Azure Depolama için özel uç noktaları kullanma
Sanal ağdaki (VNet) istemcilerin bir Özel Bağlantı üzerinden verilere güvenli bir şekilde erişmesine izin vermek için Azure Depolama hesaplarınız için özel uç noktaları kullanabilirsiniz. Özel uç nokta, her bir depolama hesabı hizmeti için VNet’inizin adres alanından ayrı bir IP adresi kullanır. Sanal ağdaki istemciler ile depolama hesabı arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki özel bir bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır.
Not
Özel uç noktalar genel amaçlı v1 depolama hesapları için kullanılamaz.
Depolama hesabınız için özel uç noktaları kullanmak şunları sağlar:
- Özel bağlantı kullanarak depolama hesabınızın güvenliğini sağlayın. Depolama güvenlik duvarını, depolama hizmetinin genel uç noktasındaki bağlantıları engelleyecek şekilde el ile yapılandırabilirsiniz. Özel bağlantı oluşturmak, genel uç nokta üzerindeki bağlantıları otomatik olarak engellemez.
- VNet'ten veri sızdırmayı engellemenizi sağlayarak sanal ağın (VNet) güvenliğini artırın.
- Özel eşleme ile VPN veya ExpressRoutes kullanarak sanal ağa bağlanan şirket içi ağlardan depolama hesaplarına güvenli bir şekilde bağlanın.
Kavramsal genel bakış
Özel uç nokta, Sanal Ağ (VNet) içindeki bir Azure hizmeti için özel bir ağ arabirimidir. Depolama hesabınız için özel bir uç nokta oluşturduğunuzda, sanal ağınızdaki istemciler ile depolama alanınız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile depolama hizmeti arasındaki bağlantı güvenli bir özel bağlantı kullanır.
VNet'teki uygulamalar, aksi takdirde kullanacakları aynı bağlantı dizesi ve yetkilendirme mekanizmalarını kullanarak özel uç nokta üzerinden depolama hizmetine sorunsuz bir şekilde bağlanabilir. Özel uç noktalar, REST ve SMB dahil olmak üzere depolama hesabı tarafından desteklenen tüm protokollerle kullanılabilir.
Özel uç noktalar, Hizmet Uç Noktalarını kullanan alt ağlarda oluşturulabilir. Bu nedenle alt ağdaki istemciler özel uç nokta kullanarak bir depolama hesabına bağlanabilir ve diğer kullanıcılara erişmek için hizmet uç noktalarını kullanabilir.
Sanal ağınızda depolama hizmeti için bir özel uç nokta oluşturduğunuzda depolama hesabı sahibine onaylaması için bir onay isteği gönderilir. Özel uç noktanın oluşturulmasını isteyen kullanıcı aynı zamanda depolama hesabının da sahibiyse, bu onay isteği otomatik olarak onaylanır.
Depolama hesabı sahipleri, Azure portalındaki depolama hesabının 'Özel uç noktalar' sekmesinden onay isteklerini ve özel uç noktaları yönetebilir.
İpucu
Depolama hesabınıza erişimi yalnızca özel uç nokta üzerinden kısıtlamak istiyorsanız, depolama güvenlik duvarını genel uç nokta üzerinden erişimi reddedecek veya denetleyecek şekilde yapılandırın.
Depolama güvenlik duvarını varsayılan olarak genel uç nokta üzerinden erişimi reddedecek şekilde yapılandırarak depolama hesabınızın yalnızca sanal ağınızdaki bağlantıları kabul edecek şekilde güvenliğini sağlayabilirsiniz. Depolama güvenlik duvarı yalnızca genel uç nokta üzerinden erişimi denetlediğinden, özel uç noktası olan bir sanal ağdan gelen trafiğe izin vermek için güvenlik duvarı kuralına ihtiyacınız yoktur. Özel uç noktalar bunun yerine alt ağlara depolama hizmetine erişim izni vermek için onay akışını temel alır.
Not
Blobları depolama hesapları arasında kopyalarken istemcinizin her iki hesap için de ağ erişimi olmalıdır. Bu nedenle, yalnızca bir hesap (kaynak veya hedef) için özel bir bağlantı kullanmayı seçerseniz, istemcinizin diğer hesaba ağ erişimi olduğundan emin olun. Ağ erişimini yapılandırmanın diğer yolları hakkında bilgi edinmek için bkz . Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
Özel uç nokta oluşturma
Azure Portal'ı kullanarak özel uç nokta oluşturmak için bkz . Azure portalındaki Depolama Hesabı deneyiminden bir depolama hesabına özel olarak bağlanma.
