Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правила брандмауэра службы хранилища Azure обеспечивают детальный контроль доступа к общедоступной конечной точке учетной записи хранения. По умолчанию учетные записи хранения разрешают подключения из любой сети, но вы можете ограничить доступ, настроив правила сети, определяющие, какие источники могут подключаться к учетной записи хранения.
Вы можете настроить четыре типа правил сети:
- Правила виртуальной сети. Разрешить трафик из определенных подсетей в виртуальных сетях Azure
- Правила IP-сети. Разрешить трафик из определенных диапазонов общедоступных IP-адресов
- Правила экземпляра ресурса: Разрешить трафик из определенных экземпляров ресурсов Azure, которые нельзя изолировать с помощью правил виртуальной сети или IP-правил.
- Исключения доверенной службы: разрешить трафик из определенных служб Azure, работающих за пределами сетевой границы.
Если настроены правила сети, доступ к учетной записи хранения через общедоступную конечную точку может получить только трафик из явно разрешенных источников. Все остальные трафик запрещены.
Примечание.
Клиенты, выполняющие запросы из разрешенных источников, также должны соответствовать требованиям авторизации учетной записи хранения. Дополнительные сведения об авторизации учетной записи см. в статье "Авторизация доступа к данным в службе хранилища Azure".
Правила виртуальной сети
Вы можете включить трафик из подсетей в любой виртуальной сети Azure. Виртуальная сеть может быть из любой подписки в любом клиенте Microsoft Entra в любом регионе Azure. Чтобы включить трафик из подсети, добавьте правило виртуальной сети. Для каждой учетной записи хранения можно добавить до 400 правил виртуальной сети.
В параметрах виртуальной сети подсети необходимо также включить конечную точку службы виртуальной сети. Эта конечная точка предназначена для обеспечения безопасного и прямого подключения к учетной записи хранения.
При создании сетевых правил с помощью портала Azure эти конечные точки службы автоматически создаются при выборе каждой целевой подсети. PowerShell и Azure CLI предоставляют команды, которые можно использовать для их создания вручную. Дополнительные сведения о конечных точках служб см. в статье "Конечные точки службы виртуальной сети".
В следующей таблице описывается каждый тип конечной точки службы, которую можно включить для службы хранилища Azure:
| Конечная точка службы | Имя ресурса | Описание |
|---|---|---|
| Конечная точка службы хранилища Azure | Microsoft.Storage | Обеспечивает подключение к учетным записям хранения в том же регионе , что и виртуальная сеть. |
| Конечная точка службы хранилища Azure между регионами | Microsoft.Storage.Global | Обеспечивает подключение к учетным записям хранения в любом регионе. |
Примечание.
С подсетью можно связать только один из этих типов конечных точек. Если одна из этих конечных точек уже связана с подсетью, перед добавлением другой необходимо удалить эту конечную точку.
Сведения о настройке правила виртуальной сети и включении конечных точек службы см. в статье "Создание правила виртуальной сети для службы хранилища Azure".
Доступ из парного региона
Конечные точки службы также работают между виртуальными сетями и экземплярами служб в парном регионе.
Настройка конечных точек службы между виртуальными сетями и экземплярами служб в парном регионе может быть важной частью плана аварийного восстановления. Конечные точки службы обеспечивают непрерывность во время регионального аварийного восстановления и предоставляют доступ к экземплярам только для чтения геоизбыточного хранилища (RA-GRS). Правила виртуальной сети, предоставляющие доступ из виртуальной сети к хранилищу, также предоставляют доступ к любому экземпляру RA-GRS.
При планировании аварийного восстановления во время регионального сбоя создайте виртуальные сети в парном регионе заранее. Включите конечные точки службы для Azure Storage с правилами сети, обеспечивающими доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям вашего геоизбыточного хранилища.
Правила IP-сети
Для клиентов и служб, которые не находятся в виртуальной сети, можно включить трафик, создав правила IP-сети. Каждое правило ip-сети включает трафик из определенного диапазона общедоступных IP-адресов. Например, если клиенту из локальной сети требуется доступ к данным хранилища, можно создать правило, включающее общедоступный IP-адрес этого клиента. Каждая учетная запись хранения поддерживает до 400 правил сети IP.
Сведения о создании правил IP-сети см. в статье "Создание правила сети IP-адресов для службы хранилища Azure".
Если включить конечную точку службы для подсети, трафик из этой подсети не будет использовать общедоступный IP-адрес для связи с учетной записью хранения. Вместо этого весь трафик использует частный IP-адрес в качестве исходного IP-адреса. В результате правила IP-сети, разрешающие трафик из этих подсетей, больше не влияют.
Маркеры SAS, предоставляющие доступ к конкретному IP-адресу, служат для ограничения доступа владельца маркера, но они не предоставляют новый доступ за пределами настроенных сетевых правил.
Внимание
Некоторые ограничения применяются к диапазонам IP-адресов. Список ограничений см. в разделе "Ограничения" для правил IP-сети.
Доступ из локальной сети
Трафик из локальной сети можно включить с помощью правила IP-сети. Сначала необходимо определить IP-адреса, выходящие в Интернет, которые использует ваша сеть. Обратитесь за помощью к администратору сети.
Если вы используете Azure ExpressRoute из локальной среды, необходимо определить IP-адреса NAT, используемые для пиринга Майкрософт. Поставщик услуг или клиент предоставляют IP-адреса NAT.
Чтобы разрешить доступ к ресурсам службы, необходимо разрешить эти общедоступные IP-адреса в параметре брандмауэра для IP-адресов ресурсов.
Правила экземпляра ресурсов Azure
Некоторые ресурсы Azure нельзя изолировать с помощью правила виртуальной сети или IP-адреса. Вы можете включить трафик из этих ресурсов, создав правило сети для экземпляра ресурса. Назначения ролей Azure для экземпляра ресурса определяют, какие типы операций этот экземпляр может выполнять с данными учетной записи хранилища. Экземпляры ресурсов должны находиться в том же тенанте, что и ваша учетная запись хранения, но они могут принадлежать любой подписке в этом тенанте.
Сведения о настройке правила экземпляра ресурса см. в статье "Создание сетевого правила экземпляра ресурса для службы хранилища Azure".
Исключения для доверенных служб Azure
Если необходимо включить трафик из службы Azure за пределами сетевой границы, можно добавить исключение безопасности сети. Это может быть полезно, если служба Azure работает из сети, которую нельзя включить в правила виртуальной сети или IP-сети. Например, некоторым службам может потребоваться считывать журналы ресурсов и метрики в вашей учетной записи. Вы можете разрешить доступ на чтение для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Эти службы подключаются к учетной записи хранения с помощью строгой проверки подлинности.
Дополнительные сведения о добавлении исключения сетевой безопасности см. в статье "Управление исключениями безопасности сети".
Для получения полного списка служб Azure, для которых можно включить трафик, см. раздел "Доверенные службы Azure".
Ограничения и рекомендации
Прежде чем реализовать сетевую безопасность для учетных записей хранения, ознакомьтесь со всеми ограничениями и рекомендациями. Полный список см. в разделе "Ограничения и ограничения" для брандмауэра службы хранилища Azure и конфигурации виртуальной сети.