Частная конечная точка позволяет подключаться к группе томов Elastic SAN через частный IP-адрес в виртуальной сети. При использовании частной конечной точки трафик между виртуальной сетью и эластичной сетью SAN остается полностью в частной магистрали Azure, не пересекая общедоступный Интернет. После настройки и утверждения частной конечной точки доступ автоматически предоставляется подсети, в которой она находится. Эта конфигурация обеспечивает надежную сетевую изоляцию и идеально подходит для рабочих нагрузок или рабочих нагрузок с учетом безопасности.
В этой статье описывается настройка группы томов Elastic SAN для использования частных конечных точек.
Предпосылки
Существует два шага, связанных с настройкой подключения к частной конечной точке:
- Создание конечной точки и ассоциированного подключения.
- Утверждение подключения.
Необходимо иметь роль владельца группы томов Elastic SAN для создания частной конечной точки для группы томов Elastic SAN. Чтобы утвердить новое подключение к частной конечной точке, необходимо иметь разрешение на операциюMicrosoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/actionпоставщика ресурсов Azure. Разрешение для этой операции включается в роль администратора эластичной сети SAN, но ее также можно предоставить с помощью настраиваемой роли Azure.
Если вы создаете конечную точку из учетной записи пользователя с всеми необходимыми ролями и разрешениями, необходимыми для создания и утверждения, это можно сделать на одном шаге. В противном случае потребуется два отдельных шага для двух разных пользователей.
При настройке приватных ссылок ваш Elastic SAN и виртуальная сеть могут находиться в разных группах ресурсов, регионах и подписках, включая подписки, принадлежащие разным клиентам Microsoft Entra. В этих примерах мы создадим частную конечную точку в той же группе ресурсов, что и виртуальная сеть.
Вы можете создать подключение к частной конечной точке для вашей группы томов в портале Azure либо при создании группы томов, либо при изменении существующей группы томов. Для создания частной конечной точки требуется существующая виртуальная сеть.
При создании или изменении группы томов выберите Сеть, затем в разделе Подключения к частной конечной точке выберите + Создать частную конечную точку.
Заполните значения в всплывающем меню, выберите виртуальную сеть и подсеть, которую будут использовать ваши приложения для подключения. По завершении нажмите кнопку "Добавить" и "Сохранить".
Следующий скрипт создает частную конечную точку для группы томов Elastic SAN. Замените значения RgName, VnetName, SubnetName, EsanName, EsanVgName, PLSvcConnectionName, EndpointName, и Location (Регион) на ваши собственные значения, затем уберите комментарий перед -ByManualRequest, если вы используете процесс из двух шагов, и запустите скрипт.
После этого, если у вас нет всех необходимых разрешений и требуется администратор сети для утверждения подключения, обязательно запустите скрипт в утверждении подключения.
# Set the resource group name.
$RgName = "<ResourceGroupName>"
# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName = "<VnetName>"
$SubnetName = "<SubnetName>"
$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"
$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName
# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName
# Create the private endpoint.
$EndpointName = '<PrivateEndpointName>'
$Location = '<Location>'
$PeArguments = @{
Name = $EndpointName
ResourceGroupName = $RgName
Location = $Location
Subnet = $Subnet
PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).
Утверждение подключения
Используйте этот пример кода, чтобы утвердить подключение службы приватного канала, если вы используете двухэтапный процесс. Используйте те же переменные из предыдущего примера кода:
# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments = @{
ServiceName = $EsanName
ResourceGroupName = $RgName
PrivateLinkResourceType = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc
# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments |
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState
Следующий скрипт создает частную конечную точку для группы томов Elastic SAN. Раскомментируйте параметр --manual-request, если вы используете двухэтапный процесс. Замените все примеры значений переменных собственными, а затем запустите скрипт.
После этого, если у вас нет всех необходимых разрешений и требуется администратор сети для утверждения подключения, обязательно запустите скрипт в утверждении подключения.
# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"
# Get the id of the Elastic SAN.
id=$(az elastic-san show \
--elastic-san-name $EsanName \
--resource-group $RgName \
--query 'id' \
--output tsv)
# Create the private endpoint.
az network private-endpoint create \
--connection-name $PLSvcConnectionName \
--name $EndpointName \
--private-connection-resource-id $id \
--resource-group $RgName \
--vnet-name $VnetName \
--subnet $SubnetName \
--location $Location \
--group-id $EsanVgName # --manual-request
# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
--name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)
az network private-endpoint-connection show \
--resource-name $EsanName \
--resource-group $RgName \
--type Microsoft.ElasticSan/elasticSans \
--name $PLConnectionName
Утверждение подключения
Используйте этот пример кода, чтобы утвердить подключение службы приватного канала, если вы используете двухэтапный процесс. Используйте те же переменные из предыдущего примера кода:
az network private-endpoint-connection approve \
--resource-name $EsanName \
--resource-group $RgName \
--name $PLConnectionName \
--type Microsoft.ElasticSan/elasticSans \
--description $ApprovalDesc
Замечание
Если ваш Elastic SAN и частная конечная точка находятся в разных подписках, зарегистрируйте поставщика ресурсов Microsoft.ElasticSan в подписке, содержащей частную конечную точку.
Выполните действия, описанные в этой статье , чтобы утвердить и зарегистрировать частные конечные точки.
Необязательный: сетевые политики
Правила виртуальной сети не применяются к частным конечным точкам. Таким образом, если необходимо уточнить правила доступа и контролировать трафик через частную конечную точку, используйте политики сети. По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать политики сети, такие как определяемые пользователем маршруты и поддержка группы безопасности сети, включите поддержку политики сети для подсети. Этот параметр применяется только к частным конечным точкам в подсети и влияет на все частные конечные точки в подсети. Для других ресурсов в подсети управление доступом осуществляется на основе правил безопасности в группе безопасности сети. Дополнительные сведения см. в разделе "Политики сети".
После включения нужных конечных точек можно настроить клиенты для подключения к соответствующим томам Elastic SAN.
Если подключение между виртуальной машиной и томом Эластичной сети SAN потеряно, подключение будет повторяться в течение 90 секунд до завершения. Потеря подключения к Elastic SAN не приведет к перезапуску виртуальной машины.
Дальнейшие шаги
