Configurare l'accesso alla rete per SAN di Elastic in Azure
Articolo
È possibile controllare l'accesso ai volumi SAN di Elastic in Azure. Il controllo dell'accesso consente di proteggere i dati e soddisfare le esigenze delle applicazioni e degli ambienti aziendali.
Questo articolo descrive come configurare la SAN di Elastic per consentire l'accesso dall'infrastruttura di rete virtuale di Azure.
Per configurare l'accesso di rete alla rete SAN di Elastic:
Se si usa l'interfaccia della riga di comando di Azure, installare la versione più recente.
Dopo aver installato la versione più recente, eseguire az extension add -n elastic-san per installare l'estensione per SAN di Elastic.
Non sono necessari passaggi di registrazione aggiuntivi.
Limiti
L'elenco seguente contiene le aree in cui SAN di Elastic è attualmente disponibile e le aree che supportano sia l'archiviazione con ridondanza della zona (ZRS) che l'archiviazione con ridondanza locale (LRS) o solo LRS:
Sudafrica settentrionale - LRS
Asia orientale - LRS
Asia sud-orientale -LRS
Brasile meridionale - LRS
Canada centrale - LRS
Francia centrale - LRS e ZRS
Germania centro-occidentale - LRS
Australia orientale - LRS
Europa settentrionale - LRS e ZRS
Europa occidentale - LRS e ZRS
Regno Unito meridionale - LRS
Giappone orientale - LRS
Corea centrale - LRS
Stati Uniti centrali - Archiviazione con ridondanza locale
Stati Uniti orientali - LRS
Stati Uniti centro-meridionali - LRS
Stati Uniti orientali 2 - LRS
Stati Uniti occidentali 2 - LRS e ZRS
Stati Uniti occidentali 3 - LRS
Svezia centrale - LRS
Svizzera settentrionale - LRS
Configurare l'accesso alla rete pubblica
È possibile abilitare l'accesso a Internet pubblico agli endpoint SAN di Elastic a livello SAN. L'abilitazione dell'accesso alla rete pubblica per una SAN di Elastic consente di configurare l'accesso pubblico ai singoli gruppi di volumi tramite gli endpoint del servizio di archiviazione. Per impostazione predefinita, l'accesso pubblico ai singoli gruppi di volumi viene negato anche se è consentito a livello SAN. È necessario configurare in modo esplicito i gruppi di volumi per consentire l'accesso da intervalli di indirizzi IP specifici e subnet di rete virtuale.
È possibile abilitare l'accesso alla rete pubblica quando si crea una SAN di Elastic o abilitarlo per una SAN esistente usando il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure.
Usare il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure per abilitare l'accesso alla rete pubblica.
Usare questo codice di esempio per creare una SAN di Elastic con accesso alla rete pubblica abilitata tramite PowerShell. Sostituire i valori delle variabili prima di eseguire l'esempio.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
Name = $EsanName
ResourceGroupName = $RgName
BaseSizeTiB = $BaseSize
ExtendedCapacitySizeTiB = $ExtendedSize
Location = $Location
SkuName = $SkuName
PublicNetworkAccess = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments
Usare questo codice di esempio per aggiornare una SAN di Elastic e abilitare l'accesso alla rete pubblica tramite PowerShell. Sostituire i valori di RgName e EsanName con i propri, quindi eseguire l'esempio:
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled
Usare questo codice di esempio per creare una SAN di Elastic con accesso alla rete pubblica abilitata tramite l'interfaccia della riga di comando di Azure. Sostituire i valori delle variabili prima di eseguire l'esempio.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"
# Create the Elastic San.
az elastic-san create \
--elastic-san-name $EsanName \
--resource-group $RgName \
--location $Location \
--base-size-tib $BaseSize \
--extended-capacity-size-tib $ExtendedSize \
--sku $SkuName \
--public-network-access enabled
Usare questo codice di esempio per aggiornare una SAN di Elastic e abilitare l'accesso alla rete pubblica tramite l'interfaccia della riga di comando di Azure. Sostituire i valori di RgName e EsanName con i propri:
# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--public-network-access enabled
Configurare un endpoint di rete virtuale
È possibile configurare i gruppi di volumi SAN di Elastic per consentire l'accesso solo dagli endpoint in subnet di rete virtuale specifiche. Le subnet consentite possono appartenere a una rete virtuale nella stessa sottoscrizione o a quelle in una sottoscrizione diversa, incluse le sottoscrizioni appartenenti a un tenant di Microsoft Entra diverso.
È possibile consentire l'accesso al gruppo di volumi SAN di Elastic da due tipi di endpoint di rete virtuale di Azure:
Un endpoint privato usa uno o più indirizzi IP privati dalla subnet della rete virtuale per accedere a un gruppo di volumi SAN di Elastic tramite la rete backbone Microsoft. Con un endpoint privato, il traffico tra la rete virtuale e il gruppo di volumi viene protetto tramite un collegamento privato.
Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile Configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.
Le regole di rete si applicano solo agli endpoint pubblici di un gruppo di volumi, non agli endpoint privati. Il processo di approvazione della creazione di un endpoint privato concede l'accesso implicito al traffico dalla subnet che ospita l'endpoint privato. È possibile usare criteri di rete per controllare il traffico sugli endpoint privati se si vogliono perfezionare le regole di accesso. Se si vogliono usare esclusivamente endpoint privati, non abilitare gli endpoint di servizio per il gruppo di volumi.
Per le reti SAN di Elastic che usano l'archiviazione con ridondanza locale (LRS) come opzione di ridondanza, gli endpoint privati sono supportati in tutte le aree in cui è disponibile SAN di Elastic. Gli endpoint privati non sono attualmente supportati per le reti SAN di Elastic che usano l'archiviazione con ridondanza della zona (ZRS) come opzione di ridondanza.
La configurazione di una connessione endpoint privato prevede due passaggi:
Creazione dell'endpoint e della connessione associata.
Approvazione della connessione.
È anche possibile usare Criteri di rete per perfezionare il controllo di accesso sugli endpoint privati.
Per creare un endpoint privato per un gruppo di volumi SAN di Elastic, è necessario avere il ruolo di Proprietario del gruppo di volumi SAN di Elastic. Per approvare una nuova connessione endpoint privato, è necessario disporre dell'autorizzazione per l'operazione del provider di risorse di AzureMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. L'autorizzazione per questa operazione è inclusa nel ruolo Amministratore della rete SAN di Elastic, ma può anche essere concessa tramite un ruolo di Azure personalizzato.
Se si crea l'endpoint da un account utente con tutti i ruoli e le autorizzazioni necessari per la creazione e l'approvazione, il processo può essere completato in un unico passaggio. In caso contrario, sono necessari due passaggi separati da due utenti diversi.
La rete SAN di Elastic e la rete virtuale possono trovarsi in gruppi di risorse, aree e sottoscrizioni diversi, incluse le sottoscrizioni appartenenti a tenant Microsoft Entra diversi. In questi esempi viene creato l'endpoint privato nello stesso gruppo di risorse della rete virtuale.
È possibile creare una connessione endpoint privato al gruppo di volumi nel portale di Azure quando si crea un gruppo di volumi o quando si modifica un gruppo di volumi esistente. È necessaria una rete virtuale esistente per creare un endpoint privato.
Quando si crea o si modifica un gruppo di volumi, selezionare Rete, quindi selezionare + Crea un endpoint privato in Connessioni endpoint privato.
Compilare i valori nel menu visualizzato, quindi selezionare la rete virtuale e la subnet che verranno usate dalle applicazioni per connettersi. Al termine, selezionare Aggiungi e Salva.
La distribuzione di un endpoint privato per un gruppo di volumi SAN di Elastic tramite PowerShell prevede questa procedura:
Ottenere la subnet dalle applicazioni che si connetteranno.
Ottenere il gruppo di volumi SAN di Elastic.
Creare una connessione al servizio collegamento privato usando il gruppo di volumi come input.
Creare l'endpoint privato usando la subnet e la connessione al servizio di collegamento privato come input.
(Facoltativo)se si usa il processo in due passaggi (creazione e quindi approvazione): l'amministratore della rete SAN di Elastic approva la connessione.
Usare questo codice di esempio per creare un endpoint privato per il gruppo di volumi SAN di Elastic con PowerShell. Sostituire i valori di RgName, VnetName, SubnetName, EsanName, EsanVgName, PLSvcConnectionName, EndpointName e Location con i propri:
# Set the resource group name.
$RgName = "<ResourceGroupName>"
# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"
$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName
# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName
# Create the private endpoint.
$EndpointName = '<PrivateEndpointName>'
$Location = '<Location>'
$PeArguments = @{
Name = $EndpointName
ResourceGroupName = $RgName
Location = $Location
Subnet = $Subnet
PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).
Usare questo codice di esempio per approvare la connessione al servizio collegamento privato se si usa il processo in due passaggi. Usare le stesse variabili dell'esempio di codice precedente:
# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments = @{
ServiceName = $EsanName
ResourceGroupName = $RgName
PrivateLinkResourceType = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc
# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState
La distribuzione di un endpoint privato per un gruppo di volumi SAN di Elastic tramite l'interfaccia della riga di comando di Azure prevede questa procedura:
Ottenere l'ID risorsa di connessione privata della SAN di Elastic.
Creare l'endpoint privato usando gli input:
ID risorsa di connessione privata
Nome gruppo di volumi
Nome gruppo di risorse
Nome subnet
Nome della rete virtuale
(Facoltativo)se si usa il processo in due passaggi (creazione e quindi approvazione): l'amministratore della rete SAN di Elastic approva la connessione.
