Nyilvános és magánhálózati Azure File Sync-végpontok konfigurálása
Cikk
Az Azure Files és az Azure File Sync két fő végponttípust biztosít az Azure-fájlmegosztások eléréséhez:
Nyilvános végpontok, amelyek nyilvános IP-címmel rendelkeznek, és a világ bármely pontjáról elérhetők.
Privát végpontok, amelyek egy virtuális hálózaton belül léteznek, és a virtuális hálózat címteréből származó privát IP-címmel rendelkeznek.
Az Azure Files és az Azure File Sync esetében az Azure felügyeleti objektumai (a tárfiók és a Társzinkronizálási szolgáltatás) mind a nyilvános, mind a privát végpontot vezérli. A tárfiók egy felügyeleti szerkezet, amely egy megosztott tárolókészletet jelöl, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobokat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás egy olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, valamint szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.
Ez a cikk az Azure Files és az Azure File Sync hálózati végpontjainak konfigurálását ismerteti. Ha többet szeretne megtudni arról, hogyan konfigurálhatja a hálózati végpontokat az Azure-fájlmegosztások közvetlen elérésére, ahelyett, hogy a helyszínieket gyorsítótárazaná az Azure File Synctel, olvassa el az Azure Files hálózati végpontjainak konfigurálása című témakört.
Rendelkezik Azure-előfizetéssel. Ha még nem rendelkezik előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Már létrehozott egy Azure-fájlmegosztást egy tárfiókban, amelyhez a helyszínen szeretne csatlakozni. Az Azure-fájlmegosztások létrehozásáról az Azure-fájlmegosztás létrehozása című témakörben olvashat.
Amikor privát végpontot hoz létre egy Azure-erőforráshoz, a következő erőforrások lesznek üzembe helyezve:
Privát végpont: Egy Azure-erőforrás, amely a tárfiók vagy a Társzinkronizálási szolgáltatás privát végpontja. Gondoljon erre úgy, mint az Azure-erőforrást és egy hálózati adaptert összekötő erőforrásra.
Hálózati adapter (NIC): Az a hálózati adapter, amely a megadott virtuális hálózaton/alhálózaton belül privát IP-címet tart fenn. Ez pontosan ugyanaz az erőforrás, amely virtuális gép (VM) üzembe helyezésekor lesz üzembe helyezve, azonban ahelyett, hogy egy virtuális géphez rendelne hozzá, az a privát végpont tulajdonában van.
Privát DNS-zóna: Ha még soha nem telepített privát végpontot ehhez a virtuális hálózathoz, egy új privát DNS-zóna lesz üzembe helyezve a virtuális hálózathoz. Ebben a DNS-zónában egy DNS A rekord is létrejön az Azure-erőforráshoz. Ha már üzembe helyezett egy privát végpontot ebben a virtuális hálózatban, a rendszer hozzáad egy új A rekordot az Azure-erőforráshoz a meglévő DNS-zónához. A DNS-zóna üzembe helyezése nem kötelező, azonban erősen ajánlott a SZÜKSÉGES DNS-kezelés egyszerűsítése érdekében.
Feljegyzés
Ez a cikk az Azure nyilvános régióihoz, core.windows.net a tárfiókokhoz és afs.azure.net a Storage Sync Serviceshez használt DNS-utótagokat használja. Ez az Azure Szuverén felhőkre is vonatkozik, például az Azure US Government-felhőre – csak cserélje le a környezetének megfelelő utótagokat.
Lépjen arra a tárfiókra, amelyhez privát végpontot szeretne létrehozni. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés, a Privát végpont kapcsolatok, majd a + Privát végpont lehetőséget egy új privát végpont létrehozásához.
Az eredményként kapott varázsló több oldalból áll.
Az Alapszintű beállítások panelen válassza ki a kívánt előfizetést, erőforráscsoportot, nevet, hálózati adapternevet és régiót a privát végponthoz. Ezek lehetnek tetszőlegesek, nem kell semmilyen módon megegyezniük a tárfiókokkal, bár a privát végpontot ugyanabban a régióban kell létrehoznia, amelyben a privát végpontot létre szeretné hozni. Ezután válassza a Tovább: Erőforrás lehetőséget.
