Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć prywatnych punktów końcowych dla kont usługi Azure Storage, aby umożliwić klientom w sieci wirtualnej platformy Azure bezpieczny dostęp do danych za pośrednictwem usługi Private Link. Prywatny punkt końcowy używa oddzielnego adresu IP z przestrzeni adresowej sieci wirtualnej dla każdej usługi konta magazynowego. Ruch sieciowy między klientami w sieci wirtualnej a kontem magazynowym przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczny Internet.
Uwaga
Prywatne punkty końcowe nie są dostępne dla kont magazynu ogólnego przeznaczenia typu v1.
Korzystanie z prywatnych punktów końcowych sieci dla konta usługi magazynowej umożliwia:
- Zabezpiecz konto usługi storage za pomocą linku prywatnego. Zapora magazynu może być skonfigurowana ręcznie, aby blokowała połączenia z publicznego punktu końcowego usługi magazynowej. Tworzenie łącza prywatnego nie blokuje automatycznie połączeń w publicznym punkcie końcowym.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
- Bezpiecznie połącz się z kontami magazynu z sieci lokalnych łączących się z siecią wirtualną przy użyciu VPN lub ExpressRoute z prywatnego peeringu.
Omówienie pojęć
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla konta pamięci masowej zapewnia bezpieczną łączność między klientami w wirtualnej sieci a pamięcią masową. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługą przechowywania korzysta z bezpiecznego łącza prywatnego.
Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z usługą magazynu za pośrednictwem prywatnego punktu końcowego, przy użyciu tych samych ciągów połączenia i mechanizmów autoryzacji, których użyłyby w innych przypadkach. Prywatne punkty końcowe mogą być używane ze wszystkimi protokołami obsługiwanymi przez konto magazynowe, w tym z protokołami REST i SMB.
Prywatne punkty końcowe można tworzyć w podsieciach korzystających z punktów końcowych usługi. Klienci znajdujący się w podsieci mogą w ten sposób łączyć się z jednym kontem magazynu przy użyciu prywatnego punktu dostępowego, używając punktów końcowych usługi do uzyskania dostępu do innych.
Podczas tworzenia prywatnego punktu końcowego dla usługi magazynu w sieci wirtualnej do właściciela konta magazynu jest wysyłane żądanie zgody. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest także właścicielem konta magazynu, wniosek o zgodę jest zatwierdzany automatycznie.
Właściciele konta magazynu mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pomocą karty "Prywatne punkty końcowe" dla konta magazynu w witrynie Azure Portal.
Napiwek
Jeśli chcesz ograniczyć dostęp do konta magazynowego tylko za pośrednictwem prywatnego punktu końcowego, skonfiguruj zaporę magazynu, aby blokować lub regulować dostęp za pośrednictwem publicznego punktu końcowego.
Konto magazynu można zabezpieczyć tak, aby akceptowało tylko połączenia z Twojej sieci wirtualnej, konfigurując zaporę sieciową magazynu tak, aby domyślnie odmówiła dostępu za pośrednictwem publicznego punktu końcowego. Nie potrzebujesz reguły zapory, aby zezwolić na ruch z sieci wirtualnej, która ma prywatny punkt końcowy, ponieważ zapora sieciowa kontroluje dostęp wyłącznie za pośrednictwem publicznego punktu końcowego. Prywatne punkty końcowe zamiast tego korzystają z przepływu zgody, aby zapewnić podsieciom dostęp do usługi przechowywania.
Ponadto po skonfigurowaniu prywatnego punktu końcowego ruch ze skojarzonej sieci wirtualnej jest zawsze dozwolony, nawet jeśli dostęp do sieci publicznej jest wyłączony na koncie magazynowym.
Uwaga
Podczas kopiowania obiektów blob między kontami magazynu klient musi mieć dostęp sieciowy do obu kont. Jeśli więc zdecydujesz się użyć łącza prywatnego tylko dla jednego konta (źródła lub miejsca docelowego), upewnij się, że klient ma dostęp sieciowy do drugiego konta. Aby dowiedzieć się więcej o innych sposobach konfigurowania dostępu do sieci, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.
Tworzenie prywatnego punktu końcowego
Aby utworzyć prywatny punkt końcowy, korzystając z Azure Portal, zobacz Łączenie się prywatnie z kontem magazynu z interfejsu Konta magazynu w Azure Portal.
Aby utworzyć prywatny punkt końcowy przy użyciu programu PowerShell lub interfejsu wiersza polecenia platformy Azure, zobacz jeden z tych artykułów. Obie te funkcje obejmują aplikację internetową platformy Azure jako usługę docelową, ale kroki tworzenia łącza prywatnego są takie same dla konta usługi Azure Storage.
Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure
Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell
Podczas tworzenia prywatnego punktu końcowego należy określić konto magazynowe i usługę magazynową, z którą nawiązuje połączenie.
