Privát végpontok használata Azure Storage-hoz
Az Azure Storage-fiókok privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő ügyfelek biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül. A privát végpont a virtuális hálózat címterétől eltérő IP-címet használ minden egyes tárfiók-szolgáltatáshoz. A virtuális hálózaton lévő ügyfelek és a tárfiók közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton, így kiküszöböli a nyilvános internetről való kitettséget.
Feljegyzés
A privát végpontok nem érhetők el általános célú v1-tárfiókokhoz.
Privát végpontok használata a tárfiókhoz lehetővé teszi a következőket:
- A tárfiók védelme a tárfiók tűzfalának oly módon történő konfigurálásával, hogy az letiltson minden kapcsolatot a tárolási szolgáltatás nyilvános végpontján.
- A virtuális hálózat (VNet) biztonságának növelése azáltal, hogy lehetővé teszi Önnek a virtuális hálózatból történő adatszivárgás letiltását.
- Biztonságosan kapcsolódhat olyan helyszíni hálózatokról származó tárfiókokhoz, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter a virtuális hálózaton (VNet) található Azure-szolgáltatásokhoz. Amikor privát végpontot hoz létre a tárfiókhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a tárterület között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és a tárolási szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak a társzolgáltatáshoz a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok a tárfiók által támogatott összes protokollhoz használhatók, beleértve a REST-et és az SMB-t is.
A privát végpontok szolgáltatásvégpontokat használó alhálózatokban hozhatók létre. Az alhálózatban lévő ügyfelek így privát végpontok használatával csatlakozhatnak egy tárfiókhoz, míg a szolgáltatásvégpontok segítségével másokhoz is hozzáférhetnek.
Ha létrehoz egy privát végpontot a virtuális hálózaton található egyik tárolási szolgáltatáshoz, a rendszer egy hozzájárulási kérést küld a tárfiók tulajdonosának jóváhagyás céljából. Ha a privát végpont létrehozását kérelmező felhasználó egyben a tárfiók tulajdonosa, a rendszer automatikusan jóváhagyja a hozzájárulási kérést.
A tárfiókok tulajdonosai az Azure Portal tárfiókjának "Privát végpontok" lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.
Tipp.
Ha csak a privát végponton keresztül szeretné korlátozni a tárfiókhoz való hozzáférést, konfigurálja a tár tűzfalat a nyilvános végponton keresztüli hozzáférés megtagadására vagy szabályozására.
A tárfiókot úgy is biztonságossá teheti, hogy csak a virtuális hálózatról fogadjon kapcsolatokat, ha úgy konfigurálja a tár tűzfalat , hogy alapértelmezés szerint megtagadja a nyilvános végponton keresztüli hozzáférést. Nincs szükség tűzfalszabályra a privát végponttal rendelkező virtuális hálózatok forgalmának engedélyezéséhez, mivel a tár tűzfala csak a nyilvános végponton keresztül szabályozza a hozzáférést. A privát végpontok ehelyett az alhálózatok számára a tárolási szolgáltatáshoz való hozzáférés engedélyezéséhez szükséges hozzájárulási folyamatra támaszkodnak.
Feljegyzés
A blobok tárfiókok közötti másolásakor az ügyfélnek hálózati hozzáféréssel kell rendelkeznie mindkét fiókhoz. Ha tehát csak egy fiókhoz (a forráshoz vagy a célhoz) használ privát kapcsolatot, győződjön meg arról, hogy az ügyfél hálózati hozzáféréssel rendelkezik a másik fiókhoz. A hálózati hozzáférés konfigurálásának egyéb módjairól az Azure Storage-tűzfalak és virtuális hálózatok konfigurálása című témakörben olvashat.
Privát végpont létrehozása
Ha privát végpontot szeretne létrehozni az Azure Portal használatával, tekintse meg Csatlakozás privát módon egy tárfiókba az Azure Portal tárfiók-felhasználói felületéről.