Az Erőforrás panelen válassza ki a cél alerőforráshoz tartozó fájlt. Ezután válassza a Tovább: Virtuális hálózat lehetőséget.
A Virtuális hálózat panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki az új privát végpont dinamikus vagy statikus IP-címfoglalását. Ha statikus beállítást választ, meg kell adnia egy nevet és egy magánhálózati IP-címet is. Igény szerint alkalmazásbiztonsági csoportot is megadhat. Ha végzett, válassza a Tovább: DNS lehetőséget.
A DNS panel a privát végpont privát DNS-zónával való integrálására vonatkozó információkat tartalmazza. Győződjön meg arról, hogy az előfizetés és az erőforráscsoport helyes, majd válassza a Tovább: Címkék lehetőséget.
Igény szerint címkéket is alkalmazhat az erőforrások kategorizálásához, például alkalmazhatja a Környezet nevet és a Teszt értéket az összes tesztelési erőforrásra. Szükség esetén adja meg a név-érték párokat, majd válassza a Tovább: Véleményezés + létrehozás lehetőséget.
Kattintson a Véleményezés + létrehozás gombra a privát végpont létrehozásához.
Ha virtuális géppel rendelkezik a virtuális hálózaton belül, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, tesztelheti, hogy a privát végpont megfelelően van-e beállítva a Következő parancsok futtatásával a PowerShellből, a parancssorból vagy a terminálból (Windows, Linux vagy macOS rendszeren működik). A megfelelő tárfiók nevére kell cserélnie <storage-account-name> :
Ha minden sikeresen működik, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a magánvégpont privát IP-címe látható a virtuális hálózaton (a kimenet Windows esetén látható):
Ha privát végpontot szeretne létrehozni a tárfiókhoz, először be kell szereznie egy hivatkozást a tárfiókra és arra a virtuális hálózati alhálózatra, amelyhez hozzá szeretné adni a privát végpontot. Cserélje le <storage-account-resource-group-name>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name>, és <vnet-subnet-name> az alábbi:
$storageAccountResourceGroupName = "<storage-account-resource-group-name>"
$storageAccountName = "<storage-account-name>"
$virtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$virtualNetworkName = "<vnet-name>"
$subnetName = "<vnet-subnet-name>"
# Get storage account reference, and throw error if it doesn't exist
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $storageAccountResourceGroupName `
-Name $storageAccountName `
-ErrorAction SilentlyContinue
if ($null -eq $storageAccount) {
$errorMessage = "Storage account $storageAccountName not found "
$errorMessage += "in resource group $storageAccountResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
# Get virtual network reference, and throw error if it doesn't exist
$virtualNetwork = Get-AzVirtualNetwork `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $virtualNetworkName `
-ErrorAction SilentlyContinue
if ($null -eq $virtualNetwork) {
$errorMessage = "Virtual network $virtualNetworkName not found "
$errorMessage += "in resource group $virtualNetworkResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
# Get reference to virtual network subnet, and throw error if it doesn't exist
$subnet = $virtualNetwork | `
Select-Object -ExpandProperty Subnets | `
Where-Object { $_.Name -eq $subnetName }
if ($null -eq $subnet) {
Write-Error `
-Message "Subnet $subnetName not found in virtual network $virtualNetworkName." `
-ErrorAction Stop
}
Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a tárfiókhoz. A privát kapcsolat szolgáltatáskapcsolat a privát végpont létrehozásának bemenete.
# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
Set-AzVirtualNetwork -ErrorAction Stop
# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name "$storageAccountName-Connection" `
-PrivateLinkServiceId $storageAccount.Id `
-GroupId "file" `
-ErrorAction Stop
# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $storageAccountResourceGroupName `
-Name "$storageAccountName-PrivateEndpoint" `
-Location $virtualNetwork.Location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-ErrorAction Stop
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpontok létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás közvetlen csatlakoztatásához egy AD-felhasználónév használatával, vagy a REST API-val való hozzáféréshez.
# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$storageAccountSuffix = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
$dnsZoneName = "privatelink.file.$storageAccountSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
Where-Object { $_.Name -eq $dnsZoneName } | `
Where-Object {
$privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $_.ResourceGroupName `
-ZoneName $_.Name `
-ErrorAction SilentlyContinue
$privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
}
if ($null -eq $dnsZone) {
# No matching DNS zone attached to virtual network, so create new one.
$dnsZone = New-AzPrivateDnsZone `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $dnsZoneName `
-ErrorAction Stop
$privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $virtualNetworkResourceGroupName `
-ZoneName $dnsZoneName `
-Name "$virtualNetworkName-DnsLink" `
-VirtualNetworkId $virtualNetwork.Id `
-ErrorAction Stop
}
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.
Ha a virtuális hálózaton belül virtuális géppel rendelkezik, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, az alábbi parancsokkal tesztelheti, hogy a privát végpont megfelelően van-e beállítva:
Ha minden sikeresen működik, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
.net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 600
Section : Answer
IP4Address : 192.168.0.5
Ha privát végpontot szeretne létrehozni a tárfiókhoz, először be kell szereznie egy hivatkozást a tárfiókra és arra a virtuális hálózati alhálózatra, amelyhez hozzá szeretné adni a privát végpontot. Cserélje le <storage-account-resource-group-name>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name>, és <vnet-subnet-name> az alábbi:
storageAccountResourceGroupName="<storage-account-resource-group-name>"
storageAccountName="<storage-account-name>"
virtualNetworkResourceGroupName="<vnet-resource-group-name>"
virtualNetworkName="<vnet-name>"
subnetName="<vnet-subnet-name>"
# Get storage account ID
storageAccount=$(az storage account show \
--resource-group $storageAccountResourceGroupName \
--name $storageAccountName \
--query "id" | \
tr -d '"')
# Get virtual network ID
virtualNetwork=$(az network vnet show \
--resource-group $virtualNetworkResourceGroupName \
--name $virtualNetworkName \
--query "id" | \
tr -d '"')
# Get subnet ID
subnet=$(az network vnet subnet show \
--resource-group $virtualNetworkResourceGroupName \
--vnet-name $virtualNetworkName \
--name $subnetName \
--query "id" | \
tr -d '"')
Privát végpont létrehozásához először meg kell győződnie arról, hogy az alhálózat privát végpontjának hálózati házirendje le van tiltva. Ezután létrehozhat egy privát végpontot a az network private-endpoint create paranccsal.
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpont létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás csatlakoztatása egy AD-felhasználónévvel vagy a REST API-val való hozzáféréshez.
# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
storageAccountSuffix=$(az cloud show \
--query "suffixes.storageEndpoint" | \
tr -d '"')
# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
dnsZoneName="privatelink.file.$storageAccountSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
--query "[?name == '$dnsZoneName'].id" \
--output tsv)
dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
possibleResourceGroupName=$(az resource show \
--ids $possibleDnsZone \
--query "resourceGroup" | \
tr -d '"')
link=$(az network private-dns link vnet list \
--resource-group $possibleResourceGroupName \
--zone-name $dnsZoneName \
--query "[?virtualNetwork.id == '$virtualNetwork'].id" \
--output tsv)
if [ -z $link ]
then
echo "1" > /dev/null
else
dnsZoneResourceGroup=$possibleResourceGroupName
dnsZone=$possibleDnsZone
break
fi
done
if [ -z $dnsZone ]
then
# No matching DNS zone attached to virtual network, so create a new one
dnsZone=$(az network private-dns zone create \
--resource-group $virtualNetworkResourceGroupName \
--name $dnsZoneName \
--query "id" | \
tr -d '"')
az network private-dns link vnet create \
--resource-group $virtualNetworkResourceGroupName \
--zone-name $dnsZoneName \
--name "$virtualNetworkName-DnsLink" \
--virtual-network $virtualNetwork \
--registration-enabled false \
--output none
dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.
