Informazioni sulle configurazioni di rete per la san elastica
La rete SAN (Elastic Storage Area Network) di Azure consente di proteggere e controllare il livello di accesso ai volumi SAN elastici richiesti dalle applicazioni e dagli ambienti aziendali. Questo articolo descrive le opzioni per consentire agli utenti e alle applicazioni di accedere ai volumi SAN elastici da un'infrastruttura di rete virtuale di Azure.
È possibile configurare gruppi di volumi SAN elastici per consentire l'accesso solo su endpoint specifici in subnet di rete virtuale specifiche. Le subnet consentite possono appartenere a una rete virtuale nella stessa sottoscrizione o a quelle in una sottoscrizione diversa, incluse le sottoscrizioni appartenenti a un tenant Microsoft Entra diverso. Dopo aver configurato l'accesso alla rete per un gruppo di volumi, la configurazione viene ereditata da tutti i volumi appartenenti al gruppo.
A seconda della configurazione, anche le applicazioni su reti virtuali con peering o reti locali possono accedere ai volumi nel gruppo. Le reti locali devono essere connesse alla rete virtuale tramite UNA VPN o ExpressRoute. Per altre informazioni sulle configurazioni di rete virtuale, vedere Infrastruttura di rete virtuale di Azure.
Esistono due tipi di endpoint di rete virtuale che è possibile configurare per consentire l'accesso a un gruppo di volumi SAN elastico:
Per decidere quale opzione è più adatta, vedere Confrontare endpoint privati ed endpoint di servizio. In genere, è consigliabile usare endpoint privati anziché endpoint di servizio perché collegamento privato offre funzionalità migliori. Per altre informazioni, vedere collegamento privato di Azure.
Dopo aver configurato gli endpoint, è possibile configurare le regole di rete per controllare ulteriormente l'accesso al gruppo di volumi ELASTIC SAN. Dopo aver configurato gli endpoint e le regole di rete, i client possono connettersi ai volumi nel gruppo per elaborare i carichi di lavoro.
Accesso alla rete pubblica
È possibile abilitare o disabilitare l'accesso a Internet pubblico agli endpoint SAN elastici a livello san. L'abilitazione dell'accesso alla rete pubblica per una SAN elastica consente di configurare l'accesso pubblico ai singoli gruppi di volumi in tale san tramite gli endpoint del servizio di archiviazione. Per impostazione predefinita, l'accesso pubblico ai singoli gruppi di volumi viene negato anche se è consentito a livello SAN. Se si disabilita l'accesso pubblico a livello san, l'accesso ai gruppi di volumi all'interno di tale san è disponibile solo su endpoint privati.
Integrità dei dati
L'integrità dei dati è importante per prevenire il danneggiamento dei dati nell'archiviazione cloud. TCP fornisce un livello di integrità dei dati di base tramite il meccanismo di checksum, può essere migliorato su iSCSI con un rilevamento degli errori più affidabile con un controllo di ridondanza ciclica (CRC), in particolare CRC-32C. CRC-32C può essere usato per aggiungere la verifica checksum per intestazioni iSCSI e payload di dati.
Elastic SAN supporta la verifica checksum CRC-32C quando è abilitata sul lato client per le connessioni ai volumi SAN elastici. Elastic SAN offre anche la possibilità di applicare questo rilevamento degli errori tramite una proprietà che può essere impostata a livello di gruppo di volumi, ereditata da qualsiasi volume all'interno di tale gruppo di volumi. Quando si abilita questa proprietà in un gruppo di volumi, Elastic SAN rifiuta tutte le connessioni client a tutti i volumi nel gruppo di volumi se CRC-32C non è impostato per i digest di intestazione o dati in tali connessioni. Quando si disabilita questa proprietà, la verifica del checksum del volume SAN elastico dipende dal fatto che CRC-32C sia impostato per l'intestazione o i digest di dati nel client, ma la san elastica non rifiuterà alcuna connessione. Per informazioni su come abilitare la protezione CRC, vedere Configurare la rete.
Nota
Alcuni sistemi operativi potrebbero non supportare l'intestazione iSCSI o i digest di dati. Fedora e le distribuzioni downstream di Linux, ad esempio Red Hat Enterprise Linux, CentOS, Rocky Linux e così via, non supportano i digest dei dati. Non abilitare la protezione CRC nei gruppi di volumi se i client usano sistemi operativi come questi che non supportano l'intestazione iSCSI o i digest di dati perché le connessioni ai volumi avranno esito negativo.