PowerShell veya Azure CLI kullanarak özel uç nokta oluşturmak için bu makalelerden birini inceleyin. Her ikisi de hedef hizmet olarak bir Azure web uygulaması içerir, ancak özel bağlantı oluşturma adımları Azure Depolama hesabı için aynıdır.
Özel uç nokta oluşturduğunuzda, depolama hesabını ve bağlandığı depolama hizmetini belirtmeniz gerekir.
Erişmeniz gereken her depolama kaynağı için bloblar, Data Lake Storage, Dosyalar, Kuyruklar, Tablolar veya Statik Web Siteleri gibi ayrı bir özel uç nokta gerekir. Özel uç noktada, bu depolama hizmetleri ilişkili depolama hesabının hedef alt kaynağı olarak tanımlanır.
Data Lake Storage depolama kaynağı için özel bir uç nokta oluşturursanız, Blob Depolama kaynağı için de bir uç nokta oluşturmanız gerekir. Bunun nedeni Data Lake Storage uç noktasını hedefleyen işlemlerin Blob uç noktasına yönlendirilmesidir. Benzer şekilde, Data Lake Storage için değil yalnızca Blob Depolama için özel bir uç nokta eklerseniz, API'ler DFS özel uç noktası gerektirdiğinden bazı işlemler (ACL'yi Yönet, Dizin Oluştur, Dizini Sil vb.) başarısız olur. Her iki kaynak için de özel uç nokta oluşturarak tüm işlemlerin başarıyla tamamlanmasını sağlarsınız.
İpucu
RA-GRS hesaplarında daha iyi okuma performansı için depolama hizmetinin ikincil örneği için ayrı bir özel uç nokta oluşturun. Genel amaçlı v2 (Standart veya Premium) bir depolama hesabı oluşturduğunuzdan emin olun.
Coğrafi olarak yedekli depolama için yapılandırılmış bir depolama hesabıyla ikincil bölgeye okuma erişimi için, hizmetin hem birincil hem de ikincil örnekleri için ayrı özel uç noktalara ihtiyacınız vardır. Yük devretme için ikincil örnek için özel bir uç nokta oluşturmanız gerekmez. Özel uç nokta yük devretmeden sonra yeni birincil örneğe otomatik olarak bağlanır. Depolama yedekliliği seçenekleri hakkında daha fazla bilgi için bkz . Azure Depolama yedekliliği.
Özel uç noktaya bağlanma
Özel uç noktayı kullanan bir sanal ağ üzerindeki istemciler, depolama hesabı için ortak uç noktaya bağlanan istemciler ile aynı bağlantı dizesi kullanmalıdır. Bağlantıları sanal ağdan depolama hesabına özel bir bağlantı üzerinden otomatik olarak yönlendirmek için DNS çözümlemesine güveniriz.
Önemli
Depolama hesabına bağlanmak için, aksi takdirde kullandığınız özel uç noktaları kullanarak aynı bağlantı dizesi kullanın. Lütfen alt etki alanı URL'sini privatelink kullanarak depolama hesabına bağlanmayın.
Varsayılan olarak, özel uç noktalar için gerekli güncelleştirmelerle sanal ağa bağlı bir özel DNS bölgesi oluştururuz. Ancak, kendi DNS sunucunuzu kullanıyorsanız, DNS yapılandırmanızda ek değişiklikler yapmanız gerekebilir. Aşağıdaki DNS değişiklikleri bölümünde özel uç noktalar için gereken güncelleştirmeler açıklanmaktadır.
Özel uç noktalar için DNS değişiklikleri
Not
Özel uç noktalar için DNS ayarlarınızı yapılandırma hakkında ayrıntılı bilgi için bkz . Azure Özel Uç Nokta DNS yapılandırması.
Özel uç nokta oluşturduğunuzda, depolama hesabının DNS CNAME kaynak kaydı, ön ekine privatelinksahip bir alt etki alanında bir diğer ad olarak güncelleştirilir. Varsayılan olarak, özel uç noktaların privatelink DNS A kaynak kayıtlarıyla alt etki alanına karşılık gelen özel bir DNS bölgesi de oluştururuz.
Özel uç nokta ile sanal ağın dışından depolama uç noktası URL'sini çözümlediğinizde, depolama hizmetinin genel uç noktasına çözümür. Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, depolama uç noktası URL'si özel uç noktanın IP adresine çözümlenir.
