Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az privát végpontokat az Azure Storage-fiókok esetében használhatja, hogy az Azure Virtual Network ügyfelei biztonságosan hozzáférhessenek az adatokhoz egy Private Link révén. A privát végpont külön IP-címet használ a virtuális hálózati címtértől az egyes tárfiók-szolgáltatásokhoz. A virtuális hálózaton lévő ügyfelek és a tárfiók közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton, így kiküszöböli a nyilvános internetről való kitettséget.
Feljegyzés
A privát végpontok nem érhetők el általános célú v1-tárfiókokhoz.
Privát végpontok használata a tárfiókhoz lehetővé teszi a következőket:
- A tárfiók biztonságossá tételéhez használjon privát hivatkozást. Manuálisan konfigurálhatja a tárolási tűzfalat a tárolószolgáltatás nyilvános végpontján lévő kapcsolatok blokkolásához. A privát hivatkozás létrehozása nem blokkolja automatikusan a nyilvános végpont kapcsolatait.
- Növelje a virtuális hálózat biztonságát azáltal, hogy letiltja az adatok kiszivárgását a virtuális hálózatból.
- Biztonságosan csatlakozhat a helyszíni hálózatokról származó tárfiókokhoz, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter egy Azure szolgáltatáshoz a Virtual Network. Amikor privát végpontot hoz létre a tárfiókhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a tárterület között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és a tárolási szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak a tárolási szolgáltatáshoz a privát végponton keresztül ugyanazokkal a kapcsolati sztringekkel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok a tárfiók által támogatott összes protokollhoz használhatók, beleértve a REST-et és az SMB-t is.
A privát végpontok szolgáltatásvégpontokat használó alhálózatokban hozhatók létre. Az alhálózatban lévő ügyfelek így privát végpontok használatával csatlakozhatnak egy tárfiókhoz, míg a szolgáltatásvégpontok segítségével másokhoz is hozzáférhetnek.
Amikor privát végpontot hoz létre egy tárolószolgáltatáshoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérelmet küld a tárfiók tulajdonosának. Ha a privát végpont létrehozását kérelmező felhasználó egyben a tárfiók tulajdonosa, a rendszer automatikusan jóváhagyja a hozzájárulási kérést.
A tárfiókok tulajdonosai a Azure portál tárfiókjának "Private végpontok" lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.
Tipp.
Ha csak a privát végponton keresztül szeretné korlátozni a tárfiókhoz való hozzáférést, konfigurálja a tár tűzfalat a nyilvános végponton keresztüli hozzáférés megtagadására vagy szabályozására.
A tárfiókot úgy is biztonságossá teheti, hogy csak a virtuális hálózatból érkező kapcsolatokat fogadja el, ha úgy konfigurálja a tár tűzfalat , hogy alapértelmezés szerint megtagadja a nyilvános végponton keresztüli hozzáférést. Nincs szükség tűzfalszabályra a privát végpontot tartalmazó virtuális hálózatból érkező forgalom engedélyezéséhez, mivel a tároló tűzfala csak a nyilvános végponton keresztül szabályozza a hozzáférést. A privát végpontok ehelyett az alhálózatok számára a tárolási szolgáltatáshoz való hozzáférés engedélyezéséhez szükséges hozzájárulási folyamatra támaszkodnak.
Emellett a privát végpontok konfigurálásakor a társított virtuális hálózatból érkező forgalom mindig engedélyezett, még akkor is, ha a nyilvános hálózati hozzáférés le van tiltva a tárfiókban.
Feljegyzés
A blobok tárfiókok közötti másolásakor az ügyfélnek hálózati hozzáféréssel kell rendelkeznie mindkét fiókhoz. Ha tehát csak egy fiókhoz (a forráshoz vagy a célhoz) használ privát kapcsolatot, győződjön meg arról, hogy az ügyfél hálózati hozzáféréssel rendelkezik a másik fiókhoz. A hálózati hozzáférés konfigurálásának egyéb módjairól a Konfigurálás Azure Storage tűzfalak és virtuális hálózatok konfigurálása című témakörben olvashat.
