de Elastic SAN aprueba la conexión.
Use este código de ejemplo para crear un punto de conexión privado para el grupo de volúmenes de Elastic SAN con PowerShell. Reemplace los valores de RgName, VnetName, SubnetName, EsanName, EsanVgName, PLSvcConnectionName, EndpointName y Location por los suyos:
# Set the resource group name.
$RgName = "<ResourceGroupName>"
# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"
$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName
# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName
# Create the private endpoint.
$EndpointName = '<PrivateEndpointName>'
$Location = '<Location>'
$PeArguments = @{
Name = $EndpointName
ResourceGroupName = $RgName
Location = $Location
Subnet = $Subnet
PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).
Use este código de ejemplo para aprobar la conexión del servicio de vínculo privado si usa el proceso de dos pasos. Use las mismas variables del ejemplo de código anterior:
# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments = @{
ServiceName = $EsanName
ResourceGroupName = $RgName
PrivateLinkResourceType = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc
# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState
La implementación de un punto de conexión privado para un grupo de volúmenes de Elastic SAN mediante la CLI de Azure implica tres pasos:
Obtenga el identificador de recurso de conexión privada de Elastic SAN.
Cree el punto de conexión privado mediante entradas:
Identificador de recurso de conexión privada
Nombre del grupo de volúmenes
Definición de un nombre de grupo de recursos
Nombre de subred
Nombre de la red virtual
(Opcional)si usa el proceso de dos pasos (creación y aprobación): el administrador de red de Elastic SAN aprueba la conexión.
Use este código de ejemplo para crear un punto de conexión privado para el grupo de volúmenes de Elastic SAN con la CLI de Azure. Quite la marca de comentario del parámetro --manual-request si usa el proceso de dos pasos. Reemplace todos los valores de las variables de ejemplo por los suyos:
# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"
# Get the id of the Elastic SAN.
id=$(az elastic-san show \
--elastic-san-name $EsanName \
--resource-group $RgName \
--query 'id' \
--output tsv)
# Create the private endpoint.
az network private-endpoint create \
--connection-name $PLSvcConnectionName \
--name $EndpointName \
--private-connection-resource-id $id \
--resource-group $RgName \
--vnet-name $VnetName \
--subnet $SubnetName \
--location $Location \
--group-id $EsanVgName # --manual-request
# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
--name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)
az network private-endpoint-connection show \
--resource-name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--name $PLConnectionName
Use este código de ejemplo para aprobar la conexión del servicio de vínculo privado si usa el proceso de dos pasos. Use las mismas variables del ejemplo de código anterior:
Configuración de un punto de conexión de servicio de Azure Storage
Para configurar un punto de conexión de servicio de Azure Storage desde la red virtual donde se requiere acceso, debe tener permiso para la Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperación del proveedor de recursos de Azure a través de un rol personalizado de Azure para configurar un punto de conexión de servicio.
Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de Internet. Puede configurar reglas de red virtual para controlar el acceso al grupo de volúmenes al usar puntos de conexión de servicio de almacenamiento.
Nota:
La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Microsoft Entra diferente solo se admiten actualmente a través de PowerShell, la CLI y las API de REST. Estas reglas no se pueden configurar mediante Azure Portal, aunque se puedan ver en el portal.
Es posible que vea Microsoft.Storage como un punto de conexión de servicio de almacenamiento disponible. Esa opción es para los puntos de conexión dentro de la región que solo existen para la compatibilidad con versiones anteriores. Use siempre puntos de conexión entre regiones, a menos que tenga un motivo específico para usar los de dentro de la región.
En Subredes, seleccione todas las subredes a las que desea permitir el acceso.
Seleccione Agregar.
Use este código de ejemplo para crear un punto de conexión de servicio de almacenamiento para el grupo de volúmenes de Elastic SAN con PowerShell.
# Define some variables
$RgName = "<ResourceGroupName>"
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName
# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Use este código de ejemplo para crear un punto de conexión de servicio de almacenamiento para el grupo de volúmenes de Elastic SAN con la CLI de Azure.
# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"
# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"
Configurar las reglas de red virtual
Todas las solicitudes entrantes de datos a través de un punto de conexión de servicio se bloquean de forma predeterminada. Solo las aplicaciones que soliciten datos de los orígenes permitidos que configure en las reglas de red podrán acceder a los datos.
Puede administrar las reglas de red virtual para los grupos de volúmenes mediante Azure Portal, PowerShell o la CLI.
Importante
Si desea habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual en otro inquilino de Microsoft Entra, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Microsoft Entra.
Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red del grupo de volúmenes. Si crea una subred con el mismo nombre, no tendrá acceso al grupo de volúmenes. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red del grupo de volúmenes.
Para agregar una regla de red para una subred de una red virtual que pertenece a otro inquilino de Microsoft Entra, use un parámetro completo VirtualNetworkResourceId con el formato "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".
Quite una regla de red virtual.
## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
Agregue una regla de red para una red virtual y subred.
Sugerencia
Para agregar una regla para una subred de una red virtual que pertenece a otro inquilino de Microsoft Entra, use un identificador de subred completo en el formulario /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.
Puede usar el parámetro subscription para recuperar el identificador de subred de una red virtual que pertenezca a otro inquilino de Microsoft Entra.
# First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
Quite una regla de red. El siguiente comando quita la primera regla de red; modifíquelo para quitar la regla de red que prefiera.
Una vez habilitados los puntos de conexión deseados y concedido acceso en las reglas de red, lo tiene todo preparado para configurar que los clientes se conecten a los volúmenes de Elastic SAN adecuados.
Nota:
Si se pierde una conexión entre una máquina virtual (VM) y un volumen de Elastic SAN, la conexión volverá a intentarlo durante 90 segundos hasta que finalice. La pérdida de una conexión a un volumen de Elastic SAN no hará que la máquina virtual se reinicie.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
