Настройка конечных точек службы для Azure Elastic SAN

2025-06-21

Конечная точка службы обеспечивает безопасное подключение к Elastic SAN из подсети в виртуальной сети, не требуя частного IP-адреса. Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Вы можете настроить правила виртуальной сети, чтобы управлять доступом к группе томов при использовании конечных точек хранилища.

В этой статье показано, как настроить подключения конечной точки службы к эластичной сети SAN.

Предпосылки

Развертывание эластичной сети SAN.
Ознакомьтесь с сведениями о конфигурациях сети для Elastic SAN, чтобы понять, какие конечные точки – частные или службы – более целесообразны для вашей среды.
Если вы используете Azure PowerShell, установите последний модуль Azure PowerShell.
Если вы используете Azure CLI, установите последнюю версию.
После установки последней версии выполните az extension add -n elastic-san установку расширения для Elastic SAN.

Настройка доступа к общедоступной сети

Вы можете включить общедоступный интернет-доступ к конечным точкам Elastic SAN на уровне SAN. Включение доступа к общедоступной сети для эластичной сети SAN позволяет настроить общедоступный доступ к отдельным группам томов через конечные точки службы хранения. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. Необходимо явно настроить группы томов, чтобы обеспечить наличие доступа из определенных диапазонов адресов IP и подсетей виртуальной сети.

Вы можете включить доступ к общедоступной сети при создании эластичной сети SAN или включить ее для существующей сети SAN с помощью модуля Azure PowerShell или Azure CLI.

Используйте модуль Azure PowerShell или Azure CLI для включения доступа к общедоступной сети.

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью PowerShell. Замените значения RgName и EsanName собственными, а затем выполните пример:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью Azure CLI. Замените значения RgName и EsanName собственными значениями:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Настройте конечную точку службы хранилища Azure

Чтобы настроить конечную точку службы служба хранилища Azure из виртуальной сети, где требуется доступ, необходимо иметь разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionоперацию поставщика ресурсов Azure с помощью настраиваемой роли Azure для настройки конечной точки службы.

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Вы можете настроить правила виртуальной сети, чтобы управлять доступом к группе томов при использовании конечных точек хранилища.

Замечание

Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, CLI и REST API. Эти правила нельзя настроить с помощью портала Azure, их можно просмотреть только на портале.

Перейдите к виртуальной сети и выберите "Конечные точки службы".
Выберите + Добавить.
На экране добавления конечных точек службы:
1. Для службы выберите Microsoft.Storage.Global, чтобы добавить конечную точку службы между регионами.
Замечание

Вы можете увидеть Microsoft.Storage , указанную как доступную конечную точку службы хранилища. Этот вариант предназначен для конечных точек внутри региона, которые существуют только для обратной совместимости. Всегда используйте конечные точки между регионами, если у вас нет определенной причины использования внутрирегионных конечных точек.
Для подсетей выберите все подсети , в которых требуется разрешить доступ.
Нажмите кнопку "Добавить".

Используйте следующий пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Используйте следующий пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN:

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Настройка правил виртуальной сети

Все входящие запросы данных по конечной точке службы блокируются по умолчанию. Доступ к данным могут получать только приложения, запрашивающие данные из разрешенных источников, настроенных в правилах сети.

Вы можете управлять правилами виртуальной сети для групп томов через портал Azure, PowerShell или CLI.

Это важно

Чтобы включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.

При удалении подсети, которая включена в сетевое правило, она удаляется из сетевых правил для группы томов. Если вы создадите новую подсеть с тем же именем, она не будет иметь доступа к группе томов. Чтобы разрешить доступ, необходимо явно авторизовать новую подсеть в сетевых правилах группы томов.

Перейдите к вашей SAN и выберите группы томов.
Выберите группу томов и нажмите кнопку "Создать".
Добавьте существующую виртуальную сеть и подсеть и нажмите кнопку "Сохранить".

Следующий сценарий включает конечную точку сервиса Azure Storage в существующей виртуальной сети и подсети, а затем добавляет сетевое правило для этой виртуальной сети и подсети.

Подсказка

Чтобы добавить правило сети для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный параметр VirtualNetworkResourceId в формате "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

$Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
$Rules.NetworkAclsVirtualNetworkRule

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

$rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow

Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule

Если вам нужно, можно использовать следующий сценарий для удаления правила виртуальной сети:

## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
### remove by networkRule object
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
### remove by networkRuleResourceId
Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
### Remove all network rules in a volume group by pipeline
((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName

Следующий скрипт содержит сведения из определенной группы томов, включает конечную точку службы для службы хранилища Azure в существующей виртуальной сети и подсети и добавляет сетевое правило для виртуальной сети и подсети.

Подсказка

Чтобы добавить правило для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный идентификатор подсети в форме /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

Параметр подписки можно использовать для получения идентификатора подсети для виртуальной сети, принадлежащей другому клиенту Microsoft Entra.

az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName

az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"

# First, get the current length of the list of virtual networks to ensure you append a new network instead of replacing existing ones.
virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'

az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"

Если вам нужно, можно удалить правила сети. Например, следующая команда удаляет первое сетевое правило, измените его, чтобы удалить нужное сетевое правило.

az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null

Настройка клиентских подключений

После включения нужных конечных точек и предоставления доступа в правилах сети вы можете настроить клиенты для подключения к соответствующим томам Elastic SAN.

Замечание

Если подключение между виртуальной машиной и томом Elastic SAN потеряно, подключение повторяется в течение 90 секунд до завершения. Потеря подключения к Elastic SAN не приведет к перезапуску виртуальной машины.

Поделиться через

Настройка конечных точек службы для Azure Elastic SAN

Предпосылки

Настройка доступа к общедоступной сети

Настройте конечную точку службы хранилища Azure

Настройка правил виртуальной сети

Настройка клиентских подключений

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы