Compartir vía


Configuración del acceso de red para Azure Elastic SAN

Puede controlar el acceso a los volúmenes de la red de área de almacenamiento (SAN) de Azure Elastic. El control del acceso permite proteger los datos y satisfacer las necesidades de las aplicaciones y los entornos empresariales.

En este artículo se describe cómo configurar Elastic SAN para permitir el acceso desde la infraestructura de red virtual de Azure.

Para configurar el acceso de red a la Elastic SAN:

Requisitos previos

Limitaciones

La lista siguiente contiene las regiones en las que Elastic SAN está disponible actualmente y en qué regiones se admite tanto el almacenamiento con redundancia de zona (ZRS) como el almacenamiento con redundancia local (LRS) o solo LRS:

  • Este de Australia: LRS
  • Sur de Brasil: LRS
  • Centro de Canadá: LRS
  • Centro de EE. UU. - LRS
  • Este de Asia: LRS
  • Este de EE. UU.: LRS
  • Este de EE. UU. 2: LRS
  • Centro de Francia: LRS y ZRS
  • Centro-oeste de Alemania: LRS
  • Centro de la India: LRS
  • Este de Japón: LRS
  • Centro de Corea del Sur: LRS
  • Norte de Europa: LRS y ZRS
  • Este de Noruega: LRS
  • Norte de Sudáfrica: LRS
  • Centro-sur de EE. UU.: LRS
  • Sudeste de Asia: LRS
  • Centro de Suecia: LRS
  • Norte de Suiza: LRS
  • Norte de Emiratos Árabes: LRS
  • Sur de Reino Unido: LRS
  • Oeste de Europa: LRS y ZRS
  • Oeste de EE. UU. 2: LRS y ZRS
  • Oeste de EE. UU. 3: LRS

Elastic SAN también está disponible en las siguientes regiones, pero sin compatibilidad con la zona de disponibilidad:

  • Este de Canadá: LRS
  • Oeste de Japón: LRS
  • Centro-norte de EE. UU.: LRS

Para habilitar estas regiones, ejecute el siguiente comando para registrar la marca de característica necesaria:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Configuración del acceso a la red pública

Habilite el acceso público a Internet a los puntos de conexión de Elastic SAN a nivel de SAN. Habilitar el acceso a la red pública para Elastic SAN le permite configurar el acceso público a grupos de volúmenes individuales a través de puntos de conexión de servicio de almacenamiento. De forma predeterminada, se deniega el acceso público a grupos de volúmenes individuales incluso si se permite en el nivel SAN. Debe configurar explícitamente los grupos de volúmenes para permitir el acceso desde intervalos de direcciones IP específicos y subredes de red virtual.

Puede habilitar el acceso a la red pública al crear una SAN elástica o habilitarla para una SAN existente mediante el módulo de Azure PowerShell o la CLI de Azure.

Use el módulo de Azure PowerShell o la CLI de Azure para habilitar el acceso a la red pública.

Configurar detección de errores de iSCSI

Habilitar detección de errores de iSCSI

Para habilitar la comprobación de suma de comprobación CRC-32C para encabezados iSCSI o cargas de datos, establezca CRC-32C en resúmenes de encabezado o datos para todas las conexiones de los clientes que se conectan a volúmenes Elastic SAN. Para ello, conecte los clientes a volúmenes de Elastic SAN mediante scripts de varias sesiones generados en Azure Portal o proporcionados en los artículos de conexión de Elastic SAN de Windows o Linux.

Si lo necesita, puede hacerlo sin los scripts de conexión de varias sesiones. En Windows, puede hacerlo estableciendo los resúmenes de encabezado o datos en 1 durante el inicio de sesión en los volúmenes de Elastic SAN (LoginTarget y PersistentLoginTarget). En Linux, puede hacerlo actualizando el archivo de configuración iSCSI global (iscsid.conf, que se encuentra generalmente en el directorio /etc/iscsi). Cuando se conecta un volumen, se crea un nodo junto con un archivo de configuración específico de ese nodo (por ejemplo, en Ubuntu, se puede encontrar en el directorio /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port) heredando la configuración del archivo de configuración global. Si ya ha conectado volúmenes al cliente antes de actualizar el archivo de configuración global, actualice el archivo de configuración específico del nodo para cada volumen directamente o use el siguiente comando:

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Where

  • $volume_iqn: IQN del volumen de Elastic SAN
  • $portal_hostname: nombre de host del portal de volúmenes de Elastic SAN
  • $port: 3260
  • $iscsi_setting_name: node.conn[0].iscsi.HeaderDigest (or) node.conn[0].iscsi.DataDigest
  • $setting_value: CRC32C

Aplicar detección de errores de iSCSI

Para aplicar la detección de errores iSCSI, establezca CRC-32C para resúmenes de encabezado y datos en los clientes y habilite la propiedad de protección CRC en el grupo de volúmenes que contiene volúmenes ya conectados o que aún no estén conectados desde sus clientes. Si los volúmenes de Elastic SAN ya están conectados y no tienen CRC-32C para ambos resúmenes, debe desconectar los volúmenes y volver a conectarlos mediante scripts de varias sesiones generados en Azure Portal al conectarse a un volumen de Elastic SAN o desde los artículos de conexión de Elastic SAN de Windows o Linux.

Nota:

La característica de protección CRC no está disponible actualmente en el Norte de Europa y Centro-sur de EE. UU.

Para habilitar la protección CRC en el grupo de volúmenes:

Habilite la protección CRC en un nuevo grupo de volúmenes:

Recorte de pantalla de la habilitación de la protección CRC en el nuevo grupo de volúmenes.

Habilite la protección CRC en un grupo de volúmenes existente:

Recorte de pantalla de la habilitación de la protección CRC en un grupo de volúmenes existente.

Configuración de un punto de conexión de red virtual

Puede configurar los grupos de volúmenes de Elastic SAN para permitir el acceso solo desde puntos de conexión en subredes de red virtual específicas. Las subredes permitidas pueden pertenecer a redes virtuales de la misma suscripción o a las de una suscripción diferente, como las suscripciones que pertenecen a un inquilino de Microsoft Entra diferente.

Puede permitir el acceso al grupo de volúmenes de Elastic SAN desde dos tipos de puntos de conexión de red virtual de Azure:

Un punto de conexión privado usa una o varias direcciones IP privadas de la subred de la red virtual para acceder a un grupo de volúmenes de Elastic SAN a través de la red troncal de Microsoft. Con un punto de conexión privado, el tráfico entre la red virtual y el volumen de grupo se protegen a través de un vínculo privado.

Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de Internet. Puede configurar reglas de red virtual para controlar el acceso al grupo de volúmenes al usar puntos de conexión de servicio de almacenamiento.

Las reglas de red solo se aplican a los puntos de conexión públicos de un grupo de volúmenes, no a los puntos de conexión privados. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado. Puede usar Directivas de red para controlar el tráfico a través de puntos de conexión privados si desea refinar las reglas de acceso. Si desea usar puntos de conexión privados exclusivamente, no habilite los puntos de conexión de servicio para el grupo de volúmenes.

Para decidir qué tipo de punto de conexión es mejor para usted, consulte Comparación entre puntos de conexión privados y puntos de conexión de servicio.

Una vez configurado el acceso a la red para un grupo de volúmenes, todos los volúmenes que pertenecen al grupo heredan la configuración.

El proceso para habilitar cada tipo de punto de conexión es el siguiente:

Configuración de un punto de conexión privado

Importante

Hay dos pasos necesarios para configurar una conexión de punto de conexión privado:

  • Crear el punto de conexión y la conexión asociada.
  • Aprobar la conexión.

También puede usar directivas de red para refinar el control de acceso a los puntos de conexión privados.

Para crear un punto de conexión privado para un grupo de volúmenes de Elastic SAN, debe tener el rol Propietario del grupo de volúmenes de Elastic SAN. Para aprobar una nueva conexión de punto de conexión privado, debe tener permiso para la operación del proveedor de recursos de Azure Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. El permiso para esta operación se incluye en el rol Administrador de red de Elastic SAN, pero también se puede conceder a través de un rol personalizado de Azure.

