Privé-eindpunten gebruiken voor Azure Storage

U kunt privé-eindpunten voor uw Azure Storage-accounts gebruiken om clients in een virtueel netwerk (VNet) veilig toegang te geven tot gegevens via een Private Link. Het privé-eindpunt gebruikt een afzonderlijk IP-adres van de VNet-adresruimte voor elke opslagaccountservice. Netwerkverkeer tussen de clients op het VNet en het opslagaccount loopt via het VNet en een privékoppeling op het Backbone-netwerk van Microsoft, waardoor blootstelling van het openbare internet wordt geëlimineerd.

Notitie

Privé-eindpunten zijn niet beschikbaar voor v1-opslagaccounts voor algemeen gebruik.

Met behulp van privé-eindpunten voor uw opslagaccount kunt u het volgende doen:

  • Beveilig uw opslagaccount door de opslagfirewall zo te configureren dat alle verbindingen op het openbare eindpunt voor de opslagservice worden geblokkeerd.
  • Verhoog de beveiliging voor het virtuele netwerk (VNet) door exfiltratie van gegevens uit het VNet te blokkeren.
  • Maak veilig verbinding met opslagaccounts vanuit on-premises netwerken die verbinding maken met het VNet via VPN of ExpressRoutes met privépeering.

Conceptueel overzicht

Overzicht van privé-eindpunten voor Azure Storage

Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw Virtual Network (VNet). Wanneer u een privé-eindpunt voor uw opslagaccount maakt, biedt het beveiligde connectiviteit tussen clients op uw VNet en uw opslag. Aan het privé-eindpunt wordt een IP-adres toegewezen vanuit het IP-adresbereik van uw VNet. De verbinding tussen het privé-eindpunt en de opslagservice maakt gebruik van een beveiligde privékoppeling.

Toepassingen in het VNet kunnen naadloos verbinding maken met de opslagservice via het privé-eindpunt, met behulp van dezelfde verbindingsreeksen en autorisatiemechanismen die ze anders zouden gebruiken. Privé-eindpunten kunnen worden gebruikt met alle protocollen die worden ondersteund door het opslagaccount, inclusief REST en SMB.

Privé-eindpunten kunnen worden gemaakt in subnetten die gebruikmaken van service-eindpunten. Clients in een subnet kunnen dus verbinding maken met één opslagaccount met behulp van een privé-eindpunt, terwijl ze service-eindpunten gebruiken om toegang te krijgen tot anderen.

Wanneer u een privé-eindpunt voor een opslagservice in uw VNet maakt, wordt er een aanvraag voor goedkeuring verzonden naar de eigenaar van het opslagaccount. Als de gebruiker die het privé-eindpunt wil maken tevens eigenaar is van het opslagaccount, wordt deze aanvraag voor toestemming automatisch goedgekeurd.

Eigenaren van opslagaccounts kunnen toestemmingsaanvragen en de privé-eindpunten beheren via het tabblad Privé-eindpunten voor het opslagaccount in de Azure Portal.

Tip

Als u de toegang tot uw opslagaccount alleen via het privé-eindpunt wilt beperken, configureert u de opslagfirewall om de toegang via het openbare eindpunt te weigeren of te beheren.

U kunt uw opslagaccount beveiligen om alleen verbindingen van uw VNet te accepteren door de opslagfirewall zo te configureren dat de toegang via het openbare eindpunt standaard wordt geweigerd. U hebt geen firewallregel nodig om verkeer van een VNet met een privé-eindpunt toe te staan, omdat de opslagfirewall alleen de toegang via het openbare eindpunt beheert. Privé-eindpunten zijn in plaats daarvan afhankelijk van de toestemmingsstroom voor het verlenen van subnetten toegang tot de opslagservice.

Notitie

Wanneer u blobs kopieert tussen opslagaccounts, moet uw client netwerktoegang hebben tot beide accounts. Dus als u ervoor kiest om een privékoppeling te gebruiken voor slechts één account (de bron of de bestemming), moet u ervoor zorgen dat uw client netwerktoegang heeft tot het andere account. Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over andere manieren om netwerktoegang te configureren.

