Lär dig mer om nätverkskonfigurationer för Elastic SAN
Med Azure Elastic Storage Area Network (SAN) kan du skydda och styra åtkomstnivån till dina elastiska SAN-volymer som dina program och företagsmiljöer kräver. Den här artikeln beskriver alternativen för att ge användare och program åtkomst till elastiska SAN-volymer från en virtuell Azure-nätverksinfrastruktur.
Du kan konfigurera elastiska SAN-volymgrupper så att de endast tillåter åtkomst över specifika slutpunkter på specifika virtuella nätverksundernät. De tillåtna undernäten kan tillhöra ett virtuellt nätverk i samma prenumeration eller i en annan prenumeration, inklusive prenumerationer som tillhör en annan Microsoft Entra-klientorganisation. När nätverksåtkomst har konfigurerats för en volymgrupp ärvs konfigurationen av alla volymer som tillhör gruppen.
Beroende på din konfiguration kan program på peer-kopplade virtuella nätverk eller lokala nätverk också komma åt volymer i gruppen. Lokala nätverk måste vara anslutna till det virtuella nätverket via ett VPN eller ExpressRoute. Mer information om konfigurationer av virtuella nätverk finns i Infrastruktur för virtuella Azure-nätverk.
Det finns två typer av virtuella nätverksslutpunkter som du kan konfigurera för att tillåta åtkomst till en elastisk SAN-volymgrupp:
Information om vilket alternativ som är bäst för dig finns i Jämför privata slutpunkter och tjänstslutpunkter. I allmänhet bör du använda privata slutpunkter i stället för tjänstslutpunkter eftersom Private Link erbjuder bättre funktioner. Mer information finns i Azure Private Link.
När du har konfigurerat slutpunkter kan du konfigurera nätverksregler för att ytterligare kontrollera åtkomsten till din elastiska SAN-volymgrupp. När slutpunkterna och nätverksreglerna har konfigurerats kan klienterna ansluta till volymer i gruppen för att bearbeta sina arbetsbelastningar.
Åtkomst till offentligt nätverk
Du kan aktivera eller inaktivera offentlig Internetåtkomst till dina elastiska SAN-slutpunkter på SAN-nivå. Genom att aktivera åtkomst till offentligt nätverk för ett elastiskt SAN kan du konfigurera offentlig åtkomst till enskilda volymgrupper i san-nätverket via lagringstjänstslutpunkter. Som standard nekas offentlig åtkomst till enskilda volymgrupper även om du tillåter det på SAN-nivå. Om du inaktiverar offentlig åtkomst på SAN-nivå är åtkomst till volymgrupperna i san-nätverket endast tillgänglig via privata slutpunkter.
Dataintegritet
Dataintegritet är viktigt för att förhindra att data skadas i molnlagringen. TCP ger en grundläggande nivå av dataintegritet via dess kontrollsummamekanism, den kan förbättras via iSCSI med mer robust felidentifiering med en cyklisk redundanskontroll (CRC), särskilt CRC-32C. CRC-32C kan användas för att lägga till kontrollsummaverifiering för iSCSI-huvuden och datanyttolaster.
Elastic SAN stöder CRC-32C-kontrollsummaverifiering när det är aktiverat på klientsidan för anslutningar till elastiska SAN-volymer. Elastiskt SAN ger också möjlighet att framtvinga den här felidentifieringen via en egenskap som kan anges på volymgruppsnivå, som ärvs av alla volymer i den volymgruppen. När du aktiverar den här egenskapen i en volymgrupp avvisar Elastic SAN alla klientanslutningar till alla volymer i volymgruppen om CRC-32C inte har angetts för huvud- eller datasammandrag på dessa anslutningar. När du inaktiverar den här egenskapen beror verifieringen av elastic SAN-volymkontrollsumma på om CRC-32C har angetts för huvud- eller datasammandrag på klienten, men ditt elastiska SAN avvisar inga anslutningar. Information om hur du aktiverar CRC-skydd finns i Konfigurera nätverk.
Kommentar
Vissa operativsystem kanske inte stöder iSCSI-huvud eller datasammandrag. Fedora och dess nedströms Linux-distributioner som Red Hat Enterprise Linux, CentOS, Rocky Linux osv. stöder inte datasammandrag. Aktivera inte CRC-skydd på dina volymgrupper om dina klienter använder operativsystem som dessa som inte stöder iSCSI-huvud eller datasammandrag eftersom anslutningar till volymerna misslyckas.
