Csatlakozás az Azure Blob Storage-ba az SSH-fájlátviteli protokoll (SFTP) használatával
SFTP-ügyfél használatával biztonságosan csatlakozhat egy Azure Storage-fiók Blob Storage-végpontjára, majd fájlokat tölthet fel és tölthet le. Ez a cikk bemutatja, hogyan engedélyezheti az SFTP-t, majd hogyan csatlakozhat a Blob Storage-hoz egy SFTP-ügyfél használatával.
Az Azure Blob Storage SFTP-támogatásáról további információt az SSH File Transfer Protocol (SFTP) az Azure Blob Storage-ban című témakörben talál.
Előfeltételek
Standard általános célú v2 vagy prémium szintű blokkblobtároló-fiók. A fiók létrehozásakor az SFTP-t is engedélyezheti. Az ilyen típusú tárfiókokról további információt a Tárfiókok áttekintése című témakörben talál.
A fiók hierarchikus névtérfunkcióját engedélyezni kell. A hierarchikus névtér funkció engedélyezéséről az Azure Blob Storage frissítése az Azure Data Lake Storage Gen2 képességeivel című témakörben olvashat.
Ha helyszíni hálózatról csatlakozik, győződjön meg arról, hogy az ügyfél engedélyezi a kimenő kommunikációt az SFTP által használt 22-s porton keresztül.
SFTP-támogatás engedélyezése
Ez a szakasz bemutatja, hogyan engedélyezheti az SFTP-támogatást egy meglévő tárfiókhoz. Ha meg szeretne tekinteni egy Azure Resource Manager-sablont, amely lehetővé teszi az SFTP-támogatást a fiók létrehozása során, tekintse meg az Azure Storage-fiók és a Blob-tároló azure-beli SFTP protokoll használatával elérhető létrehozását. A Helyi felhasználói REST API-k és a .NET-hivatkozások megtekintéséhez tekintse meg a Helyi felhasználók és a LocalUser osztályt.
Az Azure Portalon lépjen a tárfiókra.
A Gépház területen válassza az SFTP lehetőséget.
Megjegyzés:
Ez a beállítás csak akkor jelenik meg, ha a fiók hierarchikus névtér funkciója engedélyezve van. A hierarchikus névtér funkció engedélyezéséről az Azure Blob Storage frissítése az Azure Data Lake Storage Gen2 képességeivel című témakörben olvashat.
Válassza az SFTP engedélyezése lehetőséget.
Megjegyzés:
Ha az SFTP konfigurációs oldalán nem jelennek meg helyi felhasználók, legalább egyet hozzá kell adnia. Helyi felhasználók hozzáadásához tekintse meg a következő szakaszt.
SFTP-támogatás letiltása
Ez a szakasz bemutatja, hogyan tilthatja le egy meglévő tárfiók SFTP-támogatását. Mivel az SFTP-támogatás óránkénti költséggel jár, érdemes letiltani az SFTP-támogatást, ha az ügyfelek nem használják aktívan az SFTP-t az adatok átvitelére.
Az Azure Portalon lépjen a tárfiókra.
A Gépház területen válassza az SFTP lehetőséget.
Válassza az SFTP letiltása lehetőséget.
Engedélyek konfigurálása
Az Azure Storage nem támogatja a közös hozzáférésű jogosultságkód (SAS) vagy a Microsoft Entra-hitelesítés használatát az SFTP-végpont eléréséhez. Ehelyett egy helyi felhasználónak nevezett identitást kell használnia, amely biztonságossá tehető az Azure által létrehozott jelszóval vagy Secure Shell- (SSH-) kulcspárral. A csatlakozó ügyfélhez való hozzáférés biztosításához a tárfióknak rendelkeznie kell a jelszóhoz vagy kulcspárhoz társított identitással. Ezt az identitást helyi felhasználónak nevezzük.
Ebben a szakaszban megtudhatja, hogyan hozhat létre helyi felhasználót, választhat hitelesítési módszert, és hogyan rendelhet hozzá engedélyeket a helyi felhasználóhoz.
Az SFTP-engedélymodellről további információt az SFTP-engedélyek modelljében talál.
