Udostępnij za pośrednictwem


Konfigurowanie publicznych i prywatnych punktów końcowych sieci usługi Azure File Sync

Usługi Azure Files i Azure File Sync udostępniają dwa główne typy punktów końcowych na potrzeby uzyskiwania dostępu do udziałów plików platformy Azure:

  • Publiczne punkty końcowe, które mają publiczny adres IP i mogą być dostępne z dowolnego miejsca na świecie.
  • Prywatne punkty końcowe, które istnieją w sieci wirtualnej i mają prywatny adres IP z przestrzeni adresowej tej sieci wirtualnej.

W przypadku usług Azure Files i Azure File Sync obiekty zarządzania platformy Azure (konto magazynu i usługa synchronizacji magazynu) kontrolują zarówno publiczne, jak i prywatne punkty końcowe. Konto magazynu to konstrukcja zarządzania, która reprezentuje udostępnioną pulę magazynu, w której można wdrożyć wiele udziałów plików, a także inne zasoby magazynu, takie jak obiekty blob lub kolejki. Usługa synchronizacji magazynu to konstrukcja zarządzania reprezentująca zarejestrowane serwery, które są serwerami plików systemu Windows z ustanowioną relacją zaufania z usługą Azure File Sync i grupami synchronizacji, które definiują topologię relacji synchronizacji.

W tym artykule opisano sposób konfigurowania punktów końcowych sieci dla usług Azure Files i Azure File Sync. Aby dowiedzieć się więcej na temat konfigurowania punktów końcowych sieci na potrzeby bezpośredniego uzyskiwania dostępu do udziałów plików platformy Azure, zamiast buforowania lokalnego za pomocą usługi Azure File Sync, zobacz Konfigurowanie punktów końcowych sieci usługi Azure Files.

Zalecamy zapoznanie się z zagadnieniami dotyczącymi sieci usługi Azure File Sync przed przeczytaniem tego przewodnika z instrukcjami.

Wymagania wstępne

W tym artykule przyjęto założenie, że:

  • Masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.
  • Utworzono już udział plików platformy Azure na koncie magazynu, z którym chcesz nawiązać połączenie ze środowiska lokalnego. Aby dowiedzieć się, jak utworzyć udział plików platformy Azure, zobacz Tworzenie udziału plików platformy Azure.
  • Zezwalasz na ruch domeny do następujących punktów końcowych, zobacz Punkty końcowe usługi platformy Azure:

Dodatkowo:

Tworzenie prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego dla zasobu platformy Azure są wdrażane następujące zasoby:

  • Prywatny punkt końcowy: zasób platformy Azure reprezentujący prywatny punkt końcowy konta magazynu lub usługę synchronizacji magazynu. Pomyśl o tym jako zasobie, który łączy zasób platformy Azure i interfejs sieciowy.
  • Interfejs sieciowy (NIC): interfejs sieciowy, który utrzymuje prywatny adres IP w określonej sieci wirtualnej/podsieci. Jest to dokładnie ten sam zasób, który jest wdrażany podczas wdrażania maszyny wirtualnej, jednak zamiast być przypisanym do maszyny wirtualnej, jest on własnością prywatnego punktu końcowego.
  • Prywatna strefa DNS: jeśli wcześniej nie wdrożono prywatnego punktu końcowego dla tej sieci wirtualnej, zostanie wdrożona nowa prywatna strefa DNS dla sieci wirtualnej. Rekord DNS A zostanie również utworzony dla zasobu platformy Azure w tej strefie DNS. Jeśli w tej sieci wirtualnej wdrożono już prywatny punkt końcowy, nowy rekord A dla zasobu platformy Azure zostanie dodany do istniejącej strefy DNS. Wdrożenie strefy DNS jest opcjonalne, jednak zdecydowanie zalecane, aby uprościć wymagane zarządzanie systemem DNS.

Uwaga

W tym artykule używane są sufiksy DNS dla regionów publicznych platformy Azure dla core.windows.net kont magazynu i afs.azure.net usług synchronizacji magazynu. Dotyczy to również chmur suwerennych platformy Azure, takich jak chmura azure US Government — wystarczy zastąpić odpowiednie sufiksy dla danego środowiska.

