Dowiedz się więcej o konfiguracjach sieci dla elastycznej sieci SAN
Sieć azure Elastic Storage Area Network (SAN) umożliwia zabezpieczanie i kontrolowanie poziomu dostępu do woluminów elastycznej sieci SAN, których wymagają aplikacje i środowiska przedsiębiorstwa. W tym artykule opisano opcje zezwalania użytkownikom i aplikacjom na dostęp do woluminów elastic SAN z infrastruktury sieci wirtualnej platformy Azure.
Można skonfigurować elastyczne grupy woluminów SIECI SAN tak, aby zezwalały na dostęp tylko za pośrednictwem określonych punktów końcowych w określonych podsieciach sieci wirtualnej. Dozwolone podsieci mogą należeć do sieci wirtualnej w tej samej subskrypcji lub w innej subskrypcji, w tym subskrypcje należące do innej dzierżawy firmy Microsoft Entra. Po skonfigurowaniu dostępu do sieci dla grupy woluminów konfiguracja jest dziedziczona przez wszystkie woluminy należące do grupy.
W zależności od konfiguracji aplikacje w równorzędnych sieciach wirtualnych lub sieciach lokalnych mogą również uzyskiwać dostęp do woluminów w grupie. Sieci lokalne muszą być połączone z siecią wirtualną za pomocą sieci VPN lub usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfiguracji sieci wirtualnej, zobacz Infrastruktura sieci wirtualnej platformy Azure.
Istnieją dwa typy punktów końcowych sieci wirtualnej, które można skonfigurować, aby zezwolić na dostęp do elastycznej grupy woluminów SIECI SAN:
Aby zdecydować, która opcja jest najlepsza dla Ciebie, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi. Ogólnie rzecz biorąc, należy używać prywatnych punktów końcowych zamiast punktów końcowych usługi, ponieważ usługa Private Link oferuje lepsze możliwości. Aby uzyskać więcej informacji, zobacz Azure Private Link.
Po skonfigurowaniu punktów końcowych można skonfigurować reguły sieci w celu dalszej kontroli dostępu do elastycznej grupy woluminów SIECI SAN. Po skonfigurowaniu punktów końcowych i reguł sieci klienci mogą łączyć się z woluminami w grupie w celu przetwarzania obciążeń.
Dostęp do sieci publicznej
Możesz włączyć lub wyłączyć publiczny dostęp do Internetu do punktów końcowych elastycznej sieci SAN na poziomie sieci SAN. Włączenie dostępu do sieci publicznej dla elastycznej sieci SAN umożliwia skonfigurowanie publicznego dostępu do poszczególnych grup woluminów w tej sieci SAN za pośrednictwem punktów końcowych usługi magazynu. Domyślnie publiczny dostęp do poszczególnych grup woluminów jest blokowany, nawet jeśli zezwalasz na nie na poziomie sieci SAN. Jeśli wyłączysz dostęp publiczny na poziomie sieci SAN, dostęp do grup woluminów w ramach tej sieci SAN jest dostępny tylko za pośrednictwem prywatnych punktów końcowych.
Integralność danych
Integralność danych jest ważna w przypadku zapobiegania uszkodzeniu danych w magazynie w chmurze. Protokół TCP zapewnia podstawowy poziom integralności danych za pośrednictwem mechanizmu sumy kontrolnej. Można ją zwiększyć za pośrednictwem interfejsu iSCSI z bardziej niezawodnym wykrywaniem błędów przy użyciu cyklicznego sprawdzania nadmiarowości (CRC), w szczególności CRC-32C. CRC-32C może służyć do dodawania weryfikacji sumy kontrolnej dla nagłówków i ładunków danych iSCSI.
Elastyczna sieć SAN obsługuje weryfikację sumy kontrolnej CRC-32C po włączeniu po stronie klienta dla połączeń z woluminami elastic SAN. Elastyczna sieć SAN oferuje również możliwość wymuszania tego wykrywania błędów za pomocą właściwości, którą można ustawić na poziomie grupy woluminów, która jest dziedziczona przez dowolny wolumin w tej grupie woluminów. Po włączeniu tej właściwości w grupie woluminów usługa Elastic SAN odrzuca wszystkie połączenia klientów z woluminami w grupie woluminów, jeśli CRC-32C nie jest ustawiona dla nagłówków ani skrótów danych w tych połączeniach. Po wyłączeniu tej właściwości weryfikacja sumy kontrolnej elastycznej liczby san zależy od tego, czy CRC-32C jest ustawiona dla nagłówka lub skrótów danych na kliencie, ale elastyczna sieć SAN nie odrzuci żadnych połączeń. Aby dowiedzieć się, jak włączyć ochronę CRC, zobacz Konfigurowanie sieci.
Uwaga
Niektóre systemy operacyjne mogą nie obsługiwać nagłówków ani skrótów danych iSCSI. Fedora i jego podrzędne dystrybucje systemu Linux, takie jak Red Hat Enterprise Linux, CentOS, Rocky Linux itp. nie obsługują skrótów danych. Nie należy włączać ochrony CRC w grupach woluminów, jeśli klienci korzystają z systemów operacyjnych, takich jak te, które nie obsługują nagłówka iSCSI lub skrótów danych, ponieważ połączenia z woluminami nie powiedzą się.
Punkty końcowe usługi Storage
Punkty końcowe usługi Azure Virtual Network zapewniają bezpieczną i bezpośrednią łączność z usługami platformy Azure przy użyciu zoptymalizowanej trasy w sieci szkieletowej platformy Azure. Punkty końcowe usługi umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure, dzięki czemu tylko określone sieci wirtualne mogą uzyskiwać do nich dostęp.
Punkty końcowe usługi między regionami dla usługi Azure Storage działają między sieciami wirtualnymi i wystąpieniami usługi magazynu w dowolnym regionie. W przypadku punktów końcowych usługi między regionami podsieci nie używają już publicznego adresu IP do komunikowania się z żadnym kontem magazynu, w tym z tymi w innym regionie. Zamiast tego cały ruch z podsieci do konta magazynu używa prywatnego adresu IP jako źródłowego adresu IP.
Napiwek
Oryginalne punkty końcowe usługi lokalnej, zidentyfikowane jako Microsoft.Storage, są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami, ale w przypadku nowych wdrożeń należy utworzyć punkty końcowe obejmujące wiele regionów zidentyfikowane jako Microsoft.Storage.Global.
Punkty końcowe usługi między regionami i lokalne nie mogą współistnieć w tej samej podsieci. Aby użyć punktów końcowych usługi między regionami, może być konieczne usunięcie istniejących punktów końcowych usługi Microsoft.Storage i ponowne utworzenie ich jako Microsoft.Storage.Global.
Prywatne punkty końcowe
Usługa Azure Private Link umożliwia bezpieczny dostęp do elastycznej grupy woluminów SIECI SAN za pośrednictwem prywatnego punktu końcowego z podsieci sieci wirtualnej. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując ryzyko ujawnienia usługi publicznemu Internetowi. Prywatny punkt końcowy elastycznej sieci SAN używa zestawu adresów IP z przestrzeni adresowej podsieci dla każdej grupy woluminów. Maksymalna liczba użyta dla punktu końcowego wynosi 20.
Prywatne punkty końcowe mają kilka zalet w stosunku do punktów końcowych usługi. Aby uzyskać pełne porównanie prywatnych punktów końcowych z punktami końcowymi usługi, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi.
Ograniczenia
Prywatne punkty końcowe nie są obecnie obsługiwane w przypadku elastycznych sieci SAN przy użyciu magazynu strefowo nadmiarowego (ZRS).
Jak to działa
Ruch między siecią wirtualną a elastyczną siecią SAN jest kierowany przez optymalną ścieżkę w sieci szkieletowej platformy Azure. W przeciwieństwie do punktów końcowych usługi nie trzeba konfigurować reguł sieci, aby zezwalać na ruch z prywatnego punktu końcowego, ponieważ zapora magazynu kontroluje dostęp tylko za pośrednictwem publicznych punktów końcowych.
Aby uzyskać szczegółowe informacje na temat konfigurowania prywatnych punktów końcowych, zobacz Włączanie prywatnego punktu końcowego.
Reguły sieci wirtualnej
Aby dodatkowo zabezpieczyć dostęp do woluminów elastic SAN, można utworzyć reguły sieci wirtualnej dla grup woluminów skonfigurowanych za pomocą punktów końcowych usługi, aby zezwolić na dostęp z określonych podsieci. Nie potrzebujesz reguł sieci, aby zezwolić na ruch z prywatnego punktu końcowego, ponieważ zapora magazynu kontroluje dostęp tylko za pośrednictwem publicznych punktów końcowych.
Każda grupa woluminów obsługuje maksymalnie 200 reguł sieci wirtualnej. Jeśli usuniesz podsieć, która została uwzględniona w regule sieciowej, zostanie usunięta z reguł sieci dla grupy woluminów. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do grupy woluminów. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla grupy woluminów.
Klienci, którym udzielono dostępu za pośrednictwem tych reguł sieciowych, muszą mieć również odpowiednie uprawnienia do elastycznej sieci SAN do grupy woluminów.
Aby dowiedzieć się, jak definiować reguły sieci, zobacz Zarządzanie regułami sieci wirtualnej.
Połączenia klienta
Po włączeniu żądanych punktów końcowych i udzieleniu dostępu w regułach sieci można nawiązać połączenie z odpowiednimi woluminami elastic SAN przy użyciu protokołu iSCSI. Aby dowiedzieć się, jak skonfigurować połączenia klienckie, zobacz artykuły dotyczące nawiązywania połączenia z klastrem systemu Linux, Windows lub Azure Kubernetes Service.
Sesje iSCSI mogą okresowo rozłączać się i ponownie łączyć w ciągu dnia. Te rozłączenia i ponowne połączenia są częścią regularnej konserwacji lub wyniku wahań sieci. W związku z tymi rozłączeniami i ponownymi połączeniami nie powinno wystąpić żadne obniżenie wydajności, a połączenia powinny zostać ponownie nawiązane przez siebie. Jeśli połączenie nie zostanie nawiązane ponownie lub występuje spadek wydajności, utwórz bilet pomocy technicznej.
Uwaga
Jeśli połączenie między maszyną wirtualną a woluminem Elastic SAN zostanie utracone, połączenie zostanie ponowione przez 90 sekund do zakończenia. Utrata połączenia z woluminem elastic SAN nie spowoduje ponownego uruchomienia maszyny wirtualnej.