Az Azure File Sync hálózati végpontjainak konfigurálása
Cikk
Az Azure Files és az Azure File Sync két fő végponttípust biztosít az Azure-fájlmegosztások eléréséhez:
Nyilvános végpontok, amelyek nyilvános IP-címmel rendelkeznek, és a világ bármely pontjáról elérhetők.
Privát végpontok, amelyek egy virtuális hálózaton belül léteznek, és a virtuális hálózat címteréből származó privát IP-címmel rendelkeznek.
Az Azure Files és az Azure File Sync esetében az Azure felügyeleti objektumai, a tárfiók és a Társzinkronizálási szolgáltatás egyaránt vezérli a nyilvános és a privát végpontokat. A tárfiók egy felügyeleti szerkezet, amely egy megosztott tárolókészletet jelöl, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobtárolókat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás egy olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, valamint szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.
Ez a cikk az Azure Files és az Azure File Sync hálózati végpontjainak konfigurálását ismerteti. Ha többet szeretne megtudni arról, hogyan konfigurálhatja a hálózati végpontokat az Azure-fájlmegosztások közvetlen elérésére, ahelyett, hogy a helyszínieket gyorsítótárazaná az Azure File Synctel, olvassa el az Azure Files hálózati végpontjainak konfigurálása című témakört.
Rendelkezik Azure-előfizetéssel. Ha még nem rendelkezik előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Már létrehozott egy Azure-fájlmegosztást egy tárfiókban, amelyhez a helyszínen szeretne csatlakozni. Az Azure-fájlmegosztások létrehozásáról az Azure-fájlmegosztás létrehozása című témakörben olvashat.
Amikor privát végpontot hoz létre egy Azure-erőforráshoz, a következő erőforrások lesznek üzembe helyezve:
Privát végpont: Egy Azure-erőforrás, amely a tárfiók vagy a Társzinkronizálási szolgáltatás privát végpontja. Gondoljon erre úgy, mint az Azure-erőforrást és egy hálózati adaptert összekötő erőforrásra.
Hálózati adapter (NIC): Az a hálózati adapter, amely a megadott virtuális hálózaton/alhálózaton belül privát IP-címet tart fenn. Ez pontosan ugyanaz az erőforrás, amelyet egy virtuális gép üzembe helyezésekor helyez üzembe, de ahelyett, hogy egy virtuális géphez rendelik, az a privát végpont tulajdonában van.
Privát DNS-zóna: Ha még soha nem telepített privát végpontot ehhez a virtuális hálózathoz, egy új privát DNS-zóna lesz üzembe helyezve a virtuális hálózathoz. Ebben a DNS-zónában egy DNS A rekord is létrejön az Azure-erőforráshoz. Ha már üzembe helyezett egy privát végpontot ebben a virtuális hálózatban, a rendszer hozzáad egy új A rekordot az Azure-erőforráshoz a meglévő DNS-zónához. A DNS-zóna üzembe helyezése nem kötelező, azonban erősen ajánlott a SZÜKSÉGES DNS-kezelés egyszerűsítése érdekében.
Megjegyzés:
Ez a cikk az Azure nyilvános régióihoz, core.windows.net a tárfiókokhoz és afs.azure.net a Storage Sync Serviceshez használt DNS-utótagokat használja. Ez a megjegyzés az Azure Szuverén felhőkre is vonatkozik, például az Azure US Government felhőre – csak cserélje le a környezetének megfelelő utótagokat.
Lépjen arra a tárfiókra, amelyhez privát végpontot szeretne létrehozni. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés, a Privát végpont kapcsolatok, majd a + Privát végpont lehetőséget egy új privát végpont létrehozásához.
Az eredményként kapott varázsló több oldalból áll.
Az Alapszintű beállítások panelen válassza ki a kívánt előfizetést, erőforráscsoportot, nevet, hálózati adapternevet és régiót a privát végponthoz. Ezek lehetnek tetszőlegesek, nem kell semmilyen módon megegyezniük a tárfiókokkal, bár a privát végpontot ugyanabban a régióban kell létrehoznia, amelyben a privát végpontot létre szeretné hozni. Ezután válassza a Tovább: Erőforrás lehetőséget.
Az Erőforrás panelen válassza ki a cél alerőforráshoz tartozó fájlt. Ezután válassza a Tovább: Virtuális hálózat lehetőséget.
A Virtuális hálózat panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki az új privát végpont dinamikus vagy statikus IP-címfoglalását. Ha statikus beállítást választ, meg kell adnia egy nevet és egy magánhálózati IP-címet is. Igény szerint alkalmazásbiztonsági csoportot is megadhat. Ha végzett, válassza a Tovább: DNS lehetőséget.