Tipp.
Ez a szakasz bemutatja, hogyan konfigurálhat helyi felhasználókat egy meglévő tárfiókhoz. Ha meg szeretne tekinteni egy Azure Resource Manager-sablont, amely egy fiók létrehozása részeként konfigurál egy helyi felhasználót, olvassa el az Azure Storage-fiók és a Blob-tároló létrehozása az Azure-ban elérhető SFTP-protokoll használatával.
Az Azure Portalon lépjen a tárfiókra.
A Gépház területen válassza az SFTP, majd a Helyi felhasználó hozzáadása lehetőséget.
A Helyi felhasználó hozzáadása konfigurációs panelen adja hozzá a felhasználó nevét, majd válassza ki a helyi felhasználóhoz társítani kívánt hitelesítési módszereket. Jelszót és /vagy SSH-kulcsot is társíthat.
Fontos
Bár mindkét hitelesítési formát engedélyezheti, az SFTP-ügyfelek csak az egyikkel csatlakozhatnak. A sikeres hitelesítéshez nem támogatott a többtényezős hitelesítés, amely során érvényes jelszóra és érvényes nyilvános és titkos kulcspárra is szükség van.
Ha az SSH-jelszót választja, akkor a jelszó akkor jelenik meg, amikor elvégezte a helyi felhasználók konfigurációjának hozzáadása panelen az összes lépést. Az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.
Ha az SSH-kulcspárt választja, válassza a Nyilvános kulcs forrását a kulcsforrás megadásához.
Az alábbi táblázat az egyes kulcsforrás-beállításokat ismerteti:
Beállítás Útmutató Új kulcspár létrehozása Ezzel a beállítással új nyilvános/titkos kulcspárt hozhat létre. A nyilvános kulcsot az Azure tárolja az Ön által megadott kulcsnévvel. A titkos kulcs a helyi felhasználó sikeres hozzáadása után tölthető le. Az Azure-ban tárolt meglévő kulcs használata Ezt a lehetőséget akkor használja, ha olyan nyilvános kulcsot szeretne használni, amely már az Azure-ban van tárolva. A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot. Meglévő nyilvános kulcs használata Ezt a lehetőséget akkor használja, ha az Azure-on kívül tárolt nyilvános kulcsot szeretne feltölteni. Ha nem rendelkezik nyilvános kulccsal, de az Azure-on kívül szeretne létrehozni egyet, olvassa el a Kulcsok létrehozása ssh-keygennel című témakört. Megjegyzés:
A meglévő nyilvános kulcs beállítás jelenleg csak az OpenSSH formátumú nyilvános kulcsokat támogatja. A megadott kulcsnak a következő formátumot kell követnie:
<key type> <key data>
. Az RSA-kulcsok például a következőhöz hasonlóak:ssh-rsa AAAAB3N...
. Ha a kulcs más formátumban van, akkor egy olyan eszköz használható, amelyssh-keygen
openSSH formátumúvá alakítható.A Tovább gombra kattintva nyissa meg a konfigurációs panel Tárolóengedélyek lapját.
A Tárolóengedélyek lapon válassza ki a helyi felhasználó számára elérhetővé tenni kívánt tárolókat. Ezután válassza ki, hogy milyen típusú műveleteket szeretne engedélyezni a helyi felhasználónak.
Fontos
A helyi felhasználónak legalább egy tárolói engedéllyel kell rendelkeznie ahhoz a tárolóhoz, amelyhez csatlakozik, különben a csatlakozási kísérlet meghiúsul.
A Kezdőkönyvtár szerkesztése mezőbe írja be annak a tárolónak a nevét vagy a könyvtár elérési útját (beleértve a tároló nevét is), amely a helyi felhasználóhoz társított alapértelmezett hely lesz.
A kezdőkönyvtárról további információt a Kezdőlap könyvtárban talál.
Válassza a Hozzáadás gombot a helyi felhasználó hozzáadásához.
Ha engedélyezte a jelszó-hitelesítést, akkor az Azure által létrehozott jelszó megjelenik egy párbeszédpanelen a helyi felhasználó hozzáadása után.