Ha privát végpontot szeretne létrehozni a PowerShell vagy az Azure CLI használatával, tekintse meg ezeket a cikkeket. Mindkettő egy Azure-webalkalmazást tartalmaz célszolgáltatásként, de a privát kapcsolat létrehozásának lépései megegyeznek egy Azure Storage-fiók esetében.
Amikor létrehoz egy privát végpontot, meg kell adnia a tárolási fiókot és a tárolási szolgáltatást, amelyhez csatlakozik.
Minden elérni kívánt tárolási erőforráshoz külön privát végpontra van szüksége, nevezetesen blobokhoz, 2. generációs Data Lake Storage-hoz, fájlokhoz, üzenetsorokhoz, táblákhoz vagy statikus webhelyekhez. A privát végponton ezek a tárolási szolgáltatások a társított tárfiók cél-alerőforrásaként vannak definiálva.
Ha privát végpontot hoz létre a Data Lake Storage Gen2 storage-erőforráshoz, akkor a Blob Storage-erőforráshoz is létre kell hoznia egyet. Ennek oka, hogy a Data Lake Storage Gen2 végpontot célzó műveletek átirányíthatók a Blob végpontra. Hasonlóképpen, ha csak a Blob Storage számára ad hozzá egy privát végpontot, a Data Lake Storage Gen2 számára pedig nem, akkor egyes műveletek (például az ACL kezelése, a Címtár létrehozása, a Címtár törlése stb.) nem fognak sikerülni, mivel a Gen2 API-khoz DFS privát végpontra van szükség. Azzal, hogy mindkét erőforráshoz létrehoz egy privát végpontot, biztosítja, hogy minden művelet sikeresen befejeződhessen.
Tipp.
Hozzon létre egy külön privát végpontot a tárolási szolgáltatás másodlagos példányához az RA-GRS-fiókok jobb olvasási teljesítménye érdekében. Mindenképpen hozzon létre egy általános célú v2(Standard vagy Premium) tárfiókot.
A másodlagos régióhoz való olvasási hozzáféréshez georedundáns tároláshoz konfigurált tárfiókkal külön privát végpontokra van szükség a szolgáltatás elsődleges és másodlagos példányai számára is. A feladatátvételhez nem kell privát végpontot létrehoznia a másodlagos példányhoz. A privát végpont automatikusan csatlakozik az új elsődleges példányhoz a feladatátvétel után. A tárolási redundancia beállításairól az Azure Storage-redundancia című témakörben talál további információt.
Csatlakozás privát végpontra
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a kapcsolati sztring kell használniuk a tárfiókhoz, mint a nyilvános végponthoz csatlakozó ügyfelek. A DNS-feloldásra támaszkodva automatikusan átirányítjuk a kapcsolatokat a virtuális hálózatról a tárfiókba egy privát kapcsolaton keresztül.
Fontos
Használja ugyanazt a kapcsolati sztring a tárfiókhoz való csatlakozáshoz privát végpontok használatával, ahogyan egyébként használná. Ne csatlakozzon a tárfiókhoz az altartomány URL-címével privatelink .
Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz a privát végpontokhoz szükséges frissítésekkel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción. Az alábbi DNS-módosításokról szóló szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.
DNS-módosítások privát végpontokhoz
Feljegyzés
A privát végpontok DNS-beállításainak konfigurálásáról további információt az Azure Private Endpoint DNS-konfigurációja című témakörben talál.
Privát végpont létrehozásakor a tárfiók DNS CNAME erőforrásrekordja egy altartomány aliasára frissül az előtaggal privatelink. Alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha a tárvégpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a tárolási szolgáltatás nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.