A DNS panel a privát végpont privát DNS-zónával való integrálására vonatkozó információkat tartalmazza. Győződjön meg arról, hogy az előfizetés és az erőforráscsoport helyes, majd válassza a Tovább: Címkék lehetőséget.
Igény szerint címkéket is alkalmazhat az erőforrások kategorizálásához, például alkalmazhatja a Környezet nevet és a Teszt értéket az összes tesztelési erőforrásra. Szükség esetén adja meg a név-érték párokat, majd válassza a Tovább: Véleményezés + létrehozás lehetőséget.
Kattintson a Véleményezés + létrehozás gombra a privát végpont létrehozásához.
Ha rendelkezik virtuális géppel a virtuális hálózaton belül, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, tesztelheti, hogy a privát végpont megfelelően lett-e beállítva a Következő parancsok futtatásával a PowerShellből, a parancssorból vagy a terminálból (Windows, Linux vagy macOS rendszeren működik). A megfelelő tárfiók nevére kell cserélnie <storage-account-name> :
Ha minden sikeresen működött, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható (a kimenet Windows esetén látható):
Ha privát végpontot szeretne létrehozni a tárfiókhoz, először be kell szereznie egy hivatkozást a tárfiókra és arra a virtuális hálózati alhálózatra, amelyhez hozzá szeretné adni a privát végpontot. Cserélje le <storage-account-resource-group-name>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name>, és <vnet-subnet-name> az alábbi:
$storageAccountResourceGroupName = "<storage-account-resource-group-name>"
$storageAccountName = "<storage-account-name>"
$virtualNetworkResourceGroupName = "<vnet-resource-group-name>"
$virtualNetworkName = "<vnet-name>"
$subnetName = "<vnet-subnet-name>"
# Get storage account reference, and throw error if it doesn't exist
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $storageAccountResourceGroupName `
-Name $storageAccountName `
-ErrorAction SilentlyContinue
if ($null -eq $storageAccount) {
$errorMessage = "Storage account $storageAccountName not found "
$errorMessage += "in resource group $storageAccountResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
# Get virtual network reference, and throw error if it doesn't exist
$virtualNetwork = Get-AzVirtualNetwork `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $virtualNetworkName `
-ErrorAction SilentlyContinue
if ($null -eq $virtualNetwork) {
$errorMessage = "Virtual network $virtualNetworkName not found "
$errorMessage += "in resource group $virtualNetworkResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
# Get reference to virtual network subnet, and throw error if it doesn't exist
$subnet = $virtualNetwork | `
Select-Object -ExpandProperty Subnets | `
Where-Object { $_.Name -eq $subnetName }
if ($null -eq $subnet) {
Write-Error `
-Message "Subnet $subnetName not found in virtual network $virtualNetworkName." `
-ErrorAction Stop
}
Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a tárfiókhoz. A privát kapcsolat szolgáltatáskapcsolat a privát végpont létrehozásának bemenete.
# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
Set-AzVirtualNetwork -ErrorAction Stop
# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name "$storageAccountName-Connection" `
-PrivateLinkServiceId $storageAccount.Id `
-GroupId "file" `
-ErrorAction Stop
# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $storageAccountResourceGroupName `
-Name "$storageAccountName-PrivateEndpoint" `
-Location $virtualNetwork.Location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-ErrorAction Stop
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpontok létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás közvetlen csatlakoztatásához egy AD-felhasználónév használatával, vagy a REST API-val való hozzáféréshez.
# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$storageAccountSuffix = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty StorageEndpointSuffix
# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
$dnsZoneName = "privatelink.file.$storageAccountSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
Where-Object { $_.Name -eq $dnsZoneName } | `
Where-Object {
$privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $_.ResourceGroupName `
-ZoneName $_.Name `
-ErrorAction SilentlyContinue
$privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
}
if ($null -eq $dnsZone) {
# No matching DNS zone attached to virtual network, so create new one.
$dnsZone = New-AzPrivateDnsZone `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $dnsZoneName `
-ErrorAction Stop
$privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $virtualNetworkResourceGroupName `
-ZoneName $dnsZoneName `
-Name "$virtualNetworkName-DnsLink" `
-VirtualNetworkId $virtualNetwork.Id `
-ErrorAction Stop
}
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.
