Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Storage-brandväggsregler ger detaljerad kontroll över nätverksåtkomst till lagringskontots offentliga slutpunkt. Som standard tillåter lagringskonton anslutningar från alla nätverk, men du kan begränsa åtkomsten genom att konfigurera nätverksregler som definierar vilka källor som kan ansluta till ditt lagringskonto.
Du kan konfigurera fyra typer av nätverksregler:
- Regler för virtuellt nätverk: Tillåt trafik från specifika undernät i virtuella Azure-nätverk
- IP-nätverksregler: Tillåt trafik från specifika offentliga IP-adressintervall
- Resursinstansregler: Tillåt trafik från specifika Azure-resursinstanser som inte kan isoleras via virtuella nätverk eller IP-regler
- Betrodda tjänstundantag: Tillåt trafik från specifika Azure-tjänster som körs utanför nätverksgränser
När nätverksregler har konfigurerats kan endast trafik från explicit tillåtna källor komma åt ditt lagringskonto via dess offentliga slutpunkt. All annan trafik nekas.
Anteckning
Klienter som gör begäranden från tillåtna källor måste också uppfylla auktoriseringskraven för lagringskontot. Mer information om kontoauktorisering finns i Auktorisera åtkomst till data i Azure Storage.
Regler för virtuellt nätverk
Du kan aktivera trafik från undernät i valfritt virtuellt Azure-nätverk. Det virtuella nätverket kan komma från valfri prenumeration i valfri Microsoft Entra-klientorganisation i valfri Azure-region. Om du vill aktivera trafik från ett undernät lägger du till en regel för virtuellt nätverk. Du kan lägga till upp till 400 regler för virtuellt nätverk per lagringskonto.
I inställningarna för det virtuella nätverket i undernätet måste du även aktivera en tjänstslutpunkt för virtuellt nätverk. Den här slutpunkten är utformad för att ge säker och direkt anslutning till ditt lagringskonto.
När du skapar nätverksregler med azure-portalen skapas dessa tjänstslutpunkter automatiskt när du väljer varje målundernät. PowerShell och Azure CLI tillhandahåller kommandon som du kan använda för att skapa dem manuellt. Mer information om tjänstslutpunkter finns i Tjänstslutpunkter för virtuellt nätverk.
I följande tabell beskrivs varje typ av tjänstslutpunkt som du kan aktivera för Azure Storage:
| Tjänstslutpunkt | Resursnamn | Beskrivning |
|---|---|---|
| Azure Storage-slutpunkt | Microsoft.Storage, lagringstjänster | Ger anslutning till lagringskonton i samma region som det virtuella nätverket. |
| Tjänstslutpunkt mellan regioner i Azure Storage | Microsoft.Storage.Global | Ger anslutning till lagringskonton i valfri region. |
Anteckning
Du kan bara associera en av dessa slutpunktstyper med ett undernät. Om en av dessa slutpunkter redan är associerad med undernätet måste du ta bort slutpunkten innan du lägger till den andra.
Information om hur du konfigurerar en regel för virtuellt nätverk och aktiverar tjänstslutpunkter finns i Skapa en regel för virtuellt nätverk för Azure Storage.
Åtkomst från en länkad region
Tjänstslutpunkter fungerar också mellan virtuella nätverk och tjänstinstanser i en parad region.
Att konfigurera tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i en parad region kan vara en viktig del av din haveriberedskapsplan. Tjänstslutpunkter möjliggör kontinuitet under en regional redundansväxling och ger åtkomst till skrivskyddade geo-redundanta lagringsinstanser (RA-GRS). Regler för virtuella nätverk som beviljar åtkomst från ett virtuellt nätverk till ett lagringskonto ger också åtkomst till alla RA-GRS instanser.
När du planerar för katastrofberedskap under ett regionalt avbrott skapar du de virtuella nätverken i den kopplade regionen i förväg. Aktivera tjänstslutpunkter för Azure Storage med nätverksregler som ger åtkomst från dessa alternativa virtuella nätverk. Tillämpa sedan dessa regler på dina geo-redundanta lagringskonton.
IP-nätverksregler
För klienter och tjänster som inte finns i ett virtuellt nätverk kan du aktivera trafik genom att skapa IP-nätverksregler. Varje IP-nätverksregel möjliggör trafik från ett specifikt offentligt IP-adressintervall. Om till exempel en klient från ett lokalt nätverk behöver komma åt lagringsdata kan du skapa en regel som innehåller klientens offentliga IP-adress. Varje lagringskonto har stöd för upp till 400 IP-nätverksregler.
Information om hur du skapar IP-nätverksregler finns i Skapa en IP-nätverksregel för Azure Storage.
Om du aktiverar en tjänstslutpunkt för ett undernät använder trafik från det undernätet inte någon offentlig IP-adress för att kommunicera med ett lagringskonto. I stället använder all trafik en privat IP-adress som käll-IP. Det innebär att IP-nätverksregler som tillåter trafik från dessa undernät inte längre har någon effekt.
SAS-token som ger åtkomst till en specifik IP-adress används för att begränsa åtkomsten för tokeninnehavaren, men de ger inte ny åtkomst utöver konfigurerade nätverksregler.
Viktigt!
Vissa begränsningar gäller för IP-adressintervall. En lista över begränsningar finns i Begränsningar för IP-nätverksregler.
Åtkomst från ett lokalt nätverk
Du kan aktivera trafik från ett lokalt nätverk med hjälp av en IP-nätverksregel. Först måste du identifiera de Internetuppkopplade IP-adresser som nätverket använder. Kontakta nätverksadministratören om du vill ha hjälp.
Om du använder Azure ExpressRoute från din lokala plats måste du identifiera DE NAT IP-adresser som används för Microsoft-peering. Antingen tillhandahåller tjänstleverantören eller kunden NAT IP-adresserna.
Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i brandväggsinställningen för resurs-IP-adresser.
Azure-resursinstansregler
Vissa Azure-resurser kan inte isoleras via ett virtuellt nätverk eller en IP-adressregel. Du kan aktivera trafik från dessa resurser genom att skapa en nätverksregel för resursinstanser. Azure-rolltilldelningarna för resursinstansen avgör vilka typer av åtgärder som resursinstansen kan utföra på lagringskontodata. Resursinstanser måste komma från samma klientorganisation som ditt lagringskonto, men de kan tillhöra valfri prenumeration i klientorganisationen.
Information om hur du konfigurerar en resursinstansregel finns i Skapa en nätverksregel för resursinstanser för Azure Storage.
Undantag för betrodda Azure-tjänster
Om du behöver aktivera trafik från en Azure-tjänst utanför nätverksgränsen kan du lägga till ett undantag för nätverkssäkerhet. Detta kan vara användbart när en Azure-tjänst fungerar från ett nätverk som du inte kan inkludera i ditt virtuella nätverk eller ip-nätverksregler. Vissa tjänster kan till exempel behöva läsa resursloggar och mått i ditt konto. Du kan tillåta läsåtkomst för loggfiler, måtttabeller eller båda genom att skapa ett undantag för nätverksregeln. Dessa tjänster ansluter till ditt lagringskonto med stark autentisering.
Mer information om hur du lägger till ett undantag för nätverkssäkerhet finns i Hantera undantag för nätverkssäkerhet.
En fullständig lista över Azure-tjänster som du kan aktivera trafik för finns i Betrodda Azure-tjänster.
Begränsningar och överväganden
Innan du implementerar nätverkssäkerhet för dina lagringskonton bör du granska alla begränsningar och överväganden. En fullständig lista finns i Begränsningar och begränsningar för Azure Storage-brandväggen och konfiguration av virtuella nätverk.