Konfigurieren des Netzwerkzugriffs für Azure Elastic SAN

Sie können den Zugriff auf Ihre Azure Elastic SAN-Volumes (Storage Area Network) steuern. Durch die Steuerung des Zugriffs können Sie Ihre Daten schützen und die Anforderungen Ihrer Anwendungen und Unternehmensumgebungen erfüllen.

In diesem Artikel wird beschrieben, wie Sie Ihr Elastic SAN so konfigurieren, dass der Zugriff von Ihrer Virtuellen Azure-Netzwerkinfrastruktur aus zugelassen wird.

So konfigurieren Sie den Netzwerkzugriff auf Ihr Elastic SAN:

• Konfigurieren des öffentlichen Netzwerkzugriffs
• Konfigurieren Sie einen virtuellen Netzwerkendpunkt.
• Konfigurieren Sie Clientverbindungen.

Voraussetzungen

• Wenn Sie Azure PowerShell verwenden, installieren Sie das neueste Azure PowerShell-Modul.
• Wenn Sie die Azure CLI verwenden, installieren Sie die neueste Version.
• Nachdem Sie die neueste Version installiert haben, führen Sie az extension add -n elastic-san zum Installieren der Erweiterung für Elastic SAN aus. Es sind keine zusätzlichen Registrierungsschritte erforderlich.

Begrenzungen

Die folgende Liste enthält die Regionen, in denen Elastic SAN derzeit verfügbar ist, und zeigt, in welchen Regionen zonenredundanter Speicher (ZRS) sowie lokal redundanter Speicher (LRS) oder nur LRS unterstützt wird:

• Australien, Osten: LRS
• Brasilien, Süden - LRS
• Kanada, Mitte - LRS
• USA, Mitte – LRS
• Ostasien - LRS
• USA, Osten: LRS
• USA, Osten 2: LRS
• Frankreich, Mitte – LRS und ZRS
• Deutschland, Westen-Mitte - LRS
• Indien, Mitte – LRS
• Japan, Osten - LRS
• Südkorea, Mitte - LRS
• Europa, Norden – LRS und ZRS
• Norwegen, Osten – LRS
• Südafrika, Norden - LRS
• USA, Süden-Mitte: LRS
• Asien, Südosten – LRS
• Schweden, Mitte: LRS
• Schweiz, Norden - LRS
• VAE, Norden – LRS
• Vereinigtes Königreich, Süden: LRS
• Europa, Westen – LRS und ZRS
• USA, Westen 2 – LRS und ZRS
• USA, Westen 3: LRS

Elastic SAN ist auch in den folgenden Regionen verfügbar, aber ohne Unterstützung für Verfügbarkeitszonen:

• Kanada, Osten – LRS
• Japan, Westen – LRS
• USA, Norden-Mitte – LRS

Um diese Regionen zu aktivieren, führen Sie den folgenden Befehl aus, um das erforderliche Feature-Flag zu registrieren:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Konfigurieren des öffentlichen Netzwerkzugriffs

Sie aktivieren den öffentlichen Internetzugriff auf Ihre Elastic SAN-Endpunkte auf SAN-Ebene. Durch Aktivieren des öffentlichen Netzwerkzugriffs für ein Elastic SAN können Sie den öffentlichen Zugriff auf einzelne Datenträgergruppen über Speicherdienstendpunkte konfigurieren. Standardmäßig wird der öffentliche Zugriff auf einzelne Datenträgergruppen verweigert, auch wenn Sie ihn auf SAN-Ebene zulassen. Sie müssen Ihre Datenträgergruppen explizit so konfigurieren, dass der Zugriff von bestimmten IP-Adressbereichen und virtuellen Netzwerksubnetzen zugelassen wird.

Sie können den Zugriff auf öffentliche Netzwerke aktivieren, wenn Sie ein elastisches SAN erstellen oder es für ein vorhandenes SAN aktivieren, indem Sie das Azure PowerShell-Modul oder die Azure-Befehlszeilenschnittstelle verwenden.

Portal

Verwenden Sie das Azure PowerShell-Modul oder die Azure-Befehlszeilenschnittstelle, um den Zugriff auf öffentliche Netzwerke zu ermöglichen.

PowerShell

Verwenden Sie diesen Beispielcode, um ein Elastic SAN mit aktiviertem öffentlichen Netzwerkzugriff mithilfe von PowerShell zu erstellen. Ersetzen Sie die Variablenwerte, bevor Sie das Beispiel ausführen.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

Verwenden Sie diesen Beispielcode, um ein Elastic SAN zu aktualisieren, um den Zugriff auf öffentliche Netzwerke mithilfe von PowerShell zu ermöglichen. Ersetzen Sie die Werte von RgName und EsanName durch eigene und führen Sie dann das Beispiel aus:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Azure-Befehlszeilenschnittstelle

Verwenden Sie diesen Beispielcode, um ein Elastic SAN mit aktiviertem öffentlichem Netzwerkzugriff mithilfe der Azure CLI zu erstellen. Ersetzen Sie die Variablenwerte, bevor Sie das Beispiel ausführen.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

Verwenden Sie diesen Beispielcode, um ein Elastic SAN zu aktualisieren, um den Zugriff auf öffentliche Netzwerke mithilfe der Azure CLI zu ermöglichen. Ersetzen Sie die Werte von RgName und EsanName durch ihre eigenen Werte:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Konfigurieren der iSCSI-Fehlererkennung

Aktivieren der iSCSI-Fehlererkennung

Um die CRC-32C-Prüfsummenüberprüfung für iSCSI-Header oder Datennutzlasten zu aktivieren, setzen Sie CRC-32C auf Header- oder Daten-Digests für alle Verbindungen auf Ihren Clients, die eine Verbindung mit Elastic SAN-Volumes herstellen. Verbinden Sie dazu Ihre Clients mit Elastic SAN-Volumes mithilfe von Multisession-Skripten, die entweder im Azure-Portal generiert oder in den Windows- oder Linux-Artikeln zur Elastic SAN-Verbindung bereitgestellt wurden.

Falls erforderlich, können Sie dies auch ohne die Multisession-Verbindungsskripte tun. Bei Windows können Sie dies tun, indem Sie Header- oder Daten-Digests während der Anmeldung bei den Elastic SAN-Volumes (LoginTarget und PersistentLoginTarget) auf 1 festlegen. Bei Linux können Sie dies tun, indem Sie die globale iSCSI-Konfigurationsdatei aktualisieren (iscsid.conf, normalerweise im Verzeichnis /etc/iscsi verfügbar). Wenn ein Volume verbunden wird, wird ein Knoten mit einer für diesen Knoten spezifischen Konfigurationsdatei erstellt (unter Ubuntu befindet sie sich beispielsweise im Verzeichnis /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port), die die Einstellungen aus der globalen Konfigurationsdatei übernimmt. Wenn Sie bereits ein oder mehrere Volumes mit Ihrem Client verbunden haben, bevor Sie Ihre globale Konfigurationsdatei aktualisieren, aktualisieren Sie die knotenspezifische Konfigurationsdatei für jedes Volume direkt oder mit dem folgenden Befehl:

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Hierbei gilt:

• $volume_iqn: IQN des Elastic SAN-Volume
• $portal_hostname: Portal-Hostname des Elastic SAN-Volume
• $port: 3260
• $iscsi_setting_name: node.conn[0].iscsi.HeaderDigest (or) node.conn[0].iscsi.DataDigest
• $setting_value: CRC32C

Erzwingen der iSCSI-Fehlererkennung

Um die iSCSI-Fehlererkennung zu erzwingen, stellen Sie CRC-32C für Header- und Daten-Digests auf Ihren Clients ein und aktivieren Sie die CRC-Schutzeigenschaft in der Volumegruppe, die Volumes enthält, die bereits mit Ihren Clients verbunden sind oder noch verbunden werden müssen. Wenn Ihre Elastic SAN-Volumes bereits verbunden sind und nicht über CRC-32C für beide Prüfsummen verfügen, sollten Sie die Volumes trennen und mithilfe von Multisession-Skripts, die im Azure-Portal beim Verbinden mit einem Elastic SAN-Volume generiert werden, oder mithilfe der Windows- oder Linux-Artikel zur Elastic SAN-Verbindung erneut verbinden.

Hinweis

Das CRC-Schutzfeature ist derzeit in Europa, Norden und USA, Süden-Mitte nicht verfügbar.

So aktivieren Sie den CRC-Schutz für die Volumegruppe:

Portal

So aktivieren Sie den CRC-Schutz für eine neue Volumegruppe:

So aktivieren Sie den CRC-Schutz für eine bestehende Volumegruppe:

PowerShell

Verwenden Sie dieses Skript, um den CRC-Schutz für eine neue Volumegruppe mithilfe des Azure PowerShell-Moduls zu aktivieren. Ersetzen Sie die Werte von $RgName, $EsanName und $EsanVgName, bevor Sie das Skript ausführen.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The name of volume group within the Elastic SAN.
$EsanVgName = "<VolumeGroupName>"

# Create a volume group by enabling CRC protection
New-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

Verwenden Sie dieses Skript, um den CRC-Schutz für eine bestehende Volumegruppe mithilfe des Azure PowerShell-Moduls zu aktivieren. Ersetzen Sie die Werte von $RgName, $EsanName und $EsanVgName, bevor Sie das Skript ausführen.

# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
$EsanVgName = "<VolumeGroupName>"

# Edit a volume group to enable CRC protection
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

Azure-Befehlszeilenschnittstelle

Im folgenden Codebeispiel wird der CRC-Schutz für eine neue Volumegruppe mit Azure CLI aktiviert. Ersetzen Sie die Werte von RgName, EsanName und EsanVgName, bevor Sie das Beispiel ausführen.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
EsanName="<ElasticSanName>"
# The name of volume group within the Elastic SAN.
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

Im folgenden Codebeispiel wird der CRC-Schutz für eine bestehende Volumegruppe mit Azure CLI aktiviert. Ersetzen Sie die Werte von RgName, EsanName und EsanVgName, bevor Sie das Beispiel ausführen.

# Set the variable values.
RgName="<ResourceGroupName>"
EsanName="<ElasticSanName>"
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

Konfigurieren eines virtuellen Netzwerkendpunkts

Sie können Ihre Elastic SAN-Volumegruppen so konfigurieren, dass der Zugriff nur über bestimmte Endpunkte in bestimmten VNet-Subnetzen zugelassen wird. Die zulässigen Subnetze können zu virtuellen Netzwerken in demselben Abonnement oder in einem anderen Abonnement gehören, einschließlich Abonnements, die zu einem anderen Microsoft Entra-Mandanten gehören.

Sie können den Zugriff auf Ihre Elastic SAN-Volumegruppen über zwei Arten von Azure-VNet-Endpunkten zulassen:

• Private Endpunkte
• Speicherdienstendpunkte

Ein privater Endpunkt verwendet eine oder mehrere private IP-Adressen aus Ihrem Subnetz des virtuellen Netzwerks, um über das Microsoft-Backbonenetzwerk auf eine Elastic SAN-Volumegruppe zuzugreifen. Bei einem privaten Endpunkt wird der Datenverkehr zwischen Ihrem virtuellen Netzwerk und der Volumegruppe über eine private Verbindung gesichert.

VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Sie können Regeln für virtuelle Netzwerke konfigurieren, um den Zugriff auf Ihre Volumegruppe zu steuern, wenn Sie Speicherdienstendpunkte verwenden.

Netzwerkregeln gelten nur für die öffentlichen Endpunkte einer Volumegruppe, nicht für private Endpunkte. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet. Sie können Netzwerkrichtlinien verwenden, um den Datenverkehr über private Endpunkte zu steuern, wenn Sie differenziertere Zugriffsregeln definieren möchten. Wenn Sie ausschließlich private Endpunkte verwenden möchten, aktivieren Sie keine Dienstendpunkte für die Datenträgergruppe.

Informationen dazu, welcher Endpunkt für Sie am besten geeignet ist, finden Sie unter Private Endpunkte und Dienstendpunkte im Vergleich.

Sobald der Netzwerkzugriff für eine Volumegruppe konfiguriert ist, wird die Konfiguration von allen Volumes geerbt, die zur Gruppe gehören.

Der Prozess zum Aktivieren der einzelnen Endpunkttypen:

• Konfigurieren eines privaten Endpunkts
• Konfigurieren eines Azure Storage-Dienstendpunkts

Konfigurieren eines privaten Endpunkts

Wichtig

• Für Elastic SAN mit einem lokal redundantem Speicher (LRS) als Redundanzoption werden private Endpunkte in allen Regionen unterstützt, in denen Elastic SAN verfügbar ist. Private Endpunkte werden derzeit nicht für Elastic SAN mit einem zonenredundantem Speicher (ZRS) als Redundanzoption unterstützt.

Beim Konfigurieren einer Verbindung mit einem privaten Endpunkt sind zwei Schritte erforderlich:

• Erstellen des Endpunkts und der zugeordneten Verbindung.
• Genehmigen der Verbindung.

Sie können auch Netzwerkrichtlinien verwenden, um die Zugriffssteuerung für private Endpunkte zu verfeinern.

Um einen privaten Endpunkt für eine Elastic SAN-Volumegruppe zu erstellen, müssen Sie über die Rolle Elastic SAN Volumegruppenbesitzer verfügen. Um eine neue Verbindung mit einem privaten Endpunkt zu genehmigen, benötigen Sie die Berechtigung für den Azure-Ressourcenanbietervorgang Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. Die Berechtigung für diesen Vorgang ist in der Rolle Elastic SAN Netzwerkadministrator enthalten, kann aber auch über eine benutzerdefinierte Azure-Rolle erteilt werden.

Wenn Sie den Endpunkt aus einem Benutzerkonto erstellen, das über alle für die Erstellung und Genehmigung erforderlichen Rollen und Berechtigungen verfügt, kann der Prozess in einem Schritt abgeschlossen werden. Andernfalls sind zwei separate Schritte von zwei verschiedenen Benutzern erforderlich.

Die Elastic SAN-Instanz und das virtuelle Netzwerk können sich in verschiedenen Ressourcengruppen, Regionen und Abonnements befinden, einschließlich Abonnements, die verschiedenen Microsoft Entra-Mandanten gehören. In diesen Beispielen erstellen wir den privaten Endpunkt in derselben Ressourcengruppe wie das virtuelle Netzwerk.

Portal

Sie können eine private Endpunktverbindung mit Ihrer Volumegruppe im Azure-Portal erstellen, wenn Sie eine Volumegruppe erstellen oder eine vorhandene Volumegruppe ändern. Sie benötigen ein vorhandenes virtuelles Netzwerk, um einen privaten Endpunkt zu erstellen.

Wenn Sie eine Volumegruppe erstellen oder ändern, wählen Sie Netzwerk und dann unter Verbindungen mit privatem Endpunkt die Option + Privaten Endpunkt erstellen aus.

Füllen Sie die Werte im angezeigten Menü aus, und wählen Sie das virtuelle Netzwerk und das Subnetz aus, die Ihre Anwendungen für die Verbindungsherstellung verwenden werden. Wenn Sie fertig sind, wählen Sie Hinzufügen und Speichern aus.

PowerShell

Das Bereitstellen eines privaten Endpunkts für eine Elastic SAN Volumegruppe mit PowerShell umfasst die folgenden Schritte:

1. Rufen Sie das Subnetz aus den Anwendungen ab, die eine Verbindung herstellen.
2. Rufen Sie die Elastic SAN Volumegruppe ab.
3. Erstellen Sie eine Private Link-Dienstverbindung mithilfe der Volumegruppe als Eingabe.
4. Erstellen Sie den privaten Endpunkt mithilfe des Subnetzes und der Private Link-Dienstverbindung als Eingabe.
5. Optional, wenn Sie den zweistufigen Prozess (Erstellung, dann Genehmigung) verwenden: Der Elastic SAN-Netzwerkadministrator genehmigt die Verbindung.

Verwenden Sie diesen Beispielcode, um einen privaten Endpunkt für Ihre Elastic SAN-Volumegruppe mit PowerShell zu erstellen. Ersetzen Sie die Werte von RgName, VnetName, SubnetName, EsanName, EsanVgName, PLSvcConnectionName, EndpointName, und Location (Region) durch Ihre eigenen Werte:

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

Verwenden Sie diesen Beispielcode, um die Private Link-Dienstverbindung zu genehmigen, wenn Sie den zweistufigen Prozess verwenden. Verwenden Sie die Variablen aus dem vorherigen Codebeispiel:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Azure-Befehlszeilenschnittstelle

Das Bereitstellen eines privaten Endpunkts für eine Elastic SAN-Volumegruppe mithilfe der Azure-Befehlszeilenschnittstelle umfasst drei Schritte:

1. Rufen Sie die ID der privaten Verbindungsressource des Elastic SAN ab.
2. Erstellen Sie den privaten Endpunkt mithilfe von Eingaben:
   1. ID der privaten Verbindungsressource
   2. Volume-Gruppenname
   3. Ressourcengruppenname
   4. Subnetzname
   5. Name des virtuellen Netzwerks
3. Optional: Wenn Sie den zweistufigen Prozess (Erstellung, dann Genehmigung) verwenden: Der Elastic SAN-Netzwerkadministrator genehmigt die Verbindung.

Verwenden Sie diesen Beispielcode, um einen privaten Endpunkt für Ihre Elastic SAN-Volumegruppe mit der Azure CLI zu erstellen. Heben Sie die Auskommentierung des Parameters --manual-request auf, wenn Sie den zweistufigen Prozess verwenden. Ersetzen Sie alle Beispielvariablenwerte durch Ihre eigenen:

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

Verwenden Sie diesen Beispielcode, um die Private Link-Dienstverbindung zu genehmigen, wenn Sie den zweistufigen Prozess verwenden. Verwenden Sie die Variablen aus dem vorherigen Codebeispiel:

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Konfigurieren eines Azure Storage-Dienstendpunkts

Zum Konfigurieren eines Azure Storage-Dienstendpunkts über das virtuelle Netzwerk, in dem Zugriff erforderlich ist, benötigen Sie die Berechtigung für den Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure-Ressourcenanbietervorgang über eine benutzerdefinierte Azure-Rolle, um einen Dienstendpunkt zu konfigurieren.

VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Sie können Regeln für virtuelle Netzwerke konfigurieren, um den Zugriff auf Ihre Volumegruppe zu steuern, wenn Sie Speicherdienstendpunkte verwenden.

Hinweis

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Microsoft Entra-Mandanten sind, wird zurzeit nur über PowerShell, CLI und Rest-APIs unterstützt. Diese Regeln können nicht über das Azure-Portal konfiguriert werden, obwohl sie darin möglicherweise angezeigt werden.

Portal

1. Navigieren Sie zu Ihrem virtuellen Netzwerk, und wählen Sie Dienstendpunkte aus.

2. Klicken Sie auf + Hinzufügen.

3. Auf dem Bildschirm Dienstendpunkte hinzufügen:

   1. Wählen Sie unter Dienst die Option Microsoft.Storage.Global aus, um einen regionsübergreifenden Dienstendpunkt hinzuzufügen.

   Hinweis

   Möglicherweise wird Microsoft.Storage als verfügbarer Speicherdienstendpunkt aufgeführt. Diese Option gilt für Endpunkte innerhalb einer Region, die nur aus Gründen der Abwärtskompatibilität existieren. Verwenden Sie immer regionsübergreifende Endpunkte, es sei denn, Sie haben einen bestimmten Grund für die Verwendung regionsinterner Endpunkte.

