Nyilvános és magánhálózati Azure File Sync-végpontok konfigurálása

Az Azure Files és az Azure File Sync két fő végponttípust biztosít az Azure-fájlmegosztások eléréséhez:

Nyilvános végpontok, amelyek nyilvános IP-címmel rendelkeznek, és a világ bármely pontjáról elérhetők.
Privát végpontok, amelyek egy virtuális hálózaton belül léteznek, és a virtuális hálózat címteréből származó privát IP-címmel rendelkeznek.

Az Azure Files és az Azure File Sync esetében az Azure felügyeleti objektumai (a tárfiók és a Társzinkronizálási szolgáltatás) mind a nyilvános, mind a privát végpontot vezérli. A tárfiók egy felügyeleti szerkezet, amely egy megosztott tárolókészletet jelöl, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobokat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás egy olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, valamint szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.

Ez a cikk az Azure Files és az Azure File Sync hálózati végpontjainak konfigurálását ismerteti. Ha többet szeretne megtudni arról, hogyan konfigurálhatja a hálózati végpontokat az Azure-fájlmegosztások közvetlen elérésére, ahelyett, hogy a helyszínieket gyorsítótárazaná az Azure File Synctel, olvassa el az Azure Files hálózati végpontjainak konfigurálása című témakört.

Javasoljuk, hogy az útmutató elolvasása előtt olvassa el az Azure File Sync hálózatkezelési szempontjait .

Előfeltételek

Ez a cikk a következőket feltételezi:

Rendelkezik Azure-előfizetéssel. Ha még nem rendelkezik előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Már létrehozott egy Azure-fájlmegosztást egy tárfiókban, amelyhez a helyszínen szeretne csatlakozni. Az Azure-fájlmegosztások létrehozásáról az Azure-fájlmegosztás létrehozása című témakörben olvashat.
Engedélyezze a tartományforgalmat a következő végpontokra, lásd: Azure-szolgáltatásvégpontok.

Továbbá:

Ha az Azure PowerShellt szeretné használni, telepítse a legújabb verziót.
Ha az Azure CLI-t szeretné használni, telepítse a legújabb verziót.

A privát végpontok létrehozása

Amikor privát végpontot hoz létre egy Azure-erőforráshoz, a következő erőforrások lesznek üzembe helyezve:

Privát végpont: Egy Azure-erőforrás, amely a tárfiók vagy a Társzinkronizálási szolgáltatás privát végpontja. Gondoljon erre úgy, mint az Azure-erőforrást és egy hálózati adaptert összekötő erőforrásra.
Hálózati adapter (NIC): Az a hálózati adapter, amely a megadott virtuális hálózaton/alhálózaton belül privát IP-címet tart fenn. Ez pontosan ugyanaz az erőforrás, amely virtuális gép (VM) üzembe helyezésekor lesz üzembe helyezve, azonban ahelyett, hogy egy virtuális géphez rendelne hozzá, az a privát végpont tulajdonában van.
Privát DNS-zóna: Ha még soha nem telepített privát végpontot ehhez a virtuális hálózathoz, egy új privát DNS-zóna lesz üzembe helyezve a virtuális hálózathoz. Ebben a DNS-zónában egy DNS A rekord is létrejön az Azure-erőforráshoz. Ha már üzembe helyezett egy privát végpontot ebben a virtuális hálózatban, a rendszer hozzáad egy új A rekordot az Azure-erőforráshoz a meglévő DNS-zónához. A DNS-zóna üzembe helyezése nem kötelező, azonban erősen ajánlott a SZÜKSÉGES DNS-kezelés egyszerűsítése érdekében.

Feljegyzés

Ez a cikk az Azure nyilvános régióihoz, core.windows.net a tárfiókokhoz és afs.azure.net a Storage Sync Serviceshez használt DNS-utótagokat használja. Ez az Azure Szuverén felhőkre is vonatkozik, például az Azure US Government-felhőre – csak cserélje le a környezetének megfelelő utótagokat.

A tárfiók privát végpontjának létrehozása

Lépjen arra a tárfiókra, amelyhez privát végpontot szeretne létrehozni. A szolgáltatásmenü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés, a Privát végpont kapcsolatai, majd a + Privát végpont lehetőséget egy új privát végpont létrehozásához.

Az eredményként kapott varázsló több oldalból áll.

Az Alapszintű beállítások panelen válassza ki a kívánt előfizetést, erőforráscsoportot, nevet, hálózati adapternevet és régiót a privát végponthoz. Ezek lehetnek tetszőlegesek, nem kell semmilyen módon megegyezniük a tárfiókokkal, bár a privát végpontot ugyanabban a régióban kell létrehoznia, amelyben a privát végpontot létre szeretné hozni. Ezután válassza a Tovább: Erőforrás lehetőséget.

Az Erőforrás panelen válassza ki a cél alerőforráshoz tartozó fájlt. Ezután válassza a Tovább: Virtuális hálózat lehetőséget.

A Virtuális hálózat panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki az új privát végpont dinamikus vagy statikus IP-címfoglalását. Ha statikus beállítást választ, meg kell adnia egy nevet és egy magánhálózati IP-címet is. Igény szerint alkalmazásbiztonsági csoportot is megadhat. Ha végzett, válassza a Tovább: DNS lehetőséget.

A DNS panel a privát végpont privát DNS-zónával való integrálására vonatkozó információkat tartalmazza. Győződjön meg arról, hogy az előfizetés és az erőforráscsoport helyes, majd válassza a Tovább: Címkék lehetőséget.

