Meer informatie over netwerkconfiguraties voor Elastisch SAN
Met Azure Elastic Storage Area Network (SAN) kunt u het toegangsniveau van uw elastische SAN-volumes beveiligen en beheren die uw toepassingen en bedrijfsomgevingen nodig hebben. In dit artikel worden de opties beschreven voor het toestaan van gebruikers en toepassingen tot elastische SAN-volumes vanuit een virtuele Azure-netwerkinfrastructuur.
U kunt elastische SAN-volumegroepen configureren om alleen toegang toe te staan via specifieke eindpunten op specifieke subnetten van virtuele netwerken. De toegestane subnetten kunnen deel uitmaken van een virtueel netwerk in hetzelfde abonnement, of subnetten in een ander abonnement, inclusief abonnementen die behoren tot een andere Microsoft Entra-tenant. Zodra netwerktoegang is geconfigureerd voor een volumegroep, wordt de configuratie overgenomen door alle volumes die tot de groep behoren.
Afhankelijk van uw configuratie hebben toepassingen op gekoppelde virtuele netwerken of on-premises netwerken ook toegang tot volumes in de groep. On-premises netwerken moeten zijn verbonden met het virtuele netwerk door een VPN of ExpressRoute. Zie de infrastructuur van virtuele netwerken van Azure voor meer informatie over configuraties van virtuele netwerken.
Er zijn twee typen virtuele netwerkeindpunten die u kunt configureren om toegang tot een elastische SAN-volumegroep toe te staan:
Zie Privé-eindpunten en service-eindpunten vergelijken om te bepalen welke optie het meest geschikt is voor u. Over het algemeen moet u privé-eindpunten gebruiken in plaats van service-eindpunten, omdat Private Link betere mogelijkheden biedt. Zie Azure Private Link voor meer informatie.
Nadat u eindpunten hebt geconfigureerd, kunt u netwerkregels configureren om de toegang tot uw elastische SAN-volumegroep verder te beheren. Zodra de eindpunten en netwerkregels zijn geconfigureerd, kunnen clients verbinding maken met volumes in de groep om hun workloads te verwerken.
Openbare netwerktoegang
U kunt openbare internettoegang voor uw Elastische SAN-eindpunten in- of uitschakelen op SAN-niveau. Als u openbare netwerktoegang voor een elastisch SAN inschakelt, kunt u openbare toegang tot afzonderlijke volumegroepen in dat SAN configureren via service-eindpunten voor opslag. Standaard wordt openbare toegang tot afzonderlijke volumegroepen geweigerd, zelfs als u dit op SAN-niveau toestaat. Als u openbare toegang op SAN-niveau uitschakelt, is toegang tot de volumegroepen binnen dat SAN alleen beschikbaar via privé-eindpunten.
Opslagservice-eindpunten
Service-eindpunten van Azure Virtual Network bieden veilige en directe connectiviteit met Azure-services met behulp van een geoptimaliseerde route via het Azure-backbonenetwerk. Met service-eindpunten kunt u uw kritieke Azure-serviceresources beveiligen, zodat alleen specifieke virtuele netwerken er toegang toe hebben.
Service-eindpunten tussen regio's voor Azure Storage werken tussen virtuele netwerken en opslagservice-exemplaren in elke regio. Met service-eindpunten in meerdere regio's gebruiken subnetten geen openbaar IP-adres meer om te communiceren met een opslagaccount, inclusief die in een andere regio. In plaats daarvan gebruikt al het verkeer van een subnet naar een opslagaccount een privé-IP-adres als bron-IP.
Tip
De oorspronkelijke lokale service-eindpunten, geïdentificeerd als Microsoft.Storage, worden nog steeds ondersteund voor achterwaartse compatibiliteit, maar u moet eindpunten voor meerdere regio's maken, geïdentificeerd als Microsoft.Storage.Global, voor nieuwe implementaties.
