Konfigurowanie dostępu sieciowego dla usługi Azure Elastic SAN
Artykuł
Dostęp do woluminów sieci san (SAN) usługi Azure Elastic Storage można kontrolować. Kontrolowanie dostępu umożliwia zabezpieczanie danych i spełnianie potrzeb aplikacji i środowisk przedsiębiorstwa.
W tym artykule opisano sposób konfigurowania elastycznej sieci SAN w celu zezwolenia na dostęp z infrastruktury sieci wirtualnej platformy Azure.
Aby skonfigurować dostęp sieciowy do elastycznej sieci SAN:
Jeśli używasz programu Azure PowerShell, zainstaluj najnowszy moduł programu Azure PowerShell.
Jeśli używasz interfejsu wiersza polecenia platformy Azure, zainstaluj najnowszą wersję.
Po zainstalowaniu najnowszej wersji uruchom polecenie az extension add -n elastic-san , aby zainstalować rozszerzenie dla elastycznej sieci SAN.
Nie są wymagane żadne dodatkowe kroki rejestracji.
Ograniczenia
Poniższa lista zawiera regiony, w których jest obecnie dostępna elastyczna sieć SAN i które regiony obsługują magazyn strefowo nadmiarowy (ZRS) i magazyn lokalnie nadmiarowy (LRS) lub tylko magazyn LRS:
Australia Wschodnia — LRS
Brazylia Południowa — LRS
Kanada Środkowa — LRS
Środkowe stany USA — LRS
Azja Wschodnia — LRS
Wschodnie stany USA — LRS
Wschodnie stany USA 2 — LRS
Francja Środkowa — LRS i ZRS
Niemcy Zachodnio-środkowe — LRS
Indie Środkowe — LRS
Japonia Wschodnia — LRS
Korea Środkowa — LRS
Europa Północna — LRS i ZRS
Norwegia Wschodnia — LRS
Republika Południowej Afryki Północnej — LRS
Południowo-środkowe stany USA — LRS
Azja Południowo-Wschodnia — LRS
Szwecja Środkowa — LRS
Szwajcaria Północna — LRS
Północ ze Zjednoczonych Emiratów Zjednoczonych — LRS
Południowe Zjednoczone Królestwo — LRS
Europa Zachodnia — LRS i ZRS
Zachodnie stany USA 2 — LRS i ZRS
Zachodnie stany USA 3 — LRS
Elastyczna sieć SAN jest również dostępna w następujących regionach, ale bez obsługi strefy dostępności:
Kanada Wschodnia — LRS
Japonia Zachodnia — LRS
Północno-środkowe stany USA — LRS
Aby włączyć te regiony, uruchom następujące polecenie, aby zarejestrować wymaganą flagę funkcji:
Publiczny dostęp do Internetu można włączyć do punktów końcowych elastycznej sieci SAN na poziomie sieci SAN. Włączenie dostępu do sieci publicznej dla elastycznej sieci SAN umożliwia skonfigurowanie publicznego dostępu do poszczególnych grup woluminów za pośrednictwem punktów końcowych usługi magazynu. Domyślnie publiczny dostęp do poszczególnych grup woluminów jest blokowany, nawet jeśli zezwalasz na nie na poziomie sieci SAN. Należy jawnie skonfigurować grupy woluminów, aby zezwolić na dostęp z określonych zakresów adresów IP i podsieci sieci wirtualnej.
Dostęp do sieci publicznej można włączyć podczas tworzenia elastycznej sieci SAN lub włączyć dla istniejącej sieci SAN przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Użyj modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby włączyć dostęp do sieci publicznej.
Użyj tego przykładowego kodu, aby utworzyć elastyczną sieć SAN z dostępem do sieci publicznej włączonym przy użyciu programu PowerShell. Zastąp wartości zmiennych przed uruchomieniem przykładu.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
Name = $EsanName
ResourceGroupName = $RgName
BaseSizeTiB = $BaseSize
ExtendedCapacitySizeTiB = $ExtendedSize
Location = $Location
SkuName = $SkuName
PublicNetworkAccess = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments
Użyj tego przykładowego kodu, aby zaktualizować elastyczną sieć SAN w celu włączenia dostępu do sieci publicznej przy użyciu programu PowerShell. Zastąp wartości RgName i EsanName własnymi, a następnie uruchom przykład:
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled
Użyj tego przykładowego kodu, aby utworzyć elastyczną sieć SAN z dostępem do sieci publicznej włączonym przy użyciu interfejsu wiersza polecenia platformy Azure. Zastąp wartości zmiennych przed uruchomieniem przykładu.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"