privateEndpointNIC=$(az network private-endpoint show \
--ids $privateEndpoint \
--query "networkInterfaces[0].id" | \
tr -d '"')
privateEndpointIP=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[0].privateIpAddress" | \
tr -d '"')
az network private-dns record-set a create \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--name $storageAccountName \
--output none
az network private-dns record-set a add-record \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--record-set-name $storageAccountName \
--ipv4-address $privateEndpointIP \
--output none
Ha a virtuális hálózaton belül virtuális géppel rendelkezik, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, az alábbi parancsokkal tesztelheti, hogy a privát végpont megfelelően van-e beállítva:
Lépjen a Privát hivatkozás központba úgy, hogy beírja a Private Link szót az Azure Portal tetején található keresősávba. A Private Link Center tartalomjegyzékében válassza a Privát végpontok lehetőséget, majd a + Hozzáadás lehetőséget egy új privát végpont létrehozásához.
Az eredményként kapott varázsló több oldalból áll.
Az Alapok panelen válassza ki a kívánt erőforráscsoportot, nevet és régiót a privát végponthoz. Ezek lehetnek tetszőlegesek, nem kell semmilyen módon megegyezniük a Társzinkronizálási szolgáltatással, bár a privát végpontot ugyanabban a régióban kell létrehoznia, amelyben a privát végpontot létre szeretné hozni.
Az Erőforrás panelen válassza a könyvtárban lévő Azure-erőforráshoz való csatlakozás választógombot. Az erőforrástípus alatt válassza a Microsoft.StorageSync/storageSyncServices lehetőséget az erőforrástípushoz.
A Konfiguráció panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki ugyanazt a virtuális hálózatot, amelyet a fenti tárfiókhoz használt. A Konfiguráció panel a privát DNS-zóna létrehozásához/frissítéséhez szükséges információkat is tartalmazza.
A privát végpont létrehozásához válassza a Véleményezés + létrehozás lehetőséget .
Az alábbi PowerShell-parancsok futtatásával tesztelheti, hogy a privát végpont megfelelően van-e beállítva.
Ha minden megfelelően működik, a következő kimenetnek kell megjelennie, 192.168.1.5192.168.1.6ahol 192.168.1.4, , és 192.168.1.7 a privát végponthoz rendelt magánhálózati IP-címek vannak hozzárendelve:
Name : mysssmanagement.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net
Name : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.4
Name : myssssyncp.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net
Name : myssssyncp.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.5
Name : myssssyncs.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net
Name : myssssyncs.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.6
Name : mysssmonitoring.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net
Name : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.7
Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> környezetének megfelelő értékeket. A következő PowerShell-parancsok feltételezik, hogy már feltöltötte a virtuális hálózati adatokat.
$storageSyncServiceResourceGroupName = "<storage-sync-service-resource-group>"
$storageSyncServiceName = "<storage-sync-service>"
$storageSyncService = Get-AzStorageSyncService `
-ResourceGroupName $storageSyncServiceResourceGroupName `
-Name $storageSyncServiceName `
-ErrorAction SilentlyContinue
if ($null -eq $storageSyncService) {
$errorMessage = "Storage Sync Service $storageSyncServiceName not found "
$errorMessage += "in resource group $storageSyncServiceResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a Társzinkronizálási szolgáltatással. A privát kapcsolat a privát végpont létrehozásának bemenete.
# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
Set-AzVirtualNetwork -ErrorAction Stop
# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name "$storageSyncServiceName-Connection" `
-PrivateLinkServiceId $storageSyncService.ResourceId `
-GroupId "Afs" `
-ErrorAction Stop
# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $storageSyncServiceResourceGroupName `
-Name "$storageSyncServiceName-PrivateEndpoint" `
-Location $virtualNetwork.Location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-ErrorAction Stop
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Tárolószinkronizálási szolgáltatás mysssmanagement.westus2.afs.azure.netgazdagépneveinek feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.
# Get the desired Storage Sync Service suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$azureEnvironment = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty Name
switch($azureEnvironment) {
"AzureCloud" {
$storageSyncSuffix = "afs.azure.net"
}
"AzureUSGovernment" {
$storageSyncSuffix = "afs.azure.us"
}
"AzureChinaCloud" {
$storageSyncSuffix = "afs.azure.cn"
}
default {
Write-Error
-Message "The Azure environment $_ is not currently supported by Azure File Sync." `
-ErrorAction Stop
}
}
# For public cloud, this will generate the following DNS suffix:
# privatelink.afs.azure.net
$dnsZoneName = "privatelink.$storageSyncSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
Where-Object { $_.Name -eq $dnsZoneName } | `
Where-Object {
$privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $_.ResourceGroupName `
-ZoneName $_.Name `
-ErrorAction SilentlyContinue
$privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
}
if ($null -eq $dnsZone) {
# No matching DNS zone attached to virtual network, so create new one.
$dnsZone = New-AzPrivateDnsZone `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $dnsZoneName `
-ErrorAction Stop
$privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $virtualNetworkResourceGroupName `
-ZoneName $dnsZoneName `
-Name "$virtualNetworkName-DnsLink" `
-VirtualNetworkId $virtualNetwork.Id `
-ErrorAction Stop
}
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.
Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> környezetének megfelelő értékeket. A következő parancssori felületi parancsok feltételezik, hogy már feltöltötte a virtuális hálózati adatokat.
Privát végpont létrehozásához először meg kell győződnie arról, hogy az alhálózat privát végpontjának hálózati házirendje le van tiltva. Ezután létrehozhat egy privát végpontot a az network private-endpoint create paranccsal.
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Tárolószinkronizálási szolgáltatás mysssmanagement.westus2.afs.azure.netgazdagépneveinek feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.
# Get the desired storage account suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
azureEnvironment=$(az cloud show \
--query "name" |
tr -d '"')
storageSyncSuffix=""
if [ $azureEnvironment == "AzureCloud" ]
then
storageSyncSuffix="afs.azure.net"
elif [ $azureEnvironment == "AzureUSGovernment" ]
then
storageSyncSuffix="afs.azure.us"
else
echo "Unsupported Azure environment $azureEnvironment."
fi
# For public cloud, this will generate the following DNS suffix:
# privatelinke.afs.azure.net.
dnsZoneName="privatelink.$storageSyncSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
--query "[?name == '$dnsZoneName'].id" \
--output tsv)
dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
possibleResourceGroupName=$(az resource show \
--ids $possibleDnsZone \
--query "resourceGroup" | \
tr -d '"')
link=$(az network private-dns link vnet list \
--resource-group $possibleResourceGroupName \
--zone-name $dnsZoneName \
--query "[?virtualNetwork.id == '$virtualNetwork'].id" \
--output tsv)
if [ -z $link ]
then
echo "1" > /dev/null
else
dnsZoneResourceGroup=$possibleResourceGroupName
dnsZone=$possibleDnsZone
break
fi
done
if [ -z $dnsZone ]
then
# No matching DNS zone attached to virtual network, so create a new one
dnsZone=$(az network private-dns zone create \
--resource-group $virtualNetworkResourceGroupName \
--name $dnsZoneName \
--query "id" | \
tr -d '"')
az network private-dns link vnet create \
--resource-group $virtualNetworkResourceGroupName \
--zone-name $dnsZoneName \
--name "$virtualNetworkName-DnsLink" \
--virtual-network $virtualNetwork \
--registration-enabled false \
--output none
dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.
privateEndpointNIC=$(az network private-endpoint show \
--ids $privateEndpoint \
--query "networkInterfaces[0].id" | \
tr -d '"')
privateIpAddresses=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[].privateIpAddress" \
--output tsv)
hostNames=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[].privateLinkConnectionProperties.fqdns[]" \
--output tsv)
i=0
for privateIpAddress in $privateIpAddresses
do
j=0
targetHostName=""
for hostName in $hostNames
do
if [ $i == $j ]
then
targetHostName=$hostName
break
fi
j=$(expr $j + 1)
done
endpointName=$(echo $targetHostName | \
cut -c1-$(expr $(expr index $targetHostName ".") - 1))
az network private-dns record-set a create \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--name "$endpointName.$storageSyncServiceRegion" \
--output none
az network private-dns record-set a add-record \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--record-set-name "$endpointName.$storageSyncServiceRegion" \
--ipv4-address $privateIpAddress \
--output none
i=$(expr $i + 1)
done
Nyilvános végpontokhoz való hozzáférés korlátozása
A tárfiók és a Storage Sync Services nyilvános végpontjaihoz való hozzáférést korlátozhatja. A nyilvános végponthoz való hozzáférés korlátozása további biztonságot nyújt azáltal, hogy a hálózati csomagokat csak jóváhagyott helyekről fogadják el.
A tárfiók nyilvános végponthoz való hozzáférésének korlátozása
A nyilvános végpont hozzáférési korlátozása a tárfiók tűzfalbeállításainak használatával történik. A tárfiókok legtöbb tűzfalszabályzata általában egy vagy több virtuális hálózat hálózati hozzáférését korlátozza. A tárfiókok virtuális hálózathoz való hozzáférésének korlátozására két módszer létezik:
Hozzon létre egy vagy több privát végpontot a tárfiókhoz , és tiltsa le a nyilvános végponthoz való hozzáférést. Ez biztosítja, hogy csak a kívánt virtuális hálózatokból származó forgalom férhessen hozzá az Azure-fájlmegosztásokhoz a tárfiókon belül.
A nyilvános végpont korlátozása egy vagy több virtuális hálózatra. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ha szolgáltatásvégponton keresztül korlátozza a tárfiókra irányuló forgalmat, a tárfiókot továbbra is a nyilvános IP-címen keresztül éri el.
Feljegyzés
A tárfiókon ki kell jelölni a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezését a tárfiókon, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférhessen a tárfiókhoz. További információ: Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz.
Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének letiltása
Ha a nyilvános végponthoz való hozzáférés le van tiltva, a tárfiók továbbra is elérhető a privát végpontokon keresztül. Ellenkező esetben a rendszer elutasítja a tárfiók nyilvános végpontjára irányuló érvényes kérelmeket.
Lépjen arra a tárfiókra, amelyhez korlátozni szeretné a nyilvános végponthoz való hozzáférést. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.
A lap tetején válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és IP-címek választógombja közül. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.
Az alábbi PowerShell-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a paramétere a -Bypass következő.AzureServices Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.
# This assumes $storageAccount is still defined from the beginning of this of this guide.
$storageAccount | Update-AzStorageAccountNetworkRuleSet `
-DefaultAction Deny `
-Bypass AzureServices `
-WarningAction SilentlyContinue `
-ErrorAction Stop | `
Out-Null
Az alábbi CLI-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a paramétere a -bypass következő.AzureServices Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.
# This assumes $storageAccountResourceGroupName and $storageAccountName
# are still defined from the beginning of this guide.
az storage account update \
--resource-group $storageAccountResourceGroupName \
--name $storageAccountName \
--bypass "AzureServices" \
--default-action "Deny" \
--output none
Hozzáférés biztosítása a megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének korlátozása adott virtuális hálózatokhoz
Ha a tárfiókot meghatározott virtuális hálózatokra korlátozza, engedélyezi a nyilvános végpontra irányuló kéréseket a megadott virtuális hálózatokon belülről. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ez privát végpontokkal vagy anélkül is használható.
Keresse meg azt a tárfiókot, amelyhez a nyilvános végpontot adott virtuális hálózatokra szeretné korlátozni. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.
A lap tetején válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és IP-címek választógombja közül. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. A +Meglévő virtuális hálózat hozzáadása lehetőséget választva válassza ki azt a virtuális hálózatot, amely számára engedélyezni kell a tárfiók nyilvános végponton keresztüli elérését. Válasszon ki egy virtuális hálózatot és egy alhálózatot a virtuális hálózathoz, majd válassza az Engedélyezés lehetőséget.
Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.
Ahhoz, hogy a tárfiók nyilvános végpontja elérhető legyen adott virtuális hálózatokhoz szolgáltatásvégpontok használatával, először adatokat kell gyűjtenünk a tárfiókról és a virtuális hálózatról. Töltse ki, <storage-account-resource-group><storage-account-name>majd <vnet-resource-group-name><vnet-name><subnet-name> gyűjtse össze ezeket az adatokat.
Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi PowerShell-parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs ott.
Ahhoz, hogy a tárfiók nyilvános végpontja elérhető legyen adott virtuális hálózatokhoz szolgáltatásvégpontok használatával, először adatokat kell gyűjtenünk a tárfiókról és a virtuális hálózatról. Töltse ki, <storage-account-resource-group><storage-account-name>majd <vnet-resource-group-name><vnet-name><subnet-name> gyűjtse össze ezeket az adatokat.
Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi PARANCSSOR-parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs ott.
serviceEndpoints=$(az network vnet subnet show \
--resource-group $restrictToVirtualNetworkResourceGroupName \
--vnet-name $restrictToVirtualNetworkName \
--name $subnetName \
--query "serviceEndpoints[].service" \
--output tsv)
foundStorageServiceEndpoint=false
for serviceEndpoint in $serviceEndpoints
do
if [ $serviceEndpoint = "Microsoft.Storage" ]
then
foundStorageServiceEndpoint=true
fi
done
if [ $foundStorageServiceEndpoint = false ]
then
serviceEndpointList=""
for serviceEndpoint in $serviceEndpoints
do
serviceEndpointList+=$serviceEndpoint
serviceEndpointList+=" "
done
serviceEndpointList+="Microsoft.Storage"
az network vnet subnet update \
--ids $subnet \
--service-endpoints $serviceEndpointList \
--output none
fi
A tárfiók felé irányuló forgalom korlátozásának utolsó lépése egy hálózati szabály létrehozása és a tárfiók hálózati szabálykészletének hozzáadása.
A Storage Sync Service nyilvános végponthoz való hozzáférés letiltása
Az Azure File Sync lehetővé teszi, hogy csak magánvégpontokon keresztül korlátozza az adott virtuális hálózatokhoz való hozzáférést; Az Azure File Sync nem támogatja a szolgáltatásvégpontokat a nyilvános végponthoz való hozzáférés adott virtuális hálózatokra való korlátozásához. Ez azt jelenti, hogy a Társzinkronizálási szolgáltatás nyilvános végpontjának két állapota engedélyezve van és le van tiltva.
Fontos
A nyilvános végponthoz való hozzáférés letiltása előtt létre kell hoznia egy privát végpontot. Ha a nyilvános végpont le van tiltva, és nincs konfigurálva privát végpont, a szinkronizálás nem működik.
Lépjen a Storage Sync szolgáltatásra, és válassza a Beállítások>hálózata lehetőséget a bal oldali navigációs sávon.
A Hozzáférés engedélyezése csoportban csak a privát végpontokat válassza ki.
Válasszon ki egy privát végpontot a Privát végpont kapcsolatok listájából.
A Storage Sync Szolgáltatás nyilvános végpontjának hozzáférésének letiltásához állítsa a incomingTrafficPolicy Storage Sync Service tulajdonságát a következőre AllowVirtualNetworksOnly: . Ha engedélyezni szeretné a Társzinkronizálási szolgáltatás nyilvános végpontjának elérését, állítsa be incomingTrafficPolicy helyette AllowAllTraffic . Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> saját értékeit.
Az Azure CLI nem támogatja a tulajdonság beállítását incomingTrafficPolicy a Storage Sync Service-ben. A Storage Sync Service nyilvános végpontjának letiltásához válassza az Azure PowerShell lapot.
Azure Policy
Az Azure Policy segít kikényszeríteni a szervezeti szabványokat, és felmérni a szabványoknak való megfelelőséget. Az Azure Files és az Azure File Sync számos hasznos naplózási és szervizelési hálózati szabályzatot tesz elérhetővé, amelyek segítenek az üzembe helyezés monitorozásában és automatizálásában.
A szabályzatok naplózják a környezetet, és riasztást küldenek, ha a tárfiókok vagy a Storage Sync Services eltérnek a megadott viselkedéstől. Ha például egy nyilvános végpont engedélyezve van, amikor a házirend úgy lett beállítva, hogy a nyilvános végpontok le legyenek tiltva. A szabályzatok módosítása/üzembe helyezése egy lépéssel tovább tart, és proaktív módon módosít egy erőforrást (például a Társzinkronizálási szolgáltatást), vagy erőforrásokat (például privát végpontokat) helyez üzembe a szabályzatokhoz való igazodás érdekében.