Ha virtuális géppel rendelkezik a virtuális hálózaton belül, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, az alábbi parancsokkal tesztelheti, hogy a privát végpont megfelelően lett-e beállítva:
Ha minden sikeresen működött, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
.net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 600
Section : Answer
IP4Address : 192.168.0.5
Ha privát végpontot szeretne létrehozni a tárfiókhoz, először be kell szereznie egy hivatkozást a tárfiókra és arra a virtuális hálózati alhálózatra, amelyhez hozzá szeretné adni a privát végpontot. Cserélje le <storage-account-resource-group-name>, <storage-account-name>, <vnet-resource-group-name>, <vnet-name>, és <vnet-subnet-name> az alábbi:
storageAccountResourceGroupName="<storage-account-resource-group-name>"
storageAccountName="<storage-account-name>"
virtualNetworkResourceGroupName="<vnet-resource-group-name>"
virtualNetworkName="<vnet-name>"
subnetName="<vnet-subnet-name>"
# Get storage account ID
storageAccount=$(az storage account show \
--resource-group $storageAccountResourceGroupName \
--name $storageAccountName \
--query "id" | \
tr -d '"')
# Get virtual network ID
virtualNetwork=$(az network vnet show \
--resource-group $virtualNetworkResourceGroupName \
--name $virtualNetworkName \
--query "id" | \
tr -d '"')
# Get subnet ID
subnet=$(az network vnet subnet show \
--resource-group $virtualNetworkResourceGroupName \
--vnet-name $virtualNetworkName \
--name $subnetName \
--query "id" | \
tr -d '"')
Privát végpont létrehozásához először meg kell győződnie arról, hogy az alhálózat privát végpontjának hálózati házirendje le van tiltva. Ezután létrehozhat egy privát végpontot a az network private-endpoint create paranccsal.
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a tárfiók eredeti nevét, például storageaccount.file.core.windows.net feloldható a virtuális hálózaton belüli privát IP-címre. Bár a privát végpont létrehozása szempontjából nem kötelező, kifejezetten szükséges az Azure-fájlmegosztás csatlakoztatása egy AD-felhasználónévvel vagy a REST API-val való hozzáféréshez.
# Get the desired storage account suffix (core.windows.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
storageAccountSuffix=$(az cloud show \
--query "suffixes.storageEndpoint" | \
tr -d '"')
# For public cloud, this will generate the following DNS suffix:
# privatelink.file.core.windows.net.
dnsZoneName="privatelink.file.$storageAccountSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
--query "[?name == '$dnsZoneName'].id" \
--output tsv)
dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
possibleResourceGroupName=$(az resource show \
--ids $possibleDnsZone \
--query "resourceGroup" | \
tr -d '"')
link=$(az network private-dns link vnet list \
--resource-group $possibleResourceGroupName \
--zone-name $dnsZoneName \
--query "[?virtualNetwork.id == '$virtualNetwork'].id" \
--output tsv)
if [ -z $link ]
then
echo "1" > /dev/null
else
dnsZoneResourceGroup=$possibleResourceGroupName
dnsZone=$possibleDnsZone
break
fi
done
if [ -z $dnsZone ]
then
# No matching DNS zone attached to virtual network, so create a new one
dnsZone=$(az network private-dns zone create \
--resource-group $virtualNetworkResourceGroupName \
--name $dnsZoneName \
--query "id" | \
tr -d '"')
az network private-dns link vnet create \
--resource-group $virtualNetworkResourceGroupName \
--zone-name $dnsZoneName \
--name "$virtualNetworkName-DnsLink" \
--virtual-network $virtualNetwork \
--registration-enabled false \
--output none
dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a tárfiókhoz.
privateEndpointNIC=$(az network private-endpoint show \
--ids $privateEndpoint \
--query "networkInterfaces[0].id" | \
tr -d '"')
privateEndpointIP=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[0].privateIpAddress" | \
tr -d '"')
az network private-dns record-set a create \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--name $storageAccountName \
--output none
az network private-dns record-set a add-record \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--record-set-name $storageAccountName \
--ipv4-address $privateEndpointIP \
--output none
Ha virtuális géppel rendelkezik a virtuális hálózaton belül, vagy a DNS-továbbítást az Azure Files DNS-továbbításának konfigurálása című cikkben leírtak szerint konfigurálta, az alábbi parancsokkal tesztelheti, hogy a privát végpont megfelelően lett-e beállítva:
Ha minden sikeresen működött, a következő kimenetnek kell megjelennie, ahol 192.168.0.5 a virtuális hálózat privát végpontjának privát IP-címe látható:
Lépjen a Privát hivatkozás központba úgy, hogy beírja a Private Link szót az Azure Portal tetején található keresősávba. A Private Link Center tartalomjegyzékében válassza a Privát végpontok lehetőséget, majd a + Hozzáadás lehetőséget egy új privát végpont létrehozásához.
Az eredményként kapott varázsló több oldalból áll.