Si crea el punto de conexión a partir de una cuenta de usuario que tiene todos los roles y permisos necesarios para la creación y aprobación, el proceso se puede completar en un paso. Si no es así, necesitará dos pasos independientes con dos usuarios diferentes.

La Elastic SAN y la red virtual pueden estar en diferentes grupos de recursos, regiones y suscripciones, incluidas las suscripciones que pertenecen a distintos inquilinos de Microsoft Entra. En estos ejemplos, vamos a crear el punto de conexión privado en el mismo grupo de recursos que la red virtual.

Puede crear una conexión de punto de conexión privado al grupo de volúmenes en Azure Portal al crear un grupo de volúmenes o al modificar un grupo de volúmenes existente. Necesita una red virtual existente para crear un punto de conexión privado.

Al crear o modificar un grupo de volúmenes, seleccione Redesy, después, seleccione + Crear un punto de conexión privado en conexiones de punto de conexión privado.

Rellene los valores del menú que aparece, seleccione la red virtual y la subred que usarán las aplicaciones para conectarse. Cuando haya terminado, seleccione Agregary Guardar.

Captura de pantalla de la experiencia de creación de puntos de conexión privados del grupo de volúmenes.

Configuración de un punto de conexión de servicio de Azure Storage

Para configurar un punto de conexión de servicio de Azure Storage desde la red virtual donde se requiere acceso, debe tener permiso para la Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operación del proveedor de recursos de Azure a través de un rol personalizado de Azure para configurar un punto de conexión de servicio.

Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de Internet. Puede configurar reglas de red virtual para controlar el acceso al grupo de volúmenes al usar puntos de conexión de servicio de almacenamiento.

Nota:

La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Microsoft Entra diferente solo se admiten actualmente a través de PowerShell, la CLI y las API de REST. Estas reglas no se pueden configurar mediante Azure Portal, aunque se puedan ver en el portal.

  1. Vaya a la red virtual y seleccione Puntos de conexión de servicio.

  2. Seleccione + Agregar.

  3. En la pantalla Agregar puntos de conexión de servicio:

    1. En Servicio, seleccione Microsoft.Storage.Global para agregar un punto de conexión de servicio entre regiones.

    Nota:

    Es posible que vea Microsoft.Storage como un punto de conexión de servicio de almacenamiento disponible. Esa opción es para los puntos de conexión dentro de la región que solo existen para la compatibilidad con versiones anteriores. Use siempre puntos de conexión entre regiones, a menos que tenga un motivo específico para usar los de dentro de la región.

  4. En Subredes, seleccione todas las subredes a las que desea permitir el acceso.

  5. Seleccione Agregar.

Captura de pantalla de la página del punto de conexión de servicio de red virtual, agregando el punto de conexión del servicio de almacenamiento.

Configurar las reglas de red virtual

Todas las solicitudes entrantes de datos a través de un punto de conexión de servicio se bloquean de forma predeterminada. Solo las aplicaciones que soliciten datos de los orígenes permitidos que configure en las reglas de red podrán acceder a los datos.

Puede administrar las reglas de red virtual para los grupos de volúmenes mediante Azure Portal, PowerShell o la CLI.

Importante

Si desea habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual en otro inquilino de Microsoft Entra, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Microsoft Entra.

Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red del grupo de volúmenes. Si crea una subred con el mismo nombre, no tendrá acceso al grupo de volúmenes. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red del grupo de volúmenes.

  1. Vaya a la instancia de SAN y seleccione Grupos de volúmenes.
  2. Seleccione un grupo de volúmenes y elija Crear.
  3. Agregue una red virtual existente y una subred y seleccione Guardar.

Configuración de conexiones de cliente

Una vez habilitados los puntos de conexión deseados y concedido acceso en las reglas de red, lo tiene todo preparado para configurar que los clientes se conecten a los volúmenes de Elastic SAN adecuados.

Nota:

Si se pierde una conexión entre una máquina virtual (VM) y un volumen de Elastic SAN, la conexión volverá a intentarlo durante 90 segundos hasta que finalice. La pérdida de una conexión a un volumen de Elastic SAN no hará que la máquina virtual se reinicie.

Pasos siguientes