Azure Elastic SAN のネットワーク アクセスを構成する

Azure Elastic 記憶域ネットワーク (SAN) ボリュームへのアクセスを制御できます。 アクセスを制御することで、データをセキュリティで保護し、アプリケーションとエンタープライズ環境のニーズを満たすことができます。

この記事では、Azure 仮想ネットワーク インフラストラクチャからのアクセスを許可するように Elastic SAN を構成する方法について説明します。

Elastic SAN へのネットワーク アクセスを構成するには:

• 公衆ネットワーク アクセスを構成する
• 仮想ネットワーク エンドポイントを構成します。
• クライアント接続を構成します。

前提条件

• Azure PowerShell を使用する前に、最新の Azure PowerShell モジュールをインストールします。
• Azure CLI を使用している場合は、最新バージョンをインストールしてください。
• 最新バージョンをインストールしたら、az extension add -n elastic-san を実行して Elastic SAN の拡張機能をインストールします。 追加の登録手順は必要ありません。

制限事項

次の一覧には、現在、Elastic SAN が使用可能なリージョンと、ゾーン冗長ストレージ (ZRS) およびローカル冗長ストレージ (LRS) の両方がサポートされているリージョン、または LRS のみがサポートされているリージョンが含まれています。

• オーストラリア東部 - LRS
• ブラジル南部 - LRS
• カナダ中部 - LRS
• 米国中部 - LRS
• 東アジア - LRS
• 米国東部 - LRS
• 米国東部 2 - LRS
• フランス中部 - LRS と ZRS
• ドイツ中西部 - LRS
• インド中部 - LRS
• 東日本 - LRS
• 韓国中部 - LRS
• 北ヨーロッパ - LRS と ZRS
• ノルウェー東部 - LRS
• 南アフリカ北部 - LRS
• 米国中南部 - LRS
• 東南アジア: LRS
• スウェーデン中部 - LRS
• スイス北部 - LRS
• アラブ首長国連邦北部 - LRS
• 英国南部 - LRS
• 西ヨーロッパ - LRS と ZRS
• 米国西部 2 - LRS と ZRS
• 米国西部 3 - LRS

Elastic SAN は次のリージョンでも使用できますが、可用性ゾーンはサポートされません。

• カナダ東部 - LRS
• 西日本 - LRS
• 米国中北部 - LRS

これらのリージョンを有効にするには、次のコマンドを実行して、必要な機能フラグを登録します。

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

公衆ネットワーク アクセスを構成する

SAN レベルで Elastic SAN エンドポイントへの公衆インターネット アクセスを有効にします。 Elastic SAN に対する公衆ネットワーク アクセスを有効にすると、ストレージ サービス エンドポイント経由で個々のボリューム グループへの公衆アクセスを構成できます。 個々のボリューム グループへの公衆アクセスは、SAN レベルで許可した場合でも、既定では拒否されます。 特定の IP アドレス範囲と仮想ネットワーク サブネットからのアクセスを許可するように、ボリューム グループを明示的に構成する必要があります。

Elastic SAN を作成するときに公衆ネットワーク アクセスを有効にするか、Azure PowerShell モジュールまたは Azure CLI を使って既存の SAN に対して有効にすることができます。

ポータル

パブリック ネットワーク アクセスを有効にするには、Azure PowerShell モジュールまたは Azure CLI を使用します。

PowerShell

PowerShell を使って、公衆ネットワーク アクセスが有効な Elastic SAN を作成するには、次のサンプル コードを使います。 サンプルを実行する前に、変数の値を置き換えてください。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

PowerShell を使い、Elastic SAN を更新して公衆ネットワーク アクセスを有効にするには、次のサンプル コードを使います。 RgName と EsanName の値を独自の値に置き換えてから、サンプルを実行します。

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Azure CLI

Azure CLI を使って、公衆ネットワーク アクセスが有効な Elastic SAN を作成するには、次のサンプル コードを使います。 サンプルを実行する前に、変数の値を置き換えてください。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