Az Alapok panelen válassza ki a kívánt erőforráscsoportot, nevet és régiót a privát végponthoz. Ezek lehetnek tetszőlegesek, nem kell semmilyen módon megegyezniük a Társzinkronizálási szolgáltatással, bár a privát végpontot ugyanabban a régióban kell létrehoznia, amelyben a privát végpontot létre szeretné hozni.
Az Erőforrás panelen válassza a Csatlakozás választógombot egy Azure-erőforráshoz a címtáramban. Az erőforrástípus alatt válassza a Microsoft.StorageSync/storageSyncServices lehetőséget az erőforrástípushoz.
A Konfiguráció panelen kiválaszthatja azt a virtuális hálózatot és alhálózatot, amelybe a privát végpontot hozzá szeretné adni. Válassza ki ugyanazt a virtuális hálózatot, amelyet a fenti tárfiókhoz használt. A Konfiguráció panel a privát DNS-zóna létrehozásához/frissítéséhez szükséges információkat is tartalmazza.
Kattintson a Véleményezés + létrehozás gombra a privát végpont létrehozásához.
A privát végpont helyes beállításának ellenőrzéséhez futtassa az alábbi parancsokat a PowerShellből.
Ha minden megfelelően működött, akkor a következő kimenetnek kell megjelennie, 192.168.1.5192.168.1.6ahol 192.168.1.4, , és 192.168.1.7 a privát végponthoz rendelt magánhálózati IP-címek vannak hozzárendelve:
Name : mysssmanagement.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net
Name : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.4
Name : myssssyncp.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net
Name : myssssyncp.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.5
Name : myssssyncs.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net
Name : myssssyncs.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.6
Name : mysssmonitoring.westus2.afs.azure.net
Type : CNAME
TTL : 60
Section : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net
Name : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 192.168.1.7
Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> környezetének megfelelő értékeket. Az alábbi PowerShell-parancsok feltételezik, hogy a használt virtuális hálózati adatok már fentről fel vannak töltve.
$storageSyncServiceResourceGroupName = "<storage-sync-service-resource-group>"
$storageSyncServiceName = "<storage-sync-service>"
$storageSyncService = Get-AzStorageSyncService `
-ResourceGroupName $storageSyncServiceResourceGroupName `
-Name $storageSyncServiceName `
-ErrorAction SilentlyContinue
if ($null -eq $storageSyncService) {
$errorMessage = "Storage Sync Service $storageSyncServiceName not found "
$errorMessage += "in resource group $storageSyncServiceResourceGroupName."
Write-Error -Message $errorMessage -ErrorAction Stop
}
Privát végpont létrehozásához létre kell hoznia egy privát kapcsolati szolgáltatáskapcsolatot a Társzinkronizálási szolgáltatással. A privát kapcsolat a privát végpont létrehozásának bemenete.
# Disable private endpoint network policies
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
$virtualNetwork = $virtualNetwork | `
Set-AzVirtualNetwork -ErrorAction Stop
# Create a private link service connection to the storage account.
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name "$storageSyncServiceName-Connection" `
-PrivateLinkServiceId $storageSyncService.ResourceId `
-GroupId "Afs" `
-ErrorAction Stop
# Create a new private endpoint.
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $storageSyncServiceResourceGroupName `
-Name "$storageSyncServiceName-PrivateEndpoint" `
-Location $virtualNetwork.Location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-ErrorAction Stop
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Tárolószinkronizálási szolgáltatás mysssmanagement.westus2.afs.azure.netgazdagépneveinek feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.
# Get the desired Storage Sync Service suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
$azureEnvironment = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty Name
switch($azureEnvironment) {
"AzureCloud" {
$storageSyncSuffix = "afs.azure.net"
}
"AzureUSGovernment" {
$storageSyncSuffix = "afs.azure.us"
}
"AzureChinaCloud" {
$storageSyncSuffix = "afs.azure.cn"
}
default {
Write-Error
-Message "The Azure environment $_ is not currently supported by Azure File Sync." `
-ErrorAction Stop
}
}
# For public cloud, this will generate the following DNS suffix:
# privatelink.afs.azure.net
$dnsZoneName = "privatelink.$storageSyncSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
$dnsZone = Get-AzPrivateDnsZone | `
Where-Object { $_.Name -eq $dnsZoneName } | `
Where-Object {
$privateDnsLink = Get-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $_.ResourceGroupName `
-ZoneName $_.Name `
-ErrorAction SilentlyContinue
$privateDnsLink.VirtualNetworkId -eq $virtualNetwork.Id
}
if ($null -eq $dnsZone) {
# No matching DNS zone attached to virtual network, so create new one.
$dnsZone = New-AzPrivateDnsZone `
-ResourceGroupName $virtualNetworkResourceGroupName `
-Name $dnsZoneName `
-ErrorAction Stop
$privateDnsLink = New-AzPrivateDnsVirtualNetworkLink `
-ResourceGroupName $virtualNetworkResourceGroupName `
-ZoneName $dnsZoneName `
-Name "$virtualNetworkName-DnsLink" `
-VirtualNetworkId $virtualNetwork.Id `
-ErrorAction Stop
}
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.