# Create the Elastic San.
az elastic-san create \
--elastic-san-name $EsanName \
--resource-group $RgName \
--location $Location \
--base-size-tib $BaseSize \
--extended-capacity-size-tib $ExtendedSize \
--sku $SkuName \
--public-network-access enabled
Użyj tego przykładowego kodu, aby zaktualizować elastyczną sieć SAN w celu włączenia dostępu do sieci publicznej przy użyciu interfejsu wiersza polecenia platformy Azure. Zastąp wartości i EsanName własnymi RgName wartościami:
# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--public-network-access enabled
Konfigurowanie wykrywania błędów iSCSI
Włączanie wykrywania błędów iSCSI
Aby włączyć weryfikację sumy kontrolnej CRC-32C dla nagłówków iSCSI lub ładunków danych, ustaw CRC-32C na nagłówku lub skrótach danych dla wszystkich połączeń na klientach, które łączą się z elastycznymi woluminami SAN. W tym celu połącz klientów z woluminami Elastic SAN przy użyciu skryptów wielosesyjnej wygenerowanych w witrynie Azure Portal lub udostępnionych w artykułach z połączeniem elastycznym sieci SAN systemu Windows lub Linux .
Jeśli chcesz, możesz to zrobić bez skryptów połączenia z wieloma sesjami. W systemie Windows można to zrobić, ustawiając nagłówek lub skróty danych na wartość 1 podczas logowania do woluminów elastic SAN (LoginTarget i PersistentLoginTarget). W systemie Linux można to zrobić, aktualizując globalny plik konfiguracji iSCSI (iscsid.conf, ogólnie znaleziony w katalogu /etc/iscsi). Po nawiązaniu połączenia woluminu węzeł jest tworzony wraz z plikiem konfiguracji specyficznym dla tego węzła (na przykład w systemie Ubuntu można go znaleźć w folderze /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port katalogu) dziedzicząc ustawienia z pliku konfiguracji globalnej. Jeśli woluminy zostały już połączone z klientem przed zaktualizowaniem globalnego pliku konfiguracji, zaktualizuj plik konfiguracji specyficzny dla węzła bezpośrednio dla każdego woluminu lub za pomocą następującego polecenia:
Aby wymusić wykrywanie błędów iSCSI, ustaw wartość CRC-32C zarówno dla skrótów nagłówka, jak i danych na klientach, a następnie włącz właściwość ochrony CRC w grupie woluminów, która zawiera woluminy już połączone lub nie ma jeszcze połączenia z klientami. Jeśli woluminy elastycznej sieci SAN są już połączone i nie mają CRC-32C dla obu skrótów, należy rozłączyć woluminy i ponownie połączyć je przy użyciu skryptów wielosesyjnej wygenerowanych w witrynie Azure Portal podczas nawiązywania połączenia z woluminem Elastic SAN lub z artykułów dotyczących połączenia z elastyczną siecią SAN systemu Windows lub Linux .
Uwaga
Funkcja ochrony CRC nie jest obecnie dostępna w regionie Europa Północna i Południowo-środkowe stany USA.
Użyj tego skryptu, aby włączyć ochronę CRC w nowej grupie woluminów przy użyciu modułu Azure PowerShell. Zastąp wartości $RgName, przed $EsanName$EsanVgName uruchomieniem skryptu.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The name of volume group within the Elastic SAN.
$EsanVgName = "<VolumeGroupName>"
# Create a volume group by enabling CRC protection
New-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true
Użyj tego skryptu, aby włączyć ochronę CRC w istniejącej grupie woluminów przy użyciu modułu Azure PowerShell. Zastąp wartości $RgName, przed $EsanName$EsanVgName uruchomieniem skryptu.
# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
$EsanVgName = "<VolumeGroupName>"
# Edit a volume group to enable CRC protection
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true
Poniższy przykładowy kod umożliwia ochronę CRC w nowej grupie woluminów przy użyciu interfejsu wiersza polecenia platformy Azure. Przed uruchomieniem przykładu zastąp wartości RgName, , EsanName, EsanVgName.
# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
EsanName="<ElasticSanName>"
# The name of volume group within the Elastic SAN.
EsanVgName= "<VolumeGroupName>"
# Create the Elastic San.
az elastic-san volume-group create \
--elastic-san-name $EsanName \
--resource-group $RgName \
--volume-group-name $EsanVgName \
--data-integrity-check true
Poniższy przykładowy kod umożliwia ochronę CRC w istniejącej grupie woluminów przy użyciu interfejsu wiersza polecenia platformy Azure. Przed uruchomieniem przykładu zastąp wartości RgName, , EsanName, EsanVgName.
# Set the variable values.
RgName="<ResourceGroupName>"
EsanName="<ElasticSanName>"
EsanVgName= "<VolumeGroupName>"
# Create the Elastic San.
az elastic-san volume-group update \
--elastic-san-name $EsanName \
--resource-group $RgName \
--volume-group-name $EsanVgName \
--data-integrity-check true
Konfigurowanie punktu końcowego sieci wirtualnej
Możesz skonfigurować elastyczne grupy woluminów SIECI SAN tak, aby zezwalały na dostęp tylko z punktów końcowych w określonych podsieciach sieci wirtualnej. Dozwolone podsieci mogą należeć do sieci wirtualnych w tej samej subskrypcji lub w innej subskrypcji, w tym subskrypcji należącej do innej dzierżawy firmy Microsoft Entra.
Możesz zezwolić na dostęp do elastycznej grupy woluminów SIECI SAN z dwóch typów punktów końcowych sieci wirtualnej platformy Azure:
Prywatny punkt końcowy używa co najmniej jednego prywatnego adresu IP z podsieci sieci wirtualnej w celu uzyskania dostępu do elastycznej grupy woluminów SIECI SAN za pośrednictwem sieci szkieletowej firmy Microsoft. W przypadku prywatnego punktu końcowego ruch między siecią wirtualną a grupą woluminów jest zabezpieczony za pośrednictwem łącza prywatnego.
Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Reguły sieci wirtualnej można skonfigurować tak, aby kontrolować dostęp do grupy woluminów podczas korzystania z punktów końcowych usługi magazynu.
Reguły sieci dotyczą tylko publicznych punktów końcowych grupy woluminów, a nie prywatnych punktów końcowych. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy. Zasady sieciowe umożliwiają kontrolowanie ruchu za pośrednictwem prywatnych punktów końcowych, jeśli chcesz uściślić reguły dostępu. Jeśli chcesz używać wyłącznie prywatnych punktów końcowych, nie włączaj punktów końcowych usługi dla grupy woluminów.
W przypadku elastycznych sieci SAN korzystających z magazynu lokalnie nadmiarowego (LRS) jako opcji nadmiarowości prywatne punkty końcowe są obsługiwane we wszystkich regionach, w których jest dostępna elastyczna sieć SAN. Prywatne punkty końcowe nie są obecnie obsługiwane w przypadku elastycznych sieci SAN przy użyciu magazynu strefowo nadmiarowego (ZRS) jako opcji nadmiarowości.
Istnieją dwa kroki związane z konfigurowaniem połączenia prywatnego punktu końcowego:
Tworzenie punktu końcowego i skojarzonego połączenia.
Zatwierdzanie połączenia.
Możesz również użyć zasad sieciowych, aby uściślić kontrolę dostępu nad prywatnymi punktami końcowymi.
Aby utworzyć prywatny punkt końcowy dla elastycznej grupy woluminów SIECI SAN, musisz mieć rolę Właściciel elastycznej grupy woluminów SIECI SAN. Aby zatwierdzić nowe połączenie prywatnego punktu końcowego, musisz mieć uprawnienia do operacjiMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/actiondostawcy zasobów platformy Azure. Uprawnienie do tej operacji jest uwzględniane w roli administratora elastycznej sieci SAN, ale można ją również udzielić za pośrednictwem niestandardowej roli platformy Azure.
Jeśli utworzysz punkt końcowy na podstawie konta użytkownika, które ma wszystkie niezbędne role i uprawnienia wymagane do utworzenia i zatwierdzenia, proces można wykonać w jednym kroku. Jeśli nie, wymaga to dwóch oddzielnych kroków przez dwóch różnych użytkowników.
Elastyczna sieć SAN i sieć wirtualna mogą znajdować się w różnych grupach zasobów, regionach i subskrypcjach, w tym subskrypcjach należących do różnych dzierżaw firmy Microsoft Entra. W tych przykładach utworzymy prywatny punkt końcowy w tej samej grupie zasobów co sieć wirtualna.
