Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare endpoint privati per gli account di archiviazione di Azure per consentire ai client in una rete virtuale di Azure di accedere in modo sicuro ai dati tramite un collegamento privato. L'endpoint privato usa un indirizzo IP separato dallo spazio indirizzi della rete virtuale per ogni servizio dell'account di archiviazione. Il traffico di rete tra i client nella rete virtuale e l'account di archiviazione attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica.
Note
Gli endpoint privati non sono disponibili per gli account di archiviazione per utilizzo generico v1.
L'uso di endpoint privati per l'account di archiviazione consente di:
- Proteggere l'account di archiviazione usando un collegamento privato. È possibile configurare manualmente il firewall di archiviazione per bloccare le connessioni nell'endpoint pubblico del servizio di archiviazione. La creazione di un collegamento privato non blocca automaticamente le connessioni nell'endpoint pubblico.
- Aumentare la sicurezza per la rete virtuale consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro agli account di archiviazione da reti locali che si connettono alla rete virtuale tramite VPN o ExpressRoutes con peering privato.
Informazioni generali
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale. Quando si crea un endpoint privato per l'account di archiviazione, offre connettività sicura tra i client nella rete virtuale e l'archiviazione. All'endpoint privato viene assegnato un indirizzo IP incluso nell'intervallo di indirizzi IP della rete virtuale in uso. La connessione tra l'endpoint privato e il servizio di archiviazione usa un collegamento privato sicuro.
Le applicazioni nella rete virtuale possono connettersi al servizio di archiviazione tramite l'endpoint privato senza problemi, usando le stesse stringhe di connessione e meccanismi di autorizzazione che userebbero altrimenti. Gli endpoint privati possono essere usati con tutti i protocolli supportati dall'account di archiviazione, inclusi REST e SMB.
È possibile creare gli endpoint privati nelle subnet che usano endpoint servizio. I client in una subnet possono quindi connettersi a un account di archiviazione usando un endpoint privato, usando gli endpoint di servizio per accedere ad altri.
Quando si crea un endpoint privato per un servizio di archiviazione nella rete virtuale, viene inviata una richiesta di consenso per l'approvazione al proprietario dell'account di archiviazione. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario dell'account di archiviazione, questa richiesta di consenso viene approvata automaticamente.
I proprietari dell'account di archiviazione possono gestire le richieste di consenso e gli endpoint privati tramite la scheda "Endpoint privati" per l'account di archiviazione nel portale di Azure.
Suggerimento
Se si vuole limitare l'accesso all'account di archiviazione solo tramite l'endpoint privato, configurare il firewall di archiviazione per negare o controllare l'accesso tramite l'endpoint pubblico.
È possibile proteggere l'account di archiviazione per accettare solo le connessioni dalla rete virtuale configurando il firewall di archiviazione per negare l'accesso tramite l'endpoint pubblico per impostazione predefinita. Non è necessaria una regola del firewall per consentire il traffico da una rete virtuale con un endpoint privato, poiché il firewall di archiviazione controlla solo l'accesso tramite l'endpoint pubblico. Gli endpoint privati si basano invece sul flusso di consenso per concedere alle subnet l'accesso al servizio di archiviazione.
Note
Quando si copiano BLOB tra account di archiviazione, il client deve avere accesso di rete a entrambi gli account. Quindi, se si sceglie di usare un collegamento privato per un solo account (l'origine o la destinazione), assicurarsi che il client abbia accesso di rete all'altro account. Per altre informazioni su altri modi per configurare l'accesso alla rete, vedere Configurare firewall e reti virtuali di Archiviazione di Azure.
Creazione di un endpoint privato
Per creare un endpoint privato usando il portale di Azure, vedere Connettersi privatamente a un account di archiviazione dall'esperienza dell'account di archiviazione nel portale di Azure.
Per creare un endpoint privato usando PowerShell o l'interfaccia della riga di comando di Azure, vedere uno di questi articoli. Entrambi presentano un'app Web di Azure come servizio di destinazione, ma i passaggi per creare un collegamento privato sono gli stessi per un account di archiviazione di Azure.
