Compartir a través de


Más información sobre las configuraciones de red de Elastic SAN

La red de área de almacenamiento (SAN) de Azure Elastic le permite proteger y controlar el nivel de acceso a los volúmenes de Elastic SAN que sus aplicaciones y entornos empresariales requieren. En este artículo se describen las opciones para permitir que los usuarios y las aplicaciones accedan a volúmenes de Elastic SAN desde una infraestructura de red virtual de Azure.

Puede configurar grupos de volúmenes Elastic SAN para permitir el acceso solo a través de puntos de conexión específicos en subredes de red virtual específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o a las de otra suscripción, incluidas las suscripciones que pertenecen a otro inquilino de Microsoft Entra. Una vez configurado el acceso a la red para un grupo de volúmenes, todos los volúmenes que pertenecen al grupo heredan la configuración.

En función de la configuración, las aplicaciones en redes virtuales emparejadas o redes locales también pueden acceder a volúmenes del grupo. Las redes locales deben estar conectadas a la red virtual mediante una VPN o ExpressRoute. Para obtener más información sobre las configuraciones de red virtual, consulte Infraestructura de red virtual de Azure.

Hay dos tipos de puntos de conexión de red virtual que puede configurar para permitir el acceso a un grupo de volúmenes de Elastic SAN:

Para decidir qué opción es mejor para usted, consulte Comparación entre puntos de conexión privados y puntos de conexión de servicio. Por lo general, debe usar puntos de conexión privados en lugar de puntos de conexión de servicio, ya que Private Link ofrece mejores funcionalidades. Para obtener más información, consulte Azure Private Link.

Después de configurar los puntos de conexión, puede configurar reglas de red para controlar aún más el acceso al grupo de volúmenes de Elastic SAN. Una vez configurados los puntos de conexión y las reglas de red, los clientes pueden conectarse a volúmenes del grupo para procesar sus cargas de trabajo.

Acceso a una red pública

Puede habilitar o deshabilitar el acceso público a Internet a los puntos de conexión de la Elastic SAN en el nivel de la SAN. Habilitar el acceso a la red pública para una Elastic SAN le permite configurar el acceso público a grupos de volúmenes individuales de esa SAN a través de puntos de conexión de servicio de almacenamiento. De forma predeterminada, se deniega el acceso público a grupos de volúmenes individuales incluso si se permite en el nivel la SAN. Si deshabilita el acceso público en el nivel de la SAN, el acceso a los grupos de volúmenes dentro de esa SAN solo está disponible a través de los puntos de conexión privados.

Integridad de datos

La integridad de los datos es importante para evitar los datos dañados en el almacenamiento en la nube. TCP proporciona un nivel fundamental de integridad de datos a través de su mecanismo de suma de comprobación, se puede mejorar a través de iSCSI con una detección de errores más sólida con una prueba cíclica de redundancia (CRC), específicamente CRC-32C. CRC-32C se puede usar para agregar comprobación de suma de comprobación para encabezados de iSCSI y cargas de datos.

Elastic SAN admite la comprobación de suma de comprobación CRC-32C cuando está habilitada en el lado cliente para las conexiones a volúmenes de Elastic SAN. Elastic SAN también ofrece la capacidad de aplicar esta detección de errores a través de una propiedad que se puede establecer en el nivel de grupo de volúmenes, que hereda cualquier volumen dentro de ese grupo de volúmenes. Al habilitar esta propiedad en un grupo de volúmenes, Elastic SAN rechaza todas las conexiones de cliente a los volúmenes del grupo de volúmenes si CRC-32C no está establecido para resúmenes de encabezado o datos en esas conexiones. Al deshabilitar esta propiedad, la comprobación de la suma de comprobación de volumen de Elastic SAN depende de si CRC-32C está establecido para resúmenes de datos o encabezados en el cliente, pero Elastic SAN no rechazará ninguna conexión. Para obtener información sobre cómo habilitar la protección CRC, consulte Configuración de redes.

Nota:

Es posible que algunos sistemas operativos no admitan resúmenes de datos o encabezados de iSCSI. Fedora y sus distribuciones de Linux descendentes, como Red Hat Enterprise Linux, CentOS, Rocky Linux, etc. no admiten resúmenes de datos. No habilite la protección CRC en los grupos de volúmenes si los clientes usan sistemas operativos como estos que no admiten resúmenes de datos o encabezados de iSCSI porque se producirá un error en las conexiones a los volúmenes.

Puntos de conexión de servicio de almacenamiento

Puntos de conexión de servicio de red virtual de Azure proporciona conectividad segura y directa a los servicios de Azure mediante una ruta optimizada a través de la red troncal de Azure. Los puntos de conexión de servicio le permiten proteger los recursos críticos del servicio de Azure para que solo las redes virtuales específicas puedan acceder a ellos.