Privát végpont létrehozása
Ha privát végpontot szeretne létrehozni az Azure portál használatával, tekintse meg a Privát kapcsolat létesítése egy tárfiókhoz az Azure portálon a Tárfiók kezelése nézetből.
Ha privát végpontot szeretne létrehozni a PowerShell vagy a Azure CLI használatával, tekintse meg az alábbi cikkek egyikét. Mindkettő egy Azure webalkalmazást tartalmaz célszolgáltatásként, de a privát hivatkozás létrehozásának lépései megegyeznek egy Azure Storage-fiók esetében.
Privát végpont létrehozása Azure CLI Privát végpont létrehozása Azure PowerShell
Amikor létrehoz egy privát végpontot, meg kell adnia a tárolási fiókot és a tárolási szolgáltatást, amelyhez csatlakozik.
Minden elérni kívánt tárolóerőforráshoz külön privát végpontra van szüksége, nevezetesen Blobs, Data Lake Storage, Files, Queues, Tables vagy Static Websites. A privát végponton ezek a tárolási szolgáltatások a társított tárfiók cél-alerőforrásaként vannak definiálva.
Ha privát végpontot hoz létre a Data Lake Storage tárolóerőforráshoz, akkor a Blob Storage erőforráshoz is létre kell hoznia egyet. Ennek az az oka, hogy a Data Lake Storage végpontot célzó műveletek átirányíthatók a Blob-végpontra. Hasonlóképpen, ha privát végpontot ad hozzá csak Blob Storage, és nem Data Lake Storage, egyes műveletek (például az ACL kezelése, a címtár létrehozása, a címtár törlése stb.) meghiúsulnak, mivel az API-khoz DFS privát végpontra van szükség. Azzal, hogy mindkét erőforráshoz létrehoz egy privát végpontot, biztosítja, hogy minden művelet sikeresen befejeződhessen.
Tipp.
Hozzon létre egy külön privát végpontot a tárolási szolgáltatás másodlagos példányához az RA-GRS-fiókok jobb olvasási teljesítménye érdekében. Mindenképpen hozzon létre egy általános célú v2(Standard vagy Premium) tárfiókot.
A másodlagos régióhoz való olvasási hozzáféréshez georedundáns tároláshoz konfigurált tárfiókkal külön privát végpontokra van szükség a szolgáltatás elsődleges és másodlagos példányai számára is. A feladatátvételhez nem kell privát végpontot létrehoznia a másodlagos példányhoz. A privát végpont automatikusan csatlakozik az új elsődleges példányhoz a feladatátvétel után. A tárolási redundancia beállításairól további információt a Azure Storage redundancia című témakörben talál.
Csatlakozás privát végponthoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a connection string kell használniuk a tárfiókhoz, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldásra támaszkodva automatikusan átirányítjuk a kapcsolatokat a virtuális hálózatról a tárfiókba egy privát kapcsolaton keresztül.
Fontos
Használja ugyanazt a kapcsolati karakterláncot a tárfiókhoz való csatlakozáshoz privát végpontokkal, ahogy máskor is tenné. Ne csatlakozzon a tárolófiókhoz az privatelink altartomány URL-címén keresztül.
Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz a privát végpontokhoz szükséges frissítésekkel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción. Az alábbi DNS-módosításokról szóló szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.
DNS-módosítások privát végpontokhoz
Feljegyzés
A privát végpontok DNS-beállításainak konfigurálásával kapcsolatos részletekért lásd: Azure privát végpont DNS-konfigurációja.
Privát végpont létrehozásakor a tárfiók DNS CNAME erőforrásrekordja egy altartomány aliasára frissül az előtaggal privatelink. Alapértelmezés szerint az is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha a tárvégpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a tárolási szolgáltatás nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.
A fenti példában a "StorageAccountA" tárfiók DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <storage szolgáltatás nyilvános végpontja> |
| <storage szolgáltatás nyilvános végpontja> | Egy | <storage szolgáltatás nyilvános IP-címe> |
Ahogy korábban említettük, a nyilvános végponton keresztül megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a tárolási tűzfal használatával.
