你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

了解弹性 SAN 的网络配置

项目
03/18/2024

借助 Azure 弹性存储区域网络 (SAN)，可以保护和控制应用程序和企业环境所需的对弹性 SAN 卷的访问级别。本文介绍允许用户和应用程序从 Azure 虚拟网络基础结构访问弹性 SAN 卷的选项。

可以将弹性 SAN 卷组配置为仅允许通过特定虚拟网络子网上的特定终结点进行访问。允许的子网可以属于同一订阅中的虚拟网络，或者属于其他订阅中的虚拟网络，包括属于不同 Microsoft Entra 租户的订阅。为卷组配置网络访问后，配置将由属于组的所有卷继承。

对等互连虚拟网络或本地网络上的应用程序也可以访问组中的卷，具体视配置而定。本地网络必须通过 VPN 或 ExpressRoute 连接到虚拟网络。有关虚拟网络配置的更多信息，请参阅 Azure 虚拟网络基础结构。

有两种类型的虚拟网络终结点可以配置为允许访问弹性 SAN 卷组：

存储服务终结点
专用终结点

要决定哪种选项最适合，请参阅比较专用终结点和服务终结点。通常，应该使用专用终结点而非服务终结点，因为专用链接提供更好的功能。有关详细信息，请参阅 Azure 专用链接。

配置终结点后，可以配置网络规则以进一步控制对弹性 SAN 卷组的访问。配置了终结点和网络规则后，客户端就可以连接到组中的卷来处理其工作负载。

公用网络访问

可以在 SAN 级别启用或禁用对弹性 SAN 终结点的公共 Internet 访问。为弹性 SAN 启用公用网络访问后，可以配置通过存储服务终结点对该 SAN 中各个卷组的公共访问。默认情况下，即使在 SAN 级别允许对各个卷组进行访问，也会拒绝公共访问。如果在 SAN 级别禁用公共访问，则仅可通过专用终结点访问该 SAN 中的卷组。

存储服务终结点

Azure 虚拟网络服务终结点使用 Azure 主干网络上的优化路由提供与 Azure 服务的安全与直接连接。提供方终结点允许保护重要 Azure 服务资源，以便只有特定虚拟网络才能访问它们。

Azure 存储的跨区域服务终结点在任何区域的虚拟网络和存储服务实例之间工作。使用跨区域服务终结点时，子网不再使用公共 IP 地址与任何存储帐户（包括其他区域中的存储帐户）通信。相反，从子网到存储帐户的所有流量都使用专用 IP 地址作为源 IP。

提示

标识为 Microsoft.Storage 的原始本地服务终结点仍然支持后向兼容性，但应该为新部署创建标识为 Microsoft.Storage.Global 的跨区域终结点。

跨区域服务终结点和本地服务终结点不能共存于同一个子网上。若要使用跨区域服务终结点，可能必须删除现有 Microsoft.Storage 终结点，然后将其重新创建为 Microsoft.Storage.Global。

专用终结点

Azure 专用链接可以通过虚拟网络子网的专用终结点安全地访问弹性 SAN 卷组。虚拟网络和服务之间的流量通过 Microsoft 主干网络，消除了将服务暴露在公共互联网上的风险。弹性 SAN 专用终结点使用每个卷组的子网地址空间中的一组 IP 地址。每个终结点使用的最大数量为 20。

与服务终结点相比，专用终结点有几个优势。有关专用终结点与服务终结点的完整比较，请参阅比较专用终结点和服务终结点。

限制

目前，使用区域冗余存储 (ZRS) 的弹性 SAN 不支持专用终结点。

工作原理

虚拟网络和弹性 SAN 之间的流量通过 Azure 主干网络上的最佳路径进行路由。与服务终结点不同，不需要配置网络规则以允许来自专用终结点的流量，因为存储防火墙只控制通过公共终结点的访问。

有关如何配置专用终结点的详细信息，请参阅启用专用终结点。

虚拟网络规则

要进一步保护对弹性 SAN 卷的访问，可以为配置了服务终结点的卷组创建虚拟网络规则，以允许从特定子网进行访问。不需要网络规则来允许以自专用终结点的流量，因为存储防火墙只控制通过公共终结点的访问。

每个卷组最多支持 200 个虚拟网络规则。如果删除网络规则中包含的子网，系统会从卷组的网络规则中删除该子网。如果使用同一名称创建新子网，其将无法访问卷组。要允许访问，必须在卷组的网络规则中明确授权新子网。

通过这些网络规则获授访问权限的客户端还必须获授弹性 SAN 到卷组的适当权限。

要了解如何定义网络规则，请参阅管理虚拟网络规则。

客户端连接

启用所需的终结点并在网络规则中授予访问权限后，可以使用 iSCSI 协议连接到相应的弹性 SAN 卷。若要了解如何配置客户端连接，请参阅有关如何连接到 Linux、Windows 或 Azure Kubernetes 服务群集的文章。

iSCSI 会话可以在一天中定期断开连接和重新连接。这些断开连接和重新连接是定期维护的一部分或网络波动的结果。你不应因这些断开连接和重新连接的情况而遇到任何性能降低的问题，并且连接应自行重新建立。如果连接无法自行重新建立，或者你遇到性能降低的情况，请提交支持票证。

注意

如果虚拟机 (VM) 与弹性 SAN 卷之间的连接丢失，连接将重试 90 秒，直到终止。失去与弹性 SAN 卷的连接不会导致 VM 重启。

后续步骤

配置弹性 SAN 网络