Сведения о конфигурациях сети для эластичной сети SAN

Azure Elastic SAN позволяет защитить и контролировать уровень доступа к томам Elastic SAN, которым требуются приложения и корпоративные среды. В этой статье описаны параметры сети, доступные для предоставления пользователям и приложениям доступа к томам Elastic SAN из инфраструктуры виртуальной сети Azure.

Вы можете настроить группы томов Elastic SAN, чтобы разрешить доступ только через определенные конечные точки в определенных подсетях виртуальной сети. Допустимые подсети могут принадлежать виртуальной сети в одной подписке или в разных подписках, включая подписки, принадлежащие разным клиентам Microsoft Entra. После настройки сетевого доступа для группы томов все тома в группе наследуют конфигурацию.

В зависимости от конфигурации приложения в одноранговых виртуальных сетях или локальных сетях также могут получать доступ к томам в группе. Локальные сети должны быть подключены к виртуальной сети VPN или ExpressRoute. Дополнительные сведения о конфигурациях виртуальной сети см. в статье "Инфраструктура виртуальной сети Azure".

Можно настроить два типа конечных точек виртуальной сети, чтобы разрешить доступ к группе томов Elastic SAN:

• Конечные точки службы хранилища
• Частные конечные точки

Как правило, следует использовать частные конечные точки вместо конечных точек службы, так как они предлагают лучшие возможности. Дополнительные сведения см. в разделе Приватный канал Azure. Дополнительные сведения о различиях между этими двумя см. в разделе "Сравнение частных конечных точек" и конечных точек служб.

После настройки конечных точек можно настроить сетевые правила для дальнейшего управления доступом к группе томов Elastic SAN. После настройки конечных точек и правил сети клиенты могут подключаться к томам в группе для обработки рабочих нагрузок.

Частные конечные точки

С помощью Приватного канала Azure вы можете безопасно получить доступ к группе томов Elastic SAN через частную конечную точку из подсети виртуальной сети. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт, устраняя риск предоставления вашей службы общедоступному Интернету. Частная конечная точка Elastic SAN использует набор IP-адресов из адресного пространства подсети для каждой группы томов. Максимальное число, используемое для каждой конечной точки, равно 20.

Частные конечные точки имеют несколько преимуществ по сравнению с конечными точками службы. Полное сравнение частных конечных точек с конечными точками службы см. в разделе "Сравнение частных конечных точек" и конечных точек служб.

Принцип работы

Трафик между виртуальной сетью и эластичной сетью SAN направляется по оптимальному пути в магистральной сети Azure. В отличие от конечных точек службы, не нужно настраивать сетевые правила, чтобы разрешить трафик из частной конечной точки, так как брандмауэр хранилища управляет доступом только через общедоступные конечные точки.

Дополнительные сведения о настройке частных конечных точек см. в статье "Настройка частных конечных точек" для Azure Elastic SAN.

Доступ из общедоступной сети

При создании SAN можно включить или отключить общедоступный доступ к конечным точкам Elastic SAN на уровне SAN. Если вы используете исключительно частные конечные точки, отключите доступ к общедоступной сети. Только включите доступ к общедоступной сети, если вы используете конечные точки службы. Включив доступ к общедоступной сети для эластичной сети SAN, вы можете настроить общедоступный доступ к отдельным группам томов в этой сети через конечные точки службы хранилища. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. При отключении общедоступного доступа на уровне SAN доступ к группам томов в этой сети SAN доступен только через частные конечные точки.

Конечные точки службы хранилища

Конечные точки службы виртуальной сети Azure обеспечивают безопасное и прямое подключение к службам Azure с помощью оптимизированного маршрута через магистральную сеть Azure. Используя конечные точки службы, вы можете защитить критически важные ресурсы службы Azure, чтобы получить к ним доступ только определенные виртуальные сети.

Конечные точки службы между регионами для служба хранилища Azure работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С межрегиональными конечными точками службы подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, включая учетные записи в других регионах. Вместо этого весь трафик из подсети в учетную запись хранения использует частный IP-адрес в качестве исходного IP-адреса.

Управление сетевым трафиком

Частные конечные точки

При утверждении создания частной конечной точки он предоставляет неявный доступ ко всем трафику из подсети, в котором размещена частная конечная точка. Если вам нужно управлять трафиком на более детальном уровне, используйте политики сети.

Конечные точки службы

При использовании конечных точек службы необходимо настроить правила виртуальной сети, так как конечные точки службы блокируют все входящие запросы данных по умолчанию. Каждая группа томов в эластичной сети SAN поддерживает до 200 правил виртуальной сети. Если удалить субнет, включенный в сетевое правило, этот субнет удаляется из сетевых правил для группы томов. Если вы создаёте новую подсеть с тем же именем, она не имеет доступа к группе томов. Чтобы разрешить доступ, необходимо явно авторизовать новую подсеть в сетевых правилах группы томов. Клиенты, которым предоставлен доступ через эти сетевые правила, также должны быть предоставлены соответствующие разрешения для эластичной сети SAN для группы томов. Дополнительные сведения см. в разделе "Настройка правил виртуальной сети".

Целостность данных

Целостность данных важна для предотвращения повреждения данных в облачном хранилище. TCP обеспечивает базовый уровень целостности данных через механизм контрольной суммы. Вы можете улучшить его по сравнению с iSCSI с помощью более надежного обнаружения ошибок с циклической проверкой избыточности (CRC), в частности CRC-32C. С помощью CRC-32C можно добавить проверку контрольной суммы для заголовков iSCSI и полезных данных.

Elastic SAN поддерживает проверку контрольной суммы CRC-32C при включении на стороне клиента для подключений к томам Elastic SAN. Elastic SAN также предоставляет возможность принудительного обнаружения этой ошибки с помощью свойства, которое можно задать на уровне группы томов. Любой том в этой группе томов наследует это свойство. Если включить это свойство в группе томов, elastic SAN отклоняет все клиентские подключения к любым томам в группе томов, если CRC-32C не задан для дайджестов заголовков или данных для этих подключений. При отключении этого свойства проверка контрольной суммы эластичных томов SAN зависит от того, установлен ли CRC-32C для заголовков или дайджест данных на клиенте, но эластичная сеть SAN не отклонит подключения. Вы можете включить защиту CRC при создании эластичной сети SAN или включить ее в существующей эластичной сети SAN.

Клиентские подключения

После включения требуемых конечных точек и предоставления доступа в правилах сети можно подключиться к соответствующим томам Elastic SAN с помощью протокола iSCSI. Сведения о настройке клиентских подключений см. в статьях о том, как подключиться к кластеру Linux, Windows или Служба Azure Kubernetes.

Сеансы iSCSI могут периодически отключаться и повторно подключаться в течение дня. Эти отключения и повторное подключение являются частью регулярного обслуживания или результатом колебаний сети. Вы не должны столкнуться с снижением производительности в результате этих отключений и повторного подключения, и подключения должны повторно устанавливаться самостоятельно. Если подключение не устанавливается повторно или вы испытываете снижение производительности, вызовите запрос в службу поддержки.

Следующие шаги

• Настройка частных конечных точек для Azure Elastic SAN
• Настройка конечных точек службы для Azure Elastic SAN