Informace o síťových konfiguracích pro Elastic SAN
Síť SAN (Azure Elastic Storage Area Network) umožňuje zabezpečit a řídit úroveň přístupu ke svazkům Elastic SAN, které vyžadují vaše aplikace a podniková prostředí. Tento článek popisuje možnosti povolení přístupu uživatelů a aplikací ke svazkům elastické sítě SAN z infrastruktury virtuální sítě Azure.
Skupiny svazků Elastic SAN můžete nakonfigurovat tak, aby povolovali přístup jenom přes konkrétní koncové body v konkrétních podsítích virtuální sítě. Povolené podsítě můžou patřit do virtuální sítě ve stejném předplatném nebo do jiného předplatného, včetně předplatných patřících do jiného tenanta Microsoft Entra. Jakmile je pro skupinu svazků nakonfigurovaný síťový přístup, zdědí se konfigurace všemi svazky patřícími do skupiny.
V závislosti na konfiguraci můžou aplikace v partnerských virtuálních sítích nebo místních sítích přistupovat také ke svazkům ve skupině. Místní sítě musí být připojené k virtuální síti pomocí sítě VPN nebo ExpressRoute. Další informace o konfiguracích virtuální sítě najdete v tématu Infrastruktura virtuální sítě Azure.
Existují dva typy koncových bodů virtuální sítě, které můžete nakonfigurovat tak, aby umožňovaly přístup ke skupině svazků Elastic SAN:
Pokud chcete rozhodnout, která možnost je pro vás nejvhodnější, přečtěte si téma Porovnání privátních koncových bodů a koncových bodů služby. Obecně platí, že místo koncových bodů služby byste měli používat privátní koncové body, protože Služba Private Link nabízí lepší možnosti. Další informace najdete v tématu Azure Private Link.
Po konfiguraci koncových bodů můžete nakonfigurovat pravidla sítě, která budou dále řídit přístup ke skupině svazků Elastic SAN. Po nakonfigurování koncových bodů a pravidel sítě se klienti můžou připojit ke svazkům ve skupině a zpracovávat úlohy.
Přístup k veřejné síti
Veřejný internetový přístup ke koncovým bodům elastické sítě SAN můžete povolit nebo zakázat na úrovni SÍTĚ SAN. Povolení přístupu k veřejné síti pro elastickou síť SAN umožňuje nakonfigurovat veřejný přístup k jednotlivým skupinám svazků v této síti SAN přes koncové body služby úložiště. Ve výchozím nastavení je veřejný přístup k jednotlivým skupinám svazků odepřen, i když ho povolíte na úrovni SÍTĚ SAN. Pokud zakážete veřejný přístup na úrovni SÍTĚ SAN, bude přístup ke skupinám svazků v rámci této sítě SAN dostupný jenom přes privátní koncové body.
Integrita dat
Integrita dat je důležitá pro zabránění poškození dat v cloudovém úložišti. PROTOKOL TCP poskytuje základní úroveň integrity dat prostřednictvím mechanismu kontrolního součtu, může být vylepšena přes iSCSI s robustnější detekcí chyb pomocí kontroly cyklické redundance (CRC), konkrétně CRC-32C. CRC-32C lze použít k přidání ověření kontrolního součtu pro hlavičky iSCSI a datové části.
Elastic SAN podporuje ověření kontrolního součtu CRC-32C, pokud je povoleno na straně klienta pro připojení ke svazkům Elastic SAN. Elastic SAN také nabízí možnost vynutit tuto detekci chyb prostřednictvím vlastnosti, kterou lze nastavit na úrovni skupiny svazků, která je zděděna libovolným svazkem v rámci této skupiny svazků. Když tuto vlastnost povolíte ve skupině svazků, Elastic SAN odmítne všechna klientská připojení ke všem svazkům ve skupině svazků, pokud CRC-32C není pro tato připojení nastavená pro hlavičku nebo hodnoty hash dat. Když tuto vlastnost zakážete, ověření kontrolního součtu svazku SÍTĚ SAN elastické sítě SAN závisí na tom, jestli je pro hlavičku nebo hodnoty hash dat v klientovi nastavená hodnota CRC-32C, ale vaše elastická síť SAN neodmítne žádná připojení. Informace o povolení ochrany CRC najdete v tématu Konfigurace sítí.
Poznámka:
Některé operační systémy nemusí podporovat hlavičku iSCSI ani datové přehledy. Fedory a jeho podřízené distribuce Linuxu, jako jsou Red Hat Enterprise Linux, CentOS, Rocky Linux atd., nepodporují přehledy dat. Nepovolujte ochranu CRC ve skupinách svazků, pokud vaši klienti používají operační systémy, jako jsou ty, které nepodporují hlavičku iSCSI nebo datové hodnoty hash, protože připojení ke svazkům selžou.
Koncové body služby úložiště
Koncové body služby Azure Virtual Network poskytují zabezpečené a přímé připojení ke službám Azure pomocí optimalizované trasy přes páteřní síť Azure. Koncové body služby umožňují zabezpečit důležité prostředky služeb Azure, aby k nim měli přístup jenom konkrétní virtuální sítě.
Koncové body služeb mezi oblastmi pro Azure Storage fungují mezi virtuálními sítěmi a instancemi služby úložiště v libovolné oblasti. U koncových bodů služeb mezi oblastmi už podsítě nepoužívají veřejnou IP adresu ke komunikaci s žádným účtem úložiště, včetně těch v jiné oblasti. Místo toho veškerý provoz z podsítě do účtu úložiště používá privátní IP adresu jako zdrojovou IP adresu.
Tip
Původní místní koncové body služby označené jako Microsoft.Storage jsou stále podporovány kvůli zpětné kompatibilitě, ale pro nová nasazení byste měli vytvořit koncové body mezi oblastmi identifikované jako Microsoft.Storage.Global.
Koncové body služby mezi oblastmi a místní koncové body nemůžou existovat ve stejné podsíti. Pokud chcete používat koncové body služeb mezi oblastmi, možná budete muset odstranit existující koncové body Microsoft.Storage a znovu je vytvořit jako Microsoft.Storage.Global.
Privátní koncové body
Azure Private Link umožňuje bezpečně přistupovat ke skupině svazků Elastic SAN přes privátní koncový bod z podsítě virtuální sítě. Provoz mezi vaší virtuální sítí a službou prochází páteřní sítí Microsoftu a eliminuje riziko vystavení vaší služby veřejnému internetu. Privátní koncový bod elastické sítě SAN používá sadu IP adres z adresního prostoru podsítě pro každou skupinu svazků. Maximální počet použitý na koncový bod je 20.
Privátní koncové body mají oproti koncovým bodům služby několik výhod. Úplné porovnání privátních koncových bodů s koncovými body služby najdete v tématu Porovnání privátních koncových bodů a koncových bodů služby.
Omezení
Privátní koncové body se v současné době nepodporují pro elastické sítě SAN využívající zónově redundantní úložiště (ZRS).
Jak to funguje
Provoz mezi virtuální sítí a elastickou sítí SAN se směruje přes optimální cestu v páteřní síti Azure. Na rozdíl od koncových bodů služby nemusíte konfigurovat pravidla sítě tak, aby umožňovala provoz z privátního koncového bodu, protože brána firewall úložiště řídí přístup pouze prostřednictvím veřejných koncových bodů.
Podrobnosti o konfiguraci privátních koncových bodů najdete v tématu Povolení privátního koncového bodu.
Pravidla virtuálních sítí
Pokud chcete dále zabezpečit přístup ke svazkům Elastic SAN, můžete vytvořit pravidla virtuální sítě pro skupiny svazků nakonfigurované pomocí koncových bodů služby, které umožňují přístup z konkrétních podsítí. K povolení provozu z privátního koncového bodu nepotřebujete pravidla sítě, protože brána firewall úložiště řídí přístup pouze prostřednictvím veřejných koncových bodů.
Každá skupina svazků podporuje až 200 pravidel virtuální sítě. Pokud odstraníte podsíť, která je součástí pravidla sítě, odebere se z pravidel sítě pro skupinu svazků. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup ke skupině svazků. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro skupinu svazků.
Klientům udělený přístup prostřednictvím těchto pravidel sítě musí být udělena také příslušná oprávnění k elastické síti SAN ke skupině svazků.
Informace o definování pravidel sítě najdete v tématu Správa pravidel virtuální sítě.
Připojení klientů
Po povolení požadovaných koncových bodů a udělení přístupu v pravidlech sítě se můžete připojit k příslušným svazkům ELASTIC SAN pomocí protokolu iSCSI. Informace o konfiguraci připojení klientů najdete v článcích o připojení k Linuxu, Windows nebo clusteru Azure Kubernetes Service.
Relace iSCSI se můžou v průběhu dne pravidelně odpojovat a znovu připojovat. Tyto odpojení a opětovné připojení jsou součástí pravidelné údržby nebo výsledku kolísání sítě. V důsledku těchto odpojení a opětovného připojení byste neměli zaznamenat žádné snížení výkonu a připojení by se měla znovu navázat. Pokud se připojení znovu nenaváže nebo dochází ke snížení výkonu, vytvořte lístek podpory.
Poznámka:
Pokud dojde ke ztrátě připojení mezi virtuálním počítačem a svazkem elastické sítě SAN, připojení se bude opakovat po dobu 90 sekund, dokud se ukončí. Ztráta připojení ke svazku Elastic SAN nezpůsobí restartování virtuálního počítače.