최신 버전을 설치했으면 az extension add -n elastic-san을 실행하여 Elastic SAN용 확장을 설치합니다.
추가 등록 단계는 필요하지 않습니다.
제한 사항
다음 목록에는 현재 Elastic SAN을 사용할 수 있는 지역과 ZRS(영역 중복 스토리지)와 LRS(로컬 중복 스토리지)를 모두 지원하거나 LRS만 지원하는 지역이 포함되어 있습니다.
남아프리카 공화국 북부 - LRS
동아시아 - LRS
동남 아시아 - LRS
브라질 남부 - LRS
캐나다 중부 - LRS
프랑스 중부 - LRS 및 ZRS
독일 중서부 - LRS
오스트레일리아 동부 - LRS
북유럽 - LRS 및 ZRS
서유럽 - LRS 및 ZRS
영국 남부 - LRS
일본 동부 - LRS
한국 중부 - LRS
미국 중부 - LRS
미국 동부 - LRS
미국 중남부 - LRS
미국 동부 2 - LRS
미국 서부 2 - LRS 및 ZRS
미국 서부 3 - LRS
스웨덴 중부 - LRS
스위스 북부 - LRS
노르웨이 동부 - LRS
아랍에미리트 북부 - LRS
인도 중부 - LRS
공용 네트워크 액세스 구성
SAN 수준에서 Elastic SAN 엔드포인트에 대한 공용 인터넷 액세스를 사용하도록 설정합니다. Elastic SAN에 대한 공용 네트워크 액세스를 사용하도록 설정하면 스토리지 서비스 엔드포인트를 통해 개별 볼륨 그룹에 대한 공용 액세스를 구성할 수 있습니다. 기본적으로 개별 볼륨 그룹에 대한 공용 액세스는 SAN 수준에서 허용하더라도 거부됩니다. 특정 IP 주소 범위 및 가상 네트워크 서브넷에서의 액세스를 허용하도록 볼륨 그룹을 명시적으로 구성해야 합니다.
탄력적 SAN을 만들 때 공용 네트워크 액세스를 사용하도록 설정하거나 Azure PowerShell 모듈 또는 Azure CLI를 사용하여 기존 SAN에 대해 이를 사용하도록 설정할 수 있습니다.
Azure PowerShell 모듈 또는 Azure CLI를 사용하여 공용 네트워크 액세스를 사용하도록 설정합니다.
PowerShell을 사용하여 공용 네트워크 액세스가 사용하도록 설정된 Elastic SAN을 만들려면 이 샘플 코드를 사용합니다. 샘플을 실행하기 전에 변수 값을 바꿉니다.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
Name = $EsanName
ResourceGroupName = $RgName
BaseSizeTiB = $BaseSize
ExtendedCapacitySizeTiB = $ExtendedSize
Location = $Location
SkuName = $SkuName
PublicNetworkAccess = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments
PowerShell을 사용하여 공용 네트워크 액세스를 사용하도록 설정하려면 이 샘플 코드를 사용하여 Elastic SAN을 업데이트합니다. RgName 및 EsanName의 값을 원하는 값으로 바꾼 후 샘플을 실행합니다.
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled
이 샘플 코드를 사용하여 Azure CLI를 사용하여 공용 네트워크 액세스가 사용하도록 설정된 탄력적 SAN을 만듭니다. 샘플을 실행하기 전에 변수 값을 바꿉니다.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"
# Create the Elastic San.
az elastic-san create \
--elastic-san-name $EsanName \
--resource-group $RgName \
--location $Location \
--base-size-tib $BaseSize \
--extended-capacity-size-tib $ExtendedSize \
--sku $SkuName \
--public-network-access enabled
Azure CLI를 사용하여 공용 네트워크 액세스를 사용하도록 설정하려면 이 샘플 코드를 사용하여 Elastic SAN을 업데이트합니다. RgName 및 EsanName의 값을 원하는 값으로 바꿉니다.
# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--public-network-access enabled
가상 네트워크 엔드포인트 구성
특정 가상 네트워크 서브넷의 엔드포인트에서만 액세스를 허용하도록 Elastic SAN 볼륨 그룹을 구성할 수 있습니다. 허용되는 서브넷은 동일한 구독의 가상 네트워크 또는 다른 Microsoft Entra 테넌트에 속하는 구독을 포함하여 다른 구독의 가상 네트워크에 속할 수 있습니다.
다음 두 가지 유형의 Azure 가상 네트워크 엔드포인트에서 Elastic SAN 볼륨 그룹에 대한 액세스를 허용할 수 있습니다.
프라이빗 엔드포인트는 가상 네트워크 서브넷에서 하나 이상의 개인 IP 주소를 사용하여 Microsoft 백본 네트워크를 통해 Elastic SAN 볼륨 그룹에 액세스합니다. 프라이빗 엔드포인트를 사용하면 가상 네트워크와 볼륨 그룹 간의 트래픽이 프라이빗 링크를 통해 보호됩니다.
가상 네트워크 서비스 엔드포인트는 퍼블릭이며 인터넷을 통해 액세스할 수 있습니다. 스토리지 서비스 엔드포인트를 사용할 때 볼륨 그룹에 대한 액세스를 제어하도록 가상 네트워크 규칙을 구성할 수 있습니다.
네트워크 규칙은 프라이빗 엔드포인트가 아닌 볼륨 그룹의 퍼블릭 엔드포인트에만 적용됩니다. 프라이빗 엔드포인트의 생성을 승인하면 프라이빗 엔드포인트를 호스트하는 서브넷의 트래픽에 대해 암시적 액세스 권한이 부여됩니다. 액세스 규칙을 구체화하려는 경우 네트워크 정책을 사용하여 프라이빗 엔드포인트를 통해 트래픽을 제어할 수 있습니다. 프라이빗 엔드포인트를 제외적으로 사용하려면 볼륨 그룹에 대해 서비스 엔드포인트를 사용하도록 설정하지 마세요.
LRS(로컬 중복 스토리지)를 중복 옵션으로 사용하는 Elastic SAN의 경우 Elastic SAN을 사용할 수 있는 모든 지역에서 프라이빗 엔드포인트가 지원됩니다. 프라이빗 엔드포인트는 현재 ZRS(영역 중복 스토리지)를 중복 옵션으로 사용하는 탄력적 SAN에 대해 지원되지 않습니다.
프라이빗 엔드포인트 연결 구성은 다음 두 단계로 진행됩니다.
엔드포인트 및 연결된 연결 만들기
연결 승인.
네트워크 정책을 사용하여 프라이빗 엔드포인트에 대한 액세스 제어를 구체화할 수도 있습니다.
Elastic SAN 볼륨 그룹에 대한 프라이빗 엔드포인트를 만들려면 Elastic SAN 볼륨 그룹 소유자 역할이 있어야 합니다. 새 프라이빗 엔드포인트 연결을 승인하려면 Azure 리소스 공급자 작업Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action에 대한 권한이 있어야 합니다. 이 작업에 대한 권한은 Elastic SAN 네트워크 관리 역할에 포함되지만 사용자 지정 Azure 역할을 통해 부여할 수도 있습니다.
만들기 및 승인에 필요한 모든 역할 및 권한이 있는 사용자 계정에서 엔드포인트를 만드는 경우 이 프로세스를 한 단계로 완료할 수 있습니다. 그렇지 않은 경우 두 명의 다른 사용자가 별도의 두 단계를 수행해야 합니다.
Elastic SAN과 가상 네트워크는 다양한 Microsoft Entra 테넌트에 속하는 구독을 포함하여 다양한 리소스 그룹, 지역 및 구독에 있을 수 있습니다. 이러한 예제에서는 가상 네트워크와 동일한 리소스 그룹에 프라이빗 엔드포인트를 만듭니다.
볼륨 그룹을 만들거나 기존 볼륨 그룹을 수정할 때 Azure Portal에서 볼륨 그룹에 대한 프라이빗 엔드포인트 연결을 만들 수 있습니다. 프라이빗 엔드포인트를 만들려면 기존 가상 네트워크가 필요합니다.