Quando si crea un endpoint privato, è necessario specificare l'account di archiviazione e il servizio di archiviazione a cui si connette.
È necessario un endpoint privato separato per ogni risorsa di archiviazione a cui è necessario accedere, vale a dire BLOB, Data Lake Storage, File, Code, Tabelle o siti Web statici. Nell'endpoint privato questi servizi di archiviazione vengono definiti come sotto-risorsa di destinazione dell'account di archiviazione associato.
Se si crea un endpoint privato per la risorsa di archiviazione Data Lake Storage, è necessario crearne uno anche per la risorsa di archiviazione BLOB. Ciò è dovuto al fatto che le operazioni destinate all'endpoint di Data Lake Storage potrebbero essere reindirizzate all'endpoint BLOB. Analogamente, se si aggiunge un endpoint privato solo per l'archiviazione BLOB e non per Data Lake Storage, alcune operazioni, ad esempio Gestisci ACL, Crea Directory, Elimina Directory e così via, avranno esito negativo perché le API richiedono un endpoint privato DFS. Creando un endpoint privato per entrambe le risorse, assicurarsi che tutte le operazioni possano essere completate correttamente.
Suggerimento
Creare un endpoint privato separato per l'istanza secondaria del servizio di archiviazione per migliorare le prestazioni di lettura negli account RA-GRS. Assicurarsi di creare un account di archiviazione per utilizzo generico v2 (Standard o Premium).
Per l'accesso in lettura all'area secondaria con un account di archiviazione configurato per l'archiviazione con ridondanza geografica, sono necessari endpoint privati separati per le istanze primarie e secondarie del servizio. Non è necessario creare un endpoint privato per l'istanza secondaria per il failover. L'endpoint privato si connetterà automaticamente alla nuova istanza primaria dopo il failover. Per altre informazioni sulle opzioni di ridondanza dell'archiviazione, vedere Ridondanza di Archiviazione di Azure.
Connessione a un endpoint privato
I client in una rete virtuale che usano l'endpoint privato devono usare la stessa stringa di connessione per l'account di archiviazione dei client che si connettono all'endpoint pubblico. Ci si basa sulla risoluzione DNS per instradare automaticamente le connessioni dalla rete virtuale all'account di archiviazione tramite un collegamento privato.
Importante
Per connettersi all'account di archiviazione tramite endpoint privati, utilizzare la stessa stringa di connessione che si utilizzerebbe normalmente. Non connettersi all'account di archiviazione usando l'URL del sottodominio privatelink.
Per impostazione predefinita, viene creata una zona DNS privata collegata alla rete virtuale con gli aggiornamenti necessari per gli endpoint privati. Tuttavia, se si usa il proprio server DNS, potrebbe essere necessario apportare modifiche aggiuntive alla configurazione DNS. La sezione relativa alle modifiche DNS riportata di seguito descrive gli aggiornamenti necessari per gli endpoint privati.
Modifiche DNS per gli endpoint privati
Note
Per informazioni dettagliate su come configurare le impostazioni DNS per gli endpoint privati, vedere Configurazione DNS dell'endpoint privato di Azure.
Quando si crea un endpoint privato, il record di risorse CNAME DNS per l'account di archiviazione viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Per impostazione predefinita, viene anche creata una zona DNS privata, corrispondente al sottodominio privatelink, con i record di risorse A del DNS per gli endpoint privati.
Quando si risolve l'URL dell'endpoint di archiviazione dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico del servizio di archiviazione. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint di archiviazione viene risolto nell'indirizzo IP dell'endpoint privato.
Per l'esempio illustrato in precedenza, i record di risorse DNS per l'account di archiviazione 'StorageAccountA', se risolti dall'esterno della rete virtuale che ospita l'endpoint privato, saranno:
| Nome | TIPO | valore |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <endpoint pubblico del servizio di archiviazione> |
| <endpoint pubblico del servizio di archiviazione> | Una | <indirizzo IP pubblico del servizio di archiviazione> |
Come accennato in precedenza, è possibile negare o controllare l'accesso per i client esterni alla rete virtuale tramite l'endpoint pubblico usando il firewall di archiviazione.
