Elastic SAN のネットワーク構成の詳細について説明します
Azure Elastic 記憶域ネットワーク (SAN) を使用すると、アプリケーションやエンタープライズ環境に必要な Elastic SAN ボリュームへのアクセス レベルをセキュリティで保護し、制御できます。 この記事では、ユーザーとアプリケーションが Azure 仮想ネットワーク インフラストラクチャから Elastic SAN ボリュームにアクセスできるようにするオプションについて説明します。
特定の仮想ネットワーク サブネット上の特定のエンドポイント経由のアクセスのみを許可するように Elastic SAN ボリューム グループを構成できます。 許可するサブネットは、同じサブスクリプション内の仮想ネットワークに属していても、異なるサブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションも含む) 内のサブネットであってもかまいません。 ボリューム グループに対してネットワーク アクセスが構成されると、その構成はグループに属するすべてのボリュームによって継承されます。
構成に応じて、ピアリングされた仮想ネットワークまたはオンプレミス ネットワーク上のアプリケーションもグループ内のボリュームにアクセスできます。 オンプレミス ネットワークは、VPN または ExpressRoute によって仮想ネットワークに接続する必要があります。 仮想ネットワーク構成の詳細については、「Azure 仮想ネットワーク インフラストラクチャ」を参照してください。
Elastic SAN ボリューム グループへのアクセスを許可するように構成できる仮想ネットワーク エンドポイントには、次の 2 種類があります。
どのオプションが最適かを判断するには、「プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。 通常、Private Link の方が優れた機能を提供するため、サービス エンドポイントの代わりにプライベート エンドポイントを使用する必要があります。 詳細については、Azure Private Link に関するページを参照してください。
エンドポイントを構成した後、ネットワーク規則を構成して、Elastic SAN ボリューム グループへのアクセスをさらに制御できます。 エンドポイントとネットワーク規則が構成されたら、クライアントはグループ内のボリュームに接続してワークロードを処理できます。
パブリック ネットワーク アクセス
SAN レベルで Elastic SAN エンドポイントへの公衆インターネット アクセスを有効または無効にすることができます。 Elastic SAN に対する公衆ネットワーク アクセスを有効にすると、ストレージ サービス エンドポイント経由で、その SAN に個々のボリューム グループへの公衆アクセスを構成できます。 個々のボリューム グループへの公衆アクセスは、SAN レベルで許可した場合でも、既定では拒否されます。 SAN レベルでパブリック アクセスを無効にすると、その SAN 内のボリューム グループへのアクセスはプライベート エンドポイント経由でのみ可能になります。
ストレージ サービス エンドポイント
Azure Virtual Network サービス エンドポイントは、Azure バックボーン ネットワーク上で最適化されたルートを使用して、Azure サービスへの安全な直接接続を提供します。 サービス エンドポイントを使用すると、重要な Azure サービス リソースを保護して、特定の仮想ネットワークのみがリソースにアクセスできるようにすることができます。
Azure Storage のクロスリージョン サービス エンドポイントは、任意のリージョンの仮想ネットワークとストレージ サービス インスタンスの間で機能します。 リージョン間サービス エンドポイントを使用すると、サブネットでは、別のリージョン内のストレージ アカウントを含めて、ストレージ アカウントとの通信にパブリック IP アドレスを使用しなくなります。 代わりに、サブネットからストレージ アカウントへのすべてのトラフィックで、ソース IP としてプライベート IP アドレスが使用されます。
ヒント
Microsoft.Storage として識別される元のローカル サービス エンドポイントは、下位互換性のために引き続きサポートされていますが、新しいデプロイ用に Microsoft.Storage.Global として識別されるクロスリージョン エンドポイントを作成する必要があります。
クロスリージョン サービス エンドポイントとローカル エンドポイントは、同じサブネット上に共存できません。 クロスリージョン サービス エンドポイントを使用するには、既存の Microsoft.Storage エンドポイントを削除し、Microsoft.Storage.Global として再作成する必要がある場合があります。
プライベート エンドポイント
Azure Private Link を使用すると、仮想ネットワーク サブネットからプライベート エンドポイント経由で Elastic SAN ボリューム グループに安全にアクセスできます。 仮想ネットワークとサービス間のトラフィックは Microsoft バックボーン ネットワークを通過するため、サービスがパブリック インターネットに公開されるリスクが排除されます。 Elastic SAN プライベート エンドポイントは、各ボリューム グループのサブネット アドレス空間からの IP アドレスのセットを使用します。 エンドポイントごとに使用される最大数は 20 です。
プライベート エンドポイントには、サービス エンドポイントに比べていくつかの利点があります。 プライベート エンドポイントとサービス エンドポイントの完全な比較については、「プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。
制限
ゾーン冗長ストレージ (ZRS) を使用している Elastic SAN については、現在プライベート エンドポイントはサポートされていません。
動作方法
仮想ネットワークと Elastic SAN の間のトラフィックは、Azure バックボーン ネットワーク上の最適なパスを介してルーティングされます。 サービス エンドポイントとは異なり、ストレージ ファイアウォールはパブリック エンドポイントを介したアクセスのみを制御するため、プライベート エンドポイントからのトラフィックを許可するようにネットワーク規則を構成する必要はありません。
プライベート エンドポイントの構成方法の詳細については、「プライベート エンドポイントを有効にする」を参照してください。
仮想ネットワーク規則
Elastic SAN ボリュームへのアクセスをさらに安全にするために、サービス エンドポイントで構成されたボリューム グループに対して仮想ネットワーク規則を作成し、特定のサブネットからのアクセスを許可できます。 ストレージ ファイアウォールはパブリック エンドポイント経由のアクセスのみを制御するため、プライベート エンドポイントからのトラフィックを許可するネットワーク規則は必要ありません。
各ボリューム グループでは、最大 200 個の仮想ネットワーク規則がサポートされます。 ネットワーク規則に含まれているサブネットを削除すると、ボリューム グループのネットワーク規則から削除されます。 同じ名前で新しいサブネットを作成しても、ボリューム グループにアクセスできません。 アクセスを許可するには、ボリューム グループのネットワーク規則で新しいサブネットを明示的に承認する必要があります。
これらのネットワーク規則経由でアクセスを許可されたクライアントには、ボリューム グループに対する Elastic SAN への適切なアクセス許可も付与する必要があります。
ネットワーク ルールを定義する方法については、「仮想ネットワーク規則の管理」を参照してください。
クライアント接続
目的のエンドポイントを有効にし、ネットワーク規則でアクセスを許可した後、iSCSI プロトコルを使用して適切な Elastic SAN ボリュームに接続できます。 クライアント接続の構成方法については、Linux、Windows、Azure Kubernetes Service クラスターへの接続方法に関する記事を参照してください。
iSCSI セッションは、1 日の間で定期的に切断と再接続を繰り返します。 こうした切断や再接続は、定期的なメンテナンスの一環として、またはネットワーク変動の結果として実施されます。 切断や再接続によってパフォーマンスが低下することはありません。また、各接続は単独で再確立する必要があります。 接続が再確立されない場合、またはパフォーマンスが低下する場合は、サポート チケットを発行します。
Note
仮想マシン (VM) と Elastic SAN ボリュームの間の接続が失われた場合、接続は終了するまで 90 秒間再試行されます。 Elastic SAN ボリュームへの接続が失われると、VM は再起動されません。