Usare endpoint privati per l'Archiviazione di Azure
È possibile usare endpoint privati per gli account Archiviazione di Azure per consentire ai client in una rete virtuale di accedere in modo sicuro ai dati tramite un collegamento privato. L'endpoint privato usa un indirizzo IP separato dallo spazio degli indirizzi della rete virtuale per ogni servizio dell'account di archiviazione. Il traffico di rete tra i client nella rete virtuale e l'account di archiviazione attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica.
Nota
Gli endpoint privati non sono disponibili per gli account di archiviazione per utilizzo generico v1.
L'uso di endpoint privati per l'account di archiviazione consente di:
- Proteggere l'account di archiviazione usando un collegamento privato. È possibile configurare manualmente il firewall di archiviazione per bloccare le connessioni nell'endpoint pubblico del servizio di archiviazione. La creazione di un collegamento privato non blocca automaticamente le connessioni nell'endpoint pubblico.
- Aumentare la sicurezza per la rete virtuale (VNet), consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro agli account di archiviazione da reti locali che si connettono alla rete virtuale tramite VPN o ExpressRoutes con peering privato.
Panoramica dei concetti
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale (VNet). Quando si crea un endpoint privato per un account di archiviazione, viene fornita connettività sicura tra i client nella rete virtuale e nell’archiviazione. All'endpoint privato viene assegnato un indirizzo IP dall'intervallo di indirizzi IP della rete virtuale. La connessione tra l'endpoint privato e il servizio di archiviazione usa un collegamento privato sicuro.
Le applicazioni nella rete virtuale possono connettersi al servizio di archiviazione tramite l'endpoint privato senza problemi, usando gli stessi meccanismi di autorizzazione e stringa di connessione usati in altro modo. Gli endpoint privati possono essere usati con tutti i protocolli supportati dall'account di archiviazione, inclusi REST e SMB.
È possibile creare gli endpoint privati nelle subnet che usano endpoint servizio. I client in una subnet possono quindi connettersi a un account di archiviazione usando un endpoint privato, usando gli endpoint di servizio per accedere ad altri.
Quando si crea un endpoint privato per un servizio di archiviazione nella rete virtuale, viene inviata una richiesta di consenso che il proprietario dell'account di archiviazione dovrà approvare. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario dell'account di archiviazione, questa richiesta di consenso viene approvata automaticamente.
I proprietari dell'account di archiviazione possono gestire le richieste di consenso e gli endpoint privati tramite la scheda "Endpoint privati" per l'account di archiviazione nel portale di Azure.
Suggerimento
Se si vuole limitare l'accesso all'account di archiviazione solo tramite l'endpoint privato, configurare il firewall di archiviazione per negare o controllare l'accesso tramite l'endpoint pubblico.
È possibile proteggere l'account di archiviazione per accettare solo le connessioni dalla rete virtuale configurando il firewall di archiviazione per negare l'accesso tramite l'endpoint pubblico per impostazione predefinita. Non è necessaria una regola del firewall per consentire il traffico da una rete virtuale con un endpoint privato, poiché il firewall di archiviazione controlla solo l'accesso tramite l'endpoint pubblico. Gli endpoint privati si basano invece sul flusso di consenso per concedere alle subnet l'accesso al servizio di archiviazione.
Nota
Quando si copiano BLOB tra account di archiviazione, il client deve avere accesso di rete a entrambi gli account. Quindi, se si sceglie di usare un collegamento privato per un solo account (l'origine o la destinazione), assicurarsi che il client abbia accesso di rete all'altro account. Per altre informazioni su altri modi per configurare l'accesso alla rete, vedere Configurare firewall e reti virtuali Archiviazione di Azure.
Creazione di un endpoint privato
Per creare un endpoint privato usando il portale di Azure, vedere Connettersi privatamente a un account di archiviazione dall'esperienza dell'account di archiviazione nella portale di Azure.
Per creare un endpoint privato usando PowerShell o l'interfaccia della riga di comando di Azure, vedere uno di questi articoli. Entrambi presentano un'app Web di Azure come servizio di destinazione, ma i passaggi per creare un collegamento privato sono gli stessi per un account Archiviazione di Azure.