Igény szerint címkéket is alkalmazhat az erőforrások kategorizálásához, például alkalmazhatja a Környezet nevet és a Teszt értéket az összes tesztelési erőforrásra. Szükség esetén adja meg a név-érték párokat, majd válassza a Tovább: Véleményezés + létrehozás lehetőséget.

Válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Ha virtuális géppel rendelkezik a virtuális hálózaton belül, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, tesztelheti, hogy a privát végpont megfelelően van-e beállítva a Következő parancsok futtatásával a PowerShellből, a parancssorból vagy a terminálból (Windows, Linux vagy macOS rendszeren működik). A megfelelő tárhelyfiók nevére kell cserélnie a(z) <storage-account-name> elemet.

nslookup <storage-account-name>.file.core.windows.net

Ha minden sikeresen működik, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a magánvégpont privát IP-címe látható a virtuális hálózaton (a kimenet Windows esetén látható):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Ha privát végpontot szeretne létrehozni a tárfiókhoz, először be kell szereznie egy hivatkozást a tárfiókra és arra a virtuális hálózati alhálózatra, amelyhez hozzá szeretné adni a privát végpontot. Cserélje le <storage-account-resource-group-name>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name> és <vnet-subnet-name> az alábbiak szerint:

$storageAccountResourceGroupName = "<storage-account-resource-group-name>"
$storageAccountName = "<storage-account-name>"
$virtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$virtualNetworkName = "<vnet-name>"
$subnetName = "<vnet-subnet-name>"

# Get storage account reference, and throw error if it doesn't exist
$storageAccount = Get-AzStorageAccount `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name $storageAccountName `
        -ErrorAction SilentlyContinue

if ($null -eq $storageAccount) {
    $errorMessage = "Storage account $storageAccountName not found "
    $errorMessage += "in resource group $storageAccountResourceGroupName."
    Write-Error -Message $errorMessage -ErrorAction Stop
}

# Get virtual network reference, and throw error if it doesn't exist
$virtualNetwork = Get-AzVirtualNetwork `
        -ResourceGroupName $virtualNetworkResourceGroupName `
        -Name $virtualNetworkName `
        -ErrorAction SilentlyContinue

if ($null -eq $virtualNetwork) {
    $errorMessage = "Virtual network $virtualNetworkName not found "
    $errorMessage += "in resource group $virtualNetworkResourceGroupName."
    Write-Error -Message $errorMessage -ErrorAction Stop
}

# Get reference to virtual network subnet, and throw error if it doesn't exist
$subnet = $virtualNetwork | `
    Select-Object -ExpandProperty Subnets | `
    Where-Object { $_.Name -eq $subnetName }

if ($null -eq $subnet) {
    Write-Error `
            -Message "Subnet $subnetName not found in virtual network $virtualNetworkName." `
            -ErrorAction Stop
}

Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a tárfiókhoz. A privát kapcsolat szolgáltatáskapcsolat a privát végpont létrehozásának bemenete.

# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
    Set-AzVirtualNetwork -ErrorAction Stop

# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name "$storageAccountName-Connection" `
        -PrivateLinkServiceId $storageAccount.Id `
        -GroupId "file" `
        -ErrorAction Stop

# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name "$storageAccountName-PrivateEndpoint" `
        -Location $virtualNetwork.Location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -ErrorAction Stop

Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpontok létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás közvetlen csatlakoztatásához egy AD-felhasználónév használatával, vagy a REST API-val való hozzáféréshez.

# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$storageAccountSuffix = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty StorageEndpointSuffix

# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
$dnsZoneName = "privatelink.file.$storageAccountSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
    Where-Object { $_.Name -eq $dnsZoneName } | `
    Where-Object {
        $privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
                -ResourceGroupName $_.ResourceGroupName `
                -ZoneName $_.Name `
                -ErrorAction SilentlyContinue
        
        $privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
    }

if ($null -eq $dnsZone) {
    # No matching DNS zone attached to virtual network, so create new one.
    $dnsZone = New-AzPrivateDnsZone `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -Name $dnsZoneName `
            -ErrorAction Stop

    $privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -ZoneName $dnsZoneName `
            -Name "$virtualNetworkName-DnsLink" `
            -VirtualNetworkId $virtualNetwork.Id `
            -ErrorAction Stop
}

Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.

$privateEndpointIP = $privateEndpoint | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object @{ 
        Name = "NetworkInterfaces"; 
        Expression = { Get-AzNetworkInterface -ResourceId $_.Id } 
    } | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateIpAddress

$privateDnsRecordConfig = New-AzPrivateDnsRecordConfig `
        -IPv4Address $privateEndpointIP

New-AzPrivateDnsRecordSet `
        -ResourceGroupName $virtualNetworkResourceGroupName `
        -Name $storageAccountName `
        -RecordType A `
        -ZoneName $dnsZoneName `
        -Ttl 600 `
        -PrivateDnsRecords $privateDnsRecordConfig `
        -ErrorAction Stop | `
    Out-Null

Ha a virtuális hálózaton belül virtuális géppel rendelkezik, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, az alábbi parancsokkal tesztelheti, hogy a privát végpont megfelelően van-e beállítva:

$storageAccountHostName = [System.Uri]::new($storageAccount.PrimaryEndpoints.file) | `
    Select-Object -ExpandProperty Host

Resolve-DnsName -Name $storageAccountHostName

Ha minden sikeresen működik, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható:

