Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Elastic SAN позволяет защитить и контролировать уровень доступа к томам Elastic SAN, которым требуются приложения и корпоративные среды. В этой статье описаны варианты предоставления пользователям и приложениям доступа к томам Elastic SAN из инфраструктуры виртуальной сети Azure.
Вы можете настроить группы томов Elastic SAN, чтобы разрешить доступ только через определенные конечные точки в определенных подсетях виртуальной сети. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или в другой подписке, включая подписки, принадлежащие другому клиенту Microsoft Entra. После настройки сетевого доступа для группы томов конфигурация наследуется всеми томами, принадлежащими группе.
В зависимости от конфигурации приложения в одноранговых виртуальных сетях или локальных сетях также могут получать доступ к томам в группе. Локальные сети должны быть подключены к виртуальной сети VPN или ExpressRoute. Дополнительные сведения о конфигурациях виртуальной сети см. в статье "Инфраструктура виртуальной сети Azure".
Существует два типа конечных точек виртуальной сети, которые можно настроить для предоставления доступа к группе томов Elastic SAN:
Как правило, следует использовать частные конечные точки вместо конечных точек службы, так как они предлагают лучшие возможности. Дополнительные сведения см. в разделе Приватный канал Azure. Дополнительные сведения о различиях между этими двумя см. в разделе "Сравнение частных конечных точек" и конечных точек служб.
После настройки конечных точек можно настроить сетевые правила для дальнейшего управления доступом к группе томов Elastic SAN. После настройки конечных точек и сетевых правил клиенты могут подключаться к томам в группе для обработки рабочих нагрузок.
Частные конечные точки
Приватный канал Azure позволяет безопасно получить доступ к группе томов Elastic SAN через частную конечную точку из подсети виртуальной сети. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт, устраняя риск предоставления вашей службы общедоступному Интернету. Частная конечная точка Elastic SAN использует набор IP-адресов из адресного пространства подсети для каждой группы томов. Максимальное число, используемое для каждой конечной точки, равно 20.
Частные конечные точки имеют несколько преимуществ по сравнению с конечными точками службы. Полное сравнение частных конечных точек с конечными точками службы см. в разделе "Сравнение частных конечных точек" и конечных точек служб.
Принцип работы
Трафик между виртуальной сетью и эластичной сетью SAN направляется по оптимальному пути в магистральной сети Azure. В отличие от конечных точек службы, не нужно настраивать сетевые правила, чтобы разрешить трафик из частной конечной точки, так как брандмауэр хранилища управляет доступом только через общедоступные конечные точки.
Дополнительные сведения о настройке частных конечных точек см. в статье "Настройка частных конечных точек" для Azure Elastic SAN.
Доступ из общедоступной сети
При создании SAN можно включить или отключить общедоступный доступ к конечным точкам Elastic SAN на уровне SAN. Если вы используете исключительно частные конечные точки, отключите доступ к общедоступной сети, включите его только в том случае, если вы используете конечные точки службы. Включение доступа к общедоступной сети для Эластичной сети SAN позволяет настроить общедоступный доступ к отдельным группам томов в этой сети SAN через конечные точки службы хранилища. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. При отключении общедоступного доступа на уровне SAN доступ к группам томов в этой сети SAN доступен только через частные конечные точки.
Конечные точки службы хранилища
Конечные точки службы Azure виртуальная сеть обеспечивают безопасное и прямое подключение к службам Azure с помощью оптимизированного маршрута через магистральную сеть Azure. Конечные точки службы позволяют защитить критически важные ресурсы службы Azure, чтобы получить к ним доступ только определенные виртуальные сети.
Конечные точки службы между регионами для служба хранилища Azure работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С межрегиональными конечными точками службы подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, включая учетные записи в других регионах. Вместо этого весь трафик из подсети в учетную запись хранения использует частный IP-адрес в качестве исходного IP-адреса.
Совет
Исходные конечные точки локальной службы, определенные как Microsoft.Storage, поддерживаются для обратной совместимости, но для новых развертываний следует создавать конечные точки между регионами, определяемые как Microsoft.Storage.Global.
Конечные точки службы между регионами и локальные не могут сосуществовать в одной подсети. Чтобы использовать конечные точки службы между регионами, удалите существующие конечные точки Microsoft.Storage и повторно создайте их как Microsoft.Storage.Global.
Управление сетевым трафиком
Частные конечные точки
При утверждении создания частной конечной точки он предоставляет неявный доступ ко всем трафику из подсети, в котором размещена частная конечная точка. Если вам нужно управлять трафиком на более детальном уровне, используйте политики сети.
Конечные точки службы
При использовании конечных точек службы необходимо настроить правила виртуальной сети, так как конечные точки службы блокируют все входящие запросы данных по умолчанию. Каждая группа томов в эластичной сети SAN поддерживает до 200 правил виртуальной сети. Если удалить подсеть, включенную в правило сети, она удаляется из сетевых правил для группы томов. Если вы создадите новую подсеть с тем же именем, она не будет иметь доступа к группе томов. Чтобы разрешить доступ, необходимо явно авторизовать новую подсеть в сетевых правилах группы томов. Клиенты, которым предоставлен доступ через эти сетевые правила, также должны быть предоставлены соответствующие разрешения для эластичной сети SAN для группы томов. Сведения об определении сетевых правил см. в статье "Настройка правил виртуальной сети"
Целостность данных
Целостность данных важна для предотвращения повреждения данных в облачном хранилище. TCP обеспечивает базовый уровень целостности данных через механизм контрольной суммы, его можно улучшить с помощью iSCSI с более надежным обнаружением ошибок с помощью проверки циклической избыточности (CRC), в частности CRC-32C. CRC-32C можно использовать для добавления проверки контрольной суммы для заголовков iSCSI и полезных данных.
Elastic SAN поддерживает проверку контрольной суммы CRC-32C при включении на стороне клиента для подключений к томам Elastic SAN. Elastic SAN также предоставляет возможность принудительного обнаружения этой ошибки с помощью свойства, которое можно задать на уровне группы томов, который наследуется любым томом в этой группе томов. Если включить это свойство в группе томов, elastic SAN отклоняет все клиентские подключения к любым томам в группе томов, если CRC-32C не задан для дайджестов заголовков или данных для этих подключений. При отключении этого свойства проверка контрольной суммы эластичных томов SAN зависит от того, установлен ли CRC-32C для заголовков или дайджест данных на клиенте, но эластичная сеть SAN не отклонит подключения. Вы можете включить защиту CRC при создании эластичной сети SAN или включить ее в существующей эластичной сети SAN.
Примечание.
Некоторые операционные системы могут не поддерживать заголовки iSCSI или дайджесты данных. Fedora и его подчиненные дистрибутивы Linux, такие как Red Hat Enterprise Linux, CentOS, Rocky Linux и т. д., не поддерживают дайджесты данных. Не включите защиту CRC в группах томов, если клиенты используют операционные системы, такие как эти, которые не поддерживают заголовки iSCSI или дайджесты данных, так как подключения к томам завершаются сбоем.
Клиентские подключения
После включения требуемых конечных точек и предоставления доступа в правилах сети можно подключиться к соответствующим томам Elastic SAN с помощью протокола iSCSI. Сведения о настройке клиентских подключений см. в статьях о том, как подключиться к кластеру Linux, Windows или Служба Azure Kubernetes.
Сеансы iSCSI могут периодически отключаться и повторно подключаться в течение дня. Эти отключения и повторное подключение являются частью регулярного обслуживания или результатом колебаний сети. Вы не должны столкнуться с снижением производительности в результате этих отключений и повторного подключения, и подключения должны повторно устанавливаться самостоятельно. Если подключение не устанавливается повторно или вы испытываете снижение производительности, вызовите запрос в службу поддержки.
Примечание.
Если подключение между виртуальной машиной и томом Elastic SAN потеряно, подключение повторяется в течение 90 секунд до завершения. Потеря подключения к Elastic SAN не приведет к перезапуску виртуальной машины.