Privé-eindpunten gebruiken voor Azure Storage
U kunt privé-eindpunten voor uw Azure Storage-accounts gebruiken om clients in een virtueel netwerk (VNet) veilig toegang te geven tot gegevens via een Private Link. Het privé-eindpunt maakt gebruik van een afzonderlijk IP-adres uit de adresruimte van uw VNet voor elke opslagaccountservice. Netwerkverkeer tussen de clients op het VNet en het opslagaccount loopt via het VNet en een privékoppeling op het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd.
Notitie
Privé-eindpunten zijn niet beschikbaar voor v1-opslagaccounts voor algemeen gebruik.
Met behulp van privé-eindpunten voor uw opslagaccount kunt u het volgende doen:
- Beveilig uw opslagaccount met behulp van een privékoppeling. U kunt de opslagfirewall handmatig configureren om verbindingen op het openbare eindpunt van de opslagservice te blokkeren. Als u een privékoppeling maakt, worden verbindingen op het openbare eindpunt niet automatisch geblokkeerd.
- De beveiliging voor het virtuele netwerk (VNet) verbeteren door gegevensoverdracht van het VNet te blokkeren.
- Maak veilig verbinding met opslagaccounts van on-premises netwerken die verbinding maken met het VNet met behulp van VPN of ExpressRoutes met privépeering.
Conceptueel overzicht
Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw virtuele netwerk (VNet). Wanneer u een privé-eindpunt voor uw opslagaccount maakt, biedt het beveiligde connectiviteit tussen clients in uw VNet en uw opslag. Aan het privé-eindpunt wordt een IP-adres toegewezen uit het IP-adresbereik van uw VNet. De verbinding tussen het privé-eindpunt en de opslagservice maakt gebruik van een beveiligde privékoppeling.
Toepassingen in het VNet kunnen naadloos verbinding maken met de opslagservice via het privé-eindpunt, met behulp van dezelfde verbindingsreeks s en autorisatiemechanismen die ze anders zouden gebruiken. Privé-eindpunten kunnen worden gebruikt met alle protocollen die worden ondersteund door het opslagaccount, inclusief REST en SMB.
Privé-eindpunten kunnen worden gemaakt in subnetten die gebruikmaken van service-eindpunten. Clients in een subnet kunnen dus verbinding maken met één opslagaccount met behulp van een privé-eindpunt, terwijl ze service-eindpunten gebruiken om toegang te krijgen tot anderen.
Wanneer u een privé-eindpunt voor een opslagservice in uw VNet maakt, wordt er een aanvraag voor goedkeuring verzonden naar de eigenaar van het opslagaccount. Als de gebruiker die het privé-eindpunt wil maken tevens eigenaar is van het opslagaccount, wordt deze aanvraag voor toestemming automatisch goedgekeurd.
Eigenaren van opslagaccounts kunnen toestemmingsaanvragen en de privé-eindpunten beheren via het tabblad Privé-eindpunten voor het opslagaccount in Azure Portal.
Tip
Als u alleen de toegang tot uw opslagaccount wilt beperken via het privé-eindpunt, configureert u de opslagfirewall om de toegang via het openbare eindpunt te weigeren of te beheren.
U kunt uw opslagaccount beveiligen om alleen verbindingen van uw VNet te accepteren door de opslagfirewall zo te configureren dat toegang via het openbare eindpunt standaard wordt geweigerd. U hebt geen firewallregel nodig om verkeer van een VNet met een privé-eindpunt toe te staan, omdat de opslagfirewall alleen de toegang via het openbare eindpunt beheert. Privé-eindpunten zijn in plaats daarvan afhankelijk van de toestemmingsstroom voor het verlenen van subnetten toegang tot de opslagservice.
Notitie
Bij het kopiëren van blobs tussen opslagaccounts moet uw client netwerktoegang hebben tot beide accounts. Dus als u ervoor kiest om een privékoppeling te gebruiken voor slechts één account (de bron of de bestemming), moet u ervoor zorgen dat uw client netwerktoegang heeft tot het andere account. Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over andere manieren om netwerktoegang te configureren.
Een privé-eindpunt maken
Als u een privé-eindpunt wilt maken met behulp van Azure Portal, raadpleegt u Privé verbinding maken met een opslagaccount vanuit de ervaring van het opslagaccount in Azure Portal.
