Настройка сетевого доступа для Azure Elastic SAN

Вы можете управлять доступом к томам области хранения Эластичных баз данных Azure (SAN). Управление доступом позволяет защитить данные и удовлетворить потребности приложений и корпоративных сред.

В этой статье описывается настройка эластичной сети SAN для разрешения доступа из инфраструктуры виртуальной сети Azure.

Чтобы настроить сетевой доступ к эластичной сети SAN:

• Настройка доступа к общедоступной сети
• Настройте конечную точку виртуальной сети.
• Настройте клиентские подключения.

Необходимые компоненты

• Если вы используете Azure PowerShell, установите последний модуль Azure PowerShell.
• Если вы используете Azure CLI, установите последнюю версию.
• После установки последней версии выполните az extension add -n elastic-san установку расширения для Elastic SAN. Никаких дополнительных шагов регистрации не требуется.

Ограничения

В следующем списке содержатся регионы, в которых сейчас доступна эластичная san, и в которых регионы поддерживают хранилище, избыточное между зонами (ZRS), так и локально избыточное хранилище (LRS) или только LRS:

• Восточная Австралия - LRS
• Южная Бразилия - LRS
• Центральная Канада - LRS
• Центральная часть США - LRS
• Восточная Азия - LRS
• Восточная часть США - LRS
• Восточная часть США 2 - LRS
• Центральная Франция - LRS и ZRS
• Западная Германия - LRS
• Центральная Индия - LRS
• Восточная Япония - LRS
• Центральная Корея - LRS
• Северная Европа - LRS и ZRS
• Восточная Норвегия - LRS
• Северная Африка - LRS
• Южная часть США - LRS
• Юго-Восточная Азия - LRS
• Центральная Швеция - LRS
• Северная Швейцария - LRS
• Север ОАЭ - LRS
• Южная Великобритания - LRS
• Западная Европа - LRS и ZRS
• Западная часть США 2 - LRS и ZRS
• Западная часть США 3 - LRS

Эластичная SAN также доступна в следующих регионах, но без поддержки зоны доступности:

• Восточная Канада - LRS
• Западная Япония - LRS
• Северная часть США - LRS

Чтобы включить эти регионы, выполните следующую команду, чтобы зарегистрировать необходимый флаг компонента:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Настройка доступа к общедоступной сети

Вы можете включить общедоступный интернет-доступ к конечным точкам Elastic SAN на уровне SAN. Включение доступа к общедоступной сети для эластичной сети SAN позволяет настроить общедоступный доступ к отдельным группам томов через конечные точки службы хранения. По умолчанию общедоступный доступ к отдельным группам томов запрещен, даже если он разрешен на уровне SAN. Необходимо явно настроить группы томов, чтобы разрешить доступ из определенных диапазонов IP-адресов и подсетей виртуальной сети.

Вы можете включить доступ к общедоступной сети при создании эластичной сети SAN или включить ее для существующей сети SAN с помощью модуля Azure PowerShell или Azure CLI.

Портал

Используйте модуль Azure PowerShell или Azure CLI для включения доступа к общедоступной сети.

PowerShell

Используйте этот пример кода для создания эластичной сети SAN с включенным доступом к общедоступной сети с помощью PowerShell. Замените значения переменной перед выполнением примера.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName       = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName     = "<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location     = "<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName      = "<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize     = "<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize = "<ExtendedSize>"
# Setup the parameters to create an Elastic San with public network access enabled.
$NewEsanArguments = @{
    Name                    = $EsanName
    ResourceGroupName       = $RgName
    BaseSizeTiB             = $BaseSize
    ExtendedCapacitySizeTiB = $ExtendedSize
    Location                = $Location
    SkuName                 = $SkuName
    PublicNetworkAccess     = "Enabled"
}
# Create the Elastic San.
New-AzElasticSan @NewEsanArguments

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью PowerShell. Замените значения RgName и EsanName собственными, а затем выполните пример:

# Set the variable values.
$RgName       = "<ResourceGroupName>"
$EsanName     = "<ElasticSanName>"
# Update the Elastic San.
Update-AzElasticSan -Name $EsanName -ResourceGroupName $RgName -PublicNetworkAccess Enabled