Tworzenie prywatnego punktu końcowego konta magazynu

Przejdź do konta magazynu, dla którego chcesz utworzyć prywatny punkt końcowy. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć, Połączenia prywatnego punktu końcowego, a następnie pozycję + Prywatny punkt końcowy, aby utworzyć nowy prywatny punkt końcowy .

Zrzut ekranu przedstawiający element połączeń prywatnego punktu końcowego w menu usługi konta magazynu.

Wynikowy kreator ma wiele stron do ukończenia.

W bloku Podstawy wybierz odpowiednią subskrypcję, grupę zasobów, nazwę, nazwę interfejsu sieciowego i region dla prywatnego punktu końcowego. Mogą to być dowolne elementy, ale nie muszą być zgodne z kontem magazynu w żaden sposób, chociaż należy utworzyć prywatny punkt końcowy w tym samym regionie co sieć wirtualna, w której chcesz utworzyć prywatny punkt końcowy. Następnie wybierz pozycję Dalej: Zasób.

Zrzut ekranu przedstawiający sposób podawania szczegółów projektu i wystąpienia dla nowego prywatnego punktu końcowego.

W bloku Zasób wybierz plik dla docelowego zasobu podrzędnego. Następnie wybierz pozycję Dalej: Sieć wirtualna.

Zrzut ekranu przedstawiający sposób wybierania zasobu, z którym chcesz nawiązać połączenie przy użyciu nowego prywatnego punktu końcowego.

Blok Sieć wirtualna umożliwia wybranie określonej sieci wirtualnej i podsieci, do której chcesz dodać prywatny punkt końcowy. Wybierz alokację dynamicznego lub statycznego adresu IP dla nowego prywatnego punktu końcowego. Jeśli wybierzesz statyczny, musisz również podać nazwę i prywatny adres IP. Opcjonalnie możesz również określić grupę zabezpieczeń aplikacji. Po zakończeniu wybierz pozycję Dalej: DNS.

Zrzut ekranu przedstawiający sposób dostarczania szczegółów sieci wirtualnej, podsieci i adresu IP dla nowego prywatnego punktu końcowego.

Blok DNS zawiera informacje dotyczące integrowania prywatnego punktu końcowego z prywatną strefą DNS. Upewnij się, że subskrypcja i grupa zasobów są poprawne, a następnie wybierz pozycję Dalej: Tagi.

Zrzut ekranu przedstawiający sposób integracji prywatnego punktu końcowego z prywatną strefą DNS.

Opcjonalnie można zastosować tagi do kategoryzowania zasobów, takich jak zastosowanie nazwy Środowisko i wartość Test do wszystkich zasobów testowych. W razie potrzeby wprowadź pary nazwa/wartość, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

Zrzut ekranu przedstawiający sposób opcjonalnego oznaczania prywatnego punktu końcowego parami nazw/wartości w celu łatwego kategoryzacji.

Wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Jeśli masz maszynę wirtualną w sieci wirtualnej lub skonfigurowano przekazywanie DNS zgodnie z opisem w temacie Konfigurowanie przekazywania DNS dla usługi Azure Files, możesz sprawdzić, czy prywatny punkt końcowy jest poprawnie skonfigurowany, uruchamiając następujące polecenia z poziomu programu PowerShell, wiersza polecenia lub terminalu (działa w przypadku systemów Windows, Linux lub macOS). Musisz zastąpić <storage-account-name> odpowiednią nazwą konta magazynu:

nslookup <storage-account-name>.file.core.windows.net

Jeśli wszystko działa pomyślnie, powinny zostać wyświetlone następujące dane wyjściowe, gdzie 192.168.0.5 jest prywatnym adresem IP prywatnego punktu końcowego w sieci wirtualnej (dane wyjściowe wyświetlane dla systemu Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Tworzenie prywatnego punktu końcowego usługi synchronizacji magazynu

Przejdź do Centrum usługi Private Link, wpisując ciąg Private Link na pasku wyszukiwania w górnej części witryny Azure Portal. W spisie treści centrum usługi Private Link wybierz pozycję Prywatne punkty końcowe, a następnie pozycję + Dodaj, aby utworzyć nowy prywatny punkt końcowy.

