Dela via


Konfigurera nätverksslutpunkter för åtkomst till Azure-filresurser

Azure Files innehåller två huvudtyper av slutpunkter för åtkomst till Azure-filresurser:

  • Offentliga slutpunkter, som har en offentlig IP-adress och kan nås var som helst i världen.
  • Privata slutpunkter, som finns i ett virtuellt nätverk och har en privat IP-adress inifrån adressutrymmet för det virtuella nätverket.

Offentliga och privata slutpunkter finns på Azure Storage-kontot. Ett lagringskonto är en hanteringskonstruktion som representerar en delad lagringspool där du kan distribuera flera filresurser samt andra lagringsresurser, till exempel blobcontainrar eller köer.

Den här artikeln fokuserar på hur du konfigurerar ett lagringskontos slutpunkter för direkt åtkomst till Azure-filresursen. Mycket av den här artikeln gäller även för hur Azure File Sync interoperates med offentliga och privata slutpunkter för lagringskontot. Mer information om nätverksöverväganden för Azure File Sync finns i konfigurera proxy- och brandväggsinställningar för Azure File Sync.

Vi rekommenderar att du läser nätverksöverväganden för Azure Files innan du läser den här guiden.

Gäller för

Typ av filresurs SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Ja Inga
Standardfilresurser (GPv2), GRS/GZRS Ja Inga
Premiumfilresurser (FileStorage), LRS/ZRS Ja Ja

Förutsättningar

Slutpunktskonfigurationer

Du kan konfigurera dina slutpunkter för att begränsa nätverksåtkomsten till ditt lagringskonto. Det finns två sätt att begränsa åtkomsten till ett lagringskonto till ett virtuellt nätverk:

Skapa en privat slutpunkt

När du skapar en privat slutpunkt för ditt lagringskonto distribueras följande Azure-resurser:

  • En privat slutpunkt: En Azure-resurs som representerar lagringskontots privata slutpunkt. Du kan se detta som en resurs som ansluter ett lagringskonto och ett nätverksgränssnitt.
  • Ett nätverksgränssnitt (NIC): Nätverksgränssnittet som underhåller en privat IP-adress i det angivna virtuella nätverket/undernätet. Det här är exakt samma resurs som distribueras när du distribuerar en virtuell dator (VM), men i stället för att tilldelas till en virtuell dator ägs den av den privata slutpunkten.
  • En privat DNS-zon (Domain Name System): Om du inte har distribuerat en privat slutpunkt för det här virtuella nätverket tidigare distribueras en ny privat DNS-zon för ditt virtuella nätverk. En DNS A-post skapas också för lagringskontot i den här DNS-zonen. Om du redan har distribuerat en privat slutpunkt i det här virtuella nätverket läggs en ny A-post för lagringskontot till i den befintliga DNS-zonen. Det är valfritt att distribuera en DNS-zon. Det rekommenderas dock starkt och krävs om du monterar dina Azure-filresurser med ad-tjänstens huvudnamn eller använder FileREST-API:et.

Kommentar

Den här artikeln använder DNS-suffixet för lagringskontot för de offentliga Azure-regionerna, core.windows.net. Den här kommentaren gäller även för Azure Sovereign-moln som Azure US Government-molnet och Microsoft Azure som drivs av 21Vianet-molnet. Ersätt bara lämpliga suffix för din miljö.

Gå till lagringskontot som du vill skapa en privat slutpunkt för. I innehållsförteckningen för lagringskontot väljer du Nätverk, Privata slutpunktsanslutningar och sedan + Privat slutpunkt för att skapa en ny privat slutpunkt.

Skärmbild av objektet för privata slutpunktsanslutningar i innehållsförteckningen för lagringskontot.

Den resulterande guiden har flera sidor att slutföra.

På bladet Grundläggande väljer du önskad prenumeration, resursgrupp, namn, nätverksgränssnittsnamn och region för din privata slutpunkt. Dessa kan vara vad du vill, de behöver inte matcha lagringskontot på något sätt, även om du måste skapa den privata slutpunkten i samma region som det virtuella nätverk som du vill skapa den privata slutpunkten i. Välj sedan Nästa: Resurs.

Skärmbild som visar hur du anger projekt- och instansinformation för en ny privat slutpunkt.

På bladet Resurs väljer du fil för målunderresursen. Välj sedan Nästa: Virtuellt nätverk.

Skärmbild som visar hur du väljer vilken resurs du vill ansluta till med den nya privata slutpunkten.

