你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解弹性 SAN 的网络配置
借助 Azure 弹性存储区域网络 (SAN),可以保护和控制应用程序和企业环境所需的对弹性 SAN 卷的访问级别。 本文介绍允许用户和应用程序从 Azure 虚拟网络基础结构访问弹性 SAN 卷的选项。
可以将弹性 SAN 卷组配置为仅允许通过特定虚拟网络子网上的特定终结点进行访问。 允许的子网可以属于同一订阅中的虚拟网络,或者属于其他订阅中的虚拟网络,包括属于不同 Microsoft Entra 租户的订阅。 为卷组配置网络访问后,配置将由属于组的所有卷继承。
对等互连虚拟网络或本地网络上的应用程序也可以访问组中的卷,具体视配置而定。 本地网络必须通过 VPN 或 ExpressRoute 连接到虚拟网络。 有关虚拟网络配置的更多信息,请参阅 Azure 虚拟网络基础结构。
有两种类型的虚拟网络终结点可以配置为允许访问弹性 SAN 卷组:
要决定哪种选项最适合,请参阅比较专用终结点和服务终结点。 通常,应该使用专用终结点而非服务终结点,因为专用链接提供更好的功能。 有关详细信息,请参阅 Azure 专用链接。
配置终结点后,可以配置网络规则以进一步控制对弹性 SAN 卷组的访问。 配置了终结点和网络规则后,客户端就可以连接到组中的卷来处理其工作负载。
公用网络访问
可以在 SAN 级别启用或禁用对弹性 SAN 终结点的公共 Internet 访问。 为弹性 SAN 启用公用网络访问后,可以配置通过存储服务终结点对该 SAN 中各个卷组的公共访问。 默认情况下,即使在 SAN 级别允许对各个卷组进行访问,也会拒绝公共访问。 如果在 SAN 级别禁用公共访问,则仅可通过专用终结点访问该 SAN 中的卷组。
数据完整性
数据完整性对于防止云存储中的数据损坏非常重要。 TCP 通过其校验和机制提供了基础级别的数据完整性,可以通过 iSCSI 得到增强,并使用循环冗余校验 (CRC)(特别是 CRC-32C)实现更强大的错误检测。 CRC-32C 可用于为 iSCSI 标头和数据有效负载添加校验和验证。
在客户端启用与弹性 SAN 卷的连接时,弹性 SAN 支持 CRC-32C 校验和验证。 弹性 SAN 支持通过可在卷组级别设置的属性来强制执行此错误检测,该属性可由该卷组内的任何卷继承。 在卷组上启用此属性时,如果这些连接的标头或数据摘要未设置 CRC-32C,则弹性 SAN 将拒绝与卷组中任何卷的所有客户端连接。 禁用此属性时,弹性 SAN 卷校验和验证取决于客户端上的标头或数据摘要是否设置了 CRC-32C,但弹性 SAN 不会拒绝任何连接。 若要了解如何启用 CRC 保护,请参阅“配置网络”。
注意
某些操作系统可能不支持 iSCSI 标头或数据摘要。 Fedora 及其下游 Linux 发行版(如 Red Hat Enterprise Linux、CentOS、Rocky Linux 等)不支持数据摘要。 如果客户端使用不支持 iSCSI 标头或数据摘要的操作系统,请不要在卷组上启用 CRC 保护,因为与卷的连接将失败。
存储服务终结点
Azure 虚拟网络服务终结点使用 Azure 主干网络上的优化路由提供与 Azure 服务的安全与直接连接。 提供方终结点允许保护重要 Azure 服务资源,以便只有特定虚拟网络才能访问它们。
Azure 存储的跨区域服务终结点在任何区域的虚拟网络和存储服务实例之间工作。 使用跨区域服务终结点时,子网不再使用公共 IP 地址与任何存储帐户(包括其他区域中的存储帐户)通信。 相反,从子网到存储帐户的所有流量都使用专用 IP 地址作为源 IP。
提示
标识为 Microsoft.Storage 的原始本地服务终结点仍然支持后向兼容性,但应该为新部署创建标识为 Microsoft.Storage.Global 的跨区域终结点。
跨区域服务终结点和本地服务终结点不能共存于同一个子网上。 若要使用跨区域服务终结点,可能必须删除现有 Microsoft.Storage 终结点,然后将其重新创建为 Microsoft.Storage.Global。
专用终结点
Azure 专用链接可以通过虚拟网络子网的专用终结点安全地访问弹性 SAN 卷组。 虚拟网络和服务之间的流量通过 Microsoft 主干网络,消除了将服务暴露在公共互联网上的风险。 弹性 SAN 专用终结点使用每个卷组的子网地址空间中的一组 IP 地址。 每个终结点使用的最大数量为 20。
与服务终结点相比,专用终结点有几个优势。 有关专用终结点与服务终结点的完整比较,请参阅比较专用终结点和服务终结点。
限制
目前,使用区域冗余存储 (ZRS) 的弹性 SAN 不支持专用终结点。
工作原理
虚拟网络和弹性 SAN 之间的流量通过 Azure 主干网络上的最佳路径进行路由。 与服务终结点不同,不需要配置网络规则以允许来自专用终结点的流量,因为存储防火墙只控制通过公共终结点的访问。
有关如何配置专用终结点的详细信息,请参阅启用专用终结点。
虚拟网络规则
要进一步保护对弹性 SAN 卷的访问,可以为配置了服务终结点的卷组创建虚拟网络规则,以允许从特定子网进行访问。 不需要网络规则来允许以自专用终结点的流量,因为存储防火墙只控制通过公共终结点的访问。
每个卷组最多支持 200 个虚拟网络规则。 如果删除网络规则中包含的子网,系统会从卷组的网络规则中删除该子网。 如果使用同一名称创建新子网,其将无法访问卷组。 要允许访问,必须在卷组的网络规则中明确授权新子网。
通过这些网络规则获授访问权限的客户端还必须获授弹性 SAN 到卷组的适当权限。
要了解如何定义网络规则,请参阅管理虚拟网络规则。
客户端连接
启用所需的终结点并在网络规则中授予访问权限后,可以使用 iSCSI 协议连接到相应的弹性 SAN 卷。 若要了解如何配置客户端连接,请参阅有关如何连接到 Linux、Windows 或 Azure Kubernetes 服务群集的文章。
iSCSI 会话可以在一天中定期断开连接和重新连接。 这些断开连接和重新连接是定期维护的一部分或网络波动的结果。 你不应因这些断开连接和重新连接的情况而遇到任何性能降低的问题,并且连接应自行重新建立。 如果连接无法自行重新建立,或者你遇到性能降低的情况,请提交支持票证。
注意
如果虚拟机 (VM) 与弹性 SAN 卷之间的连接丢失,连接将重试 90 秒,直到终止。 失去与弹性 SAN 卷的连接不会导致 VM 重启。