Zrzut ekranu przedstawiający centrum łącza prywatnego

Wynikowy kreator ma wiele stron do ukończenia.

W bloku Podstawy wybierz żądaną grupę zasobów, nazwę i region dla prywatnego punktu końcowego. Mogą to być elementy, które mają być zgodne z usługą synchronizacji magazynu w żaden sposób, chociaż należy utworzyć prywatny punkt końcowy w tym samym regionie co sieć wirtualna, w której chcesz utworzyć prywatny punkt końcowy.

Zrzut ekranu przedstawiający sekcję Podstawy sekcji Tworzenie prywatnego punktu końcowego

W bloku Zasób wybierz przycisk radiowy Połącz z zasobem platformy Azure w moim katalogu. W obszarze Typ zasobu wybierz pozycję Microsoft.StorageSync/storageSyncServices dla typu zasobu.

Blok Konfiguracja umożliwia wybranie określonej sieci wirtualnej i podsieci, do której chcesz dodać prywatny punkt końcowy. Wybierz tę samą sieć wirtualną, która była używana dla powyższego konta magazynu. Blok Konfiguracja zawiera również informacje dotyczące tworzenia/aktualizowania prywatnej strefy DNS.

Wybierz pozycję Przejrzyj i utwórz , aby utworzyć prywatny punkt końcowy.

Możesz sprawdzić, czy prywatny punkt końcowy jest poprawnie skonfigurowany, uruchamiając następujące polecenia programu PowerShell.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Jeśli wszystko działa poprawnie, powinny zostać wyświetlone następujące dane wyjściowe, w których 192.168.1.4, 192.168.1.5, 192.168.1.6i 192.168.1.7 są prywatnymi adresami IP przypisanymi do prywatnego punktu końcowego:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Ograniczanie dostępu do publicznych punktów końcowych

Możesz ograniczyć dostęp do publicznych punktów końcowych zarówno konta magazynu, jak i usług synchronizacji magazynu. Ograniczenie dostępu do publicznego punktu końcowego zapewnia dodatkowe zabezpieczenia, zapewniając, że pakiety sieciowe są akceptowane tylko z zatwierdzonych lokalizacji.

Ograniczanie dostępu do publicznego punktu końcowego konta magazynu

Ograniczenie dostępu do publicznego punktu końcowego odbywa się przy użyciu ustawień zapory konta magazynu. Ogólnie rzecz biorąc, większość zasad zapory dla konta magazynu ograniczy dostęp sieciowy do co najmniej jednej sieci wirtualnej. Istnieją dwie metody ograniczania dostępu do konta magazynu do sieci wirtualnej:

  • Utwórz co najmniej jeden prywatny punkt końcowy dla konta magazynu i wyłącz dostęp do publicznego punktu końcowego. Dzięki temu tylko ruch pochodzący z żądanych sieci wirtualnych może uzyskiwać dostęp do udziałów plików platformy Azure na koncie magazynu.
  • Ogranicz publiczny punkt końcowy do co najmniej jednej sieci wirtualnej. Działa to przy użyciu możliwości sieci wirtualnej nazywanej punktami końcowymi usługi. Jeśli ograniczasz ruch do konta magazynu za pośrednictwem punktu końcowego usługi, nadal uzyskujesz dostęp do konta magazynu za pośrednictwem publicznego adresu IP.

Uwaga

Na koncie magazynu należy wybrać opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu, aby zezwolić na dostęp do konta magazynu zaufanych usługi firmy Microsoft innych firm, takich jak usługa Azure File Sync. Aby dowiedzieć się więcej, zobacz Udzielanie dostępu do zaufanych usług platformy Azure.

Udzielanie dostępu do zaufanych usług platformy Azure i wyłączanie dostępu do publicznego punktu końcowego konta magazynu

Gdy dostęp do publicznego punktu końcowego jest wyłączony, konto magazynu nadal może być dostępne za pośrednictwem jego prywatnych punktów końcowych. W przeciwnym razie prawidłowe żądania do publicznego punktu końcowego konta magazynu zostaną odrzucone.

Przejdź do konta magazynu, dla którego chcesz ograniczyć cały dostęp do publicznego punktu końcowego. W spisie treści dla konta magazynu wybierz pozycję Sieć.