Endpoint di servizio di archiviazione
Gli endpoint di servizio di Azure Rete virtuale offrono connettività sicura e diretta ai servizi di Azure usando una route ottimizzata sulla rete backbone di Azure. Gli endpoint di servizio consentono di proteggere le risorse critiche del servizio di Azure in modo che solo le reti virtuali specifiche possano accedervi.
Gli endpoint di servizio tra aree per Archiviazione di Azure lavorare tra reti virtuali e istanze del servizio di archiviazione in qualsiasi area. Con gli endpoint servizio tra aree, le subnet non usano più un indirizzo IP pubblico per comunicare con gli account di archiviazione, inclusi quelli in un'altra area. In alternativa, tutto il traffico da una subnet a un account di archiviazione usa un indirizzo IP privato come IP di origine.
Suggerimento
Gli endpoint di servizio locali originali, identificati come Microsoft.Storage, sono ancora supportati per la compatibilità con le versioni precedenti, ma è necessario creare endpoint tra aree, identificati come Microsoft.Storage.Global, per le nuove distribuzioni.
Gli endpoint di servizio tra aree e quelli locali non possono coesistere nella stessa subnet. Per usare gli endpoint di servizio tra aree, potrebbe essere necessario eliminare gli endpoint Microsoft.Storage esistenti e ricrearli come Microsoft.Storage.Global.
Endpoint privati
Azure collegamento privato consente di accedere in modo sicuro a un gruppo di volumi SAN elastico tramite un endpoint privato da una subnet di rete virtuale. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, eliminando il rischio di esporre il servizio alla rete Internet pubblica. Un endpoint privato SAN elastico usa un set di indirizzi IP dallo spazio indirizzi della subnet per ogni gruppo di volumi. Il numero massimo usato per endpoint è 20.
Gli endpoint privati presentano diversi vantaggi rispetto agli endpoint di servizio. Per un confronto completo degli endpoint privati con gli endpoint di servizio, vedere Confrontare endpoint privati ed endpoint di servizio.
Restrizioni
Gli endpoint privati non sono attualmente supportati per le reti SAN elastiche che usano l'archiviazione con ridondanza della zona.
Funzionamento
Il traffico tra la rete virtuale e la san elastica viene instradato su un percorso ottimale nella rete backbone di Azure. A differenza degli endpoint di servizio, non è necessario configurare le regole di rete per consentire il traffico da un endpoint privato perché il firewall di archiviazione controlla solo l'accesso tramite endpoint pubblici.
Per informazioni dettagliate su come configurare gli endpoint privati, vedere Abilitare l'endpoint privato.
Regole di rete virtuale
Per proteggere ulteriormente l'accesso ai volumi SAN elastici, è possibile creare regole di rete virtuale per i gruppi di volumi configurati con gli endpoint di servizio per consentire l'accesso da subnet specifiche. Non sono necessarie regole di rete per consentire il traffico da un endpoint privato perché il firewall di archiviazione controlla solo l'accesso tramite endpoint pubblici.
Ogni gruppo di volumi supporta fino a 200 regole di rete virtuale. Se si elimina una subnet inclusa in una regola di rete, viene rimossa dalle regole di rete per il gruppo di volumi. Se si crea una nuova subnet con lo stesso nome, non avrà accesso al gruppo di volumi. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per il gruppo di volumi.
Ai client concessi l'accesso tramite queste regole di rete devono essere concesse anche le autorizzazioni appropriate per il gruppo di volumi ELASTIC SAN.
Per informazioni su come definire le regole di rete, vedere Gestione delle regole di rete virtuale.
Connessioni client
Dopo aver abilitato gli endpoint desiderati e aver concesso l'accesso nelle regole di rete, è possibile connettersi ai volumi SAN elastici appropriati usando il protocollo iSCSI. Per informazioni su come configurare le connessioni client, vedere gli articoli su come connettersi a linux, Windows o servizio Azure Kubernetes cluster.
Le sessioni iSCSI possono disconnettersi e riconnettersi periodicamente nel corso del giorno. Queste disconnessioni e riconnessioni fanno parte di manutenzione regolare o il risultato delle fluttuazioni di rete. Non è consigliabile riscontrare alcuna riduzione delle prestazioni in seguito a queste disconnessioni e riconnessioni e le connessioni devono ristabilire autonomamente. Se una connessione non viene stabilita nuovamente o si verifica una riduzione delle prestazioni, generare un ticket di supporto.
Nota
Se viene persa una connessione tra una macchina virtuale e un volume SAN di Elastic la connessione verrà ritentata per 90 secondi fino al termine. La perdita di una connessione a un volume SAN di Elastic non causerà il riavvio della VM.