Azure CLI

Используйте этот пример кода для создания эластичной сети SAN с включенным доступом к общедоступной сети с помощью Azure CLI. Замените значения переменной перед выполнением примера.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName="<ElasticSanName>"
# The region where the new Elastic San will be created.
$Location="<Location>"
# The SKU of the new Elastic SAN - `Premium_LRS` or `Premium_ZRS`.
$SkuName="<SkuName>"
# The base size of the new Elastic SAN.
$BaseSize="<BaseSize>"
# The extended size of the new Elastic SAN.
$ExtendedSize="<ExtendedSize>"

# Create the Elastic San.
az elastic-san create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --location $Location \
    --base-size-tib $BaseSize \
    --extended-capacity-size-tib $ExtendedSize \
    --sku $SkuName \
    --public-network-access enabled

Используйте этот пример кода для обновления эластичной сети SAN для включения доступа к общедоступной сети с помощью Azure CLI. Замените значения RgName и EsanName собственными значениями:

# Set the variable values.
$RgName="<ResourceGroupName>"
$EsanName="<ElasticSanName>"
# Update the Elastic San.
az elastic-san update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --public-network-access enabled

Настройка обнаружения ошибок iSCSI

Включение обнаружения ошибок iSCSI

Чтобы включить проверку контрольной суммы CRC-32C для заголовков iSCSI или полезных данных, задайте CRC-32C в заголовках или дайджестах данных для всех подключений на клиентах, которые подключаются к томам Elastic SAN. Для этого подключите клиентов к томам Elastic SAN с помощью сценариев с несколькими сеансами, созданными в портал Azure или предоставленных в статьях о подключении Windows или Linux Elastic SAN.

Если вам нужно, это можно сделать без сценариев подключения с несколькими сеансами. В Windows это можно сделать, задав заголовок или дайджест данных 1 во время входа в тома Elastic SAN (LoginTarget и PersistentLoginTarget). В Linux это можно сделать, обновив глобальный файл конфигурации iSCSI (iscsid.conf, обычно найденный в каталоге /etc/iscsi). При подключении тома узел создается вместе с файлом конфигурации, характерным для этого узла (например, в Ubuntu его можно найти в файле /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port каталоге), наследующем параметры из глобального файла конфигурации. Если вы уже подключили тома к клиенту перед обновлением глобального файла конфигурации, обновите файл конфигурации узла для каждого тома напрямую или выполните следующую команду:

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Где

• $volume_iqn: IQN тома elastic SAN
• $portal_hostname: имя узла портала тома Elastic SAN
• $port: 3260
• $iscsi_setting_name: node.conn[0].iscsi. HeaderDigest (или) node.conn[0].iscsi. DataDigest
• $setting_value: CRC32C

Принудительное обнаружение ошибок iSCSI

Чтобы обеспечить обнаружение ошибок iSCSI, установите CRC-32C для хэша заголовков и данных для клиентов и включите свойство защиты CRC в группе томов, содержащей тома, к которым уже подключены или еще не подключены к клиентам. Если тома Elastic SAN уже подключены и не имеют CRC-32C для обоих дайджестов, необходимо отключить тома и повторно подключить их с помощью сценариев нескольких сеансов, созданных в портал Azure при подключении к тому Elastic SAN, или из статей подключения к Windows или Linux Elastic SAN.

Примечание.

Функция защиты CRC в настоящее время недоступна в Северной Европе и южной части США.

Чтобы включить защиту CRC в группе томов, выполните следующие действия.

Портал

Включите защиту CRC в новой группе томов:

Включите защиту CRC в существующей группе томов:

PowerShell

Используйте этот скрипт для включения защиты CRC в новой группе томов с помощью модуля Azure PowerShell. Замените значения $RgName, $EsanName$EsanVgName прежде чем запускать скрипт.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
$RgName = "<ResourceGroupName>"
# The name of the Elastic SAN.
$EsanName = "<ElasticSanName>"
# The name of volume group within the Elastic SAN.
$EsanVgName = "<VolumeGroupName>"

# Create a volume group by enabling CRC protection
New-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

Используйте этот скрипт, чтобы включить защиту CRC в существующей группе томов с помощью модуля Azure PowerShell. Замените значения $RgName, $EsanName$EsanVgName прежде чем запускать скрипт.

# Set the variable values.
$RgName = "<ResourceGroupName>"
$EsanName = "<ElasticSanName>"
$EsanVgName = "<VolumeGroupName>"

# Edit a volume group to enable CRC protection
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSANName $EsanName -Name $EsanVgName -EnforceDataIntegrityCheckForIscsi $true

Azure CLI

В следующем примере кода включена защита CRC в новой группе томов с помощью Azure CLI. Замените значения RgName, EsanNameEsanVgNameперед выполнением примера.