Zie een van deze artikelen als u een privé-eindpunt wilt maken met behulp van PowerShell of de Azure CLI. Beide bevatten een Azure-web-app als doelservice, maar de stappen voor het maken van een privékoppeling zijn hetzelfde voor een Azure Storage-account.
Wanneer u een privé-eindpunt maakt, moet u het opslagaccount opgeven en de opslagservice waarmee verbinding wordt gemaakt.
U hebt een afzonderlijk privé-eindpunt nodig voor elke opslagresource die u moet openen, namelijk Blobs, Data Lake Storage, Bestanden, Wachtrijen, Tabellen of Statische websites. Op het privé-eindpunt worden deze opslagservices gedefinieerd als de doelsubresource van het gekoppelde opslagaccount.
Als u een privé-eindpunt maakt voor de Data Lake Storage-opslagresource, moet u er ook een maken voor de Blob Storage-resource. Dat komt doordat bewerkingen die zijn gericht op het Data Lake Storage-eindpunt mogelijk worden omgeleid naar het Blob-eindpunt. Als u alleen een privé-eindpunt voor Blob Storage toevoegt en niet voor Data Lake Storage, mislukken sommige bewerkingen (zoals ACL beheren, Map maken, Map verwijderen, enzovoort), omdat voor de API's een DFS-privé-eindpunt is vereist. Door een privé-eindpunt te maken voor beide resources, zorgt u ervoor dat alle bewerkingen met succes kunnen worden uitgevoerd.
Tip
Maak een afzonderlijk privé-eindpunt voor het secundaire exemplaar van de opslagservice voor betere leesprestaties voor RA-GRS-accounts. Zorg ervoor dat u een opslagaccount voor algemeen gebruik v2(Standard of Premium) maakt.
Voor leestoegang tot de secundaire regio met een opslagaccount dat is geconfigureerd voor geografisch redundante opslag, hebt u afzonderlijke privé-eindpunten nodig voor zowel de primaire als secundaire exemplaren van de service. U hoeft geen privé-eindpunt te maken voor het secundaire exemplaar voor failover. Het privé-eindpunt maakt automatisch verbinding met het nieuwe primaire exemplaar na een failover. Zie Azure Storage-redundantie voor meer informatie over opties voor opslagredundantie.
Verbinding maken met een privé-eindpunt
Clients op een VNet die het privé-eindpunt gebruiken, moeten dezelfde verbindingsreeks gebruiken voor het opslagaccount als clients die verbinding maken met het openbare eindpunt. We vertrouwen op DNS-omzetting om de verbindingen van het VNet automatisch via een privékoppeling naar het opslagaccount te routeren.
Belangrijk
Gebruik dezelfde verbindingsreeks om verbinding te maken met het opslagaccount met behulp van privé-eindpunten zoals u anders zou gebruiken. Maak geen verbinding met het opslagaccount met behulp van de URL van het privatelink
subdomein.
Standaard maken we een privé-DNS-zone die is gekoppeld aan het VNet met de benodigde updates voor de privé-eindpunten. Als u echter uw eigen DNS-server gebruikt, moet u mogelijk aanvullende wijzigingen aanbrengen in uw DNS-configuratie. In de sectie over DNS-wijzigingen hieronder worden de updates beschreven die vereist zijn voor privé-eindpunten.
DNS-wijzigingen voor privé-eindpunten
Notitie
Zie de DNS-configuratie van azure-privé-eindpunten voor meer informatie over het configureren van uw DNS-instellingen voor privé-eindpunten.
Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor het opslagaccount bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink
. Standaard maken we ook een privé-DNS-zone die overeenkomt met het privatelink
subdomein, met de DNS A-bronrecords voor de privé-eindpunten.
Wanneer u de URL van het opslageindpunt van buiten het VNet met het privé-eindpunt oplost, wordt deze omgezet in het openbare eindpunt van de opslagservice. Wanneer deze is omgezet vanuit het VNet dat als host fungeert voor het privé-eindpunt, wordt de URL van het opslageindpunt omgezet in het IP-adres van het privé-eindpunt.