Name                             Type   TTL   Section    NameHost
----                             ----   ---   -------    --------
storageaccount.file.core.windows CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
.net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 600
Section    : Answer
IP4Address : 192.168.0.5

storageAccountResourceGroupName="<storage-account-resource-group-name>"
storageAccountName="<storage-account-name>"
virtualNetworkResourceGroupName="<vnet-resource-group-name>"
virtualNetworkName="<vnet-name>"
subnetName="<vnet-subnet-name>"

# Get storage account ID 
storageAccount=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "id" | \
    tr -d '"')

# Get virtual network ID
virtualNetwork=$(az network vnet show \
        --resource-group $virtualNetworkResourceGroupName \
        --name $virtualNetworkName \
        --query "id" | \
    tr -d '"')

# Get subnet ID
subnet=$(az network vnet subnet show \
        --resource-group $virtualNetworkResourceGroupName \
        --vnet-name $virtualNetworkName \
        --name $subnetName \
        --query "id" | \
    tr -d '"')

Privát végpont létrehozásához először meg kell győződnie arról, hogy az alhálózat privát végpontjának hálózati házirendje le van tiltva. Ezután létrehozhat egy privát végpontot a az network private-endpoint create paranccsal.

# Disable private endpoint network policies
az network vnet subnet update \
        --ids $subnet \
        --disable-private-endpoint-network-policies \
        --output none

# Get virtual network location
region=$(az network vnet show \
        --ids $virtualNetwork \
        --query "location" | \
    tr -d '"')

# Create a private endpoint
privateEndpoint=$(az network private-endpoint create \
        --resource-group $storageAccountResourceGroupName \
        --name "$storageAccountName-PrivateEndpoint" \
        --location $region \
        --subnet $subnet \
        --private-connection-resource-id $storageAccount \
        --group-id "file" \
        --connection-name "$storageAccountName-Connection" \
        --query "id" | \
    tr -d '"')

Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpont létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás csatlakoztatása egy AD-felhasználónévvel vagy a REST API-val való hozzáféréshez.

# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
storageAccountSuffix=$(az cloud show \
        --query "suffixes.storageEndpoint" | \
    tr -d '"')

# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
dnsZoneName="privatelink.file.$storageAccountSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
        --query "[?name == '$dnsZoneName'].id" \
        --output tsv)

dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
    possibleResourceGroupName=$(az resource show \
            --ids $possibleDnsZone \
            --query "resourceGroup" | \
        tr -d '"')
    
    link=$(az network private-dns link vnet list \
            --resource-group $possibleResourceGroupName \
            --zone-name $dnsZoneName \
            --query "[?virtualNetwork.id == '$virtualNetwork'].id" \
            --output tsv)
    
    if [ -z $link ]
    then
        echo "1" > /dev/null
    else 
        dnsZoneResourceGroup=$possibleResourceGroupName
        dnsZone=$possibleDnsZone
        break
    fi  
done

if [ -z $dnsZone ]
then
    # No matching DNS zone attached to virtual network, so create a new one
    dnsZone=$(az network private-dns zone create \
            --resource-group $virtualNetworkResourceGroupName \
            --name $dnsZoneName \
            --query "id" | \
        tr -d '"')
    
    az network private-dns link vnet create \
            --resource-group $virtualNetworkResourceGroupName \
            --zone-name $dnsZoneName \
            --name "$virtualNetworkName-DnsLink" \
            --virtual-network $virtualNetwork \
            --registration-enabled false \
            --output none
    
    dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi

Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.

privateEndpointNIC=$(az network private-endpoint show \
        --ids $privateEndpoint \
        --query "networkInterfaces[0].id" | \
    tr -d '"')

privateEndpointIP=$(az network nic show \
        --ids $privateEndpointNIC \
        --query "ipConfigurations[0].privateIPAddress" | \
    tr -d '"')

az network private-dns record-set a create \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --name $storageAccountName \
        --output none

az network private-dns record-set a add-record \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --record-set-name $storageAccountName \
        --ipv4-address $privateEndpointIP \
        --output none

httpEndpoint=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "primaryEndpoints.file" | \
    tr -d '"')

hostName=$(echo $httpEndpoint | cut -c7-$(expr length $httpEndpoint) | tr -d "/")
nslookup $hostName

Ha minden sikeresen működik, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható:

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
storageaccount.file.core.windows.net      canonical name = storageaccount.privatelink.file.core.windows.net.
Name:   storageaccount.privatelink.file.core.windows.net
Address: 192.168.0.5

A Storage Sync Service privát végpontjának létrehozása

Lépjen a Privát hivatkozás központba úgy, hogy beírja a Private Link szót az Azure Portal tetején található keresősávba. A Private Link Center tartalomjegyzékében válassza a Privát végpontok lehetőséget, majd a + Hozzáadás lehetőséget egy új privát végpont létrehozásához.

Az eredményként kapott varázsló több oldalból áll.

Az Alapok panelen válassza ki a kívánt erőforráscsoportot, nevet és régiót a privát végponthoz. Ezek bármit jelenthetnek az ön számára, és nem kell megegyezniük a Társzinkronizálási szolgáltatással. Fontos azonban, hogy a privát végpontot ugyanabban a régióban hozza létre, amelyben a virtuális hálózatot szeretné létrehozni.

Képernyőkép a privát végpont létrehozása szakasz Alapjai szakaszáról

Az Erőforrás panelen válassza a Saját könyvtárban lévő Azure-erőforráshoz való csatlakozás választógombot. Az erőforrástípus alatt válassza a Microsoft.StorageSync/storageSyncServices lehetőséget az erőforrástípushoz.

