Använd privata slutpunkter för Azure Storage
Du kan använda privata slutpunkter för dina Azure Storage-konton för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en privat länk. En privat slutpunkt använder en IP-adress från adressutrymmet för det virtuella nätverket för varje Storage-kontotjänst. Nätverkstrafiken mellan klienterna på det virtuella nätverket och lagringskontot passerar över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Kommentar
Privata slutpunkter är inte tillgängliga för allmänna v1-lagringskonton.
Om du använder privata slutpunkter för ditt lagringskonto kan du:
- Skydda ditt lagringskonto genom att konfigurera brandväggen för lagring för att blockera alla anslutningar på lagringstjänstens offentliga slutpunkt.
- Öka säkerheten för det virtuella nätverket (VNet) genom att aktivera att du kan blockera exfiltrering av data från det virtuella nätverket.
- Anslut på ett säkert sätt till lagringskonton från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.
Begreppsmässig översikt
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för ditt lagringskonto ger den säker anslutning mellan klienter i ditt virtuella nätverk och din lagring. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och lagringstjänsten använder en säker privat länk.
Program i det virtuella nätverket kan ansluta till lagringstjänsten via den privata slutpunkten sömlöst, med samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars. Privata slutpunkter kan användas med alla protokoll som stöds av lagringskontot, inklusive REST och SMB.
Privata slutpunkter kan skapas i undernät som använder tjänstslutpunkter. Klienter i ett undernät kan därmed ansluta till ett lagringskonto med hjälp av en privat slutpunkt, samtidigt som tjänstslutpunkter används för att komma åt andra.
När du skapar en privat slutpunkt för en lagringstjänst i ditt VNet skickas en begäran om godkännande till lagringskontots ägare. Om den användare som begär att den privata slutpunkten ska skapas även är ägare till lagringskontot, godkänns förfrågan om medgivande automatiskt.
Lagringskontoägare kan hantera begäranden om medgivande och privata slutpunkter via fliken Privata slutpunkter för lagringskontot i Azure-portalen.
Dricks
Om du endast vill begränsa åtkomsten till ditt lagringskonto via den privata slutpunkten konfigurerar du lagringsbrandväggen så att den nekar eller kontrollerar åtkomst via den offentliga slutpunkten.
Du kan skydda ditt lagringskonto för att endast acceptera anslutningar från ditt virtuella nätverk genom att konfigurera lagringsbrandväggen för att neka åtkomst via dess offentliga slutpunkt som standard. Du behöver ingen brandväggsregel för att tillåta trafik från ett virtuellt nätverk som har en privat slutpunkt, eftersom lagringsbrandväggen endast styr åtkomsten via den offentliga slutpunkten. Privata slutpunkter förlitar sig i stället på medgivandeflödet för att ge undernät åtkomst till lagringstjänsten.
Kommentar
När du kopierar blobar mellan lagringskonton måste klienten ha nätverksåtkomst till båda kontona. Om du väljer att använda en privat länk för endast ett konto (antingen källan eller målet) kontrollerar du att klienten har nätverksåtkomst till det andra kontot. Mer information om andra sätt att konfigurera nätverksåtkomst finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
Skapa en privat slutpunkt
Information om hur du skapar en privat slutpunkt med hjälp av Azure-portalen finns i Anslut privat till ett lagringskonto från lagringskontoupplevelsen i Azure-portalen.
Information om hur du skapar en privat slutpunkt med hjälp av PowerShell eller Azure CLI finns i någon av dessa artiklar. Båda har en Azure-webbapp som måltjänst, men stegen för att skapa en privat länk är desamma för ett Azure Storage-konto.
När du skapar en privat slutpunkt måste du ange lagringskontot och lagringstjänsten som den ansluter till.
Du behöver en separat privat slutpunkt för varje lagringsresurs som du behöver åtkomst till, nämligen Blobbar, Data Lake Storage Gen2, Filer, Köer, Tabeller eller Statiska webbplatser. På den privata slutpunkten definieras dessa lagringstjänster som målunderresursen för det associerade lagringskontot.
Om du skapar en privat slutpunkt för Data Lake Storage Gen2-lagringsresursen bör du också skapa en för Blob Storage-resursen. Det beror på att åtgärder som riktar sig mot Data Lake Storage Gen2-slutpunkten kan omdirigeras till blobslutpunkten. Om du lägger till en privat slutpunkt endast för Blob Storage, och inte för Data Lake Storage Gen2, misslyckas vissa åtgärder (till exempel Hantera ACL, Skapa katalog, Ta bort katalog etc.) eftersom Gen2-API:erna kräver en privat DFS-slutpunkt. Genom att skapa en privat slutpunkt för båda resurserna ser du till att alla åtgärder kan slutföras.
Dricks
Skapa en separat privat slutpunkt för den sekundära instansen av lagringstjänsten för bättre läsprestanda på RA-GRS-konton. Se till att skapa ett allmänt v2-lagringskonto (Standard eller Premium).
För läsåtkomst till den sekundära regionen med ett lagringskonto som konfigurerats för geo-redundant lagring behöver du separata privata slutpunkter för både de primära och sekundära instanserna av tjänsten. Du behöver inte skapa en privat slutpunkt för den sekundära instansen för redundans. Den privata slutpunkten ansluter automatiskt till den nya primära instansen efter redundansväxlingen. Mer information om alternativ för lagringsredundans finns i Azure Storage-redundans.
Anslut till en privat slutpunkt
Klienter i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma anslutningssträng för lagringskontot som klienter som ansluter till den offentliga slutpunkten. Vi förlitar oss på DNS-matchning för att automatiskt dirigera anslutningarna från det virtuella nätverket till lagringskontot via en privat länk.
Viktigt!
Använd samma anslutningssträng för att ansluta till lagringskontot med privata slutpunkter som du skulle använda annars. Anslut inte till lagringskontot med dess privatelink
underdomän-URL.
Som standard skapar vi en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna. Men om du använder din egen DNS-server kan du behöva göra ytterligare ändringar i DNS-konfigurationen. I avsnittet om DNS-ändringar nedan beskrivs de uppdateringar som krävs för privata slutpunkter.
DNS-ändringar för privata slutpunkter
Kommentar
Mer information om hur du konfigurerar DNS-inställningar för privata slutpunkter finns i DNS-konfigurationen för azure private endpoint.
När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för lagringskontot till ett alias i en underdomän med prefixet privatelink
. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink
med DNS A-resursposterna för de privata slutpunkterna.
När du löser url:en för lagringsslutpunkten utanför det virtuella nätverket med den privata slutpunkten matchas den mot lagringstjänstens offentliga slutpunkt. När det löses från det virtuella nätverk som är värd för den privata slutpunkten matchas url:en för lagringsslutpunkten till den privata slutpunktens IP-adress.
I det illustrerade exemplet ovan blir DNS-resursposterna för lagringskontot "StorageAccountA", när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
Namn | Typ | Värde |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <offentlig slutpunkt för lagringstjänst> |
<offentlig slutpunkt för lagringstjänst> | A | <offentlig IP-adress för lagringstjänsten> |
Som tidigare nämnts kan du neka eller kontrollera åtkomst för klienter utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av lagringsbrandväggen.
DNS-resursposterna för StorageAccountA, när de matchas av en klient i det virtuella nätverk som är värd för den privata slutpunkten, blir:
Namn | Typ | Värde |
---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Den här metoden ger åtkomst till lagringskontot med samma anslutningssträng för klienter på det virtuella nätverket som är värd för de privata slutpunkterna samt klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha FQDN för lagringskontots slutpunkt till ip-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för med ip-adressen för StorageAccountA.privatelink.blob.core.windows.net
den privata slutpunkten.
Dricks
När du använder en anpassad eller lokal DNS-server bör du konfigurera DNS-servern för att matcha lagringskontonamnet i underdomänen privatelink
till IP-adressen för den privata slutpunkten. Du kan göra detta genom att delegera underdomänen privatelink
till den privata DNS-zonen för det virtuella nätverket eller genom att konfigurera DNS-zonen på DNS-servern och lägga till DNS A-posterna.
De rekommenderade DNS-zonnamnen för privata slutpunkter för lagringstjänster och de associerade underresurserna för slutpunktsmål är:
Lagringstjänst | Målunderresurs | Zonnamn |
---|---|---|
Blob Service | blob | privatelink.blob.core.windows.net |
Data Lake Storage Gen2 | Dfs | privatelink.dfs.core.windows.net |
Filtjänst | fil | privatelink.file.core.windows.net |
Kötjänst | kö | privatelink.queue.core.windows.net |
Tabelltjänst | table | privatelink.table.core.windows.net |
Statiska webbplatser | webb | privatelink.web.core.windows.net |
Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:
Prissättning
Prisinformation finns i Priser för Azure Private Link.
Kända problem
Tänk på följande kända problem med privata slutpunkter för Azure Storage.
Begränsningar för lagringsåtkomst för klienter i virtuella nätverk med privata slutpunkter
Klienter i virtuella nätverk med befintliga privata slutpunkter har begränsningar vid åtkomst till andra lagringskonton som har privata slutpunkter. Anta till exempel att ett VNet N1 har en privat slutpunkt för ett lagringskonto A1 för Blob Storage. Om lagringskontoT2 har en privat slutpunkt i ett VNet N2 för Blob Storage måste klienter i VNet N1 också komma åt Blob Storage i konto A2 med hjälp av en privat slutpunkt. Om lagringskontoT2 inte har några privata slutpunkter för Blob Storage kan klienter i VNet N1 komma åt Blob Storage i det kontot utan en privat slutpunkt.
Den här begränsningen är ett resultat av DE DNS-ändringar som görs när konto A2 skapar en privat slutpunkt.
Kopiera blobar mellan lagringskonton
Du kan bara kopiera blobar mellan lagringskonton med hjälp av privata slutpunkter om du använder Azure REST API eller verktyg som använder REST-API:et. Dessa verktyg omfattar AzCopy, Storage Explorer, Azure PowerShell, Azure CLI och Azure Blob Storage SDK:er.
Endast privata slutpunkter som är avsedda blob
för slutpunkten eller file
lagringsresursen stöds. Detta inkluderar REST API-anrop mot Data Lake Storage Gen2-konton där blob
resursslutpunkten uttryckligen eller implicit refereras till. Privata slutpunkter som riktar sig mot Data Lake Storage Gen2-resursslutpunkten dfs
stöds ännu inte. Kopiering mellan lagringskonton med hjälp av NFS-protokollet (Network File System) stöds ännu inte.