Configurare l'accesso alla rete per la san elastica di Azure

È possibile controllare l'accesso ai volumi san (Elastic Storage Area Network) di Azure. Il controllo dell'accesso consente di proteggere i dati e soddisfare le esigenze delle applicazioni e degli ambienti aziendali.

Questo articolo descrive come configurare la san elastica per consentire l'accesso dall'infrastruttura di rete virtuale di Azure.

Per configurare l'accesso di rete alla rete SAN elastica:

• Configurare l'accesso alla rete pubblica
• Configurare un endpoint di rete virtuale.
• Configurare le connessioni client.

Prerequisiti

• Se si usa Azure PowerShell, installare il modulo azure PowerShell più recente.
• Se si usa l'interfaccia della riga di comando di Azure, installare la versione più recente.
• Dopo aver installato la versione più recente, eseguire az extension add -n elastic-san per installare l'estensione per Elastic SAN. Non sono necessari passaggi di registrazione aggiuntivi.

Limiti

L'elenco seguente contiene le aree san elastiche attualmente disponibili in e quali aree supportano sia l'archiviazione con ridondanza della zona (ZRS) che l'archiviazione con ridondanza locale o solo l'archiviazione con ridondanza locale o solo l'archiviazione con ridondanza locale:

• Sudafrica settentrionale - Archiviazione con ridondanza locale
• Asia orientale - Archiviazione con ridondanza locale
• Asia sud-orientale - Archiviazione con ridondanza locale
• Brasile meridionale - Archiviazione con ridondanza locale
• Canada centrale - Archiviazione con ridondanza locale
• Francia centrale - LRS & ZRS
• Germania centro-occidentale - Archiviazione con ridondanza locale
• Australia orientale - Archiviazione con ridondanza locale
• Europa settentrionale - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Europa occidentale - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Regno Unito meridionale - Archiviazione con ridondanza locale
• Giappone orientale - Archiviazione con ridondanza locale
• Corea centrale - Archiviazione con ridondanza locale
• Stati Uniti centrali
• Stati Uniti orientali - Archiviazione con ridondanza locale
• Stati Uniti centro-meridionali - Archiviazione con ridondanza locale
• Stati Uniti orientali 2 - Archiviazione con ridondanza locale
• Stati Uniti occidentali 2 - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Stati Uniti occidentali 3 - Archiviazione con ridondanza locale
• Svezia centrale - Archiviazione con ridondanza locale
• Svizzera settentrionale - Archiviazione con ridondanza locale

Configurare l'accesso alla rete pubblica

È possibile abilitare l'accesso a Internet pubblico agli endpoint SAN elastici a livello san. L'abilitazione dell'accesso alla rete pubblica per una SAN elastica consente di configurare l'accesso pubblico ai singoli gruppi di volumi tramite gli endpoint del servizio di archiviazione. Per impostazione predefinita, l'accesso pubblico ai singoli gruppi di volumi viene negato anche se è consentito a livello san. È necessario configurare in modo esplicito i gruppi di volumi per consentire l'accesso da intervalli di indirizzi IP specifici e subnet di rete virtuale.

È possibile abilitare l'accesso alla rete pubblica quando si crea una SAN elastica o abilitarla per una san esistente usando il modulo azure PowerShell o l'interfaccia della riga di comando di Azure.

Portale

Usare il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure per abilitare l'accesso alla rete pubblica.

PowerShell

Usare questo codice di esempio per creare una san elastica con accesso alla rete pubblica abilitata tramite PowerShell. Sostituire i valori delle variabili prima di eseguire l'esempio.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

Usare questo codice di esempio per aggiornare una san elastica per abilitare l'accesso alla rete pubblica tramite PowerShell. Sostituire i valori di RgName e EsanName con i propri, quindi eseguire l'esempio:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Interfaccia della riga di comando di Azure

Usare questo codice di esempio per creare una san elastica con accesso alla rete pubblica abilitata usando l'interfaccia della riga di comando di Azure. Sostituire i valori delle variabili prima di eseguire l'esempio.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

Usare questo codice di esempio per aggiornare una san elastica per abilitare l'accesso alla rete pubblica tramite l'interfaccia della riga di comando di Azure. Sostituire i valori di RgName e EsanName con i propri valori:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Configurare un endpoint di rete virtuale

È possibile configurare i gruppi di volumi SAN elastici per consentire l'accesso solo dagli endpoint in subnet di rete virtuale specifiche. Le subnet consentite possono appartenere a reti virtuali nella stessa sottoscrizione o a quelle in una sottoscrizione diversa, inclusa una sottoscrizione appartenente a un tenant Microsoft Entra diverso.

È possibile consentire l'accesso al gruppo di volumi SAN elastici da due tipi di endpoint di rete virtuale di Azure:

• Endpoint privati
• Archiviazione endpoint di servizio

Un endpoint privato usa uno o più indirizzi IP privati dalla subnet della rete virtuale per accedere a un gruppo di volumi SAN elastico tramite la rete backbone Microsoft. Con un endpoint privato, il traffico tra la rete virtuale e il gruppo di volumi viene protetto tramite un collegamento privato.

Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.

Le regole di rete si applicano solo agli endpoint pubblici di un gruppo di volumi, non agli endpoint privati. Il processo di approvazione della creazione di un endpoint privato concede l'accesso implicito al traffico dalla subnet che ospita l'endpoint privato. È possibile usare i criteri di rete per controllare il traffico sugli endpoint privati se si vogliono perfezionare le regole di accesso. Se si vogliono usare esclusivamente endpoint privati, non abilitare gli endpoint di servizio per il gruppo di volumi.

Per decidere il tipo di endpoint più adatto, vedere Confrontare endpoint privati ed endpoint di servizio.

Dopo aver configurato l'accesso alla rete per un gruppo di volumi, la configurazione viene ereditata da tutti i volumi appartenenti al gruppo.

Il processo per abilitare ogni tipo di endpoint segue:

• Configurare un endpoint privato
• Configurare un endpoint di servizio Archiviazione di Azure

Configurare un endpoint privato

Importante

• Per le reti SAN elastiche che usano l'archiviazione con ridondanza locale come opzione di ridondanza, gli endpoint privati sono supportati in tutte le aree in cui è disponibile elastico SAN. Gli endpoint privati non sono attualmente supportati per le reti SAN elastiche che usano l'archiviazione con ridondanza della zona come opzione di ridondanza.

La configurazione di una connessione endpoint privato prevede due passaggi:

• Creazione dell'endpoint e della connessione associata.
• Approvazione della connessione.

È anche possibile usare i criteri di rete per perfezionare il controllo di accesso sugli endpoint privati.

Per creare un endpoint privato per un gruppo di volumi SAN elastico, è necessario avere il ruolo Proprietario del gruppo di volumi SAN elastico. Per approvare una nuova connessione endpoint privato, è necessario disporre dell'autorizzazione per l'operazioneMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action del provider di risorse di Azure. L'autorizzazione per questa operazione è inclusa nel ruolo Di rete SAN elastica Amministrazione, ma può anche essere concessa tramite un ruolo di Azure personalizzato.

Se si crea l'endpoint da un account utente con tutti i ruoli e le autorizzazioni necessari per la creazione e l'approvazione, il processo può essere completato in un unico passaggio. In caso contrario, sono necessari due passaggi separati da due utenti diversi.

La rete SAN elastica e la rete virtuale possono trovarsi in diversi gruppi di risorse, aree e sottoscrizioni, incluse sottoscrizioni appartenenti a tenant Microsoft Entra diversi. In questi esempi viene creato l'endpoint privato nello stesso gruppo di risorse della rete virtuale.

Portale

Attualmente, è possibile configurare solo un endpoint privato usando PowerShell o l'interfaccia della riga di comando di Azure.

PowerShell

La distribuzione di un endpoint privato per un gruppo di volumi SAN elastici tramite PowerShell prevede questa procedura:

1. Ottenere la subnet dalle applicazioni che si connetteranno.
2. Ottenere il gruppo di volumi SAN elastici.
3. Creare una connessione al servizio collegamento privato usando il gruppo di volumi come input.
4. Creare l'endpoint privato usando la subnet e la connessione al servizio di collegamento privato come input.
5. (Facoltativo)se si usa il processo in due passaggi (creazione, approvazione): la rete SAN elastica Amministrazione approva la connessione.

Usare questo codice di esempio per creare un endpoint privato per il gruppo di volumi SAN elastici con PowerShell. Sostituire i valori di RgName, VnetNameSubnetName, EsanName, EsanVgName, PLSvcConnectionName, , EndpointNamee Location con i propri valori:

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

Usare questo codice di esempio per approvare la connessione al servizio collegamento privato se si usa il processo in due passaggi. Usare le stesse variabili dell'esempio di codice precedente:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Interfaccia della riga di comando di Azure

La distribuzione di un endpoint privato per un gruppo di volumi SAN elastici tramite l'interfaccia della riga di comando di Azure prevede tre passaggi:

1. Ottenere l'ID risorsa di connessione privata della san elastica.
2. Creare l'endpoint privato usando gli input:
   1. ID risorsa di connessione privata
   2. Nome del gruppo di volumi
   3. Nome gruppo di risorse
   4. Nome subnet
   5. Nome della rete virtuale
3. (facoltativo)se si usa il processo in due passaggi (creazione, approvazione): la rete SAN elastica Amministrazione approva la connessione.

Usare questo codice di esempio per creare un endpoint privato per il gruppo di volumi SAN elastici con l'interfaccia della riga di comando di Azure. Rimuovere il commento dal --manual-request parametro se si usa il processo in due passaggi. Sostituire tutti i valori di variabile di esempio con i propri:

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

Usare questo codice di esempio per approvare la connessione al servizio collegamento privato se si usa il processo in due passaggi. Usare le stesse variabili dell'esempio di codice precedente:

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Configurare un endpoint di servizio Archiviazione di Azure

Per configurare un endpoint di servizio Archiviazione di Azure dalla rete virtuale in cui è necessario l'accesso, è necessario disporre dell'autorizzazione per l'operazione del Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionprovider di risorse di Azure tramite un ruolo di Azure personalizzato per configurare un endpoint di servizio.

Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. È possibile configurare le regole di rete virtuale per controllare l'accesso al gruppo di volumi quando si usano gli endpoint del servizio di archiviazione.

Nota

La configurazione delle regole che concedono l'accesso alle subnet nelle reti virtuali che fanno parte di un tenant Microsoft Entra diverso è attualmente supportata solo tramite PowerShell, l'interfaccia della riga di comando e le API REST. Queste regole non possono essere configurate tramite il portale di Azure, anche se possono essere visualizzate nel portale.

Portale

1. Passare alla rete virtuale e selezionare Endpoint servizio.

2. Seleziona + Aggiungi.

3. Nella schermata Aggiungi endpoint di servizio:

   1. Per Servizio selezionare Microsoft.Archiviazione. Globale per aggiungere un endpoint di servizio tra aree.

   Nota

   È possibile che Microsoft.Archiviazione sia elencato come endpoint del servizio di archiviazione disponibile. Questa opzione è per gli endpoint all'interno dell'area che esistono solo per la compatibilità con le versioni precedenti. Usare sempre gli endpoint tra aree, a meno che non si disponga di un motivo specifico per l'uso di endpoint all'interno dell'area.

4. Per Subnet selezionare tutte le subnet in cui si vuole consentire l'accesso.

5. Selezionare Aggiungi.

PowerShell

Usare questo codice di esempio per creare un endpoint del servizio di archiviazione per il gruppo di volumi SAN elastici con PowerShell.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Interfaccia della riga di comando di Azure

Usare questo codice di esempio per creare un endpoint del servizio di archiviazione per il gruppo di volumi ELASTIC SAN con l'interfaccia della riga di comando di Azure.

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Configurare le regole di rete virtuale

Tutte le richieste in ingresso per i dati su un endpoint di servizio vengono bloccate per impostazione predefinita. Solo le applicazioni che richiedono dati da origini consentite configurate nelle regole di rete sono in grado di accedere ai dati.

È possibile gestire le regole di rete virtuale per i gruppi di volumi tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando.

Importante

Se si vuole abilitare l'accesso all'account di archiviazione da una rete virtuale o una subnet in un altro tenant di Microsoft Entra, è necessario usare PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure non mostra le subnet in altri tenant di Microsoft Entra.

Se si elimina una subnet inclusa in una regola di rete, verrà rimossa dalle regole di rete per il gruppo di volumi. Se si crea una nuova subnet con lo stesso nome, non avrà accesso al gruppo di volumi. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per il gruppo di volumi.

Portale

1. Passare alla rete SAN e selezionare Gruppi di volumi.
2. Selezionare un gruppo di volumi e selezionare Crea.
3. Aggiungere una rete virtuale esistente e una subnet e selezionare Salva.

PowerShell

• Installare Azure PowerShell e accedere.

• Visualizzare l'elenco delle regole di rete virtuale.

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• Abilitare l'endpoint di servizio di Archiviazione di Azure in una rete virtuale e una subnet esistenti.

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• Aggiungere una regola di rete per una rete virtuale e una subnet.

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $sanName -VolumeGroupName $volGroupName -NetworkAclsVirtualNetworkRule $rule
  

  Suggerimento

  Per aggiungere una regola di rete per una subnet in una rete virtuale appartenente a un altro tenant di Microsoft Entra, usare un parametro VirtualNetworkResourceId completo nel formato "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

• Rimuovere una regola di rete virtuale.

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Interfaccia della riga di comando di Azure

• Installare l'interfaccia della riga di comando di Azure e accedere.

• Elencare le informazioni di un determinato gruppo di volumi, incluse le relative regole di rete virtuale.

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• Abilitare l'endpoint di servizio di Archiviazione di Azure in una rete virtuale e una subnet esistenti.

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• Aggiungere una regola di rete per una rete virtuale e una subnet.

  Suggerimento

  Per aggiungere una regola per una subnet in una rete virtuale appartenente a un altro tenant di Microsoft Entra, usare un ID subnet completo nel formato /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

  È possibile usare il parametro di sottoscrizione per recuperare l'ID subnet per una rete virtuale appartenente a un altro tenant di Microsoft Entra.

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• Rimuovere una regola di rete. Il comando seguente rimuove la prima regola di rete, modificarla per rimuovere la regola di rete desiderata.

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

Configurare le connessioni client

Dopo aver abilitato gli endpoint desiderati e aver concesso l'accesso nelle regole di rete, è possibile configurare i client per connettersi ai volumi SAN elastici appropriati.

Nota

Se viene persa una connessione tra una macchina virtuale e un volume SAN elastico, la connessione verrà ritentata per 90 secondi fino al termine. La perdita di una connessione a un volume SAN elastico non causerà il riavvio della macchina virtuale.

Passaggi successivi

• Connessione volumi SAN elastici di Azure a un cluster servizio Azure Kubernetes
• Connessione ai volumi SAN elastici - Linux
• Connessione ai volumi SAN elastici - Windows