Quando si crea un endpoint privato, è necessario specificare l'account di archiviazione e il servizio di archiviazione a cui si connette.
È necessario un endpoint privato separato per ogni risorsa di archiviazione a cui è necessario accedere, ad esempio BLOB, Data Lake Storage, file, code, tabelle o siti Web statici. Nell'endpoint privato questi servizi di archiviazione vengono definiti come sotto-risorsa di destinazione dell'account di archiviazione associato.
Se si crea un endpoint privato per la risorsa di archiviazione Data Lake Storage, è necessario crearne uno anche per la risorsa di archiviazione BLOB. Ciò è dovuto al fatto che le operazioni destinate all'endpoint di Data Lake Storage potrebbero essere reindirizzate all'endpoint BLOB. Analogamente, se si aggiunge un endpoint privato solo per l'archiviazione BLOB e non per Data Lake Storage, alcune operazioni , ad esempio Manage ACL, Create Directory, Delete Directory e così via, avranno esito negativo perché le API richiedono un endpoint privato DFS. Creando un endpoint privato per entrambe le risorse, assicurarsi che tutte le operazioni possano essere completate correttamente.
Suggerimento
Creare un endpoint privato separato per l'istanza secondaria del servizio di archiviazione per migliorare le prestazioni di lettura negli account RA-GRS. Assicurarsi di creare un account di archiviazione per utilizzo generico v2(Standard o Premium).
Per l'accesso in lettura all'area secondaria con un account di archiviazione configurato per l'archiviazione con ridondanza geografica, sono necessari endpoint privati separati per le istanze primarie e secondarie del servizio. Non è necessario creare un endpoint privato per l'istanza secondaria per il failover. L'endpoint privato si connetterà automaticamente alla nuova istanza primaria dopo il failover. Per altre informazioni sulle opzioni di ridondanza dell'archiviazione, vedere Archiviazione di Azure ridondanza.
Connessione a un endpoint privato
I client in una rete virtuale che usano l'endpoint privato devono usare lo stesso stringa di connessione per l'account di archiviazione dei client che si connettono all'endpoint pubblico. Ci si basa sulla risoluzione DNS per instradare automaticamente le connessioni dalla rete virtuale all'account di archiviazione tramite un collegamento privato.
Importante
Usare la stessa stringa di connessione per connettersi all'account di archiviazione usando gli endpoint privati usati in caso contrario. Non connettersi all'account di archiviazione usando l'URL privatelink
del sottodominio.
Per impostazione predefinita, viene creata una zona DNS privata collegata alla rete virtuale con gli aggiornamenti necessari per gli endpoint privati. Tuttavia, se si usa il proprio server DNS, potrebbe essere necessario apportare modifiche aggiuntive alla configurazione DNS. La sezione relativa alle modifiche DNS riportata di seguito descrive gli aggiornamenti necessari per gli endpoint privati.
Modifiche al DNS per gli endpoint privati
Nota
Per informazioni dettagliate su come configurare le impostazioni DNS per gli endpoint privati, vedere Configurazione DNS dell'endpoint privato di Azure.
Quando si crea un endpoint privato, il record di risorse CNAME DNS per l'account di archiviazione viene aggiornato a un alias in un sottodominio con il prefisso privatelink
. Per impostazione predefinita, viene anche creata una zona DNS privata, corrispondente al sottodominio privatelink
, con i record di risorse A del DNS per gli endpoint privati.
Quando si risolve l'URL dell'endpoint di archiviazione dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico del servizio di archiviazione. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint di archiviazione viene risolto nell'indirizzo IP dell'endpoint privato.
Per l'esempio illustrato in precedenza, i record di risorse DNS per l'account di archiviazione 'StorageAccountA', se risolti dall'esterno della rete virtuale che ospita l'endpoint privato, saranno:
Nome | Type | Valore |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <endpoint pubblico del servizio di archiviazione> |
<endpoint pubblico del servizio di archiviazione> | Un | <indirizzo IP pubblico del servizio di archiviazione> |
Come accennato in precedenza, è possibile negare o controllare l'accesso per i client esterni alla rete virtuale tramite l'endpoint pubblico usando il firewall di archiviazione.