A fenti példában bemutatott példában a "StorageAccountA" tárfiók DNS-erőforrásrekordjai a privát végpontot futtató virtuális hálózaton kívülről oldódnak fel:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <storage szolgáltatás nyilvános végpontja> |
| <storage szolgáltatás nyilvános végpontja> | A | <storage szolgáltatás nyilvános IP-címe> |
Ahogy korábban említettük, a nyilvános végponton keresztül megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a tárolási tűzfal használatával.
A StorageAccountA DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózat egyik ügyfele feloldja, a következő lesz:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Ez a megközelítés lehetővé teszi a tárfiókhoz való hozzáférést ugyanazzal a kapcsolati sztring a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek, valamint a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani a tárfiók végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat StorageAccountA.privatelink.blob.core.windows.net a privát végpont IP-címével.
Tipp.
Egyéni vagy helyszíni DNS-kiszolgáló használata esetén a DNS-kiszolgálót úgy kell konfigurálnia, hogy az altartományban privatelink lévő tárfiók nevét a privát végpont IP-címére oldja fel. Ehhez delegálhatja az privatelink altartományt a virtuális hálózat privát DNS-zónájához, vagy konfigurálhatja a DNS-zónát a DNS-kiszolgálón, és hozzáadhatja a DNS A rekordokat.
A tárolási szolgáltatások privát végpontjaihoz és a kapcsolódó végponti cél alerőforrásokhoz ajánlott DNS-zónanevek a következők:
| Storage-szolgáltatás | Célzott alerőforrás | Zónanév |
|---|---|---|
| Blob szolgáltatás | blob | privatelink.blob.core.windows.net |
| 2. generációs Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
| Fájlszolgáltatás | fájl | privatelink.file.core.windows.net |
| Queue szolgáltatás | feldolgozási sor | privatelink.queue.core.windows.net |
| Table service | table | privatelink.table.core.windows.net |
| Statikus webhelyek | web | privatelink.web.core.windows.net |
A saját DNS-kiszolgáló privát végpontok támogatásához való konfigurálásáról az alábbi cikkekben talál további információt:
Díjszabás
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Ismert problémák
Tartsa szem előtt az Azure Storage privát végpontjaival kapcsolatos alábbi ismert problémákat.
A privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek tárolási hozzáférési korlátozásai
A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek, amikor más privát végpontokkal rendelkező tárfiókokhoz férnek hozzá. Tegyük fel például, hogy egy VNet N1 privát végponttal rendelkezik a Blob Storage A1 tárfiókhoz. Ha az A2 tárfiók privát végponttal rendelkezik a Blob Storage-hoz készült VNet N2-ben, akkor az N1 virtuális hálózat ügyfeleinek privát végponttal is hozzá kell férniük az A2 fiók blobtárolóihoz. Ha az A2 tárfiók nem rendelkezik privát végpontokkal a Blob Storage-hoz, akkor az N1 virtuális hálózat ügyfelei privát végpont nélkül érhetik el a blobtárolót a fiókban.
Ez a korlátozás annak a DNS-módosításnak az eredménye, amely akkor történt, amikor az A2 fiók létrehoz egy privát végpontot.
Blobok másolása tárfiókok között
A blobokat csak privát végpontok használatával másolhatja a tárfiókok között, ha az Azure REST API-t vagy a REST API-t használó eszközöket használja. Ilyen eszközök például az AzCopy, a Storage Explorer, az Azure PowerShell, az Azure CLI és az Azure Blob Storage SDK-k.
Csak azokat a privát végpontokat támogatja a rendszer, amelyek az erőforrásvégpontot vagy file a blob tárolási erőforrásvégpontot célják. Ez magában foglalja a REST API-hívásokat a Data Lake Storage Gen2-fiókokhoz, amelyekben az blob erőforrásvégpontra explicit módon vagy implicit módon hivatkoznak. A Data Lake Storage Gen2 dfs erőforrásvégpontot megcélozó privát végpontok még nem támogatottak. A tárfiókok közötti másolás a Hálózati fájlrendszer (NFS) protokoll használatával még nem támogatott.