W górnej części strony wybierz przycisk radiowy Włączone z wybranych sieci wirtualnych i adresów IP. Spowoduje to ukrycie wielu ustawień kontroli ograniczeń publicznego punktu końcowego. Wybierz pozycję Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu, aby zezwolić na dostęp do konta magazynu przez zaufaną firmę usługi firmy Microsoft, na przykład Azure File Sync.

Zrzut ekranu przedstawiający blok Sieć z wymaganymi ustawieniami, aby wyłączyć dostęp do publicznego punktu końcowego konta magazynu.

Udzielanie dostępu do zaufanych usług platformy Azure i ograniczanie dostępu do publicznego punktu końcowego konta magazynu do określonych sieci wirtualnych

Jeśli ograniczasz konto magazynu do określonych sieci wirtualnych, zezwalasz na żądania do publicznego punktu końcowego z określonych sieci wirtualnych. Działa to przy użyciu możliwości sieci wirtualnej nazywanej punktami końcowymi usługi. Może to być używane z prywatnymi punktami końcowymi lub bez tych punktów końcowych.

Przejdź do konta magazynu, dla którego chcesz ograniczyć publiczny punkt końcowy do określonych sieci wirtualnych. W spisie treści dla konta magazynu wybierz pozycję Sieć.

W górnej części strony wybierz przycisk radiowy Włączone z wybranych sieci wirtualnych i adresów IP. Spowoduje to ukrycie wielu ustawień kontroli ograniczeń publicznego punktu końcowego. Wybierz pozycję +Dodaj istniejącą sieć wirtualną, aby wybrać określoną sieć wirtualną, która powinna mieć dostęp do konta magazynu za pośrednictwem publicznego punktu końcowego. Wybierz sieć wirtualną i podsieć dla tej sieci wirtualnej, a następnie wybierz pozycję Włącz.

Wybierz pozycję Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu, aby zezwolić na dostęp do konta magazynu przez zaufaną firmę usługi firmy Microsoft, na przykład Azure File Sync.

Zrzut ekranu przedstawiający blok Sieć z określoną siecią wirtualną dozwoloną do uzyskania dostępu do konta magazynu za pośrednictwem publicznego punktu końcowego.

Wyłączanie dostępu do publicznego punktu końcowego usługi synchronizacji magazynu

Usługa Azure File Sync umożliwia ograniczenie dostępu do określonych sieci wirtualnych tylko za pośrednictwem prywatnych punktów końcowych; Usługa Azure File Sync nie obsługuje punktów końcowych usługi w celu ograniczenia dostępu do publicznego punktu końcowego do określonych sieci wirtualnych. Oznacza to, że dwa stany publicznego punktu końcowego usługi synchronizacji magazynu są włączone i wyłączone.

Ważne

Przed wyłączeniem dostępu do publicznego punktu końcowego należy utworzyć prywatny punkt końcowy. Jeśli publiczny punkt końcowy jest wyłączony i nie skonfigurowano prywatnego punktu końcowego, synchronizacja nie może działać.

Aby wyłączyć dostęp do publicznego punktu końcowego usługi synchronizacji magazynu, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do usługi synchronizacji magazynu i wybierz pozycję Ustawienia>Sieci w obszarze nawigacji po lewej stronie.
  3. W obszarze Zezwalaj na dostęp wybierz pozycję Tylko prywatne punkty końcowe.
  4. Wybierz prywatny punkt końcowy z listy Połączenia prywatnego punktu końcowego.

Azure Policy

Usługa Azure Policy pomaga wymuszać standardy organizacji i oceniać zgodność z tymi standardami na dużą skalę. Usługi Azure Files i Azure File Sync udostępniają kilka przydatnych zasad sieciowych inspekcji i korygowania, które ułatwiają monitorowanie i automatyzowanie wdrożenia.

Zasady przeprowadzają inspekcję środowiska i ostrzegają Cię, jeśli konta magazynu lub usługi synchronizacji magazynu różnią się od zdefiniowanego zachowania. Jeśli na przykład publiczny punkt końcowy jest włączony, gdy zasady zostały ustawione tak, aby publiczne punkty końcowe były wyłączone. Modyfikowanie/wdrażanie zasad wykonuje krok dalej i aktywnie modyfikuj zasób (np. usługę synchronizacji magazynu) lub wdróż zasoby (takie jak prywatne punkty końcowe), aby dopasować je do zasad.