Azure CLI を使い、Elastic SAN を更新して公衆ネットワーク アクセスを有効にするには、次のサンプル コードを使います。 RgName と EsanName の値を独自の値に置き換えてください。

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

iSCSI エラー検出の構成

iSCSI エラー検出の有効化

iSCSI ヘッダーまたはデータ ペイロードに対して CRC-32C チェックサム検証を有効にするには、Elastic SAN ボリュームに接続するクライアント上のすべての接続に対して、ヘッダーまたはデータ ダイジェストに CRC-32C を設定します。 これを行うには、Azure portal で生成されたマルチセッション スクリプトを使用するか、Windows または Linux の Elastic SAN 接続に関する記事で記載されているマルチセッション スクリプトを使用して、クライアントを Elastic SAN ボリュームに接続します。

必要に応じて、マルチセッション接続スクリプトなしでこれを行うことができます。 Windows では、Elastic SAN ボリューム (LoginTarget および PersistentLoginTarget) へのログイン中にヘッダーまたはデータ ダイジェストを 1 に設定することでこれを行うことができます。 Linux では、グローバル iSCSI 構成ファイル (通常は /etc/iscsi ディレクトリにある iscsid.conf) を更新することで、これを行うことができます。 ボリュームが接続されると、そのノードに固有の構成ファイル (たとえば、Ubuntu の場合、/etc/iscsi/nodes/$volume_iqn/portal_hostname,$port ディレクトリにあります) と共にノードが作成され、設定はグローバル構成ファイルから継承されます。 お使いのグローバル構成ファイルを更新する前に、既にボリュームをクライアントに接続している場合は、各ボリュームのノード固有の構成ファイルを直接更新するか、次のコマンドを使って更新します:

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Where

• $volume_iqn: Elastic SAN ボリュームの IQN
• $portal_hostname: Elastic SAN ボリューム ポータルのホスト名
• $port: 3260
• $iscsi_setting_name: node.conn[0].iscsi.HeaderDigest (または) node.conn[0].iscsi.DataDigest
• $setting_value: CRC32C

iSCSI エラー検出の強制

iSCSI エラー検出を強制するには、クライアントでヘッダーとデータ ダイジェストの両方に CRC-32C を設定し、既に接続されているボリュームまたはクライアントからまだ接続されていないボリュームを含むボリューム グループで CRC 保護プロパティを有効にします。 Elastic SAN ボリュームが既に接続されていて、両方のダイジェストに CRC-32C がない場合は、Elastic SAN ボリュームに接続するとき、または Windows または Linux Elastic SAN 接続に関する記事から 、Azure portal で生成されたマルチセッション スクリプトを使用してボリュームを切断し 、再接続する必要があります。

Note

CRC 保護機能は現在、北ヨーロッパと米国中南部では使用できません。

ボリューム グループで CRC 保護を有効にするには:

ポータル

新しいボリューム グループで CRC 保護を有効にします:

既存のボリューム グループで CRC 保護を有効にします:

PowerShell

このスクリプトを使用して、Azure PowerShell モジュールを使用して新しいボリューム グループで CRC 保護を有効にします。 スクリプトを実行する前に、$RgName、$EsanName、$EsanVgName の値を置き換えます。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The name of volume group within the Elastic SAN.
$EsanVgName = "<VolumeGroupName>"

# Create a volume group by enabling CRC protection
New-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

このスクリプトを使用して、Azure PowerShell モジュールを使用して既存のボリューム グループで CRC 保護を有効にします。 スクリプトを実行する前に、$RgName、$EsanName、$EsanVgName の値を置き換えます。

# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
$EsanVgName = "<VolumeGroupName>"

# Edit a volume group to enable CRC protection
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

Azure CLI

次のコード サンプルは、Azure CLI を使用して新しいボリューム グループで CRC 保護を有効にするものです。 サンプルを実行する前に、RgName、EsanName、EsanVgName の値を置き換えます。

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
EsanName="<ElasticSanName>"
# The name of volume group within the Elastic SAN.
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

