Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Storage hesaplarınızda private uç noktalarını kullanarak bir Azure Virtual Network üzerindeki istemcilerin Private Link üzerinden verilere güvenli bir şekilde erişmesine olanak sağlayabilirsiniz. Özel uç nokta, her depolama hesabı hizmeti için sanal ağ adres alanından ayrı bir IP adresi kullanır. Sanal ağdaki istemciler ile depolama hesabı arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki özel bir bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır.
Uyarı
Özel uç noktalar genel amaçlı v1 depolama hesapları için kullanılamaz.
Depolama hesabınız için özel uç noktaları kullanmak şunları sağlar:
- Özel bağlantı kullanarak depolama hesabınızın güvenliğini sağlayın. Depolama güvenlik duvarını, depolama hizmetinin genel uç noktasındaki bağlantıları engelleyecek şekilde el ile yapılandırabilirsiniz. Özel bağlantı oluşturmak, genel uç nokta üzerindeki bağlantıları otomatik olarak engellemez.
- Sanal ağdan veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırın.
- Özel eşleme ile VPN veya ExpressRoutes kullanarak sanal ağa bağlanan şirket içi ağlardan depolama hesaplarına güvenli bir şekilde bağlanın.
Kavramsal genel bakış
Özel uç nokta, Virtual Network Azure hizmeti için özel bir ağ arabirimidir. Depolama hesabınız için özel bir uç nokta oluşturduğunuzda, sanal ağınızdaki istemciler ile depolama alanınız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile depolama hizmeti arasındaki bağlantı güvenli bir özel bağlantı kullanır.
Sanal ağdaki uygulamalar, aksi takdirde kullanacakları bağlantı dizelerini ve yetkilendirme mekanizmalarını kullanarak özel uç nokta üzerinden depolama hizmetine sorunsuz bir şekilde bağlanabilir. Özel uç noktalar, REST ve SMB dahil olmak üzere depolama hesabı tarafından desteklenen tüm protokollerle kullanılabilir.
Özel uç noktalar, Hizmet Uç Noktaları kullanan alt ağlarda oluşturulabilir. Bu nedenle alt ağdaki istemciler özel uç nokta kullanarak bir depolama hesabına bağlanabilir ve diğer kullanıcılara erişmek için hizmet uç noktalarını kullanabilir.
Sanal ağınızdaki bir depolama hizmeti için özel uç nokta oluşturduğunuzda, depolama hesabı sahibine onay için bir onay isteği gönderilir. Özel uç noktanın oluşturulmasını isteyen kullanıcı aynı zamanda depolama hesabının da sahibiyse, bu onay isteği otomatik olarak onaylanır.
Depolama hesabı sahipleri, Azure portalında depolama hesabının 'Private uç noktaları' sekmesinden onay isteklerini ve özel uç noktaları yönetebilir.
Tavsiye
Depolama hesabınıza erişimi yalnızca özel uç nokta üzerinden kısıtlamak istiyorsanız, depolama güvenlik duvarını genel uç nokta üzerinden erişimi reddedecek veya denetleyecek şekilde yapılandırın.
Depolama güvenlik duvarını varsayılan olarak genel uç nokta üzerinden erişimi reddedecek şekilde yapılandırarak depolama hesabınızın yalnızca sanal ağınızdaki bağlantıları kabul edecek şekilde güvenliğini sağlayabilirsiniz. Depolama güvenlik duvarı yalnızca genel uç nokta üzerinden erişimi denetlediğinden, özel uç noktası olan bir sanal ağdan gelen trafiğe izin vermek için güvenlik duvarı kuralına ihtiyacınız yoktur. Özel uç noktalar bunun yerine alt ağlara depolama hizmetine erişim izni vermek için onay akışını temel alır.
Ayrıca, özel bir uç nokta yapılandırıldığında, depolama hesabında genel ağ erişimi devre dışı bırakıldığında bile ilişkili sanal ağdan gelen trafiğe her zaman izin verilir.
Uyarı
Blobları depolama hesapları arasında kopyalarken istemcinizin her iki hesap için de ağ erişimi olmalıdır. Bu nedenle, yalnızca bir hesap (kaynak veya hedef) için özel bir bağlantı kullanmayı seçerseniz, istemcinizin diğer hesaba ağ erişimi olduğundan emin olun. Ağ erişimini yapılandırmanın diğer yolları hakkında bilgi edinmek için bkz. Azure Storage güvenlik duvarlarını ve sanal ağları yapılandırma.
Özel uç nokta oluşturma
Azure portalını kullanarak özel uç nokta oluşturmak için bkz. Azure portalındaki Depolama Hesabı deneyiminden depolama hesabına özel olarak bağlanma.