Ha privát végpontot szeretne létrehozni a Társzinkronizálási szolgáltatáshoz, először be kell szereznie egy hivatkozást a Társzinkronizálási szolgáltatásra. Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> környezetének megfelelő értékeket. A következő parancssori felületi parancsok feltételezik, hogy a használt virtuális hálózati adatok már fentről fel vannak töltve.
Privát végpont létrehozásához először meg kell győződnie arról, hogy az alhálózat privát végpontjának hálózati házirendje le van tiltva. Ezután létrehozhat egy privát végpontot a az network private-endpoint create paranccsal.
Az Azure-beli privát DNS-zóna létrehozása lehetővé teszi a Tárolószinkronizálási szolgáltatás mysssmanagement.westus2.afs.azure.netgazdagépneveinek feloldását a virtuális hálózaton belüli Storage Sync szolgáltatás megfelelő privát IP-címére. Bár a privát végpont létrehozása szempontjából nem kötelező, az Azure File Sync-ügynök számára kifejezetten szükséges a Storage Sync szolgáltatás elérése.
# Get the desired storage account suffix (afs.azure.net for public cloud).
# This is done like this so this script will seamlessly work for non-public Azure.
azureEnvironment=$(az cloud show \
--query "name" |
tr -d '"')
storageSyncSuffix=""
if [ $azureEnvironment == "AzureCloud" ]
then
storageSyncSuffix="afs.azure.net"
elif [ $azureEnvironment == "AzureUSGovernment" ]
then
storageSyncSuffix="afs.azure.us"
else
echo "Unsupported Azure environment $azureEnvironment."
fi
# For public cloud, this will generate the following DNS suffix:
# privatelinke.afs.azure.net.
dnsZoneName="privatelink.$storageSyncSuffix"
# Find a DNS zone matching desired name attached to this virtual network.
possibleDnsZones=""
possibleDnsZones=$(az network private-dns zone list \
--query "[?name == '$dnsZoneName'].id" \
--output tsv)
dnsZone=""
possibleDnsZone=""
for possibleDnsZone in $possibleDnsZones
do
possibleResourceGroupName=$(az resource show \
--ids $possibleDnsZone \
--query "resourceGroup" | \
tr -d '"')
link=$(az network private-dns link vnet list \
--resource-group $possibleResourceGroupName \
--zone-name $dnsZoneName \
--query "[?virtualNetwork.id == '$virtualNetwork'].id" \
--output tsv)
if [ -z $link ]
then
echo "1" > /dev/null
else
dnsZoneResourceGroup=$possibleResourceGroupName
dnsZone=$possibleDnsZone
break
fi
done
if [ -z $dnsZone ]
then
# No matching DNS zone attached to virtual network, so create a new one
dnsZone=$(az network private-dns zone create \
--resource-group $virtualNetworkResourceGroupName \
--name $dnsZoneName \
--query "id" | \
tr -d '"')
az network private-dns link vnet create \
--resource-group $virtualNetworkResourceGroupName \
--zone-name $dnsZoneName \
--name "$virtualNetworkName-DnsLink" \
--virtual-network $virtualNetwork \
--registration-enabled false \
--output none
dnsZoneResourceGroup=$virtualNetworkResourceGroupName
fi
Most, hogy már rendelkezik a privát DNS-zónára mutató hivatkozással, létre kell hoznia egy A rekordot a Storage Sync Service-hez.
privateEndpointNIC=$(az network private-endpoint show \
--ids $privateEndpoint \
--query "networkInterfaces[0].id" | \
tr -d '"')
privateIpAddresses=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[].privateIpAddress" \
--output tsv)
hostNames=$(az network nic show \
--ids $privateEndpointNIC \
--query "ipConfigurations[].privateLinkConnectionProperties.fqdns[]" \
--output tsv)
i=0
for privateIpAddress in $privateIpAddresses
do
j=0
targetHostName=""
for hostName in $hostNames
do
if [ $i == $j ]
then
targetHostName=$hostName
break
fi
j=$(expr $j + 1)
done
endpointName=$(echo $targetHostName | \
cut -c1-$(expr $(expr index $targetHostName ".") - 1))
az network private-dns record-set a create \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--name "$endpointName.$storageSyncServiceRegion" \
--output none
az network private-dns record-set a add-record \
--resource-group $dnsZoneResourceGroup \
--zone-name $dnsZoneName \
--record-set-name "$endpointName.$storageSyncServiceRegion" \
--ipv4-address $privateIpAddress \
--output none
i=$(expr $i + 1)
done
Nyilvános végpontokhoz való hozzáférés korlátozása
A tárfiók és a Storage Sync Services nyilvános végpontjaihoz való hozzáférést korlátozhatja. A nyilvános végponthoz való hozzáférés korlátozása további biztonságot nyújt azáltal, hogy a hálózati csomagokat csak jóváhagyott helyekről fogadják el.