# Set the variable values.
# The name of the resource group where the Elastic San is deployed.
RgName="<ResourceGroupName>"
# The name of the Elastic SAN.
EsanName="<ElasticSanName>"
# The name of volume group within the Elastic SAN.
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group create \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

В следующем примере кода включена защита CRC в существующей группе томов с помощью Azure CLI. Замените значения RgName, EsanNameEsanVgNameперед выполнением примера.

# Set the variable values.
RgName="<ResourceGroupName>"
EsanName="<ElasticSanName>"
EsanVgName= "<VolumeGroupName>"

# Create the Elastic San.
az elastic-san volume-group update \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --volume-group-name $EsanVgName \
    --data-integrity-check true

Настройка конечной точки виртуальной сети

Вы можете настроить группы томов Elastic SAN, чтобы разрешить доступ только из конечных точек в определенных подсетях виртуальной сети. Допустимые подсети могут принадлежать виртуальным сетям в той же подписке или в другой подписке, включая подписку, принадлежащую другому клиенту Microsoft Entra.

Вы можете разрешить доступ к группе томов Elastic SAN из двух типов конечных точек виртуальной сети Azure:

• Частные конечные точки
• Конечные точки службы хранилища

Частная конечная точка использует один или несколько частных IP-адресов из подсети виртуальной сети для доступа к группе томов Elastic SAN через магистральную сеть Майкрософт. При использовании частной конечной точки трафик между виртуальной сетью и группой томов защищены через приватный канал.

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Правила виртуальной сети можно настроить для управления доступом к группе томов при использовании конечных точек службы хранилища.

Правила сети применяются только к общедоступным конечным точкам группы томов, а не к частным конечным точкам. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка. Политики сети можно использовать для управления трафиком частных конечных точек, если требуется уточнить правила доступа. Если вы хотите использовать исключительно частные конечные точки, не включите конечные точки службы для группы томов.

Чтобы решить, какой тип конечной точки лучше всего подходит для вас, см. статью "Сравнение частных конечных точек и конечных точек службы".

После настройки сетевого доступа для группы томов конфигурация наследуется всеми томами, принадлежащими группе.

Процесс включения каждого типа конечной точки выполняется следующим образом:

• Настройка частной конечной точки
• Настройка конечной точки службы служба хранилища Azure

Настройка частной конечной точки

Внимание

• Для локальных избыточных хранилищ (LRS) для эластичных локальных сетей san поддерживаются частные конечные точки во всех регионах, где доступна эластичная san. Частные конечные точки в настоящее время не поддерживаются для эластичных saN, используя хранилище, избыточное между зонами (ZRS), в качестве параметра избыточности.

Существует два шага, связанных с настройкой подключения к частной конечной точке:

• Создание конечной точки и связанного подключения.
• Утверждение подключения.

Политики сети также можно использовать для уточнения контроля доступа по частным конечным точкам.

Чтобы создать частную конечную точку для группы томов Elastic SAN, необходимо иметь роль владельца группы томов Elastic SAN. Чтобы утвердить новое подключение к частной конечной точке, необходимо иметь разрешение на операцию Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/actionпоставщика ресурсов Azure. Разрешение для этой операции включается в роль администратора эластичной сети SAN, но ее также можно предоставить с помощью настраиваемой роли Azure.

Если вы создаете конечную точку из учетной записи пользователя с всеми необходимыми ролями и разрешениями, необходимыми для создания и утверждения, процесс можно выполнить на одном шаге. В противном случае требуется два отдельных шага для двух разных пользователей.

Эластичная сеть SAN и виртуальная сеть могут находиться в разных группах ресурсов, регионах и подписках, включая подписки, принадлежащие разным клиентам Microsoft Entra. В этих примерах мы создадим частную конечную точку в той же группе ресурсов, что и виртуальная сеть.

Портал

Вы можете создать подключение частной конечной точки к группе томов в портал Azure при создании группы томов или при изменении существующей группы томов. Для создания частной конечной точки требуется существующая виртуальная сеть.

При создании или изменении группы томов выберите "Сеть", а затем нажмите кнопку "Создать частную конечную точку" в разделе "Подключения к частной конечной точке".

Заполните значения в всплывающем меню, выберите виртуальную сеть и подсеть, которую будут использовать ваши приложения для подключения. По завершении нажмите кнопку "Добавить" и "Сохранить".