Następujące wstępnie zdefiniowane zasady są dostępne dla usług Azure Files i Azure File Sync:

Akcja Usługa Stan Nazwa zasady
Audit Azure Files Publiczny punkt końcowy konta magazynu jest włączony. Aby uzyskać więcej informacji, zobacz Udzielanie dostępu do zaufanych usług platformy Azure i wyłączanie dostępu do publicznego punktu końcowego konta magazynu. Konta magazynu powinny ograniczać dostęp sieciowy
Audit Azure File Sync Publiczny punkt końcowy usługi synchronizacji magazynu jest włączony. Aby uzyskać więcej informacji, zobacz Wyłączanie dostępu do publicznego punktu końcowego usługi synchronizacji magazynu. Dostęp do sieci publicznej powinien być wyłączony dla usługi Azure File Sync
Audit Azure Files Konto magazynu wymaga co najmniej jednego prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Tworzenie prywatnego punktu końcowego konta magazynu. Konto magazynu powinno używać połączenia łącza prywatnego
Audit Azure File Sync Usługa synchronizacji magazynu wymaga co najmniej jednego prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Tworzenie prywatnego punktu końcowego usługi synchronizacji magazynu. Usługa Azure File Sync powinna używać łącza prywatnego
Modyfikowanie Azure File Sync Wyłącz publiczny punkt końcowy usługi synchronizacji magazynu. Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej
Wdróż Azure File Sync Wdróż prywatny punkt końcowy dla usługi synchronizacji magazynu. Konfigurowanie usługi Azure File Sync z prywatnymi punktami końcowymi
Wdróż Azure File Sync Wdróż rekord A w privatelink.afs.azure.net strefie DNS. Konfigurowanie usługi Azure File Sync do korzystania z prywatnych stref DNS

Konfigurowanie zasad wdrażania prywatnego punktu końcowego

Aby skonfigurować zasady wdrażania prywatnego punktu końcowego, przejdź do witryny Azure Portal i wyszukaj pozycję Zasady. Centrum usługi Azure Policy powinno być najlepszym wynikiem. Przejdź do pozycji Tworzenie>definicji w spisie treści centrum zasad. Wynikowe okienko Definicje zawiera wstępnie zdefiniowane zasady we wszystkich usługach platformy Azure. Aby znaleźć określone zasady, wybierz kategorię Magazyn w filtrze kategorii lub wyszukaj pozycję Konfiguruj usługę Azure File Sync z prywatnymi punktami końcowymi. Wybierz pozycję ... i przypisz , aby utworzyć nowe zasady z definicji.

Blok Podstawy kreatora Przypisywanie zasad umożliwia ustawienie listy wykluczeń zakresu, zasobu lub grupy zasobów oraz nadanie zasadom przyjaznej nazwy, aby ułatwić jej odróżnienie. Nie trzeba ich modyfikować, aby zasady działały, ale możesz wprowadzić modyfikacje. Wybierz przycisk Dalej , aby przejść do strony Parametry .

W bloku Parametry wybierz pozycję ... obok listy rozwijanej privateEndpointSubnetId, aby wybrać sieć wirtualną i podsieć, w której powinny zostać wdrożone prywatne punkty końcowe dla zasobów usługi synchronizacji magazynu. Wynikowy kreator może potrwać kilka sekund, aby załadować dostępne sieci wirtualne w ramach subskrypcji. Wybierz odpowiednią sieć wirtualną/podsieć dla danego środowiska, a następnie kliknij pozycję Wybierz. Wybierz przycisk Dalej , aby przejść do bloku Korygowanie .

Aby prywatny punkt końcowy został wdrożony po zidentyfikowaniu usługi synchronizacji magazynu bez prywatnego punktu końcowego, należy wybrać zadanie Utwórz korygowanie na stronie Korygowanie . Na koniec wybierz pozycję Przejrzyj i utwórz , aby przejrzeć przypisanie zasad i utworzyć je.

Wynikowe przypisanie zasad będzie wykonywane okresowo i może nie być uruchamiane natychmiast po utworzeniu.

Zobacz też