Configurare gli endpoint dei servizi per Azure Elastic SAN

Un endpoint di servizio consente la connettività sicura a SAN elastico da una subnet all'interno della rete virtuale, senza richiedere un indirizzo IP privato. Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile Configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.

Questo articolo illustra come configurare le connessioni dell'endpoint di servizio alla rete SAN elastica.

Prerequisiti

• Distribuire una SAN di Elastic.
• Per capire se gli endpoint privati o di servizio sono più adatti al tuo ambiente, leggi Informazioni sulle configurazioni di rete per Elastic SAN.
• Se si utilizza Azure PowerShell, installare il modulo di Azure PowerShell più recente.
• Se si usa l'interfaccia della riga di comando di Azure, installare la versione più recente.
• Dopo aver installato la versione più recente, eseguire az extension add -n elastic-san per installare l'estensione per SAN di Elastic.

Configurare l'accesso alla rete pubblica

È possibile abilitare l'accesso a Internet pubblico agli endpoint di SAN elastici a livello SAN. L'abilitazione dell'accesso alla rete pubblica per una SAN di Elastic consente di configurare l'accesso pubblico ai singoli gruppi di volumi tramite gli endpoint del servizio di archiviazione. Per impostazione predefinita, l'accesso pubblico ai singoli gruppi di volumi viene negato anche se è consentito a livello SAN. È necessario configurare in modo esplicito i gruppi di volumi per consentire l'accesso da intervalli di indirizzi IP specifici e subnet di rete virtuale.

È possibile abilitare l'accesso alla rete pubblica quando si crea una SAN di Elastic o abilitarlo per una SAN esistente usando il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure.

Portale

Usare il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure per abilitare l'accesso alla rete pubblica.

PowerShell

Usare questo codice di esempio per aggiornare una SAN di Elastic e abilitare l'accesso alla rete pubblica tramite PowerShell. Sostituire i valori di RgName e EsanName con i propri, quindi eseguire l'esempio:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Interfaccia della riga di comando di Azure

Usare questo codice di esempio per aggiornare una SAN di Elastic e abilitare l'accesso alla rete pubblica tramite l'interfaccia della riga di comando di Azure. Sostituire i valori di RgName e EsanName con i propri:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Configurare un endpoint di servizio di Archiviazione di Azure

Per configurare un endpoint servizio di Archiviazione di Azure dalla rete virtuale in cui è necessario l'accesso, è necessario disporre dell'autorizzazione per l'Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperazione del provider di risorse di Azure tramite un ruolo di Azure personalizzato per configurare un endpoint servizio.

Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile Configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.

Annotazioni

La configurazione di regole che concedano l'accesso alle subnet nelle reti virtuali che appartengono a un tenant di Microsoft Entra differente è attualmente supportata solo tramite PowerShell, l'interfaccia della riga di comando e le API REST. Queste regole non possono essere configurate tramite il portale di Azure, ma possono essere visualizzate solo nel portale.

Portale

1. Passare alla rete virtuale e selezionare Endpoint di servizio.

2. Seleziona + Aggiungi.

3. Nella schermata Aggiungi endpoint di servizio:

   1. Per Servizio selezionare Microsoft.Storage.Global per aggiungere un endpoint di servizio tra più aree.

   Annotazioni

   È possibile che venga visualizzato Microsoft.Storage elencato come endpoint del servizio di archiviazione disponibile. Questa opzione è per gli endpoint all'interno dell'area che esistono solo per la compatibilità con le versioni precedenti. Usare sempre gli endpoint tra aree, a meno che non si disponga di un motivo specifico per l'uso di endpoint all'interno dell'area.

4. Per Subnet selezionare tutte le subnet in cui si desidera consentire l'accesso.

5. Seleziona Aggiungi.

PowerShell

Usare il codice di esempio seguente per creare un endpoint del servizio di archiviazione per il gruppo di volumi ELASTIC SAN.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Interfaccia della riga di comando di Azure

Usare il seguente codice di esempio per creare un endpoint servizio di archiviazione per il gruppo di volumi SAN di Elastic:

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Configurare le regole di rete virtuale

Tutte le richieste in ingresso per i dati su un endpoint di servizio vengono bloccate per impostazione predefinita. Solo le applicazioni che richiedono dati da origini consentite configurate nelle regole di rete sono in grado di accedere ai dati.

È possibile gestire le regole di rete virtuale per i gruppi di volumi tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando.

Importante

Per abilitare l'accesso all'account di archiviazione da una rete virtuale o una subnet in un altro tenant di Microsoft Entra, è necessario usare PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure non mostra le subnet in altri tenant di Microsoft Entra.

Se si elimina una subnet inclusa in una regola di rete, viene rimossa dalle regole di rete per il gruppo di volumi. Se si crea una nuova subnet con lo stesso nome, non avrà accesso al gruppo di volumi. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per il gruppo di volumi.

Portale

1. Passare alla rete SAN e selezionare Gruppi di volumi.
2. Selezionare un gruppo di volumi e selezionare Crea.
3. Aggiungere una rete virtuale e una subnet esistenti e selezionare Salva.

PowerShell

Il seguente script abilita l'endpoint di servizio per Azure Storage in una rete virtuale e una subnet esistenti, quindi aggiunge una regola di rete per una rete virtuale e una subnet.

Suggerimento

Per aggiungere una regola di rete per una subnet in una rete virtuale che appartiene a un altro tenant di Microsoft Entra, usare un parametro VirtualNetworkResourceId completo nel formato "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

$Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
$Rules.NetworkAclsVirtualNetworkRule

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

$rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow

Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule

Se necessario, è possibile usare lo script seguente per rimuovere una regola di rete virtuale:

## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName

Interfaccia della riga di comando di Azure

Lo script seguente elenca le informazioni di un determinato gruppo di volumi, abilita l'endpoint di servizio per Archiviazione di Azure in una rete virtuale e una subnet esistenti e aggiunge una regola di rete per una rete virtuale e una subnet.

Suggerimento

Per aggiungere una regola per una subnet in una rete virtuale appartenente a un altro tenant di Microsoft Entra, usare un ID subnet completo nel formato /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

È possibile usare il parametro subscription per recuperare l'ID subnet di una rete virtuale che appartiene a un altro tenant di Microsoft Entra.

az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName

az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"

# First, get the current length of the list of virtual networks to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'

az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"

Se necessario, è possibile rimuovere le regole di rete. Ad esempio, il comando seguente rimuove la prima regola di rete, modificarla per rimuovere la regola di rete desiderata.

az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null

Configurare connessioni client

Dopo aver abilitato gli endpoint desiderati e aver concesso l'accesso nelle regole di rete, è possibile configurare i client per connettersi ai volumi SAN di Elastic appropriati.

Annotazioni

Se viene persa una connessione tra una macchina virtuale e un volume SAN elastico, la connessione viene ritentata per 90 secondi fino al termine. La perdita di una connessione a un volume SAN di Elastic non causerà il riavvio della VM.

Passaggi successivi

• Connettere i volumi SAN di Elastic in Azure a un cluster del servizio Azure Kubernetes
• Connettersi ai volumi SAN di Elastic - Linux
• Connettersi ai volumi SAN di Elastic - Windows