Lagringstjänstslutpunkter
Azure Virtual Network-tjänstslutpunkter ger säker och direkt anslutning till Azure-tjänster med hjälp av en optimerad väg över Azure-stamnätverket. Med tjänstslutpunkter kan du skydda dina kritiska Azure-tjänstresurser så att endast specifika virtuella nätverk kan komma åt dem.
Tjänstslutpunkter mellan regioner för Azure Storage fungerar mellan virtuella nätverk och lagringstjänstinstanser i valfri region. Med tjänstslutpunkter mellan regioner använder undernät inte längre en offentlig IP-adress för att kommunicera med något lagringskonto, inklusive de i en annan region. I stället använder all trafik från ett undernät till ett lagringskonto en privat IP-adress som käll-IP.
Dricks
De ursprungliga lokala tjänstslutpunkterna, som identifieras som Microsoft.Storage, stöds fortfarande för bakåtkompatibilitet, men du bör skapa slutpunkter mellan regioner, identifierade som Microsoft.Storage.Global, för nya distributioner.
Tjänstslutpunkter mellan regioner och lokala kan inte samexistera i samma undernät. Om du vill använda tjänstslutpunkter mellan regioner kan du behöva ta bort befintliga Microsoft.Storage-slutpunkter och återskapa dem som Microsoft.Storage.Global.
Privata slutpunkter
Med Azure Private Link kan du komma åt en elastisk SAN-volymgrupp på ett säkert sätt via en privat slutpunkt från ett virtuellt nätverksundernät. Trafik mellan ditt virtuella nätverk och tjänsten passerar Microsofts stamnätverk, vilket eliminerar risken för att exponera din tjänst för det offentliga Internet. En elastisk privat SAN-slutpunkt använder en uppsättning IP-adresser från undernätets adressutrymme för varje volymgrupp. Det maximala antalet som används per slutpunkt är 20.
Privata slutpunkter har flera fördelar jämfört med tjänstslutpunkter. En fullständig jämförelse av privata slutpunkter med tjänstslutpunkter finns i Jämför privata slutpunkter och tjänstslutpunkter.
Hur det fungerar
Trafik mellan det virtuella nätverket och elastic SAN dirigeras över en optimal sökväg i Azure-stamnätverket. Till skillnad från tjänstslutpunkter behöver du inte konfigurera nätverksregler för att tillåta trafik från en privat slutpunkt eftersom lagringsbrandväggen endast styr åtkomsten via offentliga slutpunkter.
Mer information om hur du konfigurerar privata slutpunkter finns i Aktivera privat slutpunkt.
Regler för virtuellt nätverk
För att ytterligare skydda åtkomsten till dina elastiska SAN-volymer kan du skapa regler för virtuella nätverk för volymgrupper som konfigurerats med tjänstslutpunkter för att tillåta åtkomst från specifika undernät. Du behöver inte nätverksregler för att tillåta trafik från en privat slutpunkt eftersom lagringsbrandväggen endast styr åtkomsten via offentliga slutpunkter.
Varje volymgrupp stöder upp till 200 regler för virtuella nätverk. Om du tar bort ett undernät som har inkluderats i en nätverksregel tas det bort från nätverksreglerna för volymgruppen. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till volymgruppen. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för volymgruppen.
Klienter som beviljas åtkomst via dessa nätverksregler måste också beviljas lämpliga behörigheter till elastic SAN till volymgruppen.
Information om hur du definierar nätverksregler finns i Hantera regler för virtuella nätverk.
Klientanslutningar
När du har aktiverat önskade slutpunkter och beviljat åtkomst i nätverksregler kan du ansluta till lämpliga elastiska SAN-volymer med iSCSI-protokollet. Information om hur du konfigurerar klientanslutningar finns i artiklarna om hur du ansluter till Linux-, Windows- eller Azure Kubernetes Service-kluster.
iSCSI-sessioner kan regelbundet koppla från och återansluta under dagen. Dessa frånkopplingar och återanslutningar är en del av regelbundet underhåll eller resultatet av nätverksfluktuationer. Du bör inte uppleva någon prestandaförsämring till följd av dessa frånkopplingar och återanslutningar, och anslutningarna bör återupprättas själva. Om en anslutning inte återupprättar sig själv, eller om du upplever prestandaförsämring, skapar du ett supportärende.
Kommentar
Om en anslutning mellan en virtuell dator (VM) och en elastisk SAN-volym går förlorad försöker anslutningen igen i 90 sekunder tills den avslutas. Om du förlorar en anslutning till en elastisk SAN-volym startas inte den virtuella datorn om.