Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt privé-eindpunten gebruiken voor uw Azure Storage-accounts, zodat clients in een virtueel Azure-netwerk veilig toegang hebben tot gegevens via een Private Link. Het privé-eindpunt maakt gebruik van een afzonderlijk IP-adres van de adresruimte van het virtuele netwerk voor elke opslagaccountservice. Netwerkverkeer tussen de clients in het virtuele netwerk en het opslagaccount loopt via het virtuele netwerk en een privékoppeling op het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd.
Notitie
Privé-eindpunten zijn niet beschikbaar voor v1-opslagaccounts voor algemeen gebruik.
Met behulp van privé-eindpunten voor uw opslagaccount kunt u het volgende doen:
- Beveilig uw opslagaccount met behulp van een privékoppeling. U kunt de opslagfirewall handmatig configureren om verbindingen op het openbare eindpunt van de opslagservice te blokkeren. Als u een privékoppeling maakt, worden verbindingen op het openbare eindpunt niet automatisch geblokkeerd.
- Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
- Maak veilig verbinding met opslagaccounts van on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van VPN of ExpressRoutes met privépeering.
Conceptueel overzicht
Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw virtuele netwerk. Wanneer u een privé-eindpunt voor uw opslagaccount maakt, biedt het beveiligde connectiviteit tussen clients in uw virtuele netwerk en uw opslag. Aan het privé-eindpunt wordt een IP-adres toegewezen uit het IP-adresbereik van uw virtuele netwerk. De verbinding tussen het privé-eindpunt en de opslagservice maakt gebruik van een beveiligde privékoppeling.
Toepassingen in het virtuele netwerk kunnen naadloos verbinding maken met de opslagservice via het privé-eindpunt, met behulp van dezelfde verbindingsreeksen en autorisatiemechanismen die ze anders zouden gebruiken. Privé-eindpunten kunnen worden gebruikt met alle protocollen die worden ondersteund door het opslagaccount, inclusief REST en SMB.
Privé-eindpunten kunnen worden gemaakt in subnetten die gebruikmaken van service-eindpunten. Clients in een subnet kunnen dus verbinding maken met één opslagaccount met behulp van een privé-eindpunt, terwijl ze service-eindpunten gebruiken om toegang te krijgen tot anderen.
Wanneer u een privé-eindpunt maakt voor een opslagservice in uw virtuele netwerk, wordt er een toestemmingsaanvraag verzonden voor goedkeuring aan de eigenaar van het opslagaccount. Als de gebruiker die het privé-eindpunt wil maken tevens eigenaar is van het opslagaccount, wordt deze aanvraag voor toestemming automatisch goedgekeurd.
Eigenaren van opslagaccounts kunnen toestemmingsaanvragen en de privé-eindpunten beheren via het tabblad Privé-eindpunten voor het opslagaccount in Azure Portal.
Aanbeveling
Als u alleen de toegang tot uw opslagaccount wilt beperken via het privé-eindpunt, configureert u de opslagfirewall om de toegang via het openbare eindpunt te weigeren of te beheren.
U kunt uw opslagaccount beveiligen om alleen verbindingen van uw virtuele netwerk te accepteren door de opslagfirewall te configureren om de toegang via het openbare eindpunt standaard te weigeren. U hebt geen firewallregel nodig om verkeer van een virtueel netwerk met een privé-eindpunt toe te staan, omdat de opslagfirewall alleen de toegang via het openbare eindpunt beheert. Privé-eindpunten zijn in plaats daarvan afhankelijk van de toestemmingsstroom voor het verlenen van subnetten toegang tot de opslagservice.
Wanneer een privé-eindpunt is geconfigureerd, is verkeer van het gekoppelde virtuele netwerk altijd toegestaan, zelfs als openbare netwerktoegang is uitgeschakeld in het opslagaccount.
Notitie
Bij het kopiëren van blobs tussen opslagaccounts moet uw client netwerktoegang hebben tot beide accounts. Dus als u ervoor kiest om een privékoppeling te gebruiken voor slechts één account (de bron of de bestemming), moet u ervoor zorgen dat uw client netwerktoegang heeft tot het andere account. Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over andere manieren om netwerktoegang te configureren.
Een privé-eindpunt maken
Als u een privé-eindpunt wilt maken met behulp van Azure Portal, raadpleegt u Privé verbinding maken met een opslagaccount vanuit de ervaring van het opslagaccount in Azure Portal.
Zie een van deze artikelen als u een privé-eindpunt wilt maken met behulp van PowerShell of de Azure CLI. Beide bevatten een Azure-web-app als doelservice, maar de stappen voor het maken van een privékoppeling zijn hetzelfde voor een Azure Storage-account.
Wanneer u een privé-eindpunt maakt, moet u het opslagaccount opgeven en de opslagservice waarmee verbinding wordt gemaakt.
U hebt een afzonderlijk privé-eindpunt nodig voor elke opslagresource die u moet openen, namelijk Blobs, Data Lake Storage, Bestanden, Wachtrijen, Tabellen of Statische websites. Op het privé-eindpunt worden deze opslagservices gedefinieerd als de doelsubresource van het gekoppelde opslagaccount.
Als u een privé-eindpunt maakt voor de Data Lake Storage-opslagresource, moet u er ook een maken voor de Blob Storage-resource. Dat komt doordat bewerkingen die zijn gericht op het Data Lake Storage-eindpunt mogelijk worden omgeleid naar het Blob-eindpunt. Als u alleen een privé-eindpunt voor Blob Storage toevoegt en niet voor Data Lake Storage, mislukken sommige bewerkingen (zoals ACL beheren, Map maken, Map verwijderen, enzovoort), omdat voor de API's een DFS-privé-eindpunt is vereist. Door een privé-eindpunt te maken voor beide resources, zorgt u ervoor dat alle bewerkingen met succes kunnen worden uitgevoerd.
Aanbeveling
Maak een afzonderlijk privé-eindpunt voor het secundaire exemplaar van de opslagservice voor betere leesprestaties voor RA-GRS-accounts. Zorg ervoor dat u een opslagaccount voor algemeen gebruik v2(Standard of Premium) maakt.
Voor leestoegang tot de secundaire regio met een opslagaccount dat is geconfigureerd voor geografisch redundante opslag, hebt u afzonderlijke privé-eindpunten nodig voor zowel de primaire als secundaire exemplaren van de service. U hoeft geen privé-eindpunt te maken voor het secundaire exemplaar voor failover. Het privé-eindpunt maakt automatisch verbinding met het nieuwe primaire exemplaar na een failover. Zie Azure Storage-redundantie voor meer informatie over opties voor opslagredundantie.
Verbinding maken met een privé-eindpunt
Clients in een virtueel netwerk met behulp van het privé-eindpunt moeten dezelfde verbindingsreeks gebruiken voor het opslagaccount als clients die verbinding maken met het openbare eindpunt. We vertrouwen op DNS-omzetting om de verbindingen van het virtuele netwerk automatisch via een privékoppeling naar het opslagaccount te routeren.
Belangrijk
Gebruik dezelfde verbindingsreeks om verbinding te maken met het opslagaccount met behulp van privé-eindpunten zoals u anders zou gebruiken. Maak geen verbinding met het opslagaccount met behulp van de URL van het privatelink subdomein.
Standaard maken we een privé-DNS-zone die is gekoppeld aan het virtuele netwerk met de benodigde updates voor de privé-eindpunten. Als u echter uw eigen DNS-server gebruikt, moet u mogelijk aanvullende wijzigingen aanbrengen in uw DNS-configuratie. In de sectie over DNS-wijzigingen hieronder worden de updates beschreven die vereist zijn voor privé-eindpunten.
DNS-wijzigingen voor privé-eindpunten
Notitie
Zie de DNS-configuratie van azure-privé-eindpunten voor meer informatie over het configureren van uw DNS-instellingen voor privé-eindpunten.
Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor het opslagaccount bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Standaard maken we ook een privé-DNS-zone die overeenkomt met het privatelink subdomein, met de DNS A-bronrecords voor de privé-eindpunten.
Wanneer u de URL van het opslageindpunt buiten het virtuele netwerk met behulp van het privé-eindpunt oplost, wordt deze doorgestuurd naar het publieke eindpunt van de opslagservice. Wanneer het probleem is opgelost vanuit het virtuele netwerk dat als host fungeert voor het privé-eindpunt, wordt de URL van het opslageindpunt omgezet in het IP-adres van het privé-eindpunt.
In het bovenstaande voorbeeld zijn de DNS-bronrecords voor het opslagaccount StorageAccountA, wanneer deze zijn omgezet van buiten het virtuele netwerk dat als host fungeert voor het privé-eindpunt, het volgende:
| Naam | Typologie | Weergegeven als |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <Openbaar eindpunt voor opslagservice> |
| <Openbaar eindpunt voor opslagservice> | Een | <openbaar IP-adres van opslagservice> |
Zoals eerder vermeld, kunt u de toegang voor clients buiten het virtuele netwerk weigeren of beheren via het openbare eindpunt met behulp van de opslagfirewall.