PowerShell

Развертывание частной конечной точки для группы томов Elastic SAN с помощью PowerShell включает следующие действия.

1. Получите подсеть из приложений, которые будут подключаться.
2. Получите группу томов Elastic SAN.
3. Создайте подключение службы приватного канала с помощью группы томов в качестве входных данных.
4. Создайте частную конечную точку с помощью подсети и подключения службы приватного канала в качестве входных данных.
5. (Необязательно) Если вы используете двухфакторный процесс (создание, утверждение): администратор эластичной сети SAN утверждает подключение.

Используйте этот пример кода, чтобы создать частную конечную точку для группы томов Elastic SAN с помощью PowerShell. Замените значения RgName, , VnetNameEsanVgNameEsanNamePLSvcConnectionNameSubnetNameEndpointNameи Location(Регион) собственными значениями:

# Set the resource group name.
$RgName     = "<ResourceGroupName>"

# Set the virtual network and subnet, which is used when creating the private endpoint.
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

$Vnet = Get-AzVirtualNetwork -Name $VnetName -ResourceGroupName $RgName
$Subnet = $Vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}

# Set the Elastic SAN, which is used when creating the private endpoint service connection.
$EsanName   = "<ElasticSanName>"
$EsanVgName = "<ElasticSanVolumeGroupName>"

$Esan = Get-AzElasticSan -Name $EsanName -ResourceGroupName $RgName

# Create the private link service connection, which is input to creating the private endpoint.
$PLSvcConnectionName = "<PrivateLinkSvcConnectionName>"
$EsanPlSvcConn = New-AzPrivateLinkServiceConnection -Name $PLSvcConnectionName -PrivateLinkServiceId $Esan.Id -GroupId $EsanVgName

# Create the private endpoint.
$EndpointName       = '<PrivateEndpointName>'
$Location           = '<Location>'
$PeArguments        = @{
    Name                         = $EndpointName
    ResourceGroupName            = $RgName
    Location                     = $Location
    Subnet                       = $Subnet
    PrivateLinkServiceConnection = $EsanPlSvcConn
}
New-AzPrivateEndpoint @PeArguments # -ByManualRequest # (Uncomment the `-ByManualRequest` parameter if you are using the two-step process).

Используйте этот пример кода, чтобы утвердить подключение службы приватного канала, если вы используете двухэтапный процесс. Используйте те же переменные из предыдущего примера кода:

# Get the private endpoint and associated connection.
$PrivateEndpoint = Get-AzPrivateEndpoint -Name $EndpointName -ResourceGroupName $RgName
$PeConnArguments  = @{
    ServiceName                  = $EsanName
    ResourceGroupName            = $RgName
    PrivateLinkResourceType      = "Microsoft.ElasticSan/elasticSans"
}
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}

# Approve the private link service connection.
$ApprovalDesc="<ApprovalDesc>"
Approve-AzPrivateEndpointConnection @PeConnArguments -Name $EndpointConnection.Name -Description $ApprovalDesc

# Get the private endpoint connection anew and verify the connection status.
$EndpointConnection = Get-AzPrivateEndpointConnection @PeConnArguments | 
Where-Object {($_.PrivateEndpoint.Id -eq $PrivateEndpoint.Id)}
$EndpointConnection.PrivateLinkServiceConnectionState

Azure CLI

Развертывание частной конечной точки для группы томов Elastic SAN с помощью Azure CLI состоит из трех этапов.

1. Получите идентификатор ресурса частного подключения для эластичной сети SAN.
2. Создайте частную конечную точку с помощью входных данных:
   1. Идентификатор ресурса приватного подключения
   2. Имя группы томов
   3. Имя группы ресурсов
   4. Имя подсети
   5. имя виртуальной сети;
3. (Необязательно Если вы используете двухфакторный процесс (создание, утверждение): администратор эластичной сети SAN утверждает подключение.