A Konfiguráció panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki ugyanazt a virtuális hálózatot, amelyet a fenti tárfiókhoz használt. A Konfiguráció panel a privát DNS-zóna létrehozásához/frissítéséhez szükséges információkat is tartalmazza.

A privát végpont létrehozásához válassza a Véleményezés + létrehozás lehetőséget .

Az alábbi PowerShell-parancsok futtatásával tesztelheti, hogy a privát végpont megfelelően van-e beállítva.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Ha minden megfelelően működik, a következő kimenetnek kell megjelennie, ahol 192.168.1.4, 192.168.1.5, 192.168.1.6 és 192.168.1.7 a privát végponthoz rendelt IP-címek:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el a <storage-sync-service-resource-group> és <storage-sync-service> helyére a környezetének megfelelő értékeket beilleszteni. A következő PowerShell-parancsok feltételezik, hogy már feltöltötte a virtuális hálózati adatokat.

$storageSyncServiceResourceGroupName = "<storage-sync-service-resource-group>"
$storageSyncServiceName = "<storage-sync-service>"

$storageSyncService = Get-AzStorageSyncService `
        -ResourceGroupName $storageSyncServiceResourceGroupName `
        -Name $storageSyncServiceName `
        -ErrorAction SilentlyContinue

if ($null -eq $storageSyncService) {
    $errorMessage = "Storage Sync Service $storageSyncServiceName not found "
    $errorMessage += "in resource group $storageSyncServiceResourceGroupName."
    Write-Error -Message $errorMessage -ErrorAction Stop
}

Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a Társzinkronizálási szolgáltatással. A privát kapcsolat a privát végpont létrehozásának bemenete.

# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
    Set-AzVirtualNetwork -ErrorAction Stop

# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name "$storageSyncServiceName-Connection" `
        -PrivateLinkServiceId $storageSyncService.ResourceId `
        -GroupId "Afs" `
        -ErrorAction Stop

# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $storageSyncServiceResourceGroupName `
        -Name "$storageSyncServiceName-PrivateEndpoint" `
        -Location $virtualNetwork.Location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -ErrorAction Stop

Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Tárolószinkronizálási szolgáltatás mysssmanagement.westus2.afs.azure.netgazdagépneveinek feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.

# Get the desired Storage Sync Service suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$azureEnvironment = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

switch($azureEnvironment) {
    "AzureCloud" {
        $storageSyncSuffix = "afs.azure.net"
    }

    "AzureUSGovernment" {
        $storageSyncSuffix = "afs.azure.us"
    }

   "AzureChinaCloud" {
        $storageSyncSuffix = "afs.azure.cn"
    }

    default {
        Write-Error
                -Message "The Azure environment $_ is not currently supported by Azure File Sync." `
                -ErrorAction Stop
    }
}

# For public cloud, this will generate the following DNS suffix:
# privatelink.afs.azure.net
$dnsZoneName = "privatelink.$storageSyncSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
    Where-Object { $_.Name -eq $dnsZoneName } | `
    Where-Object {
        $privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
                -ResourceGroupName $_.ResourceGroupName `
                -ZoneName $_.Name `
                -ErrorAction SilentlyContinue

        $privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
    }

if ($null -eq $dnsZone) {
    # No matching DNS zone attached to virtual network, so create new one.
    $dnsZone = New-AzPrivateDnsZone `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -Name $dnsZoneName `
            -ErrorAction Stop

    $privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -ZoneName $dnsZoneName `
            -Name "$virtualNetworkName-DnsLink" `
            -VirtualNetworkId $virtualNetwork.Id `
            -ErrorAction Stop
}

Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.

$privateEndpointIpFqdnMappings = $privateEndpoint | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    ForEach-Object {
        $privateIpAddress = $_.PrivateIpAddress;
        $_ | `
            Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
            Select-Object -ExpandProperty Fqdns | `
            Select-Object `
                @{
                    Name = "PrivateIpAddress";
                    Expression = { $privateIpAddress }
                }, `
                @{
                    Name = "FQDN";
                    Expression = { $_ }
                }
    }

foreach($ipFqdn in $privateEndpointIpFqdnMappings) {
    $privateDnsRecordConfig = New-AzPrivateDnsRecordConfig `
        -IPv4Address $ipFqdn.PrivateIpAddress

    $dnsEntry = $ipFqdn.FQDN.Substring(0,
        $ipFqdn.FQDN.IndexOf(".", $ipFqdn.FQDN.IndexOf(".") + 1))

    New-AzPrivateDnsRecordSet `
            -ResourceGroupName $virtualNetworkResourceGroupName `
            -Name $dnsEntry `
            -RecordType A `
            -ZoneName $dnsZoneName `
            -Ttl 600 `
            -PrivateDnsRecords $privateDnsRecordConfig `
            -ErrorAction Stop | `
        Out-Null
}

Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el lecserélni a <storage-sync-service-resource-group> és <storage-sync-service> elemeket a környezetének megfelelő értékekre. A következő parancssori felületi parancsok feltételezik, hogy már feltöltötte a virtuális hálózati adatokat.