Yukarıdaki örnek için, özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde 'StorageAccountA' depolama hesabının DNS kaynak kayıtları şöyle olacaktır:
| Adı | Tür | Değer |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <depolama hizmeti genel uç noktası> |
| <depolama hizmeti genel uç noktası> | A | <depolama hizmeti genel IP adresi> |
Daha önce belirtildiği gibi, depolama güvenlik duvarını kullanarak genel uç nokta üzerinden sanal ağ dışındaki istemcilere erişimi reddedebilir veya denetleyebilirsiniz.
StorageAccountA için DNS kaynak kayıtları, özel uç noktayı barındıran VNet'teki bir istemci tarafından çözümlendiğinde şu şekilde olur:
| Adı | Tür | Değer |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Bu yaklaşım, özel uç noktaları barındıran sanal ağ üzerindeki istemciler ve sanal ağ dışındaki istemciler için aynı bağlantı dizesi kullanarak depolama hesabına erişim sağlar.
Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemcilerin depolama hesabı uç noktası için FQDN'yi özel uç nokta IP adresine çözümleyebilmesi gerekir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağın özel DNS bölgesine temsilci olarak atayacak şekilde yapılandırmanız veya A kayıtlarını StorageAccountA.privatelink.blob.core.windows.net özel uç nokta IP adresiyle yapılandırmanız gerekir.
İpucu
Özel veya şirket içi DNS sunucusu kullanırken, DNS sunucunuzu alt etki alanında yer alan privatelink depolama hesabı adını özel uç nokta IP adresine çözümleyebilmek için yapılandırmanız gerekir. Bunu yapmak için alt etki alanını sanal ağın privatelink özel DNS bölgesine yetki vererek veya DNS sunucunuzda DNS bölgesini yapılandırıp DNS A kayıtlarını ekleyerek yapabilirsiniz.
Depolama hizmetleri için özel uç noktalar için önerilen DNS bölgesi adları ve ilişkili uç nokta hedef alt kaynakları şunlardır:
| Depolama birimi hizmeti | Target sub-resource | Bölge adı |
|---|---|---|
| Blob hizmeti | blob | privatelink.blob.core.windows.net |
| Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
| Dosya hizmeti | dosyası | privatelink.file.core.windows.net |
| Kuyruk hizmeti | kuyruk | privatelink.queue.core.windows.net |
| Tablo hizmeti | table | privatelink.table.core.windows.net |
| Statik Web Siteleri | web | privatelink.web.core.windows.net |
Kendi DNS sunucunuzu özel uç noktaları destekleyecek şekilde yapılandırma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Fiyatlandırma
Fiyatlandırma ayrıntıları için bkz. Azure Özel Bağlantı fiyatlandırma.
Bilinen Sorunlar
Azure Depolama için özel uç noktalar hakkında aşağıdaki bilinen sorunları göz önünde bulundurun.
Özel uç noktaları olan sanal ağlardaki istemciler için depolama erişim kısıtlamaları
Mevcut özel uç noktaları olan sanal ağlardaki istemciler, özel uç noktaları olan diğer depolama hesaplarına erişirken kısıtlamalarla karşılaşır. Örneğin, bir VNet N1'de Blob depolama için A1 depolama hesabı için özel uç nokta olduğunu varsayalım. A2 depolama hesabının Blob depolama için bir VNet N2'de özel uç noktası varsa, VNet N1'deki istemcilerin özel uç nokta kullanarak A2 hesabındaki Blob depolamaya da erişmesi gerekir. A2 depolama hesabının Blob depolama için özel uç noktası yoksa, VNet N1'deki istemciler özel uç nokta olmadan bu hesaptaki Blob depolamaya erişebilir.
Bu kısıtlama, A2 hesabı özel bir uç nokta oluşturduğunda yapılan DNS değişikliklerinin bir sonucudur.
Blobları depolama hesapları arasında kopyalama
Blobları depolama hesapları arasında yalnızca Azure REST API'sini veya REST API kullanan araçları kullanıyorsanız özel uç noktaları kullanarak kopyalayabilirsiniz. Bu araçlar azCopy, Depolama Gezgini, Azure PowerShell, Azure CLI ve Azure Blob Depolama SDK'larıdır.
Yalnızca veya file depolama kaynak uç noktasını hedefleyen blob özel uç noktalar desteklenir. Bu, kaynak uç noktasına açıkça veya örtük olarak başvurulan Data Lake Storage hesaplarına blob yönelik REST API çağrılarını içerir. Data Lake Storage dfs kaynak uç noktasını hedefleyen özel uç noktalar henüz desteklenmiyor. Ağ Dosya Sistemi (NFS) protokolü kullanılarak depolama hesapları arasında kopyalama işlemi henüz desteklenmiyor.