Используйте этот пример кода, чтобы создать частную конечную точку для группы томов Elastic SAN с помощью Azure CLI. Раскомментируйте параметр, --manual-request если вы используете двухэтапный процесс. Замените все примеры значений переменных собственными:

# Define some variables.
# The name of the resource group where the resources are deployed.
RgName="<ResourceGroupName>"
# The name of the subnet from which access to the volume group will be configured.
VnetName="<VnetName>"
# The name of the virtual network that includes the subnet.
SubnetName="<SubnetName>"
# The name of the Elastic SAN that the volume group belongs to.
EsanName="<ElasticSanName>"
# The name of the Elastic SAN Volume Group to which a connection is to be created.
EsanVgName="<ElasticSanVolumeGroupName>"
# The name of the new private endpoint
EndpointName="<PrivateEndpointName>"
# The name of the new private link service connection to the volume group.
PLSvcConnectionName="<PrivateLinkSvcConnectionName>"
# The region where the new private endpoint will be created.
Location="<Location>"
# The description provided for the approval of the private endpoint connection.
ApprovalDesc="<ApprovalDesc>"

# Get the id of the Elastic SAN.
id=$(az elastic-san show \
    --elastic-san-name $EsanName \
    --resource-group $RgName \
    --query 'id' \
    --output tsv)

# Create the private endpoint.
az network private-endpoint create \
    --connection-name $PLSvcConnectionName \
    --name $EndpointName \
    --private-connection-resource-id $id \
    --resource-group $RgName \
    --vnet-name $VnetName \
    --subnet $SubnetName \
    --location $Location \
    --group-id $EsanVgName # --manual-request

# Verify the status of the private endpoint connection.
PLConnectionName=$(az network private-endpoint-connection list \
    --name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --query "[?properties.groupIds[0]=='$EsanVgName'].name" -o tsv)

az network private-endpoint-connection show  \
    --resource-name $EsanName \
    --resource-group $RgName \
    --type Microsoft.ElasticSan/elasticSans \
    --name $PLConnectionName

Используйте этот пример кода, чтобы утвердить подключение службы приватного канала, если вы используете двухэтапный процесс. Используйте те же переменные из предыдущего примера кода:

az network private-endpoint-connection approve \
    --resource-name $EsanName \
    --resource-group $RgName \
    --name $PLConnectionName \
    --type Microsoft.ElasticSan/elasticSans \
    --description $ApprovalDesc

Настройка конечной точки службы служба хранилища Azure

Чтобы настроить конечную точку службы служба хранилища Azure из виртуальной сети, где требуется доступ, необходимо иметь разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action операцию поставщика ресурсов Azure с помощью настраиваемой роли Azure для настройки конечной точки службы.

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Правила виртуальной сети можно настроить для управления доступом к группе томов при использовании конечных точек службы хранилища.

Примечание.

Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, CLI и REST API. Эти правила нельзя настроить с помощью портал Azure, хотя их можно просмотреть на портале.

Портал

1. Перейдите к виртуальной сети и выберите "Конечные точки службы".

2. Выберите Добавить.

3. На экране добавления конечных точек службы:

   1. Для службы выберите Microsoft.Storage.Global, чтобы добавить конечную точку службы между регионами.

   Примечание.

   Вы можете увидеть Microsoft.Storage , указанную как доступную конечную точку службы хранилища. Этот вариант предназначен для конечных точек внутри региона, которые существуют только для обратной совместимости. Всегда используйте конечные точки между регионами, если у вас нет определенной причины использования внутрирегионных конечных точек.

4. Для подсетей выберите все подсети , в которых требуется разрешить доступ.

5. Выберите Добавить.

PowerShell

Используйте этот пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN с помощью PowerShell.

# Define some variables
$RgName     = "<ResourceGroupName>"
$VnetName   = "<VnetName>"
$SubnetName = "<SubnetName>"

# Get the virtual network and subnet
$Vnet = Get-AzVirtualNetwork -ResourceGroupName $RgName -Name $VnetName
$Subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $Vnet -Name $SubnetName

# Enable the storage service endpoint
$Vnet | Set-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $Subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork

Azure CLI

Используйте этот пример кода, чтобы создать конечную точку службы хранилища для группы томов Elastic SAN с помощью Azure CLI.

# Define some variables
RgName="<ResourceGroupName>"
VnetName="<VnetName>"
SubnetName="<SubnetName>"

# Enable the storage service endpoint
az network vnet subnet update --resource-group $RgName --vnet-name $VnetName --name $SubnetName --service-endpoints "Microsoft.Storage.Global"

Настройка правил виртуальной сети

Все входящие запросы данных по конечной точке службы блокируются по умолчанию. Доступ к данным могут получать только приложения, запрашивающие данные из разрешенных источников, настроенных в правилах сети.

Правила виртуальной сети для групп томов можно управлять с помощью портал Azure, PowerShell или CLI.

Внимание

Если вы хотите включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.