storageSyncServiceResourceGroupName="<storage-sync-service-resource-group>"
storageSyncServiceName="<storage-sync-service>"

storageSyncService=$(az resource show \
        --resource-group $storageSyncServiceResourceGroupName \
        --name $storageSyncServiceName \
        --resource-type "Microsoft.StorageSync/storageSyncServices" \
        --query "id" | \
    tr -d '"')

storageSyncServiceRegion=$(az resource show \
        --resource-group $storageSyncServiceResourceGroupName \
        --name $storageSyncServiceName \
        --resource-type "Microsoft.StorageSync/storageSyncServices" \
        --query "location" | \
    tr -d '"')

# Disable private endpoint network policies
az network vnet subnet update \
        --ids $subnet \
        --disable-private-endpoint-network-policies \
        --output none

# Get virtual network location
region=$(az network vnet show \
        --ids $virtualNetwork \
        --query "location" | \
    tr -d '"')

# Create a private endpoint
privateEndpoint=$(az network private-endpoint create \
        --resource-group $storageSyncServiceResourceGroupName \
        --name "$storageSyncServiceName-PrivateEndpoint" \
        --location $region \
        --subnet $subnet \
        --private-connection-resource-id $storageSyncService \
        --group-id "Afs" \
        --connection-name "$storageSyncServiceName-Connection" \
        --query "id" | \
    tr -d '"')

Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Storage Sync szolgáltatás gazdagépneveinek, mint például a mysssmanagement.westus2.afs.azure.net, feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.

# Get the desired storage account suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
azureEnvironment=$(az cloud show \
        --query "name" |
    tr -d '"')

storageSyncSuffix=""
if [ $azureEnvironment == "AzureCloud" ]
then
    storageSyncSuffix="afs.azure.net"
elif [ $azureEnvironment == "AzureUSGovernment" ]
then
    storageSyncSuffix="afs.azure.us"
else
    echo "Unsupported Azure environment $azureEnvironment."
fi

# For public cloud, this will generate the following DNS suffix:
# privatelinke.afs.azure.net.
dnsZoneName="privatelink.$storageSyncSuffix"

# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
        --query "[?name == '$dnsZoneName'].id" \
        --output tsv)

dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
    possibleResourceGroupName=$(az resource show \
            --ids $possibleDnsZone \
            --query "resourceGroup" | \
        tr -d '"')

    link=$(az network private-dns link vnet list \
            --resource-group $possibleResourceGroupName \
            --zone-name $dnsZoneName \
            --query "[?virtualNetwork.id == '$virtualNetwork'].id" \
            --output tsv)

    if [ -z $link ]
    then
        echo "1" > /dev/null
    else
        dnsZoneResourceGroup=$possibleResourceGroupName
        dnsZone=$possibleDnsZone
        break
    fi
done

if [ -z $dnsZone ]
then
    # No matching DNS zone attached to virtual network, so create a new one
    dnsZone=$(az network private-dns zone create \
            --resource-group $virtualNetworkResourceGroupName \
            --name $dnsZoneName \
            --query "id" | \
        tr -d '"')

    az network private-dns link vnet create \
            --resource-group $virtualNetworkResourceGroupName \
            --zone-name $dnsZoneName \
            --name "$virtualNetworkName-DnsLink" \
            --virtual-network $virtualNetwork \
            --registration-enabled false \
            --output none

    dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi

Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.

privateEndpointNIC=$(az network private-endpoint show \
        --ids $privateEndpoint \
        --query "networkInterfaces[0].id" | \
    tr -d '"')

privateIpAddresses=$(az network nic show \
        --ids $privateEndpointNIC \
        --query "ipConfigurations[].privateIpAddress" \
        --output tsv)

hostNames=$(az network nic show \
        --ids $privateEndpointNIC \
        --query "ipConfigurations[].privateLinkConnectionProperties.fqdns[]" \
        --output tsv)

i=0
for privateIpAddress in $privateIpAddresses
do
    j=0
    targetHostName=""
    for hostName in $hostNames
    do
        if [ $i == $j ]
        then
            targetHostName=$hostName
            break
        fi

        j=$(expr $j + 1)
    done

    endpointName=$(echo $targetHostName | \
        cut -c1-$(expr $(expr index $targetHostName ".") - 1))

    az network private-dns record-set a create \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --name "$endpointName.$storageSyncServiceRegion" \
        --output none

    az network private-dns record-set a add-record \
        --resource-group $dnsZoneResourceGroup \
        --zone-name $dnsZoneName \
        --record-set-name "$endpointName.$storageSyncServiceRegion" \
        --ipv4-address $privateIpAddress \
        --output none

    i=$(expr $i + 1)
done

Nyilvános végpontokhoz való hozzáférés korlátozása

A tárfiók és a Storage Sync Services nyilvános végpontjaihoz való hozzáférést korlátozhatja. A nyilvános végponthoz való hozzáférés korlátozása további biztonságot nyújt azáltal, hogy a hálózati csomagokat csak jóváhagyott helyekről fogadják el.

A tárfiók nyilvános végponthoz való hozzáférésének korlátozása

A nyilvános végpont hozzáférési korlátozása a tárfiók tűzfalbeállításainak használatával történik. A tárfiókok legtöbb tűzfalszabályzata általában egy vagy több virtuális hálózat hálózati hozzáférését korlátozza. A tárfiókok virtuális hálózathoz való hozzáférésének korlátozására két módszer létezik:

Hozzon létre egy vagy több privát végpontot a tárfiókhoz , és tiltsa le a nyilvános végponthoz való hozzáférést. Ez biztosítja, hogy csak a kívánt virtuális hálózatokból származó forgalom férhessen hozzá az Azure-fájlmegosztásokhoz a tárfiókon belül.
A nyilvános végpont korlátozása egy vagy több virtuális hálózatra. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ha szolgáltatásvégponton keresztül korlátozza a tárfiókra irányuló forgalmat, a tárfiókot továbbra is a nyilvános IP-címen keresztül éri el.

