Titik akhir layanan memungkinkan konektivitas yang aman ke Elastic SAN dari subnet dalam jaringan virtual Anda, tanpa memerlukan IP privat. Titik akhir layanan jaringan virtual bersifat publik dan dapat diakses melalui internet. Anda dapat Mengonfigurasi aturan jaringan virtual untuk mengontrol akses ke grup volume Anda saat menggunakan titik akhir layanan penyimpanan.
Artikel ini memperlihatkan kepada Anda cara mengonfigurasi koneksi titik akhir layanan ke Elastic SAN Anda.
Prasyarat
-
Menyebarkan Elastic SAN.
- Baca Pelajari tentang konfigurasi jaringan untuk Elastic SAN untuk memahami apakah titik akhir privat atau titik akhir layanan berfungsi lebih baik untuk lingkungan Anda.
- Jika Anda menggunakan Azure PowerShell, instal modul Azure PowerShell terbaru.
- Jika Anda menggunakan Azure CLI, instal versi terbaru.
- Setelah Anda menginstal versi terbaru, jalankan
az extension add -n elastic-san untuk menginstal ekstensi untuk Elastic SAN.
Anda mengaktifkan akses internet publik ke titik akhir Elastic SAN Anda di tingkat SAN. Mengaktifkan akses jaringan publik untuk Elastic SAN memungkinkan Anda mengonfigurasi akses publik ke grup volume individual melalui titik akhir layanan penyimpanan. Secara default, akses publik ke grup volume individual ditolak bahkan jika Anda mengizinkannya di tingkat SAN. Anda harus secara eksplisit mengonfigurasi grup volume Anda untuk mengizinkan akses dari rentang alamat IP tertentu dan subnet jaringan virtual.
Anda dapat mengaktifkan akses jaringan publik saat membuat SAN elastis, atau mengaktifkannya untuk SAN yang ada menggunakan modul Azure PowerShell atau Azure CLI.
Gunakan modul Azure PowerShell atau Azure CLI untuk mengaktifkan akses jaringan publik.
Gunakan kode sampel ini untuk memperbarui Elastic SAN untuk mengaktifkan akses jaringan publik menggunakan PowerShell. Ganti nilai RgName dan EsanName dengan nilai Anda sendiri, lalu jalankan sampel:
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled
Gunakan kode sampel ini untuk memperbarui Elastic SAN untuk mengaktifkan akses jaringan publik menggunakan Azure CLI. Ganti nilai RgName dan EsanName dengan nilai Anda sendiri:
# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--public-network-access enabled
Untuk mengonfigurasi titik akhir layanan Azure Storage dari jaringan virtual tempat akses diperlukan, Anda harus memiliki izin ke Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperasi penyedia sumber daya Azure melalui peran Azure kustom untuk mengonfigurasi titik akhir layanan.
Titik akhir layanan jaringan virtual bersifat publik dan dapat diakses melalui internet. Anda dapat Mengonfigurasi aturan jaringan virtual untuk mengontrol akses ke grup volume Anda saat menggunakan titik akhir layanan penyimpanan.
Nota
Konfigurasi aturan yang memberikan akses ke subnet di jaringan virtual yang merupakan bagian dari penyewa Microsoft Entra yang berbeda saat ini hanya didukung melalui PowerShell, CLI, dan REST API. Aturan ini tidak dapat dikonfigurasi melalui portal Microsoft Azure, aturan tersebut hanya dapat dilihat di portal.
Navigasi ke jaringan virtual Anda dan pilih Titik Akhir Layanan.
Pilih + Tambahkan.
Pada layar Tambahkan titik akhir layanan:
- Untuk Layanan pilih Microsoft.Storage.Global untuk menambahkan titik akhir layanan lintas wilayah.
Nota
Anda mungkin melihat Microsoft.Storage terdaftar sebagai titik akhir layanan penyimpanan yang tersedia. Opsi itu adalah untuk titik akhir intra-wilayah yang hanya ada untuk kompatibilitas mundur. Selalu gunakan titik akhir lintas wilayah kecuali Anda memiliki alasan khusus untuk menggunakan titik akhir intra-wilayah.
Untuk Subnet , pilih semua subnet tempat Anda ingin mengizinkan akses.
Pilih Tambahkan.
Gunakan kode sampel berikut untuk membuat titik akhir layanan penyimpanan untuk grup volume Elastic SAN Anda.
# Define some variables
$RgName = "<ResourceGroupName>"
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName
# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Gunakan kode sampel berikut untuk membuat titik akhir layanan penyimpanan untuk grup volume Elastic SAN Anda:
# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"
# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"
Semua permintaan masuk untuk data melalui titik akhir layanan diblokir secara default. Hanya aplikasi yang meminta data dari sumber yang diizinkan yang Anda konfigurasi dalam aturan jaringan Anda yang dapat mengakses data Anda.
Anda dapat mengelola aturan jaringan virtual untuk grup volume melalui portal Azure, PowerShell, atau CLI.
Penting
Untuk mengaktifkan akses ke akun penyimpanan Anda dari jaringan virtual/subnet di penyewa Microsoft Entra lain, Anda harus menggunakan PowerShell atau Azure CLI. Portal Azure tidak menampilkan subnet di tenant Microsoft Entra lainnya.
Jika Anda menghapus subnet yang telah disebutkan dalam aturan jaringan, subnet tersebut akan dihapus dari aturan jaringan untuk grup volume. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke grup volume. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru dalam aturan jaringan untuk grup volume.
- Navigasi ke SAN Anda dan pilih Grup volume.
- Pilih grup volume dan pilih Buat.
- Tambahkan jaringan virtual dan subnet yang ada dan pilih Simpan.
Daftar skrip berikut memungkinkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada, lalu menambahkan aturan jaringan untuk jaringan virtual dan subnet.
Petunjuk / Saran
Untuk menambahkan aturan jaringan untuk subnet di jaringan virtual milik penyewa Microsoft Entra lain, gunakan parameter VirtualNetworkResourceId yang sepenuhnya memenuhi syarat dalam formulir "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".
$Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
$Rules.NetworkAclsVirtualNetworkRule
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
$rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule
Jika perlu, Anda dapat menggunakan skrip berikut untuk menghapus aturan jaringan virtual:
## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
Skrip berikut mencantumkan informasi dari grup volume tertentu, memungkinkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada, dan menambahkan aturan jaringan untuk jaringan virtual dan subnet.
Petunjuk / Saran
Untuk menambahkan aturan untuk subnet di jaringan virtual milik penyewa Microsoft Entra lain, gunakan ID subnet yang sepenuhnya memenuhi syarat dalam formulir /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.
Anda dapat menggunakan parameter langganan untuk mengambil ID subnet untuk jaringan virtual milik penyewa Microsoft Entra lain.
az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
# First, get the current length of the list of virtual networks to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
Jika perlu, Anda dapat menghapus aturan jaringan. Sebagai contoh, perintah berikut menghapus aturan jaringan pertama, ubah untuk menghapus aturan jaringan yang Anda inginkan.
az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
Setelah mengaktifkan titik akhir yang diinginkan dan memberikan akses dalam aturan jaringan, Anda siap untuk mengonfigurasi klien anda untuk terhubung ke volume Elastic SAN yang sesuai.
Nota
Jika koneksi antara komputer virtual (VM) dan volume Elastic SAN hilang, koneksi mencoba kembali selama 90 detik hingga berakhir. Kehilangan koneksi ke volume Elastic SAN tidak akan menyebabkan VM dimulai ulang.
Langkah selanjutnya
