Настройка конечных точек службы для Azure Elastic SAN

Конечная точка службы обеспечивает безопасное подключение к Elastic SAN из подсети в виртуальной сети, не требуя частного IP-адреса. Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Вы можете настроить правила виртуальной сети, чтобы управлять доступом к группе томов при использовании конечных точек хранилища.

В этой статье показано, как настроить подключения конечной точки службы к эластичной сети SAN.

Предпосылки

Развертывание эластичной сети SAN.
Ознакомьтесь с сведениями о конфигурациях сети для Elastic SAN, чтобы понять, какие конечные точки – частные или службы – более целесообразны для вашей среды.
Если вы используете Azure PowerShell, установите последний модуль Azure PowerShell.
Если вы используете Azure CLI, установите последнюю версию.
После установки последней версии выполните установку az extension add -n elastic-san расширения для Elastic SAN.

Настройка доступа к общедоступной сети

Вы можете включить общедоступный интернет-доступ к конечным точкам Elastic SAN на уровне SAN. При включении доступа к общедоступной сети для эластичной сети SAN можно настроить общедоступный доступ к отдельным группам томов через конечные точки службы хранилища. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. Необходимо явно настроить группы томов, чтобы обеспечить наличие доступа из определенных диапазонов адресов IP и подсетей виртуальной сети.

Вы можете включить доступ к общедоступной сети при создании эластичной сети SAN или включить ее для существующей сети SAN с помощью модуля Azure PowerShell или Azure CLI.

Используйте модуль Azure PowerShell или Azure CLI для включения доступа к общедоступной сети.

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью PowerShell. Замените значения RgName и EsanName собственными, а затем запустите пример:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью Azure CLI. Замените значения RgName и EsanName собственными значениями:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Настройте конечную точку службы хранилища Azure

Чтобы настроить конечную точку службы служба хранилища Azure из виртуальной сети, где требуется доступ, необходимо иметь разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionоперацию поставщика ресурсов Azure с помощью настраиваемой роли Azure для настройки конечной точки службы.

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Вы можете настроить правила виртуальной сети, чтобы управлять доступом к группе томов при использовании конечных точек хранилища.

Замечание

Currenlty можно настроить только правила, предоставляющие доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra с помощью Azure CLI, модуля Azure PowerShell или REST API. Эти правила нельзя настроить с помощью портала Azure. Их можно просматривать только на портале.

Перейдите к виртуальной сети и выберите "Конечные точки службы".
Выберите + Добавить.
При добавлении конечных точек службы:
- Для службы выберите Microsoft.Storage.Global , чтобы добавить конечную точку службы между регионами.
Замечание

Вы можете увидеть Microsoft.Storage , указанную как доступную конечную точку службы хранилища. Этот вариант предназначен для конечных точек внутри региона, которые существуют только для обратной совместимости. Всегда используйте конечные точки между регионами, если у вас нет определенной причины использования внутрирегионных конечных точек.
Для подсетей выберите все подсети, в которых требуется разрешить доступ.
Нажмите кнопку "Добавить".

Используйте следующий пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Используйте следующий пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN:

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Настройка правил виртуальной сети

Все входящие запросы данных по конечной точке службы блокируются по умолчанию. Доступ к данным может получить только приложения, запрашивающие данные из разрешенных источников, настроенных в правилах сети.

Вы можете управлять правилами виртуальной сети для групп томов через портал Azure, PowerShell или CLI.

Это важно

Чтобы включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.

Если вы удалите подсеть, включенную в сетевое правило, она будет удалена из сетевых правил для группы томов. Если вы создаёте новую подсеть с тем же именем, она не имеет доступа к группе томов. Чтобы предоставить доступ, необходимо явно авторизовать новую подсеть в сетевых правилах для группы томов.

Перейдите к вашей SAN и выберите группы томов.
Выберите группу томов и нажмите кнопку "Создать".
Добавьте существующую виртуальную сеть и подсеть и нажмите кнопку "Сохранить".

Следующий скрипт включает точку подключения службы для Azure Storage в существующей виртуальной сети и подсети. Затем он добавляет сетевое правило для виртуальной сети и подсети.

Подсказка

Чтобы добавить правило сети для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный параметр VirtualNetworkResourceId в формате "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

$Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
$Rules.NetworkAclsVirtualNetworkRule

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

$rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow

Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule

Если вам нужно, можно использовать следующий сценарий для удаления правила виртуальной сети:

## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName

Следующий скрипт содержит сведения из определенной группы томов, включает конечную точку службы для службы хранилища Azure в существующей виртуальной сети и подсети и добавляет сетевое правило для виртуальной сети и подсети.

Подсказка

Чтобы добавить правило для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный идентификатор подсети в форме /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

Параметр подписки можно использовать для получения идентификатора подсети для виртуальной сети, принадлежащей другому клиенту Microsoft Entra.

az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName

az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"

# First, get the current length of the list of virtual networks to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'

az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"

Если вам нужно, можно удалить правила сети. Например, следующая команда удаляет первое сетевое правило. Измените его, чтобы удалить нужное сетевое правило.

az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null

Настройка клиентских подключений

После включения требуемых конечных точек и предоставления доступа в правилах сети вы можете настроить клиенты для подключения к соответствующим томам Elastic SAN.

Замечание

Если подключение между виртуальной машиной и томом Elastic SAN потеряно, подключение повторяется в течение 90 секунд до завершения. Потеря подключения к Elastic SAN не приводит к перезапуску виртуальной машины.

Дальнейшие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-09