Az Azure Fileshoz és az Azure File Synchez az alábbi előre definiált szabályzatok érhetők el:
Művelet
Szolgáltatás
Feltétel
Házirend neve
Audit
Azure Files
A tárfiók nyilvános végpontja engedélyezve van. További információt a megbízható Azure-szolgáltatásokhoz való hozzáférés biztosítása és a tárfiók nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.
A tárfiókok számára korlátozni kell a hálózati hozzáférést
Audit
Azure File Sync
A Társzinkronizálási szolgáltatás nyilvános végpontja engedélyezve van. További információt a Storage Sync Service nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.
Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést
Audit
Azure Files
A tárfióknak legalább egy privát végpontra van szüksége. További információt a tárfiók privát végpontjának létrehozása című témakörben talál.
A tárfióknak privát kapcsolati kapcsolatot kell használnia
Audit
Azure File Sync
A Storage Sync szolgáltatásnak legalább egy privát végpontra van szüksége. További információt a Storage Sync Service privát végpontjának létrehozása című témakörben talál.
Az Azure File Syncnek privát hivatkozást kell használnia
Módosítás
Azure File Sync
Tiltsa le a Storage Sync Szolgáltatás nyilvános végpontját.
Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához
Üzembe helyezés
Azure File Sync
Helyezzen üzembe egy privát végpontot a Storage Sync Szolgáltatáshoz.
Az Azure File Sync konfigurálása privát végpontokkal
Üzembe helyezés
Azure File Sync
Helyezzen üzembe egy A rekordot privatelink.afs.azure.net DNS-zónában.
Az Azure File Sync konfigurálása privát DNS-zónák használatára
Privát végpont üzembehelyezési szabályzatának beállításához nyissa meg az Azure Portalt, és keressen rá a Szabályzatra. Az Azure Policy centernek a legjobb eredménynek kell lennie. Lépjen a Szerzői>definíciók elemre a Házirendközpont tartalomjegyzékében. Az eredményül kapott Definíciók panel az összes Azure-szolgáltatás előre definiált szabályzatát tartalmazza. Az adott szabályzat megkereséséhez válassza ki a Tárolási kategóriát a kategóriaszűrőben, vagy keresse meg az Azure File Sync privát végpontokkal való konfigurálását. Válassza a ... és a Hozzárendelés lehetőséget, ha új szabályzatot szeretne létrehozni a definícióból.
A Szabályzat hozzárendelése varázsló Alapszintű panelje lehetővé teszi a hatókörök, erőforrások vagy erőforráscsoportok kizárási listájának beállítását, valamint a szabályzat felhasználóbarát nevét a megkülönböztetéséhez. Ezeket nem kell módosítania ahhoz, hogy a szabályzat működjön, de akkor is megteheti, ha módosításokat szeretne végezni. A Tovább gombra kattintva lépjen a Paraméterek lapra.
A Paraméterek panelen válassza a privateEndpointSubnetId legördülő lista melletti ... elemet annak a virtuális hálózatnak és alhálózatnak a kiválasztásához, ahol a Storage Sync Service-erőforrások privát végpontjait üzembe kell helyezni. Az eredményként kapott varázsló több másodpercet is igénybe vehet az előfizetésben elérhető virtuális hálózatok betöltéséhez. Válassza ki a környezetének megfelelő virtuális hálózatot/alhálózatot, és kattintson a Kiválasztás gombra. A Tovább gombra kattintva lépjen a Szervizelési panelre.
Ahhoz, hogy a privát végpont üzembe legyen helyezve, amikor egy privát végpont nélküli storage-szinkronizálási szolgáltatás van azonosítva, ki kell választania a Szervizelési oldalon a Szervizelési feladat létrehozása lehetőséget. Végül válassza a Véleményezés + létrehozás lehetőséget a szabályzat-hozzárendelés áttekintéséhez, a létrehozáshoz pedig a Létrehozás lehetőséget.
Az eredményül kapott szabályzat-hozzárendelés rendszeres időközönként lesz végrehajtva, és előfordulhat, hogy a létrehozás után nem fut azonnal.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: