設定 Azure 彈性 SAN 的網路存取

您可以控制對 Azure 彈性存放區域網路 (SAN) 磁碟區的存取。 控制存取可讓您保護資料，並符合應用程式和企業環境的需求。

本文說明如何設定彈性 SAN 以允許從 Azure 虛擬網路基礎結構存取。

若要設定對彈性 SAN 的網路存取：

• 設定公用網路存取
• 設定虛擬網路端點。
• 設定用戶端連線。

必要條件

• 如果您使用 Azure PowerShell，請安裝最新的 Azure PowerShell 模組。
• 如果您使用 Azure CLI，請安裝最新版本。
• 安裝最新版本之後，請執行 az extension add -n elastic-san 以安裝彈性 SAN 的延伸模組。 不需要額外的註冊步驟。

限制

下列清單包含目前提供彈性 SAN 的區域及哪些區域同時支援區域備援儲存體 (ZRS) 和本地備援儲存體 (LRS) 或僅支援 LRS：

• 南非北部 - LRS
• 東亞 - LRS
• 東南亞 - LRS
• 巴西南部 - LRS
• 加拿大中部 - LRS
• 法國中部 - LRS 和 ZRS
• 德國中西部 - LRS
• 澳大利亞東部 - LRS
• 北歐 - LRS 和 ZRS
• 西歐 - LRS 和 ZRS
• 英國南部 - LRS
• 日本東部 - LRS
• 南韓中部 - LRS
• 美國中部
• 美國東部 - LRS
• 美國中南部 - LRS
• 美國東部 2 - LRS
• 美國西部 2 - LRS 和 ZRS
• 美國西部 3 - LRS
• 瑞典中部 - LRS
• 瑞士北部 - LRS

設定公用網路存取

您可以在 SAN 等級啟用對彈性 SAN 端點的公共網際網路存取。 啟用彈性 SAN 的公用網路存取可讓您透過儲存體服務端點設定個別磁碟區群組的公用存取。 依據預設，即使您允許在 SAN 等級存取個別磁碟區群組，還是會拒絕公用存取。 您必須明確設定磁碟區群組，以允許從特定 IP 位址範圍和虛擬網路子網路存取。

您可以在建立彈性 SAN 時啟用公用網路存取，或使用 Azure PowerShell 模組或 Azure CLI 為現有的 SAN 啟用它。

入口網站

使用 Azure PowerShell 模組或 Azure CLI 來啟用公用網路存取。

PowerShell

使用此程式碼範例來建立具有使用 PowerShell 啟用的公用網路存取的彈性SAN。 在執行範例之前，請先取代變數值。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

使用此範例程式代碼來更新彈性 SAN，以使用 PowerShell 啟用公用網路存取。 將 RgName 和 EsanName 的值取代為您自己的值，然後執行範例：

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Azure CLI

使用此程式碼範例來建立具有使用 Azure CLI 啟用的公用網路存取的彈性 SAN。 在執行範例之前，請先取代變數值。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

使用此範例程式代碼來更新彈性 SAN，以使用 Azure CLI 啟用公用網路存取。 使用您自己的值取代 RgName 和 EsanName 的值：

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

設定虛擬網路端點

您可以設定彈性 SAN 磁碟區群組，只允許從特定虛擬網路子網路上的端點存取。 允許的子網路可以屬於相同訂用帳戶中的虛擬網路，或屬於不同訂用帳戶中的虛擬網路，包括屬於不同 Microsoft Entra 租用戶的訂用帳戶。

您可以允許從兩種類型的 Azure 虛擬網路端點存取彈性 SAN 磁碟區群組：

• 私人端點
• 儲存體服務端點

私人端點會使用來自虛擬網路子網路的一或多個私人 IP 位址，透過 Microsoft 骨幹網路存取彈性 SAN 磁碟區群組。 使用私人端點時，虛擬網路與磁碟區群組之間的流量會透過私人連結受到保護。

虛擬網路服務端點是公用的，可透過網際網路存取。 您可以使用儲存體服務端點，設定虛擬網路規則來控制磁碟區群組的存取。

網路規則只能適用於磁碟區群組的公用端點，而非私人端點。 核准建立私用端點的程序會授與隱含的權限，存取來自子網路 (私人端點裝載所在) 的流量。 如果您想要精簡存取規則，您可以使用網路原則來控制私人端點的流量。 如果您想要獨佔使用私人端點，請勿將磁碟區群組啟用服務端點。

若要決定哪一種端點最適合您，請參閱比較私人端點和服務端點。

設定磁碟區群組的網路存取之後，屬於群組的所有磁碟區都會繼承設定。

開啟每種端點類型的流程如下：

• 設定私人端點
• 設定 Azure 儲存體服務端點

設定私人端點

重要

• 針對使用本地備援記憶體 (LRS) 作為備援選項的彈性 SAN，在彈性 SAN 可供使用的所有區域中都支援私人端點。 使用區域備援記憶體 (ZRS)作為備援選項的彈性 SAN，目前不支援私人端點。

設定私人端點連線涉及兩個步驟：

• 建立端點和相關聯的連線。
• 核准連線。

您也可以使用網路原則來精簡私人端點的存取控制。

若要為彈性 SAN 磁碟區群組建立私人端點，您必須具有彈性 SAN 磁碟區群組擁有者角色。 若要核准新的私人端點連線，您必須擁有 Azure 資源提供者作業Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action的權限。 這項作業的權限包含在彈性 SAN 網路管理員角色中，但也可以透過自訂 Azure 角色授與。

如果您從具有建立和核准所需的所有角色和權限的使用者帳戶建立端點，則可以在一個步驟中完成此流程。 如果沒有，則需要兩個不同的使用者執行兩個單獨的步驟。

彈性 SAN 和虛擬網路可能位於不同的資源群組、區域及訂用帳戶中，包括屬於不同 Microsoft Entra 租用戶的訂用帳戶。 在這些範例中，我們會在與虛擬網路相同的資源群組中建立私人端點。

入口網站

目前，您只能使用 PowerShell 或 Azure CLI 來設定私人端點。

PowerShell

使用 PowerShell 為彈性 SAN 磁碟區群組部署私人端點牽涉到下列步驟：

1. 從將連線的應用程式取得子網路。
2. 取得彈性 SAN 磁碟區群組。
3. 使用磁碟區群組作為輸入，建立私人連結服務連線。
4. 使用子網路和私人連結服務連線作為輸入來建立私人端點。
5. (選擇性) 如果您使用雙步驟流程 (建立，然後核准)：彈性 SAN 網路管理員核准連線。

使用此程式碼範例，透過 PowerShell 為您的彈性 SAN 磁碟區群組建立私人端點。 以您自己的值取代 RgName、VnetName、SubnetName、EsanName、EsanVgName、PLSvcConnectionName、EndpointName 及 Location 的值：

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

如果您使用雙步驟流程，請使用此程式碼範例來核准私人連結服務連線。 使用先前程式碼範例中的相同變數：

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Azure CLI

使用 Azure CLI 為彈性 SAN 磁碟區群組部署私人端點牽涉到三個步驟：

1. 取得彈性 SAN 的私人連線資源識別碼。
2. 使用輸入建立私人端點：
   1. 私人連線資源識別碼
   2. 磁碟區群組名稱
   3. 資源群組名稱
   4. 子網路名稱
   5. 虛擬網路名稱
3. (選擇性如果您使用雙步驟流程 (建立，然後核准))：彈性 SAN 網路管理員核准連線。

使用此程式碼範例，透過 Azure CLI 為您的彈性 SAN 磁碟區群組建立私人端點。 如果您使用雙步驟流程，請取消註解 --manual-request 參數。 將所有範例變數值取代為您自己的值：

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

如果您使用雙步驟流程，請使用此程式碼範例來核准私人連結服務連線。 使用先前程式碼範例中的相同變數：

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

設定 Azure 儲存體服務端點

若要從需要存取權的虛擬網路設定 Azure 儲存體服務端點，您必須具有透過自訂 Azure 角色設定服務端點 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure 資源提供者作業的權限。

虛擬網路服務端點是公用的，可透過網際網路存取。 您可以使用儲存體服務端點，設定虛擬網路規則來控制磁碟區群組的存取。

注意

目前只透過 PowerShell、CLI 和 REST API 支援設定規則，以授與權限存取虛擬網路中的子網路，而這些虛擬網路屬於不同的 Microsoft Entra 租用戶。 這些規則無法透過 Azure 入口網站設定，但能夠在入口網站中檢視。

入口網站

1. 瀏覽至虛擬網路，然後選取 [服務端點]。

2. 選取 + 新增。

3. 在新增服務端點畫面：

   1. 針對 [服務]選取 [Microsoft.Storage.Global]，以新增跨區域服務端點。

   注意

   您可能會看到 Microsoft.Storage 列為可用的儲存體服務端點。 此選項適用於只針對回溯相容性存在的區域內端點。 除非您有使用區域內端點的特定原因，否則請一律使用跨區域端點。

4. 針對子網路選取您想要允許存取的所有子網路。

5. 選取 [新增]。

PowerShell

使用此程式碼範例，透過 PowerShell 為您的彈性 SAN 磁碟區群組建立儲存體服務端點。

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Azure CLI

使用此程式碼範例，透過 Azure CLI 為您的彈性 SAN 磁碟區群組建立儲存體服務端點。

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

設定虛擬網路規則

預設情況下，所有透過服務端點傳入的資料要求都會被封鎖。 只有從您在網路規則中設定的允許來源要求資料的應用程式能夠存取您的資料。

您可以透過 Azure 入口網站、PowerShell 或 CLI 管理磁碟區群組的虛擬網路規則。

重要

如果您想要從另一個 Microsoft Entra 租用戶中的虛擬網路/子網路存取儲存體帳戶，您必須使用 PowerShell 或 Azure CLI。 Azure 入口網站不會在其他 Microsoft Entra 租用戶中顯示子網路。

如果您刪除已包含在網路規則中的子網路，則會從磁碟區群組的網路規則中將其移除。 如果您以相同名稱建立新的子網路，將無法存取磁碟區群組。 若要允許存取，您必須在磁碟區群組的網路規則中明確授權新的子網路。

入口網站

1. 巡覽至您的 SAN，然後選取 [磁碟區群組]。
2. 選取磁碟區群組，然後選取 [建立]。
3. 新增現有的虛擬網路和子網路，然後選取 [儲存]。

PowerShell

• 安裝 Azure PowerShell 並登入。

• 列出虛擬網路規則。

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• 啟用現有虛擬網路和子網路上的 Azure 儲存體服務端點。

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• 為虛擬網路和子網路新增網路規則。

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $sanName -VolumeGroupName $volGroupName -NetworkAclsVirtualNetworkRule $rule
  

  提示

  若要為屬於另一個 Microsoft Entra 租用戶之虛擬網路中的子網路新增網路規則，請使用完整的 VirtualNetworkResourceId 參數，格式為 "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name"。

• 移除虛擬網路規則。

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Azure CLI

• 安裝 Azure CLI 並登入。

• 列出來自特定磁碟區群組的資訊，包括其虛擬網路規則。

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• 啟用現有虛擬網路和子網路上的 Azure 儲存體服務端點。

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• 為虛擬網路和子網路新增網路規則。

  提示

  若要為屬於另一個 Microsoft Entra 租用戶之虛擬網路中的子網路新增規則，請使用完整的子網路識別碼，格式為 /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>。

  您可以使用 subscription 參數，為屬於另一個 Microsoft Entra 租用戶的虛擬網路擷取子網路識別碼。

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• 移除網路規則。 下列命令會移除第一個網路規則，並進行修改以移除您想要的網路規則。

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

設定用戶端連線

啟用所需的端點並授與網路規則中的存取之後，您就可以設定用戶端以連線到適當的彈性 SAN 磁碟區。

注意

如果虛擬機器 (VM) 與彈性 SAN 磁碟區之間的連線遺失，將會重試連線 90 秒，直到終止為止。 失去與彈性 SAN 磁碟區的連線並不會讓 VM 重新啟動。

下一步

• 將 Azure 彈性 SAN 磁碟區連線至 Azure Kubernetes Service 叢集
• 連線到彈性 SAN 磁碟區 - Linux
• 連線到彈性 SAN 磁碟區 - Windows