Feljegyzés

Ahhoz, hogy az első féltől származó, megbízható Microsoft-szolgáltatások, mint például az Azure File Sync, hozzáférjenek a tárfiókhoz, ki kell jelölni a tárolófiókjában a kivételt, amely lehetővé teszi a megbízható szolgáltatások listáján szereplő Azure-szolgáltatások hozzáférését. További információ: Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz.

Fontos

Az Azure File Sync a hálózati biztonsági szegélyekre (NSP) vonatkozó ismert korlátozásokkal rendelkezik. A Storage Sync Services nem helyezhető el egy szegélyen belül, és a teljes szegélyintegráció nem támogatott.

Tárolószinkronizálási szolgáltatás csatlakoztatása egy NSP által védett tárfiókhoz:

Konfigurálja a Társzinkronizálási szolgáltatást felügyelt identitások használatára.
Hozzon létre egy NSP bejövő profilszabályt, amely engedélyezi a Storage Sync szolgáltatást üzemeltető előfizetést.

A tárolási szinkronizálási szolgáltatásoknak a szegélyen kívül kell maradniuk ahhoz, hogy a szinkronizálás megfelelően működjön.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének letiltása

Ha a nyilvános végponthoz való hozzáférés le van tiltva, a tárfiók továbbra is elérhető a privát végpontokon keresztül. Ellenkező esetben a rendszer elutasítja a tárfiók nyilvános végpontjára irányuló érvényes kérelmeket.

Lépjen arra a tárfiókra, amelyhez korlátozni szeretné a nyilvános végponthoz való hozzáférést. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.

A lap tetején válassza a kijelölt virtuális hálózatok és IP-címek engedélyezése melletti választógombot. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.

Az alábbi PowerShell-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a -Bypass értéke AzureServices. Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.

# This assumes $storageAccount is still defined from the beginning of this of this guide.
$storageAccount | Update-AzStorageAccountNetworkRuleSet `
        -DefaultAction Deny `
        -Bypass AzureServices `
        -WarningAction SilentlyContinue `
        -ErrorAction Stop | `
    Out-Null

Az alábbi CLI-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a -bypass paramétere a AzureServices értékre van beállítva. Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.

# This assumes $storageAccountResourceGroupName and $storageAccountName 
# are still defined from the beginning of this guide.
az storage account update \
    --resource-group $storageAccountResourceGroupName \
    --name $storageAccountName \
    --bypass "AzureServices" \
    --default-action "Deny" \
    --output none

Hozzáférés biztosítása a megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének korlátozása adott virtuális hálózatokhoz

Ha a tárfiókot meghatározott virtuális hálózatokra korlátozza, engedélyezi a nyilvános végpontra irányuló kéréseket a megadott virtuális hálózatokon belülről. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ez privát végpontokkal vagy anélkül is használható.

Keresse meg azt a tárfiókot, amelyhez a nyilvános végpontot adott virtuális hálózatokra szeretné korlátozni. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.

A lap tetején válassza a kijelölt virtuális hálózatok és IP-címek engedélyezése melletti választógombot. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. A +Meglévő virtuális hálózat hozzáadása lehetőséget választva válassza ki azt a virtuális hálózatot, amely számára engedélyezni kell a tárfiók nyilvános végponton keresztüli elérését. Válasszon ki egy virtuális hálózatot és egy alhálózatot a virtuális hálózathoz, majd válassza az Engedélyezés lehetőséget.

Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.

Ahhoz, hogy korlátozzuk a tárfiók nyilvános végpontjának hozzáférését meghatározott virtuális hálózatokra szolgáltatásvégpontokkal, először információt kell gyűjtenünk a tárfiókról és a virtuális hálózatokról. Töltse ki a <storage-account-resource-group>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name> és <subnet-name> mezőket az adatok gyűjtéséhez.

$storageAccountResourceGroupName = "<storage-account-resource-group>"
$storageAccountName = "<storage-account-name>"
$restrictToVirtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$restrictToVirtualNetworkName = "<vnet-name>"
$subnetName = "<subnet-name>"

$storageAccount = Get-AzStorageAccount `
        -ResourceGroupName $storageAccountResourceGroupName `
        -Name $storageAccountName `
        -ErrorAction Stop

$virtualNetwork = Get-AzVirtualNetwork `
        -ResourceGroupName $restrictToVirtualNetworkResourceGroupName `
        -Name $restrictToVirtualNetworkName `
        -ErrorAction Stop

$subnet = $virtualNetwork | `
    Select-Object -ExpandProperty Subnets | `
    Where-Object { $_.Name -eq $subnetName }

if ($null -eq $subnet) {
    Write-Error `
            -Message "Subnet $subnetName not found in virtual network $restrictToVirtualNetworkName." `
            -ErrorAction Stop
}

Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi PowerShell-parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs ott.