De DNS-bronrecords voor StorageAccountA, wanneer deze worden omgezet door een client in het virtuele netwerk dat als host fungeert voor het privé-eindpunt, zijn:
| Naam | Typologie | Weergegeven als |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
Een | 10.1.1.5 |
Deze benadering maakt toegang tot het opslagaccount mogelijk met behulp van dezelfde verbindingsreeks voor clients in het virtuele netwerk dat als host fungeert voor de privé-eindpunten, evenals clients buiten het virtuele netwerk.
Als u een aangepaste DNS-server in uw netwerk gebruikt, moeten clients de FQDN voor het eindpunt van het opslagaccount kunnen oplossen naar het IP-adres van het privé-eindpunt. U moet uw DNS-server configureren om uw private link-subdomein te delegeren naar de privé-DNS-zone voor het virtuele netwerk, of de A-records configureren voor StorageAccountA.privatelink.blob.core.windows.net met het IP-adres van het privé-eindpunt.
Aanbeveling
Wanneer u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server configureren om de naam van het opslagaccount in het privatelink subdomein om te zetten in het IP-adres van het privé-eindpunt. U kunt dit doen door het privatelink subdomein te delegeren aan de privé-DNS-zone van het virtuele netwerk of door de DNS-zone op uw DNS-server te configureren en de DNS A-records toe te voegen.
De aanbevolen DNS-zonenamen voor privé-eindpunten voor opslagservices en de bijbehorende eindpuntdoelsubbronnen zijn:
| Opslagservice | Stel subresource in | Zonenaam |
|---|---|---|
| Blob-service | Druppel | privatelink.blob.core.windows.net |
| Data-opslag in een data lake | Dfs | privatelink.dfs.core.windows.net |
| Bestandsservice | bestand | privatelink.file.core.windows.net |
| Queue-service | wachtrij | privatelink.queue.core.windows.net |
| Bediening aan tafel | tafel | privatelink.table.core.windows.net |
| Statische websites | het web | privatelink.web.core.windows.net |
Raadpleeg de volgende artikelen voor meer informatie over het configureren van uw eigen DNS-server ter ondersteuning van privé-eindpunten:
Prijzen
Zie prijzen van Azure Private Link voor meer informatie over prijzen.
Bekende problemen
Houd rekening met de volgende bekende problemen met privé-eindpunten voor Azure Storage.
Toegangsbeperkingen voor opslag voor clients in virtuele netwerken met privé-eindpunten
Clients in virtuele netwerken met bestaande privé-eindpunten hebben te maken met beperkingen bij het openen van andere opslagaccounts met privé-eindpunten. Stel dat een virtueel netwerk N1 een privé-eindpunt heeft voor een opslagaccount A1 voor Blob Storage. Als opslagaccount A2 een privé-eindpunt heeft in een virtueel netwerk N2 voor Blob-opslag, moeten clients in het virtuele netwerk N1 ook toegang hebben tot Blob-opslag in account A2 met behulp van een privé-eindpunt. Als opslagaccount A2 geen privé-eindpunten voor Blob Storage heeft, hebben clients in het virtuele netwerk N1 toegang tot Blob-opslag in dat account zonder een privé-eindpunt.
Deze beperking is het resultaat van de DNS-wijzigingen die zijn aangebracht wanneer account A2 een privé-eindpunt maakt.
Blobs kopiëren tussen opslagaccounts
U kunt blobs tussen opslagaccounts alleen kopiëren met behulp van privé-eindpunten als u de Azure REST API of hulpprogramma's gebruikt die gebruikmaken van de REST API. Deze hulpprogramma's omvatten AzCopy, Storage Explorer, Azure PowerShell, Azure CLI en de Azure Blob Storage SDK's.
Alleen privé-eindpunten die zijn gericht op het eindpunt van blob de file opslagresource, worden ondersteund. Dit omvat REST API-aanroepen voor Data Lake Storage-accounts waarin expliciet of impliciet naar het blob resource-eindpunt wordt verwezen. Privé-eindpunten die zijn gericht op het Data Lake Storage-resource-eindpunt dfs , worden nog niet ondersteund. Kopiëren tussen opslagaccounts met behulp van het NFS-protocol (Network File System) wordt nog niet ondersteund.