Fontos
You can't retrieve this password later, so make sure to copy the password, and then store it in a place where you can find it.
Ha új kulcspár létrehozása mellett döntött, a rendszer kérni fogja, hogy töltse le a kulcspár titkos kulcsát a helyi felhasználó hozzáadása után.
Megjegyzés:
A helyi felhasználók olyan tulajdonságot
sharedKey
használnak, amelyet csak SMB-hitelesítéshez használnak.
SFTP-ügyfél Csatlakozás
Bármilyen SFTP-ügyféllel biztonságosan csatlakozhat, majd fájlokat továbbíthat. Az alábbi képernyőképen egy Windows PowerShell-munkamenet látható, amely open SSH-t és jelszóhitelesítést használ a csatlakozáshoz, majd feltölt egy nevű logfile.txt
fájlt.
Megjegyzés:
Az SFTP felhasználóneve .storage_account_name
username
. A fenti példában a storage_account_name
"contoso4" és a username
"contosouser" szerepel. Az egyesített felhasználónév lesz contoso4.contosouser
az SFTP parancshoz.
Megjegyzés:
Előfordulhat, hogy a rendszer egy gazdagépkulcs megbízhatóságát kéri. Az érvényes gazdagépkulcsok itt jelennek meg.
Az átvitel befejezése után megtekintheti és kezelheti a fájlt az Azure Portalon.
Megjegyzés:
Az Azure Portal a Blob REST API-t és a Data Lake Storage Gen2 REST API-t használja. A feltöltött fájlokkal való interakció az Azure Portalon az SFTP és a REST közötti interoperabilitást mutatja be.
A fájlok csatlakoztatásával és átvitelével kapcsolatos útmutatásért tekintse meg az SFTP-ügyfél dokumentációját.
egyéni tartomány Csatlakozás
When using custom domains the connection string is myaccount.myuser@customdomain.com
. If home directory hasn't been specified for the user, it's myaccount.mycontainer.myuser@customdomain.com
.
Fontos
Győződjön meg arról, hogy a DNS-szolgáltató nem küld proxykéréseket. Proxying may cause the connection attempt to time out.
Csatlakozás privát végpont használatával
Privát végpont használatakor a kapcsolati sztring.myaccount.myuser@myaccount.privatelink.blob.core.windows.net
If home directory hasn't been specified for the user, it's myaccount.mycontainer.myuser@myaccount.privatelink.blob.core.windows.net
.
Megjegyzés:
Győződjön meg arról, hogy a hálózati konfigurációt "Engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről" értékre módosítja, és kiválasztja a privát végpontot, ellenkező esetben a normál SFTP-végpont továbbra is nyilvánosan elérhető lesz.
Hálózati szempontok
Az SFTP egy platformszintű szolgáltatás, így a 22-es port akkor is megnyílik, ha a fiókbeállítás le van tiltva. Ha az SFTP-hozzáférés nincs konfigurálva, akkor minden kérés leválasztódik a szolgáltatásról. Az SFTP használatakor érdemes lehet korlátozni a nyilvános hozzáférést tűzfal, virtuális hálózat vagy privát végpont konfigurációjával. Ezek a beállítások az alkalmazásrétegen vannak kényszerítve, ami azt jelenti, hogy nem az SFTP-hez tartoznak, és hatással lesznek az összes Azure Storage-végponttal való kapcsolatra. További információ a tűzfalakról és a hálózati konfigurációról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.
Megjegyzés:
A protokollréteg TLS-támogatásának meghatározására szolgáló naplózási eszközök a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül a tárfiók végpontján futnak. További információ: A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése tárfiókra irányuló kérelmek esetén.
Kapcsolódó információk
- SSH-fájlátviteli protokoll (SFTP) támogatása az Azure Blob Storage-hoz
- Az Azure Blob Storage SSH-fájlátviteli protokoll (SFTP) támogatásával kapcsolatos korlátozások és ismert problémák
- Gazdagépkulcsok az Azure Blob Storage SSH-fájlátviteli protokolljának (SFTP) támogatásához
- Az SSH File Transfer Protocol (SFTP) teljesítményével kapcsolatos szempontok az Azure Blob Storage-ban