A StorageAccountA DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózaton lévő ügyfél feloldja, a következő lesz:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
Egy | 10.1.1.5 |
Ez a megközelítés lehetővé teszi a tárfiókhoz való hozzáférést ugyanazzal a kapcsolati stringgel mind a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek, mind a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózatán, akkor az ügyfeleknek képesnek kell lenniük feloldani a tárfiók végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja a DNS-kiszolgálót, hogy a privát kapcsolat altartományát delegálja a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat a privát végpont IP-címével StorageAccountA.privatelink.blob.core.windows.net.
Tipp.
Egyéni vagy helyszíni DNS-kiszolgáló használata esetén a DNS-kiszolgálót úgy kell konfigurálnia, hogy az altartományban privatelink lévő tárfiók nevét a privát végpont IP-címére oldja fel. Ezt úgy teheti meg, hogy delegálja az privatelink altartományt a virtuális hálózat privát DNS-zónájára, vagy konfigurálja a DNS-zónát a DNS-kiszolgálón, és hozzáadja az A DNS-rekordokat.
A tárolási szolgáltatások privát végpontjaihoz és a kapcsolódó végponti cél alerőforrásokhoz ajánlott DNS-zónanevek a következők:
| Storage-szolgáltatás | Célzott alerőforrás | Zónanév |
|---|---|---|
| Blob service | blob | privatelink.blob.core.windows.net |
| Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
| Fájlszolgáltatás | fájl | privatelink.file.core.windows.net |
| Queue szolgáltatás | üzenetsor | privatelink.queue.core.windows.net |
| Table service | tábla | privatelink.table.core.windows.net |
| Statikus webhelyek | web | privatelink.web.core.windows.net |
A saját DNS-kiszolgáló privát végpontok támogatásához való konfigurálásáról az alábbi cikkekben talál további információt:
Díjszabás
A díjszabás részleteiért lásd: Azure Private Link díjszabás.
Ismert problémák
Vegye figyelembe az alábbi ismert problémákat a Azure Storage privát végpontjaival kapcsolatban.
A privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek tárolási hozzáférési korlátozásai
A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek, amikor más privát végpontokkal rendelkező tárfiókokhoz férnek hozzá. Tegyük fel például, hogy egy N1 virtuális hálózat privát végpontja van a Blob Storage A1 tárfiókhoz. Ha az A2 tárfiók egy privát végponttal rendelkezik egy N2 virtuális hálózatban a Blob Storage számára, akkor az N1 virtuális hálózat ügyfeleinek is hozzá kell férniük a Blob Storage-hoz az A2 fiókban egy privát végpont használatával. Ha az A2 tárfiók nem rendelkezik privát végpontokkal a Blob Storage-hoz, akkor az N1 virtuális hálózat ügyfelei privát végpont nélkül érhetik el a blobtárolót az adott fiókban.
Ez a korlátozás annak a DNS-módosításnak az eredménye, amely akkor történt, amikor az A2 fiók létrehoz egy privát végpontot.
Blobok másolása tárfiókok között
Blobokat csak akkor másolhat a tárfiókok között privát végpontok használatával, ha a Azure REST API-t vagy a REST API-t használó eszközöket használja. Ezek az eszközök közé tartoznak a AzCopy, a Storage Explorer, a Azure PowerShell, a Azure CLI és a Azure Blob Storage SDK-k.
Kizárólag azok a privát végpontok támogatottak, amelyek a blob vagy a file tárolási erőforrásvégpontot célozzák. Ez magában foglalja a REST API-hívásokat Data Lake Storage-fiókokhoz, amelyekben a blob erőforrásvégpontra explicit módon vagy implicit módon hivatkozik. A Data Lake Storage dfs erőforrásvégpontot megcélozó privát végpontok még nem támogatottak. A tárfiókok közötti másolás a Hálózati fájlrendszer (NFS) protokoll használatával még nem támogatott.