4. Wählen Sie für Subnetze alle Subnetze aus, in denen Sie den Zugriff zulassen möchten.

5. Wählen Sie Hinzufügen.

PowerShell

Verwenden Sie diesen Beispielcode, um einen Speicherdienstendpunkt für Ihre Elastic SAN-Volumegruppe mit PowerShell zu erstellen.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Azure-Befehlszeilenschnittstelle

Verwenden Sie diesen Beispielcode, um einen Speicherdienstendpunkt für Ihre Elastic SAN-Volumegruppe mit der Azure CLI zu erstellen.

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Konfigurieren von Regeln für virtuelle Netzwerke

Alle eingehenden Anforderungen für Daten über einen Dienstendpunkt werden standardmäßig blockiert. Nur Anwendungen, die Daten aus zulässigen Quellen anfordern, die Sie in den Netzwerkregeln konfigurieren, können auf Ihre Daten zugreifen.

Sie können VNET-Regeln für Volumegruppen über das Azure-Portal, PowerShell oder die CLI verwalten.

Wichtig

Wenn Sie den Zugriff auf Ihr Speicherkonto über ein virtuelles Netzwerk/Subnetz in einem anderen Microsoft Entra-Mandanten aktivieren möchten, müssen Sie PowerShell oder die Azure CLI verwenden. Das Azure-Portal zeigt keine Subnetze in anderen Microsoft Entra-Mandanten an.

Wenn Sie ein Subnetz löschen, das in eine Netzwerkregel einbezogen wurde, wird es aus den Netzwerkregeln für die Volumegruppe entfernt. Wenn Sie ein neues Subnetz mit demselben Namen erstellen, hat es keinen Zugriff auf die Volumegruppe. Wenn Sie den Zugriff zulassen möchten, müssen Sie das neue Subnetz in den Netzwerkregeln für die Volumegruppe explizit autorisieren.

Portal

1. Navigieren Sie zu Ihrem SAN, und wählen Sie Volumegruppen aus.
2. Wählen Sie eine Volumegruppe und anschließend Erstellen aus.
3. Fügen Sie ein vorhandenes virtuelles Netzwerk und Subnetz hinzu, und wählen Sie Speichern aus.

PowerShell

• Installieren Sie Azure PowerShell, und melden Sie sich an.

• Listen Sie die VNET-Regeln auf.

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule
  

  Tipp

  Wenn Sie eine Netzwerkregel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie einen vollqualifizierten VirtualNetworkResourceId-Parameter im Format „/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name“.

• Entfernen Sie eine VNET-Regel.

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Azure-Befehlszeilenschnittstelle

• Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

• Listen Sie Informationen aus einer bestimmten Volumegruppe, einschließlich deren VNET-Regeln, auf.

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

  Tipp

  Wenn Sie eine Regel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie eine vollqualifizierte Subnetz-ID im Format /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

  Mithilfe des Parameters Abonnement können Sie die Subnetz-ID für ein virtuelles Netzwerk abrufen, das zu einem anderen Microsoft Entra-Mandanten gehört.

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• Entfernen Sie eine Netzwerkregel. Mit dem folgenden Befehl wird die erste Netzwerkregel entfernt. Ändern Sie ihn, um die von Ihnen gewünschte Netzwerkregel zu entfernen.

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

Konfigurieren von Clientverbindungen

Nachdem Sie die gewünschten Endpunkte aktiviert und den Zugriff in Ihren Netzwerkregeln gewährt haben, können Sie Ihre Clients so konfigurieren, dass sie eine Verbindung mit den entsprechenden Elastic SAN-Datenträgern herstellen.

Hinweis

Wenn eine Verbindung zwischen einem virtuellen Computer (einer VM) und einem Elastic SAN-Volume verloren geht, wird der Aufbau der Verbindung 90 Sekunden lang erneut versucht, bis sie beendet wird. Wenn eine Verbindung mit einem Elastic SAN-Volume verloren geht, wird die VM nicht neu gestartet.

Nächste Schritte

• Verbinden von Azure Elastic SAN-Volumes mit einem Azure Kubernetes Service-Cluster
• Herstellen einer Verbindung mit Elastic SAN-Volumes: Linux
• Herstellen einer Verbindung mit Elastic SAN-Volumes: Windows