Med bladet Virtuellt nätverk kan du välja det specifika virtuella nätverk och undernät som du vill lägga till din privata slutpunkt i. Välj dynamisk eller statisk IP-adressallokering för den nya privata slutpunkten. Om du väljer statisk måste du också ange ett namn och en privat IP-adress. Du kan också ange en programsäkerhetsgrupp. När du är klar väljer du Nästa: DNS.

Skärmbild som visar hur du anger information om virtuella nätverk, undernät och IP-adresser för den nya privata slutpunkten.

DNS-bladet innehåller information för att integrera din privata slutpunkt med en privat DNS-zon. Kontrollera att prenumerationen och resursgruppen är korrekta och välj sedan Nästa: Taggar.

Skärmbild som visar hur du integrerar din privata slutpunkt med en privat DNS-zon.

Du kan också använda taggar för att kategorisera dina resurser, till exempel att använda namnet Miljö och värdet Test på alla testresurser. Ange namn/värdepar om du vill och välj sedan Nästa: Granska + skapa.

Skärmbild som visar hur du kan tagga din privata slutpunkt med namn/värde-par för enkel kategorisering.

Klicka på Granska + skapa för att skapa den privata slutpunkten.

Verifiera anslutningen

Om du har en virtuell dator i det virtuella nätverket, eller om du har konfigurerat DNS-vidarebefordran enligt beskrivningen i Konfigurera DNS-vidarebefordran för Azure Files, kan du testa att den privata slutpunkten är korrekt konfigurerad. Kör följande kommandon från PowerShell, kommandoraden eller terminalen (fungerar för Windows, Linux eller macOS). Du måste ersätta <storage-account-name> med lämpligt lagringskontonamn:

nslookup <storage-account-name>.file.core.windows.net

Om det lyckas bör du se följande utdata, där 192.168.0.5 är den privata IP-adressen för den privata slutpunkten i det virtuella nätverket (utdata som visas för Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Begränsa offentlig slutpunktsåtkomst

För att begränsa åtkomsten till den offentliga slutpunkten måste du först inaktivera allmän åtkomst till den offentliga slutpunkten. Inaktivering av åtkomst till den offentliga slutpunkten påverkar inte privata slutpunkter. När den offentliga slutpunkten har inaktiverats kan du välja specifika nätverk eller IP-adresser som kan fortsätta att komma åt den. I allmänhet begränsar de flesta brandväggsprinciper för ett lagringskonto nätverksåtkomst till ett eller flera virtuella nätverk.

Inaktivera åtkomst till den offentliga slutpunkten

När åtkomsten till den offentliga slutpunkten är inaktiverad kan lagringskontot fortfarande nås via sina privata slutpunkter. Annars avvisas giltiga begäranden till lagringskontots offentliga slutpunkt, såvida de inte kommer från en specifikt tillåten källa.

Gå till lagringskontot som du vill begränsa all åtkomst till den offentliga slutpunkten för. I innehållsförteckningen för lagringskontot väljer du Nätverk.

Längst upp på sidan väljer du alternativknappen Aktiverad från valda virtuella nätverk och IP-adresser . Detta döljer ett antal inställningar för att kontrollera begränsningen av den offentliga slutpunkten. Välj Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot så att betrodda förstaparts-Microsoft-tjänster till exempel Azure File Sync får åtkomst till lagringskontot.

Skärmbild av bladet Nätverk med de inställningar som krävs för att inaktivera åtkomsten till lagringskontots offentliga slutpunkt.

Begränsa åtkomsten till den offentliga slutpunkten till specifika virtuella nätverk

När du begränsar lagringskontot till specifika virtuella nätverk tillåter du begäranden till den offentliga slutpunkten inifrån de angivna virtuella nätverken. Detta fungerar med hjälp av funktionen för det virtuella nätverket som kallas tjänstslutpunkter. Detta kan användas med eller utan privata slutpunkter.

Gå till lagringskontot som du vill begränsa den offentliga slutpunkten till specifika virtuella nätverk för. I innehållsförteckningen för lagringskontot väljer du Nätverk.

Längst upp på sidan väljer du alternativknappen Aktiverad från valda virtuella nätverk och IP-adresser . Detta döljer ett antal inställningar för att kontrollera begränsningen av den offentliga slutpunkten. Välj +Lägg till befintligt virtuellt nätverk för att välja det specifika virtuella nätverk som ska tillåtas att komma åt lagringskontot via den offentliga slutpunkten. Välj ett virtuellt nätverk och ett undernät för det virtuella nätverket och välj sedan Aktivera.

Välj Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot så att betrodda förstaparts-Microsoft-tjänster till exempel Azure File Sync får åtkomst till lagringskontot.

Skärmbild av bladet Nätverk med ett specifikt virtuellt nätverk som kan komma åt lagringskontot via den offentliga slutpunkten.

Se även