A tárfiók nyilvános végponthoz való hozzáférésének korlátozása
A nyilvános végpont hozzáférési korlátozása a tárfiók tűzfalbeállításainak használatával történik. A tárfiókok legtöbb tűzfalszabályzata általában egy vagy több virtuális hálózat hálózati hozzáférését korlátozza. A tárfiókok virtuális hálózathoz való hozzáférésének korlátozására két módszer létezik:
Hozzon létre egy vagy több privát végpontot a tárfiókhoz , és tiltsa le a nyilvános végponthoz való hozzáférést. Ez biztosítja, hogy csak a kívánt virtuális hálózatokból származó forgalom férhessen hozzá az Azure-fájlmegosztásokhoz a tárfiókon belül.
A nyilvános végpont korlátozása egy vagy több virtuális hálózatra. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ha szolgáltatásvégponton keresztül korlátozza a tárfiókra irányuló forgalmat, akkor is a nyilvános IP-címen keresztül éri el a tárfiókot.
Megjegyzés:
A tárfiókon ki kell jelölni a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezését a tárfiókon, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférhessen a tárfiókhoz. További információ: Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz.
Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének letiltása
Ha a nyilvános végponthoz való hozzáférés le van tiltva, a tárfiók továbbra is elérhető a privát végpontokon keresztül. Ellenkező esetben a rendszer elutasítja a tárfiók nyilvános végpontjára irányuló érvényes kérelmeket.
Lépjen arra a tárfiókra, amelyhez korlátozni szeretné a nyilvános végponthoz való hozzáférést. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.
A lap tetején válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és IP-címek választógombja közül. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.
Az alábbi PowerShell-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a paramétere a -Bypass következő.AzureServices Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.
# This assumes $storageAccount is still defined from the beginning of this of this guide.
$storageAccount | Update-AzStorageAccountNetworkRuleSet `
-DefaultAction Deny `
-Bypass AzureServices `
-WarningAction SilentlyContinue `
-ErrorAction Stop | `
Out-Null
Az alábbi CLI-parancs megtagadja a tárfiók nyilvános végpontjára történő összes forgalmat. Vegye figyelembe, hogy ennek a parancsnak a paramétere a -bypass következő.AzureServices Ez lehetővé teszi, hogy a megbízható, első féltől származó szolgáltatások, például az Azure File Sync hozzáférjenek a tárfiókhoz a nyilvános végponton keresztül.
# This assumes $storageAccountResourceGroupName and $storageAccountName
# are still defined from the beginning of this guide.
az storage account update \
--resource-group $storageAccountResourceGroupName \
--name $storageAccountName \
--bypass "AzureServices" \
--default-action "Deny" \
--output none
Hozzáférés biztosítása a megbízható Azure-szolgáltatásokhoz, és a tárfiók nyilvános végponthoz való hozzáférésének korlátozása adott virtuális hálózatokhoz
Ha a tárfiókot meghatározott virtuális hálózatokra korlátozza, engedélyezi a nyilvános végpontra irányuló kéréseket a megadott virtuális hálózatokon belülről. Ez a virtuális hálózat szolgáltatásvégpontoknak nevezett képességével működik. Ez privát végpontokkal vagy anélkül is használható.
Keresse meg azt a tárfiókot, amelyhez a nyilvános végpontot adott virtuális hálózatokra szeretné korlátozni. A tárfiók tartalomjegyzékében válassza a Hálózatkezelés lehetőséget.
A lap tetején válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és IP-címek választógombja közül. Ez feloldja a nyilvános végpont korlátozásának szabályozására szolgáló számos beállítást. A +Meglévő virtuális hálózat hozzáadása lehetőséget választva válassza ki azt a virtuális hálózatot, amely számára engedélyezni kell a tárfiók nyilvános végponton keresztüli elérését. Válasszon ki egy virtuális hálózatot és egy alhálózatot a virtuális hálózathoz, majd válassza az Engedélyezés lehetőséget.
Válassza a Megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz, hogy a megbízható, első féltől származó Microsoft-szolgáltatások, például az Azure File Sync hozzáférjen a tárfiókhoz.