볼륨 그룹을 만들거나 수정할 때 네트워킹을 선택한 다음 프라이빗 엔드포인트 연결에서 + 프라이빗 엔드포인트 만들기를 선택합니다.
팝업 메뉴에 값을 작성하고 애플리케이션이 연결하는 데 사용할 가상 네트워크와 서브넷을 선택합니다. 완료되면 추가를 선택하고 저장을 선택합니다.
PowerShell을 사용하여 Elastic SAN 볼륨 그룹에 대한 프라이빗 엔드포인트를 배포하려면 다음 단계를 수행합니다.
연결할 애플리케이션에서 서브넷을 가져옵니다.
Elastic SAN 볼륨 그룹을 가져옵니다.
볼륨 그룹을 입력으로 사용하여 프라이빗 링크 서비스 연결을 만듭니다.
서브넷 및 프라이빗 링크 서비스 연결을 입력으로 사용하여 프라이빗 엔드포인트를 만듭니다.
(선택 사항)2단계 프로세스(만들기 후 승인)를 사용하는 경우): Elastic SAN 네트워크 관리자가 연결을 승인합니다.
이 샘플 코드를 사용하여 PowerShell에서 Elastic SAN 볼륨 그룹에 대한 프라이빗 엔드포인트를 만듭니다. RgName, VnetName, SubnetName, EsanName, EsanVgName, PLSvcConnectionName, EndpointName 및 Location의 값을 원하는 값으로 바꿉니다.
# Set the resource group name.
$RgName = "<ResourceGroupName>"
# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"
$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName
# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName
# Create the private endpoint.
$EndpointName = '<PrivateEndpointName>'
$Location = '<Location>'
$PeArguments = @{
Name = $EndpointName
ResourceGroupName = $RgName
Location = $Location
Subnet = $Subnet
PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).
2단계 프로세스를 사용하는 경우 이 샘플 코드를 사용하여 프라이빗 링크 서비스 연결을 승인합니다. 이전 코드 샘플의 동일한 변수를 사용합니다.
# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments = @{
ServiceName = $EsanName
ResourceGroupName = $RgName
PrivateLinkResourceType = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc
# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState
Azure CLI를 사용하여 Elastic SAN 볼륨 그룹에 대한 프라이빗 엔드포인트를 배포하는 데는 다음 세 단계가 진행됩니다.
Elastic SAN의 프라이빗 연결 리소스 ID를 가져옵니다.
다음과 같은 입력을 사용하여 프라이빗 엔드포인트를 만듭니다.
프라이빗 연결 리소스 ID
볼륨 그룹 이름
리소스 그룹 이름
서브넷 이름
가상 네트워크 이름
(선택 사항2단계 프로세스(만들기 후 승인)를 사용하는 경우): Elastic SAN 네트워크 관리자가 연결을 승인합니다.
이 샘플 코드를 사용하여 Azure CLI에서 Elastic SAN 볼륨 그룹에 대한 프라이빗 엔드포인트를 만듭니다. 2단계 프로세스를 사용하는 경우 --manual-request 매개 변수의 주석 처리를 제거합니다. 모든 예 변수 값을 원하는 값으로 바꿉니다.
# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"
# Get the id of the Elastic SAN.
id=$(az elastic-san show \
--elastic-san-name $EsanName \
--resource-group $RgName \
--query 'id' \
--output tsv)
# Create the private endpoint.
az network private-endpoint create \
--connection-name $PLSvcConnectionName \
--name $EndpointName \
--private-connection-resource-id $id \
--resource-group $RgName \
--vnet-name $VnetName \
--subnet $SubnetName \
--location $Location \
--group-id $EsanVgName # --manual-request
# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
--name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)
az network private-endpoint-connection show \
--resource-name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--name $PLConnectionName
2단계 프로세스를 사용하는 경우 이 샘플 코드를 사용하여 프라이빗 링크 서비스 연결을 승인합니다. 이전 코드 샘플의 동일한 변수를 사용합니다.
