Сведения о конфигурациях сети для эластичной сети SAN
Сеть зоны хранения Эластичных баз данных Azure (SAN) позволяет защитить и контролировать уровень доступа к томам Elastic SAN, которым требуются приложения и корпоративные среды. В этой статье описаны варианты предоставления пользователям и приложениям доступа к томам Elastic SAN из инфраструктуры виртуальной сети Azure.
Вы можете настроить группы томов Elastic SAN, чтобы разрешить доступ только через определенные конечные точки в определенных подсетях виртуальной сети. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или в другой подписке, включая подписки, принадлежащие другому клиенту Microsoft Entra. После настройки сетевого доступа для группы томов конфигурация наследуется всеми томами, принадлежащими группе.
В зависимости от конфигурации приложения в одноранговых виртуальных сетях или локальных сетях также могут получать доступ к томам в группе. Локальные сети должны быть подключены к виртуальной сети VPN или ExpressRoute. Дополнительные сведения о конфигурациях виртуальной сети см. в статье "Инфраструктура виртуальной сети Azure".
Существует два типа конечных точек виртуальной сети, которые можно настроить для предоставления доступа к группе томов Elastic SAN:
Чтобы решить, какой вариант лучше всего подходит для вас, см. статью "Сравнение частных конечных точек и конечных точек службы". Как правило, следует использовать частные конечные точки вместо конечных точек службы, так как Приватный канал предлагает лучшие возможности. Дополнительные сведения см. в разделе Приватный канал Azure.
После настройки конечных точек можно настроить сетевые правила для дальнейшего управления доступом к группе томов Elastic SAN. После настройки конечных точек и сетевых правил клиенты могут подключаться к томам в группе для обработки рабочих нагрузок.
Доступ из общедоступной сети
Вы можете включить или отключить общедоступный доступ к интернету к конечным точкам Elastic SAN на уровне SAN. Включение доступа к общедоступной сети для Эластичной сети SAN позволяет настроить общедоступный доступ к отдельным группам томов в этой сети SAN через конечные точки службы хранилища. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. При отключении общедоступного доступа на уровне SAN доступ к группам томов в этой сети SAN доступен только через частные конечные точки.
конечные точки службы служба хранилища
Конечные точки службы Azure виртуальная сеть обеспечивают безопасное и прямое подключение к службам Azure с помощью оптимизированного маршрута через магистральную сеть Azure. Конечные точки службы позволяют защитить критически важные ресурсы службы Azure, чтобы получить к ним доступ только определенные виртуальные сети.
Конечные точки службы между регионами для служба хранилища Azure работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С конечными точками службы между регионами подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, в том числе с другими регионами. Вместо этого весь трафик из подсети в учетную запись хранения использует частный IP-адрес в качестве исходного IP-адреса.
Совет
Исходные конечные точки локальной службы, определенные как Microsoft.служба хранилища, по-прежнему поддерживаются для обратной совместимости, но следует создавать конечные точки между регионами, определяемые как Microsoft.служба хранилища. Глобальный для новых развертываний.
Конечные точки службы между регионами и локальные не могут сосуществовать в одной подсети. Чтобы использовать конечные точки службы между регионами, может потребоваться удалить существующие конечные точки Microsoft.служба хранилища и повторно создать их как Microsoft.служба хранилища. Глобальный.
Частные конечные точки
Azure Приватный канал позволяет безопасно получать доступ к группе томов Elastic SAN через частную конечную точку из подсети виртуальной сети. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт, устраняя риск предоставления вашей службы общедоступному Интернету. Частная конечная точка Elastic SAN использует набор IP-адресов из адресного пространства подсети для каждой группы томов. Максимальное число, используемое для каждой конечной точки, равно 20.
Частные конечные точки имеют несколько преимуществ по сравнению с конечными точками службы. Полное сравнение частных конечных точек с конечными точками службы см. в статье "Сравнение частных конечных точек и конечных точек службы".
Ограничения
Частные конечные точки в настоящее время не поддерживаются для эластичных локальных сетей с использованием хранилища, избыточного между зонами (ZRS).
Как это работает
Трафик между виртуальной сетью и эластичной сетью SAN направляется по оптимальному пути в магистральной сети Azure. В отличие от конечных точек службы, не нужно настраивать сетевые правила, чтобы разрешить трафик из частной конечной точки, так как брандмауэр хранилища управляет доступом только через общедоступные конечные точки.
Дополнительные сведения о настройке частных конечных точек см. в разделе "Включить частную конечную точку".
Правила виртуальной сети
Чтобы обеспечить безопасный доступ к томам Elastic SAN, можно создать правила виртуальной сети для групп томов, настроенных с конечными точками службы, чтобы разрешить доступ из определенных подсетей. Правила сети не требуются, чтобы разрешить трафик из частной конечной точки, так как брандмауэр хранилища управляет доступом только через общедоступные конечные точки.
Каждая группа томов поддерживает до 200 правил виртуальной сети. Если удалить подсеть, включенную в правило сети, она удаляется из сетевых правил для группы томов. Если создать новую подсеть с тем же именем, у нее не будет доступа к группе томов. Чтобы разрешить доступ, необходимо явно авторизовать новую подсеть в правилах сети для группы томов.
Клиенты, которым предоставлен доступ через эти сетевые правила, также должны быть предоставлены соответствующие разрешения для эластичной сети SAN для группы томов.
Сведения об определении сетевых правил см. в статье "Управление правилами виртуальной сети".
Клиентские подключения
После включения требуемых конечных точек и предоставления доступа в правилах сети можно подключиться к соответствующим томам Elastic SAN с помощью протокола iSCSI. Сведения о настройке клиентских подключений см. в статьях о том, как подключиться к кластеру Linux, Windows или Служба Azure Kubernetes.
Сеансы iSCSI могут периодически отключаться и повторно подключаться в течение дня. Эти отключения и повторное подключение являются частью регулярного обслуживания или результатом колебаний сети. Вы не должны столкнуться с снижением производительности в результате этих отключений и повторного подключения, и подключения должны повторно устанавливаться самостоятельно. Если подключение не устанавливается повторно или вы испытываете снижение производительности, вызовите запрос в службу поддержки.
Примечание.
Если подключение между виртуальной машиной и томом Эластичной сети SAN потеряно, подключение будет повторяться в течение 90 секунд до завершения. Потеря подключения к тому Elastic SAN не приведет к перезапуску виртуальной машины.