次のコード サンプルは、Azure CLI を使用して既存のボリューム グループで CRC 保護を有効にするものです。 サンプルを実行する前に、RgName、EsanName、EsanVgName の値を置き換えます。

# Set the variable values.
RgName="<ResourceGroupName>"
EsanName="<ElasticSanName>"
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

仮想ネットワーク エンドポイントを構成する

特定の仮想ネットワーク サブネット上のエンドポイントからのアクセスのみを許可するように Elastic SAN ボリューム グループを構成できます。 許可するサブネットは、同じサブスクリプション内の仮想ネットワークに属していても、異なるサブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションも含む) 内のものでもかまいません。

次の 2 種類の Azure 仮想ネットワーク エンドポイントからの Elastic SAN ボリューム グループへのアクセスを許可できます。

• プライベート エンドポイント
• ストレージ サービス エンドポイント

プライベート エンドポイントは、仮想ネットワーク サブネットの 1 つまたは複数のプライベート IP アドレスを使用して、Microsoft バックボーン ネットワーク経由で Elastic SAN ボリューム グループにアクセスします。 プライベート エンドポイントを使用すると、仮想ネットワークとボリューム グループの間のトラフィックがプライベート リンク経由で保護されます。

仮想ネットワーク サービス エンドポイントはパブリックであり、インターネット経由でアクセスできます。 ストレージ サービス エンドポイントを使用するときにボリューム グループへのアクセスを制御するように仮想ネットワーク規則を構成できます。

ネットワーク規則は、プライベート エンドポイントではなく、ボリューム グループのパブリック エンドポイントにのみ適用されます。 プライベート エンドポイントの作成を承認するプロセスで、プライベート エンドポイントをホストするサブネットからのトラフィックへのアクセスが暗黙的に許可されます。 アクセス規則を調整する場合は、ネットワーク ポリシーを使用して、プライベート エンドポイント上のトラフィックを制御できます。 プライベート エンドポイントのみを使いたい場合は、ボリューム グループに対してサービス エンドポイントを有効にしないでください。

どのオプションが自分にとって最適かを判断するには、「プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。

ボリューム グループに対してネットワーク アクセスが構成されると、その構成はそのグループに属するすべてのボリュームによって継承されます。

各種類のエンドポイントを有効にするプロセスは次のとおりです。

• プライベート エンドポイントを構成する
• Azure Storage サービス エンドポイントを構成する

プライベート エンドポイントを構成する

重要

• ローカル冗長ストレージ (LRS) を冗長性オプションとして使用している Elastic SAN の場合、Elastic SAN を使用できるすべてのリージョンでプライベート エンドポイントがサポートされます。 冗長性オプションとしてゾーン冗長ストレージ (ZRS) を使用している Elastic SAN については、現在プライベート エンドポイントはサポートされていません。

プライベート エンドポイント接続の構成には、次の 2 つのステップが含まれています。

• エンドポイントと関連付けられている接続の作成。
• 接続の承認。

ネットワーク ポリシーを使用して、プライベート エンドポイントに対するアクセス制御を調整することもできます。

Elastic SAN ボリューム グループのプライベート エンドポイントを作成するには、Elastic SAN ボリューム グループ所有者ロールが必要です。 新しいプライベート エンドポイント接続を承認するには、Azure リソース プロバイダー操作 Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action に対するアクセス許可が必要です。 この操作のアクセス許可は Elastic SAN ネットワーク管理者ロールに含まれていますが、カスタム Azure ロールを介して付与することもできます。

作成と承認に必要なすべてのロールとアクセス許可を持つユーザー アカウントからエンドポイントを作成する場合、プロセスは 1 ステップで完了できます。 そうでない場合は、2 人の異なるユーザーが 2 つの個別のステップを実行する必要があります。

Elastic SAN と仮想ネットワークは、異なるリソース グループ、リージョン、サブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションを含む) 内に存在していてもかまいません。 これらの例では、仮想ネットワークと同じリソース グループにプライベート エンドポイントを作成しています。

