Partilhar via


Saiba mais sobre as configurações de rede para SAN elástica

A SAN (rede de área de armazenamento elástica) do Azure permite proteger e controlar o nível de acesso aos volumes SAN elásticos exigidos por seus aplicativos e ambientes corporativos. Este artigo descreve as opções para permitir que usuários e aplicativos acessem volumes do Elastic SAN a partir de uma infraestrutura de rede virtual do Azure.

Você pode configurar grupos de volumes do Elastic SAN para permitir acesso somente em endpoints específicos em sub-redes de rede virtual específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou aquelas em uma assinatura diferente, incluindo assinaturas pertencentes a um locatário diferente do Microsoft Entra. Depois que o acesso à rede é configurado para um grupo de volumes, a configuração é herdada por todos os volumes pertencentes ao grupo.

Dependendo da sua configuração, os aplicativos em redes virtuais emparelhadas ou redes locais também podem acessar volumes no grupo. As redes locais devem ser conectadas à rede virtual por uma VPN ou Rota Expressa. Para obter mais informações sobre configurações de rede virtual, consulte Infraestrutura de rede virtual do Azure.

Há dois tipos de pontos de extremidade de rede virtual que você pode configurar para permitir o acesso a um grupo de volumes do Elastic SAN:

Para decidir qual é a melhor opção para você, consulte Comparar pontos de extremidade privados e pontos de extremidade de serviço. Geralmente, você deve usar pontos de extremidade privados em vez de pontos de extremidade de serviço, uma vez que o Private Link oferece melhores recursos. Para obter mais informações, consulte Azure Private Link.

Depois de configurar os endpoints, você pode configurar regras de rede para controlar ainda mais o acesso ao seu grupo de volumes do Elastic SAN. Depois que os pontos de extremidade e as regras de rede tiverem sido configurados, os clientes poderão se conectar a volumes no grupo para processar suas cargas de trabalho.

Acesso à rede pública

Você pode habilitar ou desabilitar o acesso público à Internet para seus endpoints Elastic SAN no nível SAN. A habilitação do acesso à rede pública para uma SAN elástica permite configurar o acesso público a grupos de volumes individuais nessa SAN por meio de pontos de extremidade de serviço de armazenamento. Por padrão, o acesso público a grupos de volumes individuais é negado, mesmo que você o permita no nível da SAN. Se você desabilitar o acesso público no nível da SAN, o acesso aos grupos de volumes dentro dessa SAN só estará disponível em endpoints privados.

Integridade dos dados

A integridade dos dados é importante para evitar a corrupção de dados no armazenamento em nuvem. O TCP fornece um nível básico de integridade de dados através de seu mecanismo de soma de verificação, ele pode ser aprimorado sobre iSCSI com deteção de erros mais robusta com uma verificação de redundância cíclica (CRC), especificamente CRC-32C. O CRC-32C pode ser usado para adicionar verificação de soma de verificação para cabeçalhos iSCSI e cargas úteis de dados.

O Elastic SAN oferece suporte à verificação de soma de verificação CRC-32C quando habilitado no lado do cliente para conexões com volumes SAN elásticos. O Elastic SAN também oferece a capacidade de impor essa deteção de erros por meio de uma propriedade que pode ser definida no nível do grupo de volumes, que é herdada por qualquer volume dentro desse grupo de volumes. Quando você habilita essa propriedade em um grupo de volumes, o Elastic SAN rejeita todas as conexões de cliente para quaisquer volumes no grupo de volumes se o CRC-32C não estiver definido para resumos de cabeçalho ou dados nessas conexões. Quando você desabilita essa propriedade, a verificação da soma de verificação de volume do Elastic SAN depende se o CRC-32C está definido para resumos de cabeçalho ou dados no cliente, mas sua SAN elástica não rejeitará nenhuma conexão. Para saber como habilitar a proteção CRC, consulte Configurar rede.

Nota

Alguns sistemas operativos poderão não suportar cabeçalhos iSCSI ou resumos de dados. O Fedora e as suas distribuições Linux downstream como Red Hat Enterprise Linux, CentOS, Rocky Linux, etc. não suportam resumos de dados. Não habilite a proteção CRC em seus grupos de volumes se seus clientes usarem sistemas operacionais como esses que não suportam cabeçalho iSCSI ou resumos de dados porque as conexões com os volumes falharão.

Pontos de extremidade de serviço de armazenamento

Os pontos de extremidade de serviço da Rede Virtual do Azure fornecem conectividade segura e direta aos serviços do Azure usando uma rota otimizada pela rede de backbone do Azure. Os pontos de extremidade de serviço permitem que você proteja seus recursos críticos de serviço do Azure para que apenas redes virtuais específicas possam acessá-los.