I record di risorse DNS per StorageAccountA, se risolti da un client nella rete virtuale che ospita l'endpoint privato, saranno:
| Nome | TIPO | valore |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Questo approccio consente l'accesso all'account di archiviazione usando la stessa stringa di connessione per i client nella rete virtuale che ospita gli endpoint privati, nonché i client esterni alla rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client devono essere in grado di risolvere l'FQDN per l'endpoint dell’account di archiviazione all'indirizzo IP dell'endpoint privato. È necessario configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale oppure configurare i record A per StorageAccountA.privatelink.blob.core.windows.net con l'indirizzo IP dell'endpoint privato.
Suggerimento
Quando si usa un server DNS personalizzato o locale, è consigliabile configurare il server DNS in modo da risolvere il nome dell’account di archiviazione nel sottodominio privatelink nell'indirizzo IP dell'endpoint privato. A tale scopo, è possibile delegare il privatelink sottodominio alla zona DNS privata della rete virtuale o configurando la zona DNS nel server DNS e aggiungendo i record DNS A.
I nomi di zona DNS consigliati per gli endpoint privati per i servizi di archiviazione e le risorse secondarie di destinazione dell'endpoint associati sono:
| Servizio di archiviazione | Sottorisorsa di destinazione | Nome zona |
|---|---|---|
| Servizio BLOB | BLOB | privatelink.blob.core.windows.net |
| Data Lake Storage | dfs | privatelink.dfs.core.windows.net |
| Servizio file | file | privatelink.file.core.windows.net |
| Servizio di accodamento | coda | privatelink.queue.core.windows.net |
| Servizio tabelle | tabella | privatelink.table.core.windows.net |
| Siti Web statici | Web | privatelink.web.core.windows.net |
Per altre informazioni sulla configurazione del proprio server DNS per supportare gli endpoint privati, vedere gli articoli seguenti:
- Risoluzione dei nomi per le risorse in reti virtuali di Azure
- Configurazione DNS per gli endpoint privati
Prezzi
Per informazioni dettagliate sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Problemi noti
Tenere presente i problemi noti seguenti relativi agli endpoint privati per Archiviazione di Azure.
Vincoli di accesso alle risorse di archiviazione per i client nelle reti virtuali con endpoint privati
I client nelle reti virtuali con endpoint privati esistenti devono affrontare vincoli quando accedono ad altri account di archiviazione con endpoint privati. Si supponga, ad esempio, che una rete virtuale N1 abbia un endpoint privato per un account di archiviazione A1 per l'archiviazione BLOB. Se l'account di archiviazione A2 ha un endpoint privato in una rete virtuale N2 per l'archiviazione BLOB, i client nella rete virtuale N1 devono anche accedere all'archiviazione BLOB nell'account A2 usando un endpoint privato. Se l'account di archiviazione A2 non dispone di endpoint privati per l'archiviazione BLOB, i client nella rete virtuale N1 possono accedere all'archiviazione BLOB in tale account senza un endpoint privato.
Questo vincolo è il risultato delle modifiche DNS apportate quando l'account A2 crea un endpoint privato.
Copia dei BLOB tra gli account di archiviazione
È possibile copiare BLOB tra account di archiviazione usando endpoint privati solo se si usa l'API REST di Azure o gli strumenti che usano l'API REST. Questi strumenti includono AzCopy, Storage Explorer, Azure PowerShell, l'interfaccia della riga di comando di Azure e gli SDK di Archiviazione BLOB di Azure.
Sono supportati solo gli endpoint privati destinati all'endpoint della risorsa di archiviazione blob o file. Sono incluse le chiamate API REST agli account Data Lake Storage in cui viene fatto riferimento all'endpoint della risorsa blob in modo esplicito o implicito. Gli endpoint privati destinati all'endpoint della risorsa dfs Data Lake Storage non sono ancora supportati. La copia tra account di archiviazione tramite il protocollo NFS (Network File System) non è ancora supportata.