Настройка частных конечных точек для Azure Elastic SAN

Частная конечная точка позволяет подключаться к группе томов Elastic SAN через частный IP-адрес в виртуальной сети. При использовании частной конечной точки трафик между виртуальной сетью и эластичной сетью SAN полностью остается в частной магистрали Azure без обхода общедоступного Интернета. После настройки и утверждения частной конечной точки он автоматически предоставляет доступ к подсети, в которой она находится. Эта конфигурация обеспечивает надежную сетевую изоляцию и идеально подходит для рабочих нагрузок или рабочих нагрузок с учетом безопасности.

В этой статье описывается настройка группы томов Elastic SAN для использования частных конечных точек.

Предпосылки

Развертывание эластичной сети SAN.
Ознакомьтесь с сведениями о конфигурациях сети для Elastic SAN, чтобы понять, какие конечные точки – частные или службы – более целесообразны для вашей среды.
Если вы используете Azure PowerShell, установите последний модуль Azure PowerShell.
Если вы используете Azure CLI, установите последнюю версию.
После установки последней версии выполните установку az extension add -n elastic-san расширения для Elastic SAN.

Настройка частной конечной точки

Настройка подключения к частной конечной точке включает два шага.

Создание конечной точки и ассоциированного подключения.
Утверждение подключения.

Необходимо иметь роль владельца группы томов Elastic SAN для создания частной конечной точки для группы томов Elastic SAN. Чтобы утвердить новое подключение к частной конечной точке, необходимо иметь разрешение на операциюMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/actionпоставщика ресурсов Azure. Роль администратора эластичной сети SAN включает разрешение для этой операции, но вы также можете предоставить ее с помощью настраиваемой роли Azure.

Если вы создаете конечную точку из учетной записи пользователя с всеми необходимыми ролями и разрешениями для создания и утверждения, можно выполнить оба шага на одном шаге. В противном случае два разных пользователя должны выполнить два отдельных шага.

При настройке Private Link ваша Elastic SAN и виртуальная сеть могут находиться в разных группах ресурсов, регионах и подписках. Подписки могут принадлежать разным клиентам Microsoft Entra. В этих примерах вы создадите частную конечную точку в той же группе ресурсов, что и виртуальная сеть.

Вы можете создать подключение к частной конечной точке для вашей группы томов в портале Azure либо при создании группы томов, либо при изменении существующей группы томов. Для создания частной конечной точки требуется существующая виртуальная сеть.

При создании или изменении группы томов выберите Сетевое взаимодействие, а затем нажмите + Создать частную конечную точку в разделе Подключения к частной конечной точке.

Заполните значения в форме, которая появится. Выберите виртуальную сеть и подсеть, которую будут использовать приложения для подключения. По завершении нажмите кнопку "Добавить" и "Сохранить".

Следующий скрипт создает частную конечную точку для группы томов Elastic SAN. Замените значения RgName, , VnetNameSubnetNameEsanNameEsanVgNamePLSvcConnectionNameEndpointNameи Location (регион) собственными значениями. Раскомментируйте -ByManualRequest, если вы следуете процессу из двух шагов, а затем запустите скрипт.

Если у вас нет всех необходимых разрешений и требуется администратор сети для утверждения подключения, обязательно запустите скрипт в утверждении подключения.

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

Утверждение подключения

Используйте этот пример кода, чтобы утвердить подключение службы приватного канала, если вы используете двухэтапный процесс. Используйте те же переменные из предыдущего примера кода:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Следующий скрипт создает частную конечную точку для группы томов Elastic SAN. Раскомментируйте параметр --manual-request, если вы используете двухэтапный процесс. Замените все примеры значений переменных собственными, а затем запустите скрипт.

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

Утверждение подключения

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Замечание

Если ваш Elastic SAN и частная конечная точка находятся в разных подписках, зарегистрируйте поставщика ресурсов Microsoft.ElasticSan в подписке, содержащей частную конечную точку. Выполните действия, описанные в этой статье , чтобы утвердить и зарегистрировать частные конечные точки.

Необязательный: сетевые политики

Правила виртуальной сети не применяются к частным конечным точкам. Чтобы уточнить правила доступа и контролировать трафик через частную конечную точку, используйте политики сети. По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать политики сети, такие как определяемые пользователем маршруты и поддержка группы безопасности сети, включите поддержку политики сети для подсети. Этот параметр применяется только к частным конечным точкам в подсети и влияет на все частные конечные точки в подсети. Для других ресурсов в подсети управление доступом осуществляется на основе правил безопасности в группе безопасности сети. Дополнительные сведения см. в разделе "Политики сети".

Настройка клиентских подключений

После включения нужных конечных точек вы будете готовы настроить клиенты для подключения к соответствующим томам Elastic SAN.

Если подключение между виртуальной машиной и томом Elastic SAN потеряно, подключение повторяется в течение 90 секунд до завершения. Потеря подключения к Elastic SAN не приводит к перезапуску виртуальной машины.

Дальнейшие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-09