Konfigurowanie dostępu sieciowego dla usługi Azure Elastic SAN

Dostęp do woluminów sieci san (SAN) usługi Azure Elastic Storage można kontrolować. Kontrolowanie dostępu umożliwia zabezpieczanie danych i spełnianie potrzeb aplikacji i środowisk przedsiębiorstwa.

W tym artykule opisano sposób konfigurowania elastycznej sieci SAN w celu zezwolenia na dostęp z infrastruktury sieci wirtualnej platformy Azure.

Aby skonfigurować dostęp sieciowy do elastycznej sieci SAN:

• Konfigurowanie dostępu do sieci publicznej
• Konfigurowanie punktu końcowego sieci wirtualnej.
• Konfigurowanie połączeń klienta.

Wymagania wstępne

• Jeśli używasz programu Azure PowerShell, zainstaluj najnowszy moduł programu Azure PowerShell.
• Jeśli używasz interfejsu wiersza polecenia platformy Azure, zainstaluj najnowszą wersję.
• Po zainstalowaniu najnowszej wersji uruchom polecenie az extension add -n elastic-san , aby zainstalować rozszerzenie dla elastycznej sieci SAN. Nie są wymagane żadne dodatkowe kroki rejestracji.

Ograniczenia

Poniższa lista zawiera regiony, w których jest obecnie dostępna elastyczna sieć SAN i które regiony obsługują magazyn strefowo nadmiarowy (ZRS) i magazyn lokalnie nadmiarowy (LRS) lub tylko magazyn LRS:

• Republika Południowej Afryki Północnej — LRS
• Azja Wschodnia — LRS
• Azja Południowo-Wschodnia — LRS
• Brazylia Południowa — LRS
• Kanada Środkowa — LRS
• Francja Środkowa — LRS i ZRS
• Niemcy Zachodnio-środkowe — LRS
• Australia Wschodnia — LRS
• Europa Północna — LRS i ZRS
• Europa Zachodnia — LRS i ZRS
• Południowe Zjednoczone Królestwo — LRS
• Japonia Wschodnia — LRS
• Korea Środkowa — LRS
• Środkowe stany USA
• Wschodnie stany USA — LRS
• Południowo-środkowe stany USA — LRS
• Wschodnie stany USA 2 — LRS
• Zachodnie stany USA 2 — LRS i ZRS
• Zachodnie stany USA 3 — LRS
• Szwecja Środkowa — LRS
• Szwajcaria Północna — LRS

Konfigurowanie dostępu do sieci publicznej

Publiczny dostęp do Internetu można włączyć do punktów końcowych elastycznej sieci SAN na poziomie sieci SAN. Włączenie dostępu do sieci publicznej dla elastycznej sieci SAN umożliwia skonfigurowanie publicznego dostępu do poszczególnych grup woluminów za pośrednictwem punktów końcowych usługi magazynu. Domyślnie publiczny dostęp do poszczególnych grup woluminów jest blokowany, nawet jeśli zezwalasz na nie na poziomie sieci SAN. Należy jawnie skonfigurować grupy woluminów, aby zezwolić na dostęp z określonych zakresów adresów IP i podsieci sieci wirtualnej.

Dostęp do sieci publicznej można włączyć podczas tworzenia elastycznej sieci SAN lub włączyć dla istniejącej sieci SAN przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Portal

Użyj modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby włączyć dostęp do sieci publicznej.

Program PowerShell

Użyj tego przykładowego kodu, aby utworzyć elastyczną sieć SAN z dostępem do sieci publicznej włączonym przy użyciu programu PowerShell. Zastąp wartości zmiennych przed uruchomieniem przykładu.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

Użyj tego przykładowego kodu, aby zaktualizować elastyczną sieć SAN w celu włączenia dostępu do sieci publicznej przy użyciu programu PowerShell. Zastąp wartości RgName i EsanName własnymi, a następnie uruchom przykład:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Interfejs wiersza polecenia platformy Azure

Użyj tego przykładowego kodu, aby utworzyć elastyczną sieć SAN z dostępem do sieci publicznej włączonym przy użyciu interfejsu wiersza polecenia platformy Azure. Zastąp wartości zmiennych przed uruchomieniem przykładu.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

Użyj tego przykładowego kodu, aby zaktualizować elastyczną sieć SAN w celu włączenia dostępu do sieci publicznej przy użyciu interfejsu wiersza polecenia platformy Azure. Zastąp wartości i EsanName własnymi RgName wartościami:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Konfigurowanie punktu końcowego sieci wirtualnej

Możesz skonfigurować elastyczne grupy woluminów SIECI SAN tak, aby zezwalały na dostęp tylko z punktów końcowych w określonych podsieciach sieci wirtualnej. Dozwolone podsieci mogą należeć do sieci wirtualnych w tej samej subskrypcji lub w innej subskrypcji, w tym subskrypcji należącej do innej dzierżawy firmy Microsoft Entra.