Ahhoz, hogy a tárfiók nyilvános végpontja elérhető legyen adott virtuális hálózatokhoz szolgáltatásvégpontok használatával, először adatokat kell gyűjtenünk a tárfiókról és a virtuális hálózatról. Töltse ki, <storage-account-resource-group><storage-account-name>majd <vnet-resource-group-name><vnet-name><subnet-name> gyűjtse össze ezeket az adatokat.
Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi PowerShell-parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs ott.
Ahhoz, hogy a tárfiók nyilvános végpontja elérhető legyen adott virtuális hálózatokhoz szolgáltatásvégpontok használatával, először adatokat kell gyűjtenünk a tárfiókról és a virtuális hálózatról. Töltse ki, <storage-account-resource-group><storage-account-name>majd <vnet-resource-group-name><vnet-name><subnet-name> gyűjtse össze ezeket az adatokat.
Ahhoz, hogy a virtuális hálózatról érkező forgalmat az Azure network fabric a tárfiók nyilvános végpontjához érje, a virtuális hálózat alhálózatának közzé kell tennie a Microsoft.Storage szolgáltatásvégpontot. Az alábbi PARANCSSOR-parancsok hozzáadják a Microsoft.Storage szolgáltatásvégpontot az alhálózathoz, ha még nincs ott.
serviceEndpoints=$(az network vnet subnet show \
--resource-group $restrictToVirtualNetworkResourceGroupName \
--vnet-name $restrictToVirtualNetworkName \
--name $subnetName \
--query "serviceEndpoints[].service" \
--output tsv)
foundStorageServiceEndpoint=false
for serviceEndpoint in $serviceEndpoints
do
if [ $serviceEndpoint = "Microsoft.Storage" ]
then
foundStorageServiceEndpoint=true
fi
done
if [ $foundStorageServiceEndpoint = false ]
then
serviceEndpointList=""
for serviceEndpoint in $serviceEndpoints
do
serviceEndpointList+=$serviceEndpoint
serviceEndpointList+=" "
done
serviceEndpointList+="Microsoft.Storage"
az network vnet subnet update \
--ids $subnet \
--service-endpoints $serviceEndpointList \
--output none
fi
A tárfiók felé irányuló forgalom korlátozásának utolsó lépése egy hálózati szabály létrehozása és a tárfiók hálózati szabálykészletének hozzáadása.
A Storage Sync Service nyilvános végponthoz való hozzáférés letiltása
Az Azure File Sync lehetővé teszi, hogy csak magánvégpontokon keresztül korlátozza az adott virtuális hálózatokhoz való hozzáférést; Az Azure File Sync nem támogatja a szolgáltatásvégpontokat a nyilvános végponthoz való hozzáférés adott virtuális hálózatokra való korlátozásához. Ez azt jelenti, hogy a Társzinkronizálási szolgáltatás nyilvános végpontjának két állapota engedélyezve van és le van tiltva.
Fontos
A nyilvános végponthoz való hozzáférés letiltása előtt létre kell hoznia egy privát végpontot. Ha a nyilvános végpont le van tiltva, és nincs konfigurálva privát végpont, a szinkronizálás nem működik.
Lépjen a Storage Sync service-hez, és válassza a bal oldali navigációs sávon a Gépház> Network lehetőséget.
A Hozzáférés engedélyezése csoportban csak a privát végpontokat válassza ki.
Válasszon ki egy privát végpontot a Privát végpont kapcsolatok listájából.
A Storage Sync Szolgáltatás nyilvános végpontjának hozzáférésének letiltásához állítsa a incomingTrafficPolicy Storage Sync Service tulajdonságát a következőre AllowVirtualNetworksOnly: . Ha engedélyezni szeretné a Társzinkronizálási szolgáltatás nyilvános végpontjának elérését, állítsa be incomingTrafficPolicy helyette AllowAllTraffic . Ne felejtse el lecserélni <storage-sync-service-resource-group> a <storage-sync-service> saját értékeit.
Az Azure CLI nem támogatja a tulajdonság beállítását incomingTrafficPolicy a Storage Sync Service-ben. A Storage Sync Service nyilvános végpontjának letiltásához válassza az Azure PowerShell lapot.
Azure Policy
Az Azure Policy segít kikényszeríteni a szervezeti szabványokat, és felmérni a szabványoknak való megfelelőséget. Az Azure Files és az Azure File Sync számos hasznos naplózási és szervizelési hálózati szabályzatot tesz elérhetővé, amelyek segítenek az üzembe helyezés monitorozásában és automatizálásában.