$serviceEndpoints = $subnet | `
    Select-Object -ExpandProperty ServiceEndpoints | `
    Select-Object -ExpandProperty Service

if ($serviceEndpoints -notcontains "Microsoft.Storage") {
    if ($null -eq $serviceEndpoints) {
        $serviceEndpoints = @("Microsoft.Storage")
    } elseif ($serviceEndpoints -is [string]) {
        $serviceEndpoints = @($serviceEndpoints, "Microsoft.Storage")
    } else {
        $serviceEndpoints += "Microsoft.Storage"
    }

    $virtualNetwork = $virtualNetwork | Set-AzVirtualNetworkSubnetConfig `
            -Name $subnetName `
            -AddressPrefix $subnet.AddressPrefix `
            -ServiceEndpoint $serviceEndpoints `
            -WarningAction SilentlyContinue `
            -ErrorAction Stop | `
        Set-AzVirtualNetwork `
            -ErrorAction Stop
}

A tárfiók felé irányuló forgalom korlátozásának utolsó lépése egy hálózati szabály létrehozása és a tárfiók hálózati szabálykészletének hozzáadása.

$networkRule = $storageAccount | Add-AzStorageAccountNetworkRule `
    -VirtualNetworkResourceId $subnet.Id `
    -ErrorAction Stop

$storageAccount | Update-AzStorageAccountNetworkRuleSet `
        -DefaultAction Deny `
        -Bypass AzureServices `
        -VirtualNetworkRule $networkRule `
        -WarningAction SilentlyContinue `
        -ErrorAction Stop | `
    Out-Null

Ahhoz, hogy a tárfiók nyilvános végpontjához való hozzáférést korlátozzuk adott virtuális hálózatokra szolgáltatásvégpontok használatával, először össze kell gyűjtenünk a szükséges információkat a tárfiókról és a virtuális hálózatról. Gyűjtse össze az adatokat a következő mezők kitöltésével: <storage-account-resource-group>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name> és <subnet-name>.

storageAccountResourceGroupName="<storage-account-resource-group>"
storageAccountName="<storage-account-name>"
restrictToVirtualNetworkResourceGroupName="<vnet-resource-group-name>"
restrictToVirtualNetworkName="<vnet-name>"
subnetName="<subnet-name>"

storageAccount=$(az storage account show \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --query "id" | \
    tr -d '"')

virtualNetwork=$(az network vnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --name $restrictToVirtualNetworkName \
        --query "id" | \
    tr -d '"')

subnet=$(az network vnet subnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --vnet-name $restrictToVirtualNetworkName \
        --name $subnetName \
        --query "id" | \
    tr -d '"')

Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi CLI parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs hozzáadva.

serviceEndpoints=$(az network vnet subnet show \
        --resource-group $restrictToVirtualNetworkResourceGroupName \
        --vnet-name $restrictToVirtualNetworkName \
        --name $subnetName \
        --query "serviceEndpoints[].service" \
        --output tsv)

foundStorageServiceEndpoint=false
for serviceEndpoint in $serviceEndpoints
do
    if [ $serviceEndpoint = "Microsoft.Storage" ]
    then
        foundStorageServiceEndpoint=true
    fi
done

if [ $foundStorageServiceEndpoint = false ] 
then
    serviceEndpointList=""

    for serviceEndpoint in $serviceEndpoints
    do
        serviceEndpointList+=$serviceEndpoint
        serviceEndpointList+=" "
    done
    
    serviceEndpointList+="Microsoft.Storage"

    az network vnet subnet update \
            --ids $subnet \
            --service-endpoints $serviceEndpointList \
            --output none
fi

A tárfiók felé irányuló forgalom korlátozásának utolsó lépése egy hálózati szabály létrehozása és a tárfiók hálózati szabálykészletének hozzáadása.

az storage account network-rule add \
        --resource-group $storageAccountResourceGroupName \
        --account-name $storageAccountName \
        --subnet $subnet \
        --output none

az storage account update \
        --resource-group $storageAccountResourceGroupName \
        --name $storageAccountName \
        --bypass "AzureServices" \
        --default-action "Deny" \
        --output none

A Storage Sync Service nyilvános végponthoz való hozzáférés letiltása

Az Azure File Sync lehetővé teszi, hogy csak magánvégpontokon keresztül korlátozza az adott virtuális hálózatokhoz való hozzáférést; Az Azure File Sync nem támogatja a szolgáltatásvégpontokat a nyilvános végponthoz való hozzáférés adott virtuális hálózatokra való korlátozásához. Ez azt jelenti, hogy a Társzinkronizálási szolgáltatás nyilvános végpontjának két állapota engedélyezve van és le van tiltva.

Fontos

A nyilvános végponthoz való hozzáférés letiltása előtt létre kell hoznia egy privát végpontot. Ha a nyilvános végpont le van tiltva, és nincs konfigurálva privát végpont, a szinkronizálás nem működik.

A Storage Sync Service nyilvános végpontjának hozzáférésének letiltásához kövesse az alábbi lépéseket:

Jelentkezzen be az Azure Portalra.
Lépjen a Storage Sync szolgáltatásra, és válassza a Beállítások>hálózata lehetőséget a bal oldali navigációs sávon.
A Hozzáférés engedélyezése csoportban csak a privát végpontokat válassza ki.
Válasszon ki egy privát végpontot a Privát végpont kapcsolatok listájából.

A Storage Sync Szolgáltatás nyilvános végpontjának hozzáférésének letiltásához állítsa a incomingTrafficPolicy Storage Sync Service tulajdonságát a következőre AllowVirtualNetworksOnly: . Ha engedélyezni szeretné a Társzinkronizálási szolgáltatás nyilvános végpontjának elérését, állítsa be incomingTrafficPolicy helyette AllowAllTraffic . Ne felejtse el lecserélni a <storage-sync-service-resource-group> és a <storage-sync-service> saját értékeire.