Os pontos de extremidade de serviço entre regiões para o Armazenamento do Azure funcionam entre redes virtuais e instâncias de serviço de armazenamento em qualquer região. Com pontos de extremidade de serviço entre regiões, as sub-redes não usam mais um endereço IP público para se comunicar com qualquer conta de armazenamento, incluindo aquelas em outra região. Em vez disso, todo o tráfego de uma sub-rede para uma conta de armazenamento usa um endereço IP privado como IP de origem.

Gorjeta

Os pontos de extremidade de serviço local originais, identificados como Microsoft.Storage, ainda têm suporte para compatibilidade com versões anteriores, mas você deve criar pontos de extremidade entre regiões, identificados como Microsoft.Storage.Global, para novas implantações.

Os pontos de extremidade de serviço entre regiões e os locais não podem coexistir na mesma sub-rede. Para usar pontos de extremidade de serviço entre regiões, talvez seja necessário excluir pontos de extremidade Microsoft.Storage existentes e recriá-los como Microsoft.Storage.Global.

Pontos finais privados

O Azure Private Link permite que você acesse um grupo de volumes do Elastic SAN com segurança em um ponto de extremidade privado a partir de uma sub-rede de rede virtual. O tráfego entre a sua rede virtual e o serviço atravessa a rede de backbone da Microsoft, eliminando o risco de expor o seu serviço à Internet pública. Um ponto de extremidade privado do Elastic SAN usa um conjunto de endereços IP do espaço de endereço da sub-rede para cada grupo de volumes. O número máximo utilizado por parâmetro de avaliação final é 20.

Os pontos de extremidade privados têm várias vantagens sobre os pontos de extremidade de serviço. Para obter uma comparação completa de pontos de extremidade privados com pontos de extremidade de serviço, consulte Comparar pontos de extremidade privados e pontos de extremidade de serviço.

Restrições

Atualmente, não há suporte para endpoints privados para SANs elásticas que usam armazenamento com redundância de zona (ZRS).

Como funciona

O tráfego entre a rede virtual e a SAN elástica é roteado por um caminho ideal na rede de backbone do Azure. Ao contrário dos pontos de extremidade de serviço, você não precisa configurar regras de rede para permitir o tráfego de um ponto de extremidade privado, uma vez que o firewall de armazenamento controla apenas o acesso por meio de pontos de extremidade públicos.

Para obter detalhes sobre como configurar pontos de extremidade privados, consulte Habilitar ponto de extremidade privado.

Regras de rede virtual

Para proteger ainda mais o acesso aos volumes do Elastic SAN, você pode criar regras de rede virtual para grupos de volumes configurados com pontos de extremidade de serviço para permitir o acesso de sub-redes específicas. Você não precisa de regras de rede para permitir o tráfego de um ponto de extremidade privado, já que o firewall de armazenamento controla apenas o acesso por meio de pontos de extremidade públicos.

Cada grupo de volumes suporta até 200 regras de rede virtual. Se você excluir uma sub-rede que tenha sido incluída em uma regra de rede, ela será removida das regras de rede para o grupo de volumes. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso ao grupo de volumes. Para permitir o acesso, você deve autorizar explicitamente a nova sub-rede nas regras de rede para o grupo de volumes.

Os clientes com acesso concedido por meio dessas regras de rede também devem receber as permissões apropriadas para o grupo de volumes da SAN elástica.

Para saber como definir regras de rede, consulte Gerenciando regras de rede virtual.

Ligações de cliente

Depois de habilitar os endpoints desejados e conceder acesso em suas regras de rede, você poderá se conectar aos volumes SAN elásticos apropriados usando o protocolo iSCSI. Para saber como configurar conexões de cliente, consulte os artigos sobre como se conectar ao cluster do Serviço Kubernetes do Linux, Windows ou Azure.

As sessões iSCSI podem ser desconectadas e reconectadas periodicamente ao longo do dia. Estas desconexões e reconexões fazem parte da manutenção regular ou são o resultado de flutuações da rede. Você não deve experimentar nenhuma degradação de desempenho como resultado dessas desconexões e reconexões, e as conexões devem ser restabelecidas por si mesmas. Se uma conexão não se restabelecer ou se você estiver enfrentando degradação de desempenho, levante um tíquete de suporte.

Nota

Se uma conexão entre uma máquina virtual (VM) e um volume de SAN elástica for perdida, a conexão tentará novamente por 90 segundos até ser encerrada. Perder uma conexão com um volume de SAN elástica não fará com que a VM seja reiniciada.

Próximos passos

Configurar a rede SAN elástica