ポータル

ボリューム グループを作成するとき、または既存のボリューム グループを変更するときに、Azure portal でボリューム グループへのプライベート エンドポイント接続を作成できます。 プライベート エンドポイントを作成するには、既存の仮想ネットワークが必要です。

ボリューム グループを作成または変更する場合は、[ネットワーク] を選択した後、[プライベート エンドポイント接続] で [+ プライベート エンドポイントの作成] を選択します。

ポップアップ表示されるメニュー内の値を入力し、アプリケーションが接続に使用する仮想ネットワークとサブネットを選択します。 完了したら、[追加] と [保存] を選択します。

PowerShell

PowerShell を使用した Elastic SAN ボリューム グループのプライベート エンドポイントのデプロイには、次のステップが含まれます。

1. 接続するアプリケーションからサブネットを取得します。
2. Elastic SAN ボリューム グループを取得します。
3. ボリューム グループを入力として使用して、プライベート リンク サービス接続を作成します。
4. サブネットとプライベート リンク サービス接続を入力として使用して、プライベート エンドポイントを作成します。
5. (オプション) 2 ステップのプロセス (作成してから承認) を使う場合: Elastic SAN ネットワーク管理者が接続を承認します。

このサンプル コードを使用し、PowerShell で Elastic SAN ボリューム グループのプライベート エンドポイントを作成します。 RgName、VnetName、SubnetName、EsanName、EsanVgName、PLSvcConnectionName、EndpointName、Location (リージョン) の値は、実際の値に置き換えます。

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

2 ステップ プロセスを使っている場合、プライベート リンク サービス接続を承認するには、次のサンプル コードを使います。 次のように前のコード サンプルと同じ変数を使用します。

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Azure CLI

Azure CLI を使用した Elastic SAN ボリューム グループのプライベート エンドポイントのデプロイには、次の 3 つのステップが含まれます。

1. Elastic SAN のプライベート接続リソース ID を取得します。
2. 次の入力を使ってプライベート エンドポイントを作成します。
   1. プライベート接続リソース ID
   2. ボリューム グループ名
   3. リソース グループ名
   4. サブネット名
   5. 仮想ネットワーク名
3. (オプション) 2 ステップのプロセス (作成してから承認) を使う場合: Elastic SAN ネットワーク管理者が接続を承認します。

このサンプル コードを使用し、Azure CLI で Elastic SAN ボリューム グループのプライベート エンドポイントを作成します。 2 ステップのプロセスを使っている場合は、--manual-request パラメーターのコメントを解除します。 例のすべての変数値を独自の値に置き換えます。

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

2 ステップ プロセスを使っている場合、プライベート リンク サービス接続を承認するには、次のサンプル コードを使います。 次のように前のコード サンプルと同じ変数を使用します。

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Azure Storage サービス エンドポイントを構成する

アクセス権を必要とする仮想ネットワークから Azure Storage サービス エンドポイントを構成するには、サービス エンドポイントを構成する Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure リソース プロバイダー操作に対するアクセス許可がカスタム Azure ロール経由で付与されている必要があります。

仮想ネットワーク サービス エンドポイントはパブリックであり、インターネット経由でアクセスできます。 ストレージ サービス エンドポイントを使用するときにボリューム グループへのアクセスを制御するように仮想ネットワーク規則を構成できます。

Note

異なる Microsoft Entra テナントの一部である仮想ネットワーク内のサブネットへのアクセスを許可するルールの構成は、現在、PowerShell、CLI、REST API でのみサポートされています。 これらの規則は、Azure portal を使って構成することはできませんが、ポータルで表示することはできます。

ポータル

1. 仮想ネットワークに移動し、[サービス エンドポイント] を選択します。

2. [+ 追加] を選択します。

3. [サービス エンドポイントの追加] 画面で、次の操作を行います。

   1. [サービス] では [Microsoft.Storage.Global] を選択し、リージョン間サービス エンドポイントを追加します。

   Note

   使用可能なストレージ サービス エンドポイントとして一覧に [Microsoft.Storage] が表示される場合があります。 このオプションは、下位互換性のためだけに存在するリージョン内エンドポイント用のものです。 リージョン内エンドポイントを使用する特別な理由があるのでない限りは、リージョン間エンドポイントを常に使用してください。