Połączenie prywatnego punktu końcowego z grupą woluminów można utworzyć w witrynie Azure Portal podczas tworzenia grupy woluminów lub podczas modyfikowania istniejącej grupy woluminów. Potrzebujesz istniejącej sieci wirtualnej, aby utworzyć prywatny punkt końcowy.
Podczas tworzenia lub modyfikowania grupy woluminów wybierz pozycję Sieć, a następnie wybierz pozycję + Utwórz prywatny punkt końcowy w obszarze Połączenia prywatnego punktu końcowego.
Wypełnij wartości w wyświetlonym menu, wybierz sieć wirtualną i podsieć, która będzie używana przez aplikacje do nawiązania połączenia. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj i Zapisz.
Wdrożenie prywatnego punktu końcowego dla grupy woluminów elastycznej sieci SAN przy użyciu programu PowerShell obejmuje następujące kroki:
Pobierz podsieć z aplikacji, które będą się łączyć.
Pobierz grupę woluminów elastycznej sieci SAN.
Utwórz połączenie usługi łącza prywatnego przy użyciu grupy woluminów jako danych wejściowych.
Utwórz prywatny punkt końcowy przy użyciu podsieci i połączenia usługi łącza prywatnego jako danych wejściowych.
(Opcjonalnie)jeśli używasz dwuetapowego procesu (tworzenia, a następnie zatwierdzania): Administrator elastycznej sieci SAN zatwierdza połączenie.
Użyj tego przykładowego kodu, aby utworzyć prywatny punkt końcowy dla grupy woluminów elastic SAN za pomocą programu PowerShell. Zastąp wartości RgName, , EsanNameEsanVgNameSubnetNamePLSvcConnectionNameVnetNameEndpointName, i Location(Region) własnymi wartościami:
# Set the resource group name.
$RgName = "<ResourceGroupName>"
# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"
$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName
# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName
# Create the private endpoint.
$EndpointName = '<PrivateEndpointName>'
$Location = '<Location>'
$PeArguments = @{
Name = $EndpointName
ResourceGroupName = $RgName
Location = $Location
Subnet = $Subnet
PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).
Użyj tego przykładowego kodu, aby zatwierdzić połączenie usługi łącza prywatnego, jeśli używasz procesu dwuetapowego. Użyj tych samych zmiennych z poprzedniego przykładu kodu:
# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments = @{
ServiceName = $EsanName
ResourceGroupName = $RgName
PrivateLinkResourceType = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc
# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState
Wdrażanie prywatnego punktu końcowego dla grupy woluminów elastic SAN przy użyciu interfejsu wiersza polecenia platformy Azure obejmuje trzy kroki:
Pobierz identyfikator zasobu połączenia prywatnego elastycznej sieci SAN.
Utwórz prywatny punkt końcowy przy użyciu danych wejściowych:
Identyfikator zasobu połączenia prywatnego
Nazwa grupy woluminów
Nazwa grupy zasobów
Nazwa podsieci
Nazwa sieci wirtualnej
(Opcjonalniejeśli używasz dwuetapowego procesu (tworzenia, a następnie zatwierdzania): Administrator elastycznej sieci SAN zatwierdza połączenie.
Użyj tego przykładowego kodu, aby utworzyć prywatny punkt końcowy dla grupy woluminów Elastic SAN za pomocą interfejsu wiersza polecenia platformy Azure. Usuń komentarz z parametru --manual-request , jeśli używasz procesu dwuetapowego. Zastąp wszystkie przykładowe wartości zmiennych własnymi:
# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"
# Get the id of the Elastic SAN.
id=$(az elastic-san show \
--elastic-san-name $EsanName \
--resource-group $RgName \
--query 'id' \
--output tsv)
# Create the private endpoint.
az network private-endpoint create \
--connection-name $PLSvcConnectionName \
--name $EndpointName \
--private-connection-resource-id $id \
--resource-group $RgName \
--vnet-name $VnetName \
--subnet $SubnetName \
--location $Location \
--group-id $EsanVgName # --manual-request
# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
--name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)
az network private-endpoint-connection show \
--resource-name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--name $PLConnectionName
Użyj tego przykładowego kodu, aby zatwierdzić połączenie usługi łącza prywatnego, jeśli używasz procesu dwuetapowego. Użyj tych samych zmiennych z poprzedniego przykładu kodu:
Konfigurowanie punktu końcowego usługi Azure Storage
Aby skonfigurować punkt końcowy usługi Azure Storage z sieci wirtualnej, w której wymagany jest dostęp, musisz mieć uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperacji dostawcy zasobów platformy Azure za pośrednictwem niestandardowej roli platformy Azure w celu skonfigurowania punktu końcowego usługi.
Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Reguły sieci wirtualnej można skonfigurować tak, aby kontrolować dostęp do grupy woluminów podczas korzystania z punktów końcowych usługi magazynu.
Uwaga
Konfiguracja reguł, które udzielają dostępu do podsieci w sieciach wirtualnych, które są częścią innej dzierżawy firmy Microsoft Entra, są obecnie obsługiwane tylko za pośrednictwem programu PowerShell, interfejsu wiersza polecenia i interfejsów API REST. Nie można skonfigurować tych reguł za pośrednictwem witryny Azure Portal, ale można je wyświetlić w portalu.
Przejdź do sieci wirtualnej i wybierz pozycję Punkty końcowe usługi.
Wybierz + Dodaj.
Na ekranie Dodawanie punktów końcowych usługi:
W obszarze Usługa wybierz pozycję Microsoft.Storage.Global, aby dodać punkt końcowy usługi między regionami.
Uwaga
Jako dostępny punkt końcowy usługi magazynu może zostać wyświetlony ciąg Microsoft.Storage . Ta opcja dotyczy tylko punktów końcowych wewnątrz regionu, które istnieją tylko w celu zapewnienia zgodności z poprzednimi wersjami. Zawsze używaj punktów końcowych między regionami, chyba że istnieje określona przyczyna używania punktów końcowych wewnątrz regionów.
W obszarze Podsieci wybierz wszystkie podsieci , w których chcesz zezwolić na dostęp.
Wybierz Dodaj.
Użyj tego przykładowego kodu, aby utworzyć punkt końcowy usługi magazynu dla elastycznej grupy woluminów SIECI SAN za pomocą programu PowerShell.
# Define some variables
$RgName = "<ResourceGroupName>"
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName
# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Użyj tego przykładowego kodu, aby utworzyć punkt końcowy usługi magazynu dla grupy woluminów Elastic SAN za pomocą interfejsu wiersza polecenia platformy Azure.
# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"
# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"
Konfigurowanie reguł sieci wirtualnej
Wszystkie przychodzące żądania dotyczące danych za pośrednictwem punktu końcowego usługi są domyślnie blokowane. Dostęp do danych mogą uzyskiwać tylko aplikacje, które żądają danych z dozwolonych źródeł skonfigurowanych w regułach sieci.
Reguły sieci wirtualnej dla grup woluminów można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia.
Ważne
Jeśli chcesz włączyć dostęp do konta magazynu z sieci wirtualnej/podsieci w innej dzierżawie firmy Microsoft Entra, musisz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Witryna Azure Portal nie wyświetla podsieci w innych dzierżawach firmy Microsoft Entra.
Jeśli usuniesz podsieć, która została uwzględniona w regule sieciowej, zostanie usunięta z reguł sieci dla grupy woluminów. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do grupy woluminów. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla grupy woluminów.
Aby dodać regułę sieci dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego parametru VirtualNetworkResourceId w postaci "/subscriptions/subscription-ID/resourceGroups/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".
Usuń regułę sieci wirtualnej.
## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
Dodaj regułę sieci dla sieci wirtualnej i podsieci.
Napiwek
Aby dodać regułę dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego identyfikatora podsieci w formularzu /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.
Możesz użyć parametru subskrypcji , aby pobrać identyfikator podsieci dla sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra.
# First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
Usuń regułę sieci. Następujące polecenie usuwa pierwszą regułę sieci, zmodyfikuj ją, aby usunąć wybraną regułę sieci.
Po włączeniu żądanych punktów końcowych i udzieleniu dostępu w regułach sieci można przystąpić do konfigurowania klientów w celu nawiązania połączenia z odpowiednimi elastycznymi woluminami SIECI SAN.
Uwaga
Jeśli połączenie między maszyną wirtualną a woluminem Elastic SAN zostanie utracone, połączenie zostanie ponowione przez 90 sekund do zakończenia. Utrata połączenia z woluminem elastic SAN nie spowoduje ponownego uruchomienia maszyny wirtualnej.