Usare questo codice di esempio per creare un endpoint privato per il gruppo di volumi SAN di Elastic con l'interfaccia della riga di comando di Azure. Rimuovere il commento dal parametro --manual-request se si usa il processo in due passaggi. Sostituire tutti i valori di variabile di esempio con i propri:
# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"
# Get the id of the Elastic SAN.
id=$(az elastic-san show \
--elastic-san-name $EsanName \
--resource-group $RgName \
--query 'id' \
--output tsv)
# Create the private endpoint.
az network private-endpoint create \
--connection-name $PLSvcConnectionName \
--name $EndpointName \
--private-connection-resource-id $id \
--resource-group $RgName \
--vnet-name $VnetName \
--subnet $SubnetName \
--location $Location \
--group-id $EsanVgName # --manual-request
# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
--name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)
az network private-endpoint-connection show \
--resource-name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--name $PLConnectionName
Usare questo codice di esempio per approvare la connessione al servizio collegamento privato se si usa il processo in due passaggi. Usare le stesse variabili dell'esempio di codice precedente:
Configurare un endpoint di servizio di Archiviazione di Azure
Per configurare un endpoint del servizio di archiviazione di Azure dalla rete virtuale in cui è necessario l'accesso, è necessario disporre dell'autorizzazione per Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action (operazione del provider di risorse di Azure) tramite un ruolo di Azure personalizzato per configurare un endpoint di servizio.
Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile Configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.
Nota
La configurazione di regole che concedano l'accesso alle subnet nelle reti virtuali che appartengono a un tenant di Microsoft Entra diverso è attualmente supportata solo tramite PowerShell, l'interfaccia della riga di comando e le API REST. Queste regole non possono essere configurate tramite il portale di Azure, anche se possono essere visualizzate nel portale.
È possibile che venga visualizzato Microsoft.Storage elencato come endpoint del servizio di archiviazione disponibile. Questa opzione è per gli endpoint all'interno dell'area che esistono solo per la compatibilità con le versioni precedenti. Usare sempre gli endpoint tra aree, a meno che non si disponga di un motivo specifico per l'uso di endpoint all'interno dell'area.
Per Subnet selezionare tutte le subnet in cui si vuole consentire l'accesso.
Selezionare Aggiungi.
Usare questo codice di esempio per creare un endpoint servizio di archiviazione per il gruppo di volumi SAN di Elastic con PowerShell.
# Define some variables
$RgName = "<ResourceGroupName>"
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName
# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Usare questo codice di esempio per creare un endpoint servizio di archiviazione per il gruppo di volumi SAN di Elastic con l'interfaccia della riga di comando di Azure.
# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"
# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"
Configurare le regole di rete virtuale
Tutte le richieste in ingresso per i dati su un endpoint di servizio vengono bloccate per impostazione predefinita. Solo le applicazioni che richiedono dati da origini consentite configurate nelle regole di rete sono in grado di accedere ai dati.
È possibile gestire le regole di rete virtuale per i gruppi di volumi tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando.
Importante
Se si vuole abilitare l'accesso all'account di archiviazione da una rete virtuale o una subnet in un altro tenant di Microsoft Entra, è necessario usare PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure non mostra le subnet in altri tenant di Microsoft Entra.
Se si elimina una subnet inclusa in una regola di rete, verrà rimossa dalle regole di rete per il gruppo di volumi. Se si crea una nuova subnet con lo stesso nome, non avrà accesso al gruppo di volumi. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per il gruppo di volumi.
Per aggiungere una regola di rete per una subnet in una rete virtuale che appartiene a un altro tenant di Microsoft Entra, usare un parametro VirtualNetworkResourceId completo nel formato "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".
Rimuovere una regola di rete virtuale.
## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
Aggiungere una regola di rete per una rete virtuale e una subnet.
Suggerimento
Per aggiungere una regola per una subnet in una rete virtuale appartenente a un altro tenant di Microsoft Entra, usare un ID subnet completo nel formato /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.
È possibile usare il parametro subscription per recuperare l'ID subnet di una rete virtuale che appartiene a un altro tenant di Microsoft Entra.
# First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
Rimuovere una regola di rete. Il comando seguente rimuove la prima regola di rete, modificarla per rimuovere la regola di rete desiderata.
Dopo aver abilitato gli endpoint desiderati e aver concesso l'accesso nelle regole di rete, è possibile configurare i client per connettersi ai volumi SAN di Elastic appropriati.
Nota
Se viene persa una connessione tra una macchina virtuale e un volume SAN di Elastic la connessione verrà ritentata per 90 secondi fino al termine. La perdita di una connessione a un volume SAN di Elastic non causerà il riavvio della macchina virtuale.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
