Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Elastic SAN le permite proteger y controlar el nivel de acceso a los volúmenes de Elastic SAN que requieren las aplicaciones y los entornos empresariales. En este artículo se describen las opciones para permitir que los usuarios y las aplicaciones accedan a volúmenes de SAN elástico desde una infraestructura de red virtual de Azure.
Puede configurar grupos de volúmenes de Elastic SAN para permitir solo el acceso a través de puntos de conexión específicos en subredes de red virtual específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o a las de otra suscripción, incluidas las suscripciones que pertenecen a otro inquilino de Microsoft Entra. Una vez configurado el acceso a la red para un grupo de volúmenes, todos los volúmenes que pertenecen al grupo heredan la configuración.
En función de la configuración, las aplicaciones en redes virtuales emparejadas o redes locales también pueden acceder a volúmenes del grupo. Las redes locales deben estar conectadas a la red virtual mediante una VPN o ExpressRoute. Para obtener más información sobre las configuraciones de red virtual, consulte Infraestructura de red virtual de Azure.
Hay dos tipos de puntos de conexión de red virtual que puede configurar para permitir el acceso a un grupo de volúmenes de Elastic SAN:
Por lo general, debe usar puntos de conexión privados en lugar de puntos de conexión de servicio, ya que ofrecen mejores funcionalidades. Para obtener más información, consulte Azure Private Link. Para obtener más información sobre las diferencias entre los dos, consulte Comparación de puntos de conexión privados y puntos de conexión de servicio.
Después de configurar los puntos de conexión, puede configurar reglas de red para controlar aún más el acceso al grupo de volúmenes Elastic SAN. Una vez configurados los puntos de conexión y las reglas de red, los clientes pueden conectarse a volúmenes del grupo para procesar sus cargas de trabajo.
Puntos de conexión privados
Azure Private Link le permite acceder a un grupo de volúmenes de Elastic SAN de forma segura a través de un punto de conexión privado desde una subred de red virtual. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft y elimina el riesgo de exposición a la red pública de Internet. Un punto de conexión privado de Elastic SAN usa un conjunto de direcciones IP del espacio de direcciones de subred para cada grupo de volúmenes. El número máximo utilizado por punto de conexión es 20.
Los puntos de conexión privados tienen varias ventajas sobre los puntos de conexión de servicio. Para obtener una comparación completa de los puntos de conexión privados con los puntos de conexión de servicio, consulte Comparación de puntos de conexión privados y puntos de conexión de servicio.
Cómo funciona
El tráfico entre la red virtual y Elastic SAN se enruta a través de una ruta óptima en la red troncal de Azure. A diferencia de los puntos de conexión de servicio, no es necesario configurar las reglas de red para permitir el tráfico desde un punto de conexión privado, ya que el firewall de almacenamiento solo controla el acceso a través de puntos de conexión públicos.
Para más información sobre cómo configurar puntos de conexión privados, consulte Configuración de puntos de conexión privados para Azure Elastic SAN.
Acceso a una red pública
Al crear una SAN, puede habilitar o deshabilitar el acceso público a Internet a los puntos de conexión de Elastic SAN en el nivel de SAN. Si usa puntos de conexión privados exclusivamente, deshabilite el acceso a la red pública, habilítelo solo si usa puntos de conexión de servicio. Habilitar el acceso a la red pública para una Elastic SAN le permite configurar el acceso público a grupos de volúmenes individuales de esa SAN a través de puntos de conexión de servicio de almacenamiento. De forma predeterminada, se deniega el acceso público a grupos de volúmenes individuales incluso si se permite en el nivel la SAN. Si deshabilita el acceso público en el nivel de la SAN, el acceso a los grupos de volúmenes dentro de esa SAN solo está disponible a través de los puntos de conexión privados.
Puntos de conexión de servicio de almacenamiento
Puntos de conexión de servicio de red virtual de Azure proporciona conectividad segura y directa a los servicios de Azure mediante una ruta optimizada a través de la red troncal de Azure. Los puntos de conexión de servicio le permiten proteger los recursos críticos del servicio de Azure para que solo las redes virtuales específicas puedan acceder a ellos.
Los puntos de conexión de servicio entre regiones para Azure Storage funcionan entre redes virtuales e instancias de servicio en cualquier región. Con los puntos de conexión de servicio entre regiones, las subredes ya no usan una dirección IP pública para comunicarse con ninguna cuenta de almacenamiento, incluidas las de otra región. En su lugar, todo el tráfico de subredes a las cuentas de almacenamiento usa una dirección IP privada como dirección IP de origen.