Een privé-eindpunt maken

Als u een privé-eindpunt wilt maken met behulp van Azure Portal, raadpleegt u Privé verbinding maken met een opslagaccount vanuit de ervaring van het opslagaccount in de Azure Portal.

Als u een privé-eindpunt wilt maken met behulp van PowerShell of de Azure CLI, raadpleegt u een van deze artikelen. Beide bevatten een Azure-web-app als doelservice, maar de stappen voor het maken van een privékoppeling zijn hetzelfde voor een Azure Storage-account.

Wanneer u een privé-eindpunt maakt, moet u het opslagaccount en de opslagservice opgeven waarmee het verbinding maakt.

U hebt een afzonderlijk privé-eindpunt nodig voor elke opslagresource waartoe u toegang nodig hebt, namelijk Blobs, Data Lake Storage Gen2, Bestanden, Wachtrijen, Tabellen of Statische websites. Op het privé-eindpunt worden deze opslagservices gedefinieerd als de doelsubresource van het gekoppelde opslagaccount.

Als u een privé-eindpunt maakt voor de Data Lake Storage Gen2 opslagresource, moet u er ook een maken voor de Blob Storage-resource. Dat komt doordat bewerkingen die gericht zijn op het Data Lake Storage Gen2 eindpunt, mogelijk worden omgeleid naar het Blob-eindpunt. Door een privé-eindpunt voor beide resources te maken, zorgt u ervoor dat bewerkingen succesvol kunnen worden voltooid.

Tip

Maak een afzonderlijk privé-eindpunt voor het secundaire exemplaar van de opslagservice voor betere leesprestaties voor RA-GRS-accounts. Zorg ervoor dat u een v2-opslagaccount (Standard of Premium) voor algemeen gebruik maakt.

Voor leestoegang tot de secundaire regio met een opslagaccount dat is geconfigureerd voor geografisch redundante opslag, hebt u afzonderlijke privé-eindpunten nodig voor zowel de primaire als de secundaire exemplaren van de service. U hoeft geen privé-eindpunt te maken voor het secundaire exemplaar voor failover. Het privé-eindpunt maakt automatisch verbinding met het nieuwe primaire exemplaar na een failover. Zie Azure Storage-redundantie voor meer informatie over opties voor opslagredundantie.

Verbinding maken met een privé-eindpunt

Clients op een VNet die het privé-eindpunt gebruiken, moeten dezelfde connection string gebruiken voor het opslagaccount als clients die verbinding maken met het openbare eindpunt. We vertrouwen op DNS-omzetting om de verbindingen van het VNet automatisch te routeren naar het opslagaccount via een privékoppeling.

Belangrijk

Gebruik dezelfde connection string om verbinding te maken met het opslagaccount met behulp van privé-eindpunten, zoals u anders zou gebruiken. Maak geen verbinding met het opslagaccount met behulp van de URL van het privatelink subdomein.

Standaard maken we een privé-DNS-zone die is gekoppeld aan het VNet met de benodigde updates voor de privé-eindpunten. Als u echter uw eigen DNS-server gebruikt, moet u mogelijk aanvullende wijzigingen aanbrengen in uw DNS-configuratie. In de sectie over DNS-wijzigingen hieronder worden de updates beschreven die vereist zijn voor privé-eindpunten.

DNS-wijzigingen voor privé-eindpunten

Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor het opslagaccount bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Standaard maken we ook een privé-DNS-zone die overeenkomt met het privatelink subdomein, met de DNS A-bronrecords voor de privé-eindpunten.

Wanneer u de URL van het opslageindpunt van buiten het VNet met het privé-eindpunt oplost, wordt deze omgezet in het openbare eindpunt van de opslagservice. Wanneer dit is opgelost vanuit het VNet dat als host fungeert voor het privé-eindpunt, wordt de URL van het opslageindpunt omgezet in het IP-adres van het privé-eindpunt.

In het bovenstaande voorbeeld zijn de DNS-bronrecords voor het opslagaccount StorageAccountA, wanneer deze worden omgezet van buiten het VNet dat als host fungeert voor het privé-eindpunt, het volgende:

Naam Type Waarde
StorageAccountA.blob.core.windows.net CNAME StorageAccountA.privatelink.blob.core.windows.net
StorageAccountA.privatelink.blob.core.windows.net CNAME <Openbaar eindpunt voor opslagservice>
<Openbaar eindpunt voor opslagservice> A <openbaar IP-adres van opslagservice>

Zoals eerder vermeld, kunt u de toegang voor clients buiten het VNet weigeren of beheren via het openbare eindpunt met behulp van de opslagfirewall.