Los puntos de conexión de servicio entre regiones para Azure Storage funcionan entre redes virtuales e instancias de servicio en cualquier región. Con los puntos de conexión de servicio entre regiones, las subredes ya no usan una dirección IP pública para comunicarse con ninguna cuenta de almacenamiento, incluidas las de otra región. En su lugar, todo el tráfico de subredes a las cuentas de almacenamiento usa una dirección IP privada como dirección IP de origen.

Sugerencia

Los puntos de conexión de servicio locales originales, identificados como Microsoft.Storage, siguen siendo compatibles con versiones anteriores, pero debe crear puntos de conexión entre regiones, identificados como Microsoft.Storage.Global, para las nuevas implementaciones.

Los puntos de conexión de servicio locales y entre regiones no pueden coexistir en la misma subred. Para usar puntos de conexión de servicio entre regiones, es posible que sea necesario eliminar los puntos de conexión de Microsoft.Storage existentes y volver a crearlos como entre regiones (Microsoft.Storage.Global).

Puntos de conexión privados

Azure Private Link permite acceder a un grupo de volúmenes de Elastic SAN de forma segura a través de un punto de conexión privado desde una subred de red virtual. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft y elimina el riesgo de exposición a la red pública de Internet. Un punto de conexión privado de Elastic SAN usa un conjunto de direcciones IP del espacio de direcciones de subred para cada grupo de volúmenes. El número máximo utilizado por punto de conexión es 20.

Los puntos de conexión privados tienen varias ventajas sobre los puntos de conexión de servicio. Para obtener una comparación completa de los puntos de conexión privados con los puntos de conexión de servicio, consulte Comparación de puntos de conexión privados y puntos de conexión de servicio.

Restricciones

Los puntos de conexión privados no se admiten actualmente para las Elastic SAN mediante almacenamiento con redundancia de zona (ZRS).

Cómo funciona

El tráfico entre la red virtual y Elastic SAN se enruta a través de una ruta óptima en la red troncal de Azure. A diferencia de los puntos de conexión de servicio, no es necesario configurar las reglas de red para permitir el tráfico desde un punto de conexión privado, ya que el firewall de almacenamiento solo controla el acceso a través de puntos de conexión públicos.

Para más información sobre cómo configurar puntos de conexión privados, consulte Habilitación del punto de conexión privado.

Reglas de red virtual

Para proteger aún más el acceso a los volúmenes de Elastic SAN, puede crear reglas de red virtual para grupos de volúmenes configurados con puntos de conexión de servicio para permitir el acceso desde subredes específicas. A diferencia de los puntos de conexión de servicio, no es necesario configurar las reglas de red para permitir el tráfico desde un punto de conexión privado, ya que el firewall de almacenamiento solo controla el acceso a través de puntos de conexión públicos.

Cada grupo de volúmenes admite hasta 200 reglas de red virtual. Si elimina una subred que se ha incluido en una regla de red, se quita de las reglas de red del grupo de volúmenes. Si crea una subred con el mismo nombre, no tendrá acceso al grupo de volúmenes. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red del grupo de volúmenes.

También deben concederse los permisos adecuados al Elastic SAN del grupo de volúmenes a los clientes a los que se concede acceso a través de estas reglas de red.

Para obtener información sobre cómo definir las reglas de red, consulte Administración de reglas de red virtual.

Conexiones de cliente

Una vez habilitados los puntos de conexión deseados y concedido acceso en las reglas de red, puede conectarse a los volúmenes de Elastic SAN adecuados mediante el protocolo iSCSI. Para obtener información sobre cómo configurar conexiones de cliente, consulte los artículos sobre cómo conectarse a Linux, Windows o un clúster de Azure Kubernetes Service.

Las sesiones de iSCSI pueden desconectarse y reconectarse periódicamente a lo largo del día. Estas desconexiones y reconexiones forman parte del mantenimiento regular o son el resultado de las fluctuaciones de la red. No debería experimentar ninguna degradación del rendimiento como resultado de estas desconexiones y reconexiones, y las conexiones deberían restablecerse por sí solas. Si una conexión no se vuelve a establecer o está experimentando una degradación del rendimiento, genere una incidencia de soporte técnico.

Nota:

Si se pierde una conexión entre una máquina virtual (VM) y un volumen de Elastic SAN, la conexión volverá a intentarlo durante 90 segundos hasta que finalice. La pérdida de una conexión a un volumen de Elastic SAN no hará que la máquina virtual se reinicie.

Pasos siguientes

Configuración de conexión en red de Elastic SAN