Potrzebujesz oddzielnego prywatnego punktu końcowego dla każdego zasobu magazynu, do którego chcesz uzyskać dostęp, czyli obiektów blob, usługi Data Lake Storage, plików, kolejek, tabel lub statycznych witryn internetowych. W prywatnym punkcie końcowym te usługi magazynu są zdefiniowane jako docelowy zasób skojarzonego konta magazynu.
Jeśli tworzysz prywatny punkt końcowy dla zasobu magazynu usługi Data Lake Storage, utwórz go również dla zasobu usługi Blob Storage. Dzieje się tak, ponieważ operacje przeznaczone dla punktu końcowego Data Lake Storage mogą być przekierowywane do punktu końcowego obiektu Blob. Podobnie, jeśli dodasz prywatny punkt końcowy tylko dla usługi Blob Storage, a nie dla usługi Data Lake Storage, niektóre operacje (takie jak Zarządzanie listą ACL, tworzeniem katalogu, usuwanie katalogu itp.), zakończy się niepowodzeniem, ponieważ interfejsy API wymagają prywatnego punktu końcowego systemu plików DFS. Tworząc prywatny punkt końcowy dla obu zasobów, upewnij się, że wszystkie operacje mogą zakończyć się pomyślnie.
Napiwek
Utwórz oddzielny prywatny punkt końcowy dla dodatkowej instancji usługi przechowywania, dla lepszej wydajności odczytu na kontach RA-GRS. Pamiętaj, aby utworzyć konto magazynowe w wersji 2 ogólnego przeznaczenia (Standardowa lub Premium).
Aby uzyskać dostęp do odczytu do regionu pomocniczego z kontem magazynu skonfigurowanym dla magazynu georedundantnego, niezbędne są odrębne prywatne punkty końcowe zarówno dla wystąpień podstawowych, jak i pomocniczych usługi. Nie musisz tworzyć prywatnego punktu końcowego dla wystąpienia pomocniczego dla failover. Prywatny punkt końcowy automatycznie połączy się z nowym wystąpieniem podstawowym po przejściu w tryb failover. Aby uzyskać więcej informacji na temat opcji nadmiarowości magazynu, zobacz Nadmiarowość usługi Azure Storage.
Nawiązywanie połączenia z prywatnym punktem końcowym
Klienci w sieci wirtualnej korzystającej z prywatnego punktu końcowego powinni używać tych samych parametrów połączenia dla konta magazynu, co klienci łączący się z publicznym punktem końcowym. Polegamy na rozwiązaniu DNS w celu automatycznego kierowania połączeń z sieci wirtualnej do konta magazynowego za pośrednictwem łącza prywatnego.
Ważne
Użyj tego samego ciągu połączenia, aby połączyć się z kontem magazynu za pomocą prywatnych punktów końcowych, jakiego użyłbyś w przeciwnym wypadku. Nie łącz się z kontem magazynu przy użyciu adresu privatelink URL poddomeny.
Domyślnie tworzymy prywatną strefę DNS dołączoną do sieci wirtualnej z niezbędnymi aktualizacjami dla prywatnych punktów końcowych. Jeśli jednak używasz własnego serwera DNS, może być konieczne wprowadzenie dodatkowych zmian w konfiguracji DNS. W sekcji dotyczącej zmian DNS poniżej opisano aktualizacje wymagane dla prywatnych punktów końcowych.
Zmiany DNS dla prywatnych punktów końcowych
Uwaga
Aby uzyskać szczegółowe informacje na temat konfigurowania ustawień DNS dla prywatnych punktów końcowych, zobacz Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure.
Podczas tworzenia prywatnego punktu końcowego rekord zasobów CNAME systemu DNS dla konta magazynu jest zastępowany aliasem w poddomenie z prefiksem privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych.
Gdy adres URL punktu końcowego magazynu jest rozwiązywany spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego, kieruje na publiczny punkt końcowy usługi magazynu. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego magazynu jest rozpoznawany jako adres IP prywatnego punktu końcowego.
W powyżej przedstawionym przykładzie, rekordy zasobów DNS dla konta magazynowego 'StorageAccountA', po rozpoznaniu poza siecią wirtualną hostującą prywatny punkt końcowy, będą następujące:
| Nazwisko | Typ | Wartość |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <punkt końcowy publicznej usługi magazynowej> |
| <punkt końcowy publicznej usługi magazynowej> | A | <publiczny adres IP usługi magazynu> |
Jak wspomniano wcześniej, można blokować dostęp lub kontrolować dostęp do klientów spoza sieci wirtualnej za pomocą publicznego punktu końcowego, używając zapory firewall.
Rekordy zasobów DNS dla usługi StorageAccountA, po rozpoznaniu przez klienta w sieci wirtualnej hostujące prywatny punkt końcowy, będą następujące:
| Nazwisko | Typ | Wartość |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Takie podejście umożliwia dostęp do konta magazynu przy użyciu tych samych parametrów połączenia dla klientów w sieci wirtualnej hostujących prywatne punkty końcowe, a