Sugerencia
Los puntos de conexión de servicio locales originales, identificados como Microsoft.Storage, son compatibles con versiones anteriores, pero debe crear puntos de conexión entre regiones, identificados como Microsoft.Storage.Global, para las nuevas implementaciones.
Los puntos de conexión de servicio locales y entre regiones no pueden coexistir en la misma subred. Para usar puntos de conexión de servicio entre regiones, elimine los puntos de conexión de Microsoft.Storage existentes y vuelva a crearlos como Microsoft.Storage.Global.
Control del tráfico de red
Puntos de conexión privados
Al aprobar la creación de un punto de conexión privado, concede acceso implícito a todo el tráfico desde la subred que hospeda el punto de conexión privado. Si necesita controlar el tráfico en un nivel más pormenorizado, use directivas de red.
Puntos de conexión del servicio
Debe configurar reglas de red virtual al usar puntos de conexión de servicio porque los puntos de conexión de servicio bloquean todas las solicitudes entrantes de datos de forma predeterminada. Cada grupo de volúmenes de elastic SAN admite hasta 200 reglas de red virtual. Si elimina una subred que se ha incluido en una regla de red, se quita de las reglas de red del grupo de volúmenes. Si crea una nueva subred con el mismo nombre, no tendrá acceso al grupo de volúmenes. Para permitir el acceso, debe autorizar explícitamente la nueva subred en las reglas de red para el grupo de volúmenes. Los clientes a los que se les conceda acceso a través de estas reglas de red también deben tener concedidos los permisos adecuados para Elastic SAN al grupo de volúmenes. Para obtener información sobre cómo definir reglas de red, consulte Configuración de reglas de red virtual.
Integridad de datos
La integridad de los datos es importante para evitar los datos dañados en el almacenamiento en la nube. TCP proporciona un nivel fundamental de integridad de datos a través de su mecanismo de suma de comprobación, se puede mejorar a través de iSCSI con una detección de errores más sólida con una prueba cíclica de redundancia (CRC), específicamente CRC-32C. CRC-32C se puede usar para agregar comprobación de suma de comprobación para encabezados de iSCSI y cargas de datos.
Elastic SAN admite la comprobación de suma de comprobación CRC-32C cuando está habilitada en el lado cliente para las conexiones a volúmenes de Elastic SAN. Elastic SAN también ofrece la capacidad de aplicar esta detección de errores a través de una propiedad que se puede establecer en el nivel de grupo de volúmenes, que hereda cualquier volumen dentro de ese grupo de volúmenes. Al habilitar esta propiedad en un grupo de volúmenes, Elastic SAN rechaza todas las conexiones de cliente a los volúmenes del grupo de volúmenes si CRC-32C no está establecido para resúmenes de encabezado o datos en esas conexiones. Al deshabilitar esta propiedad, la comprobación de la suma de comprobación de volumen de Elastic SAN depende de si CRC-32C está establecido para resúmenes de datos o encabezados en el cliente, pero Elastic SAN no rechazará ninguna conexión. Puede habilitar la protección CRC al crear una SAN elástica o habilitarla en una SAN elástica existente.
Nota
Es posible que algunos sistemas operativos no admitan resúmenes de datos o encabezados de iSCSI. Fedora y sus distribuciones de Linux descendentes, como Red Hat Enterprise Linux, CentOS, Rocky Linux, etc. no admiten resúmenes de datos. No habilite la protección CRC en los grupos de volúmenes si los clientes usan sistemas operativos como estos que no admiten resúmenes de datos o encabezados de iSCSI porque se producirá un error en las conexiones a los volúmenes.
Conexiones de cliente
Una vez habilitados los puntos de conexión deseados y concedido acceso en las reglas de red, puede conectarse a los volúmenes de Elastic SAN adecuados mediante el protocolo iSCSI. Para obtener información sobre cómo configurar conexiones de cliente, consulte los artículos sobre cómo conectarse a Linux, Windows o un clúster de Azure Kubernetes Service.
Las sesiones de iSCSI pueden desconectarse y reconectarse periódicamente a lo largo del día. Estas desconexiones y reconexiones forman parte del mantenimiento regular o son el resultado de las fluctuaciones de la red. No debería experimentar ninguna degradación del rendimiento como resultado de estas desconexiones y reconexiones, y las conexiones deberían restablecerse por sí solas. Si una conexión no se vuelve a establecer o está experimentando una degradación del rendimiento, genere una incidencia de soporte técnico.
Nota
Si se pierde una conexión entre una máquina virtual (VM) y un volumen de SAN Elastic, se reintenta la conexión durante 90 segundos hasta que finaliza. La pérdida de una conexión a un volumen de Elastic SAN no hará que la máquina virtual se reinicie.