你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置对 Azure 弹性 SAN 的网络访问权限

你可以控制对 Azure 弹性存储区域网络 (SAN) 卷的访问权限。 控制访问权限可以保护数据并满足应用程序和企业环境的需求。

本文说明如何配置弹性 SAN 以允许从 Azure 虚拟网络基础结构进行访问。

要配置对弹性 SAN 的网络访问：

• 配置公用网络访问
• 配置虚拟网络终结点。
• 配置客户端连接。

先决条件

• 如果使用 Azure PowerShell，请安装最新的 Azure PowerShell 模块。
• 如果使用 Azure CLI，请安装最新版本。
• 安装最新版本后，运行 az extension add -n elastic-san 以安装弹性 SAN 的扩展。 无需执行额外的注册步骤。

限制

以下列表包含目前提供弹性 SAN 的区域，展示了哪些区域同时支持区域冗余存储 (ZRS) 和本地冗余存储 (LRS)，或仅支持 LRS：

• 南非北部 - LRS
• 东亚 - LRS
• 东南亚 - LRS
• 巴西南部 - LRS
• 加拿大中部 - LRS
• 法国中部 - LRS 和 ZRS
• 德国中西部 - LRS
• 澳大利亚东部 - LRS
• 北欧 - LRS 和 ZRS
• 西欧 - LRS 和 ZRS
• 英国南部 - LRS
• 日本东部 - LRS
• 韩国中部 - LRS
• 美国中部
• 美国东部 - LRS
• 美国中南部 - LRS
• 美国东部 2 - LRS
• 美国西部 2 - LRS 和 ZRS
• 美国西部 3 - LRS
• 瑞典中部 - LRS
• 瑞士北部 - LRS

配置公用网络访问

可以在 SAN 级别启用对弹性 SAN 终结点的公共 Internet 访问。 为弹性 SAN 启用公用网络访问后，可以配置通过存储服务终结点对各个卷组的公共访问。 默认情况下，即使在 SAN 级别允许对各个卷组进行访问，也会拒绝公共访问。 必须显式配置卷组以允许来自特定 IP 地址范围和虚拟网络子网的访问。

可以在创建弹性 SAN 时启用公用网络访问，也可以使用 Azure PowerShell 模块或 Azure CLI 为现有 SAN 启用公用网络访问。

Portal

使用 Azure PowerShell 模块或 Azure CLI 启用公共网络访问。

PowerShell

使用此示例代码通过 PowerShell 创建允许公用网络访问的弹性 SAN。 在运行示例之前，请替换变量值。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

在 PowerShell 中使用此示例代码更新弹性 SAN，以启用公用网络访问。 请将 RgName 和 EsanName 的值替换为你自己的值，然后运行示例：

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Azure CLI

使用此示例代码通过 Azure CLI 创建允许公用网络访问的弹性 SAN。 在运行示例之前，请替换变量值。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

在 Azure CLI 中使用此示例代码更新弹性 SAN，以启用公用网络访问。 请将 RgName 和 EsanName 的值替换为你自己的值：

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

配置虚拟网络终结点

可以将弹性 SAN 卷组配置为仅允许从特定虚拟网络子网上的终结点进行访问。 允许的子网可能属于同一订阅中的虚拟网络，或者属于其他订阅中的虚拟网络，包括属于不同 Microsoft Entra 租户的订阅。

可以允许从两种类型的 Azure 虚拟网络终结点访问弹性 SAN 卷组：

• 专用终结点
• 存储服务终结点

专用终结点使用虚拟网络子网中的一个或多个专用 IP 地址通过 Microsoft 主干网络访问弹性 SAN 卷组。 使用专用终结点时，虚拟网络与卷组之间的流量会通过专用链接受到保护。

虚拟网络服务终结点是公共的，可通过 Internet 访问。 在使用存储服务终结点时，可以配置虚拟网络规则来控制对卷组的访问。

网络规则仅适用于卷组的公共终结点，而不适用于专用终结点。 通过批准专用终结点的创建，可授予对来自托管该专用终结点的子网的流量的隐式访问权限。 如果要优化访问规则，可以使用网络策略来通过专用终结点控制流量。 如果要以独占方式使用专用终结点，请不要为卷组启用服务终结点。

要决定哪种类型的终结点最适合，请参阅比较专用终结点和服务终结点。

为卷组配置网络访问后，配置将由属于组的所有卷继承。

启用每种类型的终结点的过程如下：

• 配置专用终结点
• 配置 Azure 存储服务终结点

配置专用终结点。

重要

• 对于使用本地冗余存储 (LRS) 作为其冗余选项的弹性 SAN，在所有弹性 SAN 可用的区域中都支持专用终结点。 目前，使用区域冗余存储 (ZRS) 作为冗余选项的弹性 SAN 不支持专用终结点。

配置专用终结点连接涉及两个步骤：

• 创建终结点和关联连接。
• 批准连接。

还可以使用网络策略来优化对专用终结点的访问控制。

要为弹性 SAN 卷组创建专用终结点，必须具有弹性 SAN 卷组所有者角色。 要批准新的专用终结点连接，必须对 Azure 资源提供程序操作Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action具有权限。 此操作的权限包含在弹性 SAN 网络管理员角色中，但也可以通过自定义 Azure 角色授予。

如果从具有创建和批准所需的所有必要角色和权限的用户帐户创建终结点，则过程可以在一个步骤中完成。 如果没有，则需要由两个不同的用户执行两个单独步骤。

弹性 SAN 和虚拟网络可能位于不同的资源组、区域和订阅中，包括属于不同 Microsoft Entra 租户的订阅。 在这些示例中，在与虚拟网络相同的资源组中创建专用终结点。

Portal

目前，只能使用 PowerShell 或 Azure CLI 配置专用终结点。

PowerShell

使用 PowerShell 为弹性 SAN 卷组部署专用终结点涉及以下步骤：

1. 从要连接的应用程序获取子网。
2. 获取弹性 SAN 卷组。
3. 使用卷组作为输入，创建专用链接服务连接。
4. 使用子网和专用链接服务连接作为输入，创建专用终结点。
5. （可选）如果使用两步流程（创建，然后批准）：弹性 SAN 网络管理员批准连接。

使用此示例代码可以使用 PowerShell 为弹性 SAN 卷组创建专用终结点。 将 RgName、VnetName、SubnetName、EsanName、EsanVgName、PLSvcConnectionName、EndpointName 和 Location 的值替换为你自己的值：

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

如果使用两步流程，请使用此示例代码批准专用链接服务连接。 使用上一个代码示例中的相同变量：

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Azure CLI

使用 Azure CLI 为弹性 SAN 卷组部署专用终结点包括三个步骤：

1. 获取弹性 SAN 的专用连接资源 ID。
2. 使用输入创建专用终结点：
   1. 专用连接资源 ID
   2. 卷组名称
   3. 资源组名称
   4. 子网名称
   5. 虚拟网络名称
3. （可选）如果使用两步流程（创建，然后批准）：弹性 SAN 网络管理员批准连接。

使用此示例代码可以使用 Azure CLI 为弹性 SAN 卷组创建专用终结点。 如果使用两步过程，则取消注释 --manual-request 参数。 将所有示例变量值替换为你自己的值：

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

如果使用两步流程，请使用此示例代码批准专用链接服务连接。 使用上一个代码示例中的相同变量：

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

配置 Azure 存储服务终结点

要从需要访问权限的虚拟网络配置 Azure 存储服务终结点，必须通过自定义 Azure 角色有权访问 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure 资源提供程序操作才能配置服务终结点。

虚拟网络服务终结点是公共的，可通过 Internet 访问。 在使用存储服务终结点时，可以配置虚拟网络规则来控制对卷组的访问。

注意

当前仅通过 PowerShell、CLI 和 REST API 来支持配置为其他 Microsoft Entra 租户的虚拟网络中的子网授予访问权限的规则。 这些规则无法通过 Azure 门户配置，但可以在门户中查看。

Portal

1. 导航到虚拟网络，然后选择“服务终结点”。

2. 选择“+ 添加”。

3. 在添加服务终结点屏幕上：

   1. 针对“服务”选择“Microsoft.Storage.Global”以添加跨区域服务终结点。

   注意

   可能会看到 Microsoft.Storage 被列为可用的存储服务终结点。 该选项适用于仅为后向兼容性存在的区域内终结点。 除非具有使用区域内终结点的特定原因，否则请始终使用跨区域终结点。

4. 对于“子网”，请选择要允许访问的所有子网。

5. 选择添加。

PowerShell

使用此示例代码可以使用 PowerShell 为弹性 SAN 卷组创建存储服务终结点。

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Azure CLI

使用此示例代码可以使用 Azure CLI 为弹性 SAN 卷组创建存储服务终结点。

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

配置虚拟网络规则

默认情况下，会阻止通过服务终结点传入的所有数据请求。 只有从网络规则中配置的允许源请求数据的应用程序能够访问数据。

可通过 Azure 门户、PowerShell 或 CLI 管理卷组的虚拟网络规则。

重要

若要启用从其他 Microsoft Entra 租户中的虚拟网络/子网访问存储帐户，必须使用 PowerShell 或 Azure CLI。 Azure 门户不显示其他 Microsoft Entra 租户中的子网。

如果删除网络规则中包含的子网，系统将从卷组的网络规则中删除该子网。 如果使用同一名称创建新子网，其将无法访问卷组。 要允许访问，必须在卷组的网络规则中明确授权新子网。

Portal

1. 导航到 SAN 并选择“卷组”。
2. 选择卷组，然后选择“创建”。
3. 添加现有虚拟网络和子网，然后选择“保存”。

PowerShell

• 安装 Azure PowerShell 并 登录。

• 列出虚拟网络规则。

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• 在现有虚拟网络和子网上启用 Azure 存储的服务终结点。

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• 为虚拟网络和子网添加网络规则。

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $sanName -VolumeGroupName $volGroupName -NetworkAclsVirtualNetworkRule $rule
  

  提示

  若要为属于另一个 Microsoft Entra 租户的虚拟网络中的子网添加网络规则，请使用完全限定的“VirtualNetworkResourceId”参数，并采用“/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name”格式。

• 删除虚拟网络规则。

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Azure CLI

• 安装 Azure CLI 并 登录。

• 列出特定卷组中的信息，包括其虚拟网络规则。

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• 在现有虚拟网络和子网上启用 Azure 存储的服务终结点。

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• 为虚拟网络和子网添加网络规则。

  提示

  若要为属于另一个 Microsoft Entra 租户的虚拟网络中的子网添加规则，请使用完全限定的子网 ID，格式为 /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>。

  可以使用“subscription”参数检索属于另一个 Microsoft Entra 租户的虚拟网络的子网 ID。

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• 删除网络规则。 可使用以下命令删除第一条网络规则，对其进行修改以删除所需的网络规则。

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

配置客户端连接

在网络规则中启用所需终结点并授予访问权限后，就可以配置客户端以连接到适当的弹性 SAN 卷。

注意

如果虚拟机 (VM) 与弹性 SAN 卷之间的连接丢失，连接将重试 90 秒，直到终止。 失去与弹性 SAN 卷的连接不会导致 VM 重启。

后续步骤

• 将 Azure 弹性 SAN 卷连接到 Azure Kubernetes 服务群集
• 连接到弹性 SAN 卷 - Linux
• 连接到弹性 SAN 卷 - Windows