액세스가 필요한 가상 네트워크에서 Azure Storage 서비스 엔드포인트를 구성하려면 사용자 지정 Azure 역할을 통해 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure 리소스 공급자 작업을 수행하기 위한 권한이 있어야 합니다.
가상 네트워크 서비스 엔드포인트는 퍼블릭이며 인터넷을 통해 액세스할 수 있습니다. 스토리지 서비스 엔드포인트를 사용할 때 볼륨 그룹에 대한 액세스를 제어하도록 가상 네트워크 규칙을 구성할 수 있습니다.
참고 항목
다른 Microsoft Entra 테넌트의 일부인 가상 네트워크의 서브넷에 대한 액세스 권한을 부여하는 규칙 구성은 현재 PowerShell, CLI 및 REST API를 통해서만 지원됩니다. 이러한 규칙은 포털에서 볼 수 있지만 Azure Portal을 통해 구성할 수는 없습니다.
서비스에서 Microsoft.Storage.Global을 선택하여 지역 간 서비스 엔드포인트를 추가합니다.
참고 항목
사용 가능한 스토리지 서비스 엔드포인트로 나열된 Microsoft.Storage가 표시될 수 있습니다. 이 옵션은 이전 버전과의 호환성을 위해서만 존재하는 지역 내 엔드포인트에 대한 것입니다. 지역 내 엔드포인트를 사용하는 구체적인 이유가 없는 한, 항상 지역 간 엔드포인트를 사용합니다.
서브넷의 경우 액세스를 허용하려는 모든 서브넷을 선택합니다.
추가를 선택합니다.
이 샘플 코드를 사용하여 PowerShell에서 Elastic SAN 볼륨 그룹에 대한 스토리지 서비스 엔드포인트를 만듭니다.
# Define some variables
$RgName = "<ResourceGroupName>"
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName
# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
이 샘플 코드를 사용하여 Azure CLI에서 Elastic SAN 볼륨 그룹에 대한 스토리지 서비스 엔드포인트를 만듭니다.
# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"
# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"
가상 네트워크 규칙 구성
서비스 엔드포인트를 통해 들어오는 모든 데이터 요청은 기본적으로 차단됩니다. 네트워크 규칙에서 구성한 허용된 원본의 데이터를 요청하는 애플리케이션만 데이터에 액세스할 수 있습니다.
Azure Portal, PowerShell 또는 CLI를 통해 볼륨 그룹에 대한 가상 네트워크 규칙을 관리할 수 있습니다.
Important
다른 Microsoft Entra 테넌트의 가상 네트워크/서브넷에서 스토리지 계정에 대한 액세스를 사용하도록 설정하려면 PowerShell 또는 Azure CLI를 사용해야 합니다. Azure Portal은 다른 Microsoft Entra 테넌트의 서브넷을 표시하지 않습니다.
네트워크 규칙에 포함된 서브넷을 삭제하면 볼륨 그룹에 대한 네트워크 규칙에서 제거됩니다. 동일한 이름으로 새 서브넷을 만들면 볼륨 그룹에 액세스할 수 없습니다. 액세스를 허용하려면 볼륨 그룹에 대한 네트워크 규칙에서 새 서브넷에 명시적으로 권한을 부여해야 합니다.
다른 Microsoft Entra 테넌트에 속한 가상 네트워크의 서브넷에 대한 네트워크 규칙을 추가하려면 "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name" 형식의 정규화된 VirtualNetworkResourceId 매개 변수를 사용합니다.
가상 네트워크 규칙을 제거합니다.
## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
다른 Microsoft Entra 테넌트에 속한 가상 네트워크의 서브넷에 대한 규칙을 추가하려면 /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\> 형식의 정규화된 서브넷 ID를 사용합니다.
subscription 매개 변수를 사용하여 다른 Microsoft Entra 테넌트에 속한 가상 네트워크의 서브넷 ID를 검색할 수 있습니다.
# First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
네트워크 규칙을 제거합니다. 다음 명령은 첫 번째 네트워크 규칙을 제거하고 수정하여 원하는 네트워크 규칙을 제거합니다.