In het voorbeeld hierboven zijn de DNS-bronrecords voor het opslagaccount StorageAccountA, wanneer deze zijn omgezet van buiten het VNet dat als host fungeert voor het privé-eindpunt, het volgende:
Name | Type | Weergegeven als |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <Openbaar eindpunt voor opslagservice> |
<Openbaar eindpunt voor opslagservice> | A | <openbaar IP-adres van opslagservice> |
Zoals eerder vermeld, kunt u de toegang voor clients buiten het VNet weigeren of beheren via het openbare eindpunt met behulp van de opslagfirewall.
De DNS-bronrecords voor StorageAccountA, wanneer deze worden omgezet door een client in het VNet dat als host fungeert voor het privé-eindpunt, zijn:
Name | Type | Weergegeven als |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Met deze benadering hebt u toegang tot het opslagaccount met dezelfde verbindingsreeks voor clients op het VNet dat als host fungeert voor de privé-eindpunten, evenals clients buiten het VNet.
Als u een aangepaste DNS-server in uw netwerk gebruikt, moeten clients de FQDN voor het eindpunt van het opslagaccount kunnen oplossen naar het IP-adres van het privé-eindpunt. U moet uw DNS-server configureren om uw private link-subdomein te delegeren naar de privé-DNS-zone voor het VNet of de A-records configureren voor StorageAccountA.privatelink.blob.core.windows.net
met het IP-adres van het privé-eindpunt.
Tip
Wanneer u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server configureren om de naam van het opslagaccount in het privatelink
subdomein om te zetten in het IP-adres van het privé-eindpunt. U kunt dit doen door het privatelink
subdomein te delegeren aan de privé-DNS-zone van het VNet of door de DNS-zone op uw DNS-server te configureren en de DNS A-records toe te voegen.
De aanbevolen DNS-zonenamen voor privé-eindpunten voor opslagservices en de bijbehorende eindpuntdoelsubbronnen zijn:
Opslagservice | Stel subresource in | Zonenaam |
---|---|---|
Blob-service | blob | privatelink.blob.core.windows.net |
Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
Bestandsservice | bestand | privatelink.file.core.windows.net |
Queue-service | wachtrij | privatelink.queue.core.windows.net |
Table service | table | privatelink.table.core.windows.net |
Statische websites | web | privatelink.web.core.windows.net |
Raadpleeg de volgende artikelen voor meer informatie over het configureren van uw eigen DNS-server ter ondersteuning van privé-eindpunten:
Prijzen
Zie prijzen van Azure Private Link voor meer informatie over prijzen.
Bekende problemen
Houd rekening met de volgende bekende problemen met privé-eindpunten voor Azure Storage.
Toegangsbeperkingen voor opslag voor clients in VNets met privé-eindpunten
Clients in VNets met bestaande privé-eindpunten hebben beperkingen bij het openen van andere opslagaccounts met privé-eindpunten. Stel dat een VNet N1 een privé-eindpunt heeft voor een opslagaccount A1 voor Blob Storage. Als opslagaccount A2 een privé-eindpunt heeft in een VNet N2 voor Blob-opslag, moeten clients in VNet N1 ook toegang hebben tot Blob-opslag in account A2 met behulp van een privé-eindpunt. Als opslagaccount A2 geen privé-eindpunten voor Blob Storage heeft, hebben clients in VNet N1 toegang tot Blob-opslag in dat account zonder een privé-eindpunt.
Deze beperking is het resultaat van de DNS-wijzigingen die zijn aangebracht wanneer account A2 een privé-eindpunt maakt.
Blobs kopiëren tussen opslagaccounts
U kunt blobs tussen opslagaccounts alleen kopiëren met behulp van privé-eindpunten als u de Azure REST API of hulpprogramma's gebruikt die gebruikmaken van de REST API. Deze hulpprogramma's omvatten AzCopy, Storage Explorer, Azure PowerShell, Azure CLI en de Azure Blob Storage SDK's.
Alleen privé-eindpunten die zijn gericht op het eindpunt van file
de blob
opslagresource, worden ondersteund. Dit omvat REST API-aanroepen voor Data Lake Storage-accounts waarin expliciet of impliciet naar het blob
resource-eindpunt wordt verwezen. Privé-eindpunten die zijn gericht op het Data Lake Storage-resource-eindpunt dfs
, worden nog niet ondersteund. Kopiëren tussen opslagaccounts met behulp van het NFS-protocol (Network File System) wordt nog niet ondersteund.