$storageSyncServiceResourceGroupName = "<storage-sync-service-resource-group>"
$storageSyncServiceName = "<storage-sync-service>"

Set-AzStorageSyncService `
    -ResourceGroupName $storageSyncServiceResourceGroupName `
    -Name $storageSyncServiceName `
    -IncomingTrafficPolicy AllowVirtualNetworksOnly

Azure Policy

Az Azure Policy segít kikényszeríteni a szervezeti szabványokat, és felmérni a szabványoknak való megfelelőséget. Az Azure Files és az Azure File Sync számos hasznos naplózási és szervizelési hálózati szabályzatot tesz elérhetővé, amelyek segítenek az üzembe helyezés monitorozásában és automatizálásában.

A szabályzatok naplózják a környezetet, és riasztást küldenek, ha a tárfiókok vagy a Storage Sync Services eltérnek a megadott viselkedéstől. Ha például egy nyilvános végpont engedélyezve van, amikor a házirend úgy lett beállítva, hogy a nyilvános végpontok le legyenek tiltva. A szabályzatok módosítása/üzembe helyezése egy lépéssel tovább tart, és proaktív módon módosít egy erőforrást (például a Társzinkronizálási szolgáltatást), vagy erőforrásokat (például privát végpontokat) helyez üzembe a szabályzatokhoz való igazodás érdekében.

Az Azure Fileshoz és az Azure File Synchez az alábbi előre definiált szabályzatok érhetők el:

Művelet	Szolgáltatás	Feltétel	Irányelv neve
Felülvizsgálat	Azure Files	A tárfiók nyilvános végpontja engedélyezve van. További információt a megbízható Azure-szolgáltatásokhoz való hozzáférés biztosítása és a tárfiók nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.	A tárfiókok számára korlátozni kell a hálózati hozzáférést
Audit	Azure File Sync	A Társzinkronizálási szolgáltatás nyilvános végpontja engedélyezve van. További információt a Storage Sync Service nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.	Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést
Könyvvizsgálat	Azure Files	A tárfióknak legalább egy privát végpontra van szüksége. További információt a tárfiók privát végpontjának létrehozása című témakörben talál.	A tárfióknak privát kapcsolati kapcsolatot kell használnia
Ellenőrzés	Azure File Sync	A Storage Sync szolgáltatásnak legalább egy privát végpontra van szüksége. További információt a Storage Sync Service privát végpontjának létrehozása című témakörben talál.	Az Azure File Syncnek privát hivatkozást kell használnia
Módosítás	Azure File Sync	Tiltsa le a Storage Sync Szolgáltatás nyilvános végpontját.	Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához
Üzembe helyezés	Azure File Sync	Helyezzen üzembe egy privát végpontot a Storage Sync Szolgáltatáshoz.	Az Azure File Sync konfigurálása privát végpontokkal
Üzembe helyezés	Azure File Sync	Helyezzen üzembe egy A rekordot privatelink.afs.azure.net DNS-zónában.	Az Azure File Sync konfigurálása privát DNS-zónák használatára

Privát végpont üzembehelyezési szabályzatának beállítása

Privát végpont üzembehelyezési szabályzatának beállításához nyissa meg az Azure Portalt, és keressen rá a Szabályzatra. Az Azure Policy centernek a legjobb eredménynek kell lennie. Lépjen a Szerzői>Definíciók elemre a Házirend Központ tartalomjegyzékében. Az eredményül kapott Definíciók panel az összes Azure-szolgáltatás előre definiált szabályzatát tartalmazza. Az adott szabályzat megkereséséhez válassza ki a Tárolási kategóriát a kategóriaszűrőben, vagy keresse meg az Azure File Sync privát végpontokkal való konfigurálását. Válassza a ... és a Hozzárendelés lehetőséget, ha új szabályzatot szeretne létrehozni a definícióból.

A Alapszintű panel a Szabályzat hozzárendelése varázslóban lehetővé teszi a hatókör, erőforrás vagy erőforráscsoport kizárási lista meghatározását és a szabályzat számára egy könnyen felismerhető név adását az elkülönítéshez. Ezeket nem kell módosítania ahhoz, hogy a szabályzat működjön, de akkor is megteheti, ha módosításokat szeretne végezni. A Tovább gombra kattintva lépjen a Paraméterek lapra.

A Paraméterek panelen válassza a privateEndpointSubnetId legördülő lista melletti ... elemet annak a virtuális hálózatnak és alhálózatnak a kiválasztásához, ahol a Storage Sync Service-erőforrások privát végpontjait üzembe kell helyezni. Az eredményként kapott varázsló több másodpercet is igénybe vehet az előfizetésben elérhető virtuális hálózatok betöltéséhez. Válassza ki a környezetének megfelelő virtuális hálózatot/alhálózatot, és kattintson a Kiválasztás gombra. A Tovább gombra kattintva lépjen a Szervizelési panelre.

Ahhoz, hogy a privát végpont üzembe legyen helyezve, amikor egy privát végpont nélküli storage-szinkronizálási szolgáltatás van azonosítva, ki kell választania a Szervizelési oldalon a Szervizelési feladat létrehozása lehetőséget. Végül válassza a Véleményezés + létrehozás lehetőséget a szabályzat-hozzárendelés áttekintéséhez, a létrehozáshoz pedig a Létrehozás lehetőséget.

Az eredményül kapott szabályzat-hozzárendelés rendszeres időközönként lesz végrehajtva, és előfordulhat, hogy a létrehozás után nem fut azonnal.

Lásd még

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2024-06-05