I record di risorse DNS per StorageAccountA, se risolti da un client nella rete virtuale che ospita l'endpoint privato, saranno:
Nome | Type | Valore |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
Un | 10.1.1.5 |
Questo approccio consente l'accesso all'account di archiviazione usando la stessa stringa di connessione per i client nella rete virtuale che ospita gli endpoint privati, nonché i client all'esterno della rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client devono essere in grado di risolvere il nome di dominio completo per l'endpoint dell'account di archiviazione nell'indirizzo IP dell'endpoint privato. È necessario configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale, o configurare i record A per StorageAccountA.privatelink.blob.core.windows.net
con l'indirizzo IP dell'endpoint privato.
Suggerimento
Quando si usa un server DNS personalizzato o locale, è necessario configurare il server DNS per risolvere il nome dell'account di archiviazione nel sottodominio nell'indirizzo privatelink
IP dell'endpoint privato. A tale scopo, è possibile delegare il sottodominio privatelink
alla zona DNS privata della rete virtuale oppure configurare la zona DNS nel server DNS e aggiungere i record A del DNS.
I nomi di zona DNS consigliati per gli endpoint privati per i servizi di archiviazione e le risorse secondarie di destinazione dell'endpoint associati sono:
Servizio di archiviazione | Sottorisorsa di destinazione | Nome zona |
---|---|---|
Servizio BLOB | blob | privatelink.blob.core.windows.net |
Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
Servizio file | file | privatelink.file.core.windows.net |
Servizio di accodamento | queue | privatelink.queue.core.windows.net |
Servizio tabelle | table | privatelink.table.core.windows.net |
Siti Web statici | web | privatelink.web.core.windows.net |
Per altre informazioni sulla configurazione del proprio server DNS per supportare gli endpoint privati, vedere gli articoli seguenti:
- Risoluzione dei nomi per le risorse in reti virtuali di Azure
- Configurazione DNS per gli endpoint privati
Prezzi
Per informazioni dettagliate sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Problemi noti
Tenere presenti i problemi noti seguenti relativi agli endpoint privati per Archiviazione di Azure.
Vincoli di accesso alle risorse di archiviazione per i client nelle reti virtuali con endpoint privati
I client nelle reti virtuali con endpoint privati esistenti devono affrontare vincoli quando accedono ad altri account di archiviazione con endpoint privati. Si supponga, ad esempio, che una rete virtuale N1 abbia un endpoint privato per un account di archiviazione A1 per l'archiviazione BLOB. Se l'account di archiviazione A2 ha un endpoint privato in una rete virtuale N2 per l'archiviazione BLOB, i client nella rete virtuale N1 devono anche accedere all'archiviazione BLOB nell'account A2 usando un endpoint privato. Se l'account di archiviazione A2 non dispone di endpoint privati per l'archiviazione BLOB, i client nella rete virtuale N1 possono accedere all'archiviazione BLOB in tale account senza un endpoint privato.
Questo vincolo è il risultato delle modifiche DNS apportate quando l'account A2 crea un endpoint privato.
Copia di BLOB tra account di archiviazione
È possibile copiare BLOB tra account di archiviazione usando endpoint privati solo se si usa l'API REST di Azure o gli strumenti che usano l'API REST. Questi strumenti includono AzCopy, Storage Explorer, Azure PowerShell, l'interfaccia della riga di comando di Azure e gli SDK Archiviazione BLOB di Azure.
Sono supportati solo gli endpoint privati destinati all'endpoint blob
della risorsa di archiviazione o file
. Sono incluse le chiamate API REST agli account Data Lake Storage in cui viene fatto riferimento all'endpoint blob
della risorsa in modo esplicito o implicito. Gli endpoint privati destinati all'endpoint della risorsa Data Lake Storage dfs
non sono ancora supportati. La copia tra account di archiviazione tramite il protocollo NFS (Network File System) non è ancora supportata.