Если удалить подсеть, включенную в правило сети, она будет удалена из сетевых правил для группы томов. Если создать новую подсеть с тем же именем, у нее не будет доступа к группе томов. Чтобы разрешить доступ, необходимо явно авторизовать новую подсеть в правилах сети для группы томов.

Портал

1. Перейдите к сети SAN и выберите группы томов.
2. Выберите группу томов и нажмите кнопку "Создать".
3. Добавьте существующую виртуальную сеть и подсеть и нажмите кнопку "Сохранить".

PowerShell

• Установите Azure PowerShell и выполните вход.

• Выведите список правил виртуальной сети.

  $Rules = Get-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $sanName -Name $volGroupName
  $Rules.NetworkAclsVirtualNetworkRule
  

• Включите конечную точку службы для службы хранилища Azure в имеющейся виртуальной сети и подсети.

  Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
  

• Добавьте сетевое правило для виртуальной сети и подсети.

  $rule = New-AzElasticSanVirtualNetworkRuleObject -VirtualNetworkResourceId $Subnet.Id -Action Allow
  
  Add-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName $RgName -ElasticSanName $EsanName -VolumeGroupName $EsanVgName -NetworkAclsVirtualNetworkRule $rule
  

  Совет

  Чтобы добавить правило сети для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный параметр VirtualNetworkResourceId в форме "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNetworks/vNet-name/subnets/subnet-name/subnet-name".

• Удалите правило виртуальной сети.

  ## You can remove a virtual network rule by object, by resource ID, or by removing all the rules in a volume group
  ### remove by networkRule object
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2
  ### remove by networkRuleResourceId
  Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName -NetworkAclsVirtualNetworkResourceId "myResourceID"
  ### Remove all network rules in a volume group by pipeline
  ((Get-AzElasticSanVolumeGroup -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName).NetworkAclsVirtualNetworkRule) | Remove-AzElasticSanVolumeGroupNetworkRule -ResourceGroupName myRGName -ElasticSanName mySANName -VolumeGroupName myVolGroupName
  

Azure CLI

• Установите Azure CLI и выполните вход.

• Вывод сведений из определенной группы томов, включая правила виртуальной сети.

  az elastic-san volume-group show -e $sanName -g $RgName -n $volumeGroupName
  

• Включите конечную точку службы для службы хранилища Azure в имеющейся виртуальной сети и подсети.

  az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
  

• Добавьте сетевое правило для виртуальной сети и подсети.

  Совет

  Чтобы добавить правило для подсети в виртуальной сети, принадлежащей другому клиенту Microsoft Entra, используйте полный идентификатор подсети в форме /subscriptions/\<subscription-ID\>/resourceGroups/\<resourceGroup-Name\>/providers/Microsoft.Network/virtualNetworks/\<vNet-name\>/subnets/\<subnet-name\>.

  Параметр подписки можно использовать для получения идентификатора подсети для виртуальной сети, принадлежащей другому клиенту Microsoft Entra.

  # First, get the current length of the list of virtual networks. This is needed to ensure you append a new network instead of replacing existing ones.
  virtualNetworkListLength = az elastic-san volume-group show -e $sanName -n $volumeGroupName -g $RgName --query 'length(networkAcls.virtualNetworkRules)'
  
  az elastic-san volume-group update -e $sanName -g $RgName --name $volumeGroupName --network-acls virtual-network-rules[$virtualNetworkListLength] "{virtualNetworkRules:[{id:/subscriptions/subscriptionID/resourceGroups/RGName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/default, action:Allow}]}"
  

• Удалите сетевое правило. Следующая команда удаляет первое сетевое правило, измените его, чтобы удалить нужное сетевое правило.

  az elastic-san volume-group update -e $sanName -g $RgName -n $volumeGroupName --network-acls virtual-network-rules[1]=null
  

Настройка клиентских подключений

После включения нужных конечных точек и предоставления доступа в правилах сети вы можете настроить клиенты для подключения к соответствующим томам Elastic SAN.

Примечание.

Если подключение между виртуальной машиной и томом Эластичной сети SAN потеряно, подключение будет повторяться в течение 90 секунд до завершения. Потеря подключения к тому Elastic SAN не приведет к перезапуску виртуальной машины.

Следующие шаги

• Подключение томов Azure Elastic SAN к кластеру Служба Azure Kubernetes
• Подключение к томам Elastic SAN — Linux
• Подключение к томам Elastic SAN — Windows