De DNS-bronrecords voor StorageAccountA, wanneer deze worden omgezet door een client in het VNet die als host fungeert voor het privé-eindpunt, zijn:

Naam Type Waarde
StorageAccountA.blob.core.windows.net CNAME StorageAccountA.privatelink.blob.core.windows.net
StorageAccountA.privatelink.blob.core.windows.net A 10.1.1.5

Met deze methode hebt u toegang tot het opslagaccount met behulp van dezelfde connection string voor clients op het VNet die als host fungeren voor de privé-eindpunten, evenals clients buiten het VNet.

Als u een aangepaste DNS-server in uw netwerk gebruikt, moeten clients de FQDN voor het eindpunt van het opslagaccount kunnen omzetten in het IP-adres van het privé-eindpunt. U moet uw DNS-server configureren voor het delegeren van uw privékoppelingssubdomein naar de privé-DNS-zone voor het VNet of de A-records configureren voor StorageAccountA.privatelink.blob.core.windows.net met het IP-adres van het privé-eindpunt.

Tip

Wanneer u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server configureren om de naam van het opslagaccount in het privatelink subdomein om te zetten in het IP-adres van het privé-eindpunt. U kunt dit doen door het privatelink subdomein te delegeren aan de privé-DNS-zone van het VNet of door de DNS-zone op uw DNS-server te configureren en de DNS A-records toe te voegen.

De aanbevolen DNS-zonenamen voor privé-eindpunten voor opslagservices en de bijbehorende eindpuntdoelsubbronnen zijn:

Opslagservice Stel subresource in Zonenaam
Blob-service blob privatelink.blob.core.windows.net
Data Lake Storage Gen2 Dfs privatelink.dfs.core.windows.net
Bestandsservice file privatelink.file.core.windows.net
Queue-service wachtrij privatelink.queue.core.windows.net
Tabelservice tabel privatelink.table.core.windows.net
Statische websites web privatelink.web.core.windows.net

Raadpleeg de volgende artikelen voor meer informatie over het configureren van uw eigen DNS-server ter ondersteuning van privé-eindpunten:

Prijzen

Zie prijzen van Azure Private Link voor meer informatie over prijzen.

Bekende problemen

Houd rekening met de volgende bekende problemen met privé-eindpunten voor Azure Storage.

Beperkingen voor opslagtoegang voor clients in VNets met privé-eindpunten

Clients in VNets met bestaande privé-eindpunten hebben te maken met beperkingen bij het openen van andere opslagaccounts met privé-eindpunten. Stel dat een VNet N1 een privé-eindpunt heeft voor een opslagaccount A1 voor Blob Storage. Als opslagaccount A2 een privé-eindpunt heeft in een VNet N2 voor Blob-opslag, moeten clients in VNet N1 ook toegang krijgen tot Blob-opslag in account A2 met behulp van een privé-eindpunt. Als opslagaccount A2 geen privé-eindpunten heeft voor Blob Storage, hebben clients in VNet N1 toegang tot Blob Storage in dat account zonder een privé-eindpunt.

Deze beperking is het resultaat van de DNS-wijzigingen die zijn aangebracht wanneer account A2 een privé-eindpunt maakt.

Blobs kopiëren tussen opslagaccounts

U kunt blobs kopiëren tussen opslagaccounts door alleen privé-eindpunten te gebruiken als u de Azure REST API of hulpprogramma's gebruikt die gebruikmaken van de REST API. Deze hulpprogramma's omvatten AzCopy, Storage Explorer, Azure PowerShell, Azure CLI en de Azure Blob Storage SDK's.

Alleen privé-eindpunten die gericht zijn op de Blob Storage-resource, worden ondersteund. Privé-eindpunten die zijn gericht op de Data Lake Storage Gen2 of de bestandsresource, worden nog niet ondersteund. Het kopiëren tussen opslagaccounts met behulp van het NFS-protocol (Network File System) wordt nog niet ondersteund.

Volgende stappen