Service-eindpunten tussen regio's en lokale eindpunten kunnen niet naast elkaar bestaan in hetzelfde subnet. Als u service-eindpunten tussen regio's wilt gebruiken, moet u mogelijk bestaande Microsoft.Storage-eindpunten verwijderen en opnieuw maken als Microsoft.Storage.Global.
Privé-eindpunten
Met Azure Private Link kunt u veilig toegang krijgen tot een elastische SAN-volumegroep via een privé-eindpunt vanuit een subnet van een virtueel netwerk. Verkeer tussen uw virtuele netwerk en de service doorkruist het Backbone-netwerk van Microsoft, waardoor het risico van het blootstellen van uw service aan het openbare internet wordt geëlimineerd. Een privé-eindpunt voor elastisch SAN maakt gebruik van een set IP-adressen uit de adresruimte van het subnet voor elke volumegroep. Het maximum aantal dat per eindpunt wordt gebruikt, is 20.
Privé-eindpunten hebben verschillende voordelen ten opzichte van service-eindpunten. Zie Privé-eindpunten en service-eindpunten vergelijken voor een volledige vergelijking van privé-eindpunten met service-eindpunten.
Beperkingen
Privé-eindpunten worden momenteel niet ondersteund voor elastische SAN's met zone-redundante opslag (ZRS).
Uitleg
Verkeer tussen het virtuele netwerk en het elastische SAN wordt gerouteerd via een optimaal pad in het Azure-backbonenetwerk. In tegenstelling tot service-eindpunten hoeft u geen netwerkregels te configureren om verkeer vanaf een privé-eindpunt toe te staan, omdat de opslagfirewall alleen de toegang beheert via openbare eindpunten.
Zie Privé-eindpunten inschakelen voor meer informatie over het configureren van privé-eindpunten.
Regels voor virtuele netwerken
Als u de toegang tot uw Elastische SAN-volumes verder wilt beveiligen, kunt u regels voor virtuele netwerken maken voor volumegroepen die zijn geconfigureerd met service-eindpunten om toegang vanuit specifieke subnetten toe te staan. U hebt geen netwerkregels nodig om verkeer van een privé-eindpunt toe te staan, omdat de opslagfirewall alleen de toegang beheert via openbare eindpunten.
Elke volumegroep ondersteunt maximaal 200 regels voor virtuele netwerken. Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt dit verwijderd uit de netwerkregels voor de volumegroep. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot de volumegroep. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor de volumegroep.
Clients die toegang hebben verleend via deze netwerkregels, moeten ook de juiste machtigingen krijgen voor de elastische SAN naar volumegroep.
Zie Regels voor virtuele netwerken beheren voor meer informatie over het definiëren van netwerkregels.
Clientverbindingen
Nadat u de gewenste eindpunten hebt ingeschakeld en toegang hebt verleend in uw netwerkregels, kunt u verbinding maken met de juiste Elastische SAN-volumes met behulp van het iSCSI-protocol. Zie de artikelen over het maken van verbinding met Linux-, Windows- of Azure Kubernetes Service-cluster voor meer informatie over het configureren van clientverbindingen.
iSCSI-sessies kunnen periodiek de verbinding verbreken en opnieuw verbinding maken gedurende de loop van de dag. Deze verbindingen en nieuwe verbindingen maken deel uit van regelmatig onderhoud of het gevolg van netwerkschommelingen. Als gevolg van deze verbroken en opnieuw verbonden verbindingen moet u geen prestatievermindering ervaren, en moeten de verbindingen zelf opnieuw tot stand worden gebracht. Als een verbinding zich niet opnieuw tot stand brengt of als u prestatievermindering ondervindt, dient u een ondersteuningsticket in.
Notitie
Als er een verbinding tussen een virtuele machine (VM) en een elastisch SAN-volume verloren gaat, wordt de verbinding 90 seconden opnieuw geprobeerd totdat de verbinding wordt beëindigd. Als u een verbinding met een elastisch SAN-volume verliest, wordt de virtuele machine niet opnieuw opgestart.