A szabályzatok naplózják a környezetet, és riasztást küldenek, ha a tárfiókok vagy a Storage Sync Services eltérnek a megadott viselkedéstől. Ha például egy nyilvános végpont engedélyezve van, amikor a házirend úgy lett beállítva, hogy a nyilvános végpontok le legyenek tiltva. A szabályzatok módosítása/üzembe helyezése egy lépéssel tovább tart, és proaktív módon módosít egy erőforrást (például a Storage Sync Service-t), vagy erőforrásokat (például privát végpontokat) helyez üzembe a szabályzatokhoz való igazodás érdekében.
Az Azure Fileshoz és az Azure File Synchez az alábbi előre definiált szabályzatok érhetők el:
Művelet
Szolgáltatás
Feltétel
Házirend neve
Audit
Azure Files
A tárfiók nyilvános végpontja engedélyezve van. További információt a megbízható Azure-szolgáltatásokhoz való hozzáférés biztosítása és a tárfiók nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.
A tárfiókok számára korlátozni kell a hálózati hozzáférést
Audit
Azure File Sync
A Társzinkronizálási szolgáltatás nyilvános végpontja engedélyezve van. További információt a Storage Sync Service nyilvános végponthoz való hozzáférésének letiltása című témakörben talál.
Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést
Audit
Azure Files
A tárfióknak legalább egy privát végpontra van szüksége. További információt a tárfiók privát végpontjának létrehozása című témakörben talál.
A tárfióknak privát kapcsolati kapcsolatot kell használnia
Audit
Azure File Sync
A Storage Sync szolgáltatásnak legalább egy privát végpontra van szüksége. További információt a Storage Sync Service privát végpontjának létrehozása című témakörben talál.
Az Azure File Syncnek privát hivatkozást kell használnia
Modify
Azure File Sync
Tiltsa le a Storage Sync Szolgáltatás nyilvános végpontját.
Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához
Üzembe helyezés
Azure File Sync
Helyezzen üzembe egy privát végpontot a Storage Sync Szolgáltatáshoz.
Az Azure File Sync konfigurálása privát végpontokkal
Üzembe helyezés
Azure File Sync
Helyezzen üzembe egy A rekordot privatelink.afs.azure.net DNS-zónában.
Az Azure File Sync konfigurálása privát DNS-zónák használatára
Privát végpont üzembehelyezési szabályzatának beállításához nyissa meg az Azure Portalt, és keressen rá a Szabályzatra. Az Azure Policy centernek a legjobb eredménynek kell lennie. Lépjen a Szerzői>definíciók elemre a Házirendközpont tartalomjegyzékében. Az eredményül kapott Definíciók panel az összes Azure-szolgáltatás előre definiált szabályzatát tartalmazza. Az adott szabályzat megkereséséhez válassza ki a Tárolási kategóriát a kategóriaszűrőben, vagy keresse meg az Azure File Sync privát végpontokkal való konfigurálását. Válassza a ... és a Hozzárendelés lehetőséget, ha új szabályzatot szeretne létrehozni a definícióból.
A Szabályzat hozzárendelése varázsló Alapszintű panelje lehetővé teszi a hatókörök, erőforrások vagy erőforráscsoportok kizárási listájának beállítását, valamint a szabályzat felhasználóbarát nevét a megkülönböztetéséhez. Ezeket nem kell módosítania ahhoz, hogy a szabályzat működjön, de akkor is megteheti, ha módosításokat szeretne végezni. A Tovább gombra kattintva lépjen a Paraméterek lapra.
A Paraméterek panelen válassza a privateEndpointSubnetId legördülő lista melletti ... elemet annak a virtuális hálózatnak és alhálózatnak a kiválasztásához, ahol a Storage Sync Service-erőforrások privát végpontjait üzembe kell helyezni. Az eredményként kapott varázsló több másodpercet is igénybe vehet az előfizetésben elérhető virtuális hálózatok betöltéséhez. Válassza ki a környezetének megfelelő virtuális hálózatot/alhálózatot, és kattintson a Kiválasztás gombra. A Tovább gombra kattintva lépjen a Szervizelési panelre.
Ahhoz, hogy a privát végpont üzembe legyen helyezve, amikor egy privát végpont nélküli storage-szinkronizálási szolgáltatás van azonosítva, ki kell választania a Szervizelési oldalon a Szervizelési feladat létrehozása lehetőséget. Végül válassza a Véleményezés + létrehozás lehetőséget a szabályzat-hozzárendelés áttekintéséhez, a létrehozáshoz pedig a Létrehozás lehetőséget.
Az eredményül kapott szabályzat-hozzárendelés rendszeres időközönként lesz végrehajtva, és előfordulhat, hogy a létrehozás után nem fut azonnal.