4. [サブネット] ではアクセスを許可したいすべてのサブネットを選択します。

5. [追加] を選択します。

PowerShell

このサンプル コードを使用し、PowerShell で Elastic SAN ボリューム グループのストレージ サービス エンドポイントを作成します。

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Azure CLI

このサンプル コードを使用し、Azure CLI で Elastic SAN ボリューム グループのストレージ サービス エンドポイントを作成します。

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

仮想ネットワーク規則を構成する

サービス エンドポイント経由のデータに対する受信要求はすべて、既定でブロックされます。 ネットワーク規則で構成した許可されるソースのデータを要求するアプリケーションのみが、データにアクセスできます。

ボリューム グループの仮想ネットワーク規則は、Azure portal、PowerShell、または CLI で管理できます。

重要

別の Microsoft Entra テナント内の仮想ネットワークやサブネットからストレージ アカウントへのアクセスを有効にする場合は、PowerShell または Azure CLI を使う必要があります。 Azure portal には、他の Microsoft Entra テナント内のサブネットは表示されません。

ネットワーク規則に含まれているサブネットを削除すると、ボリューム グループのネットワーク規則から削除されます。 同じ名前で新しいサブネットを作成しても、ボリューム グループにアクセスできません。 アクセスを許可するには、ボリューム グループのネットワーク規則で新しいサブネットを明示的に承認する必要があります。

ポータル

1. SAN に移動し、[ボリューム グループ] を選択します。
2. ボリューム グループを選択し、[作成] を選択します。
3. 既存の仮想ネットワークとサブネットを追加し、[保存] を選択します。

PowerShell

• Azure PowerShell をインストールしてサインインします。

• 仮想ネットワーク規則を一覧表示します。

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• 既存の仮想ネットワークとサブネットで、Azure Storage 用のサービス エンドポイントを有効にします。

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule
  

  ヒント

  別の Microsoft Entra テナントに属する仮想ネットワーク内のサブネットに対するネットワーク規則を追加するには、"/subscriptions/<サブスクリプション ID>/resourceGroups/<リソース グループ名>/providers/Microsoft.Network/virtualNetworks/<仮想ネットワーク名>/subnets/<サブネット名>" という形式で完全修飾された VirtualNetworkResourceId パラメーターを使います。

• 仮想ネットワーク規則を削除します。

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Azure CLI

• Azure CLI をインストールしてサインインします。

• 仮想ネットワーク規則を含む、特定のボリューム グループの情報を一覧表示します。

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• 既存の仮想ネットワークとサブネットで、Azure Storage 用のサービス エンドポイントを有効にします。

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。

  ヒント

  別の Microsoft Entra テナントに属する仮想ネットワーク内のサブネット用に規則を追加するには、/subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\> という形式の完全修飾サブネット ID を使います。

  subscription パラメーターを使って、別の Microsoft Entra テナントに属する仮想ネットワークのサブネット ID を取得できます。

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• ネットワーク規則を削除します。 次のコマンドでは、最初のネットワーク規則を削除し、必要なネットワーク規則を削除するように変更します。

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

クライアント接続を構成する

目的のエンドポイントを有効にし、ネットワーク規則でアクセスを許可すると、適切な Elastic SAN ボリュームに接続するようにクライアントを構成する準備が整います。

Note

仮想マシン (VM) と Elastic SAN ボリュームの間の接続が失われた場合、接続は終了するまで 90 秒間再試行されます。 Elastic SAN ボリュームへの接続が失われると、VM は再起動されません。

次のステップ

• Azure Elastic SAN ボリュームを Azure Kubernetes Service クラスターに接続する
• Elastic SAN ボリュームに接続する - Linux
• Elastic SAN ボリュームに接続する - Windows