PowerShell veya Azure CLI kullanarak özel uç nokta oluşturmak için bu makalelerden herhangi birini inceleyin. Her ikisi de hedef hizmet olarak bir Azure web uygulaması içerir, ancak özel bağlantı oluşturma adımları Azure Storage hesabı için aynıdır.
Azure CLI Azure PowerShell
Özel uç nokta oluşturduğunuzda, depolama hesabını ve bağlandığı depolama hizmetini belirtmeniz gerekir.
Erişmeniz gereken her depolama kaynağı için Blobs, Data Lake Storage gibi ayrı bir özel uç nokta gerekir. Files, Queues, Tables veya Static Websites. Özel uç noktada, bu depolama hizmetleri ilişkili depolama hesabının hedef alt kaynağı olarak tanımlanır.
Data Lake Storage depolama kaynağı için özel bir uç nokta oluşturursanız, Blob Storage kaynağı için de bir uç nokta oluşturmanız gerekir. Bunun nedeni, Data Lake Storage uç noktasını hedefleyen işlemlerin Blob uç noktasına yönlendirilebileceğidir. Benzer şekilde, Data Lake Storage için değil yalnızca Blob Storage için özel uç nokta eklerseniz, API'ler dfs özel uç noktası gerektirdiğinden bazı işlemler (ACL'yi Yönet, Dizin Oluştur, Dizini Sil vb.) başarısız olur. Her iki kaynak için de özel uç nokta oluşturarak tüm işlemlerin başarıyla tamamlanmasını sağlarsınız.
Tavsiye
RA-GRS hesaplarında daha iyi okuma performansı için depolama hizmetinin ikincil örneği için ayrı bir özel uç nokta oluşturun. Genel amaçlı v2 (Standart veya Premium) bir depolama hesabı oluşturduğunuzdan emin olun.
Coğrafi olarak yedekli depolama için yapılandırılmış bir depolama hesabıyla ikincil bölgeye okuma erişimi için, hizmetin hem birincil hem de ikincil örnekleri için ayrı özel uç noktalara ihtiyacınız vardır. İkincil örnek için yük devretme amacıyla özel bir uç nokta oluşturmanıza gerek yok. Özel uç nokta yük devretmeden sonra yeni birincil örneğe otomatik olarak bağlanır. Depolama yedekliliği seçenekleri hakkında daha fazla bilgi için bkz. Azure Storage yedeklilik.
Özel uç noktaya bağlanma
Özel uç noktayı kullanan bir sanal ağdaki istemciler, depolama hesabı için ortak uç noktaya bağlanan istemciler ile aynı connection string kullanmalıdır. Bağlantıları sanal ağdan depolama hesabına özel bir bağlantı üzerinden otomatik olarak yönlendirmek için DNS çözümlemesine güveniriz.
Önemli
Depolama hesabına bağlanmak için kullandığınız bağlantı dizesinin aynısını, özel uç noktalarını kullanırken de kullanın. Alt etki alanı URL'sini privatelink kullanarak depolama hesabına bağlanmayın.
Varsayılan olarak, özel uç noktalar için gerekli güncelleştirmelerle sanal ağa bağlı bir özel DNS bölgesi oluştururuz. Ancak, kendi DNS sunucunuzu kullanıyorsanız, DNS yapılandırmanızda ek değişiklikler yapmanız gerekebilir. Aşağıdaki DNS değişiklikleri bölümü, özel uç noktalar için gereken güncellemeleri açıklar.
Özel uç noktalar için DNS değişiklikleri
Uyarı
Özel uç noktalar için DNS ayarlarınızı yapılandırma hakkında ayrıntılı bilgi için bkz. Azure Özel Uç Nokta DNS yapılandırması.
Özel uç nokta oluşturduğunuzda, depolama hesabının DNS CNAME kaynak kaydı, ön ekine privatelinksahip bir alt etki alanında bir diğer ad olarak güncelleştirilir. Varsayılan olarak, özel uç noktalar için DNS A kaynak kayıtlarına sahip alt etki alanına karşılık gelen bir privatelink de oluşturuyoruz.
Özel uç nokta ile sanal ağın dışından depolama uç noktası URL'sini çözümlediğinizde, depolama hizmetinin genel uç noktasına çözümür. Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, depolama uç noktası URL'si özel uç noktanın IP adresine çözümlenir.
Yukarıdaki örnek için, özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde 'StorageAccountA' depolama hesabının DNS kaynak kayıtları şöyle olacaktır:
| İsim | Türü | Değer |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <depolama hizmeti genel uç noktası> |
| <depolama hizmeti genel uç noktası> | A | <depolama hizmeti genel IP adresi> |
Daha önce belirtildiği gibi, depolama güvenlik duvarını kullanarak genel uç nokta üzerinden sanal ağ dışındaki istemcilere erişimi reddedebilir veya denetleyebilirsiniz.
StorageAccountA için DNS kaynak kayıtları, özel uç noktayı barındıran sanal ağdaki bir istemci tarafından çözümlendiğinde şu şekilde olur:
| İsim | Türü | Değer |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Bu yaklaşım, özel uç noktaları barındıran sanal ağdaki istemciler ve sanal ağ dışındaki istemciler için aynı bağlantı dizesini
Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemcilerin depolama hesabı uç noktası için FQDN'yi özel uç nokta IP adresine çözümleyebilmesi gerekir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağa ait özel DNS bölgesine yönlendirecek şekilde ya da A kayıtlarını StorageAccountA.privatelink.blob.core.windows.net özel uç nokta IP adresiyle yapılandırmanız gerekir.
Tavsiye
Özel veya şirket içi DNS sunucusu kullanırken, DNS sunucunuzu alt etki alanında yer alan privatelink depolama hesabı adını özel uç nokta IP adresine çözümleyebilmek için yapılandırmanız gerekir. Bunu yapmak için alt etki alanını sanal ağın privatelink özel DNS bölgesine yetki vererek veya DNS sunucunuzda DNS bölgesini yapılandırarak ve DNS A kayıtlarını ekleyerek yapabilirsiniz.
Depolama hizmetleri için özel uç noktalar için önerilen DNS bölgesi adları ve ilişkili uç nokta hedef alt kaynakları şunlardır:
| Depolama birimi hizmeti | Hedef alt kaynak | Bölge adı |
|---|---|---|
| Blob hizmeti | yığın | privatelink.blob.core.windows.net |
| Veri Gölü Depolama | Dfs | privatelink.dfs.core.windows.net |
| Dosya hizmeti | dosya | privatelink.file.core.windows.net |
| Kuyruk hizmeti | sıra | privatelink.queue.core.windows.net |
| Masa servisi | tablo | privatelink.table.core.windows.net |
| Statik Web Siteleri | ağ | privatelink.web.core.windows.net |
Kendi DNS sunucunuzu özel uç noktaları destekleyecek şekilde yapılandırma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Azure sanal ağlardaki kaynaklar için Name çözümlemesi
- Özel uç noktalar için DNS yapılandırması
Fiyatlandırma
Fiyatlandırma ayrıntıları için bkz. Azure Private Link pricing.
Bilinen Sorunlar
Azure Storage için özel uç noktalar hakkında aşağıdaki bilinen sorunları göz önünde bulundurun.
Özel uç noktaları olan sanal ağlardaki istemciler için depolama erişim kısıtlamaları
Mevcut özel uç noktaları olan sanal ağlardaki istemciler, özel uç noktaları olan diğer depolama hesaplarına erişirken kısıtlamalarla karşılaşır. Örneğin, bir sanal ağ N1'de Blob depolama için A1 depolama hesabı için özel uç nokta olduğunu varsayalım. Depolama hesabı A2'nin Blob depolama için N2 sanal ağında özel uç noktası varsa, N1 sanal ağındaki istemcilerin özel uç nokta kullanarak A2 hesabındaki Blob depolamaya da erişmesi gerekir. A2 depolama hesabının Blob depolama için özel uç noktası yoksa, N1 sanal ağındaki istemciler özel uç nokta olmadan bu hesaptaki Blob depolamaya erişebilir.
Bu kısıtlama, A2 hesabı özel bir uç nokta oluşturduğunda yapılan DNS değişikliklerinin bir sonucudur.
Blobları depolama hesapları arasında kopyalama
Blobları depolama hesapları arasında yalnızca Azure REST API'sini veya REST API kullanan araçları kullanıyorsanız özel uç noktaları kullanarak kopyalayabilirsiniz. Bu araçlar AzCopy, Storage Explorer, Azure PowerShell, Azure CLI ve Azure Blob Storage SDK'larını içerir.
Yalnızca blob veya file depolama kaynak uç noktalarını hedefleyen özel uç noktalar desteklenir. Bu, blob kaynak uç noktasına açıkça veya örtük olarak başvurulan Data Lake Storage hesaplarına yönelik REST API çağrılarını içerir. Data Lake Storage dfs kaynak uç noktasını hedefleyen özel uç noktalar henüz desteklenmiyor. Ağ Dosya Sistemi (NFS) protokolü kullanılarak depolama hesapları arasında kopyalama işlemi henüz desteklenmiyor.