Możesz zezwolić na dostęp do elastycznej grupy woluminów SIECI SAN z dwóch typów punktów końcowych sieci wirtualnej platformy Azure:

• Prywatne punkty końcowe
• Punkty końcowe usługi Storage

Prywatny punkt końcowy używa co najmniej jednego prywatnego adresu IP z podsieci sieci wirtualnej w celu uzyskania dostępu do elastycznej grupy woluminów SIECI SAN za pośrednictwem sieci szkieletowej firmy Microsoft. W przypadku prywatnego punktu końcowego ruch między siecią wirtualną a grupą woluminów jest zabezpieczony za pośrednictwem łącza prywatnego.

Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Reguły sieci wirtualnej można skonfigurować tak, aby kontrolować dostęp do grupy woluminów podczas korzystania z punktów końcowych usługi magazynu.

Reguły sieci dotyczą tylko publicznych punktów końcowych grupy woluminów, a nie prywatnych punktów końcowych. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy. Zasady sieciowe umożliwiają kontrolowanie ruchu za pośrednictwem prywatnych punktów końcowych, jeśli chcesz uściślić reguły dostępu. Jeśli chcesz używać wyłącznie prywatnych punktów końcowych, nie włączaj punktów końcowych usługi dla grupy woluminów.

Aby wybrać najlepszy typ punktu końcowego, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi.

Po skonfigurowaniu dostępu do sieci dla grupy woluminów konfiguracja jest dziedziczona przez wszystkie woluminy należące do grupy.

Proces włączania każdego typu punktu końcowego jest następujący:

• Konfigurowanie prywatnego punktu końcowego
• Konfigurowanie punktu końcowego usługi Azure Storage

Konfigurowanie prywatnego punktu końcowego

Ważne

• W przypadku elastycznych sieci SAN korzystających z magazynu lokalnie nadmiarowego (LRS) jako opcji nadmiarowości prywatne punkty końcowe są obsługiwane we wszystkich regionach, w których jest dostępna elastyczna sieć SAN. Prywatne punkty końcowe nie są obecnie obsługiwane w przypadku elastycznych sieci SAN przy użyciu magazynu strefowo nadmiarowego (ZRS) jako opcji nadmiarowości.

Istnieją dwa kroki związane z konfigurowaniem połączenia prywatnego punktu końcowego:

• Tworzenie punktu końcowego i skojarzonego połączenia.
• Zatwierdzanie połączenia.

Możesz również użyć zasad sieciowych, aby uściślić kontrolę dostępu nad prywatnymi punktami końcowymi.

Aby utworzyć prywatny punkt końcowy dla elastycznej grupy woluminów SIECI SAN, musisz mieć rolę Właściciel elastycznej grupy woluminów SIECI SAN. Aby zatwierdzić nowe połączenie prywatnego punktu końcowego, musisz mieć uprawnienia do operacjiMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action dostawcy zasobów platformy Azure. Uprawnienie do tej operacji jest uwzględniane w roli Administracja elastic SAN Network, ale można ją również udzielić za pośrednictwem niestandardowej roli platformy Azure.

Jeśli utworzysz punkt końcowy na podstawie konta użytkownika, które ma wszystkie niezbędne role i uprawnienia wymagane do utworzenia i zatwierdzenia, proces można wykonać w jednym kroku. Jeśli nie, wymaga to dwóch oddzielnych kroków przez dwóch różnych użytkowników.

Elastyczna sieć SAN i sieć wirtualna mogą znajdować się w różnych grupach zasobów, regionach i subskrypcjach, w tym subskrypcjach należących do różnych dzierżaw firmy Microsoft Entra. W tych przykładach utworzymy prywatny punkt końcowy w tej samej grupie zasobów co sieć wirtualna.

Portal

Obecnie można skonfigurować tylko prywatny punkt końcowy przy użyciu programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Program PowerShell

Wdrożenie prywatnego punktu końcowego dla grupy woluminów elastycznej sieci SAN przy użyciu programu PowerShell obejmuje następujące kroki:

1. Pobierz podsieć z aplikacji, które będą się łączyć.
2. Pobierz grupę woluminów elastycznej sieci SAN.
3. Utwórz połączenie usługi łącza prywatnego przy użyciu grupy woluminów jako danych wejściowych.
4. Utwórz prywatny punkt końcowy przy użyciu podsieci i połączenia usługi łącza prywatnego jako danych wejściowych.
5. (Opcjonalnie)Jeśli używasz dwuetapowego procesu (tworzenie, a następnie zatwierdzanie): Elastyczna sieć SAN Administracja zatwierdza połączenie.

Użyj tego przykładowego kodu, aby utworzyć prywatny punkt końcowy dla grupy woluminów elastic SAN za pomocą programu PowerShell. Zastąp wartości RgName, , EsanNameEsanVgNameSubnetNamePLSvcConnectionNameVnetName, EndpointNamei Location własnymi wartościami:

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

Użyj tego przykładowego kodu, aby zatwierdzić połączenie usługi łącza prywatnego, jeśli używasz procesu dwuetapowego. Użyj tych samych zmiennych z poprzedniego przykładu kodu:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Interfejs wiersza polecenia platformy Azure

Wdrażanie prywatnego punktu końcowego dla grupy woluminów elastic SAN przy użyciu interfejsu wiersza polecenia platformy Azure obejmuje trzy kroki:

1. Pobierz identyfikator zasobu połączenia prywatnego elastycznej sieci SAN.
2. Utwórz prywatny punkt końcowy przy użyciu danych wejściowych:
   1. Identyfikator zasobu połączenia prywatnego
   2. Nazwa grupy woluminów
   3. Nazwa grupy zasobów
   4. Nazwa podsieci
   5. Nazwa sieci wirtualnej
3. (OpcjonalnieJeśli używasz dwuetapowego procesu (tworzenie, a następnie zatwierdzanie): Elastyczna sieć SAN Administracja zatwierdza połączenie.

Użyj tego przykładowego kodu, aby utworzyć prywatny punkt końcowy dla grupy woluminów Elastic SAN za pomocą interfejsu wiersza polecenia platformy Azure. Usuń komentarz z parametru --manual-request , jeśli używasz procesu dwuetapowego. Zastąp wszystkie przykładowe wartości zmiennych własnymi:

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

Użyj tego przykładowego kodu, aby zatwierdzić połączenie usługi łącza prywatnego, jeśli używasz procesu dwuetapowego. Użyj tych samych zmiennych z poprzedniego przykładu kodu:

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Konfigurowanie punktu końcowego usługi Azure Storage

Aby skonfigurować punkt końcowy usługi Azure Storage z sieci wirtualnej, w której wymagany jest dostęp, musisz mieć uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperacji dostawcy zasobów platformy Azure za pośrednictwem niestandardowej roli platformy Azure w celu skonfigurowania punktu końcowego usługi.

Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Reguły sieci wirtualnej można skonfigurować tak, aby kontrolować dostęp do grupy woluminów podczas korzystania z punktów końcowych usługi magazynu.

Uwaga

Konfiguracja reguł, które udzielają dostępu do podsieci w sieciach wirtualnych, które są częścią innej dzierżawy firmy Microsoft Entra, są obecnie obsługiwane tylko za pośrednictwem programu PowerShell, interfejsu wiersza polecenia i interfejsów API REST. Nie można skonfigurować tych reguł za pośrednictwem witryny Azure Portal, ale można je wyświetlić w portalu.

Portal

1. Przejdź do sieci wirtualnej i wybierz pozycję Punkty końcowe usługi.

2. Wybierz + Dodaj.

3. Na ekranie Dodawanie punktów końcowych usługi:

   1. W obszarze Usługa wybierz pozycję Microsoft.Storage.Global, aby dodać punkt końcowy usługi między regionami.

   Uwaga

   Jako dostępny punkt końcowy usługi magazynu może zostać wyświetlony ciąg Microsoft.Storage . Ta opcja dotyczy tylko punktów końcowych wewnątrz regionu, które istnieją tylko w celu zapewnienia zgodności z poprzednimi wersjami. Zawsze używaj punktów końcowych między regionami, chyba że istnieje określona przyczyna używania punktów końcowych wewnątrz regionów.

4. W obszarze Podsieci wybierz wszystkie podsieci , w których chcesz zezwolić na dostęp.

5. Wybierz Dodaj.

Program PowerShell

Użyj tego przykładowego kodu, aby utworzyć punkt końcowy usługi magazynu dla elastycznej grupy woluminów SIECI SAN za pomocą programu PowerShell.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Interfejs wiersza polecenia platformy Azure

Użyj tego przykładowego kodu, aby utworzyć punkt końcowy usługi magazynu dla grupy woluminów Elastic SAN za pomocą interfejsu wiersza polecenia platformy Azure.

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Konfigurowanie reguł sieci wirtualnej

Wszystkie przychodzące żądania dotyczące danych za pośrednictwem punktu końcowego usługi są domyślnie blokowane. Dostęp do danych mogą uzyskiwać tylko aplikacje, które żądają danych z dozwolonych źródeł skonfigurowanych w regułach sieci.

Reguły sieci wirtualnej dla grup woluminów można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia.

Ważne

Jeśli chcesz włączyć dostęp do konta magazynu z sieci wirtualnej/podsieci w innej dzierżawie firmy Microsoft Entra, musisz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Witryna Azure Portal nie wyświetla podsieci w innych dzierżawach firmy Microsoft Entra.

Jeśli usuniesz podsieć, która została uwzględniona w regule sieciowej, zostanie usunięta z reguł sieci dla grupy woluminów. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do grupy woluminów. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla grupy woluminów.

Portal

1. Przejdź do sieci SAN i wybierz pozycję Grupy woluminów.
2. Wybierz grupę woluminów i wybierz pozycję Utwórz.
3. Dodaj istniejącą sieć wirtualną i podsieć, a następnie wybierz pozycję Zapisz.

Program PowerShell

• Zainstaluj program Azure PowerShell i zaloguj się.

• Wyświetlanie listy reguł sieci wirtualnej.

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• Włącz punkt końcowy usługi dla usługi Azure Storage w istniejącej sieci wirtualnej i podsieci.

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• Dodaj regułę sieci dla sieci wirtualnej i podsieci.

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $sanName -VolumeGroupName $volGroupName -NetworkAclsVirtualNetworkRule $rule
  

  Napiwek

  Aby dodać regułę sieci dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego parametru VirtualNetworkResourceId w postaci "/subscriptions/subscription-ID/resourceGroups/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

• Usuń regułę sieci wirtualnej.

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Interfejs wiersza polecenia platformy Azure

• Zainstaluj interfejs wiersza polecenia platformy Azure i zaloguj się.

• Lista informacji z określonej grupy woluminów, w tym ich reguł sieci wirtualnej.

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• Włącz punkt końcowy usługi dla usługi Azure Storage w istniejącej sieci wirtualnej i podsieci.

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• Dodaj regułę sieci dla sieci wirtualnej i podsieci.

  Napiwek

  Aby dodać regułę dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego identyfikatora podsieci w formularzu /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

  Możesz użyć parametru subskrypcji , aby pobrać identyfikator podsieci dla sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra.

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• Usuń regułę sieci. Następujące polecenie usuwa pierwszą regułę sieci, zmodyfikuj ją, aby usunąć wybraną regułę sieci.

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

Konfigurowanie połączeń klienta

Po włączeniu żądanych punktów końcowych i udzieleniu dostępu w regułach sieci można przystąpić do konfigurowania klientów w celu nawiązania połączenia z odpowiednimi elastycznymi woluminami SIECI SAN.

Uwaga

Jeśli połączenie między maszyną wirtualną a woluminem Elastic SAN zostanie utracone, połączenie zostanie ponowione przez 90 sekund do zakończenia. Utrata połączenia z woluminem elastic SAN nie spowoduje ponownego uruchomienia maszyny wirtualnej.

Następne kroki

• Połączenie woluminów usługi Azure Elastic SAN do klastra usługi Azure Kubernetes Service
• Połączenie do elastycznych woluminów SIECI SAN — Linux
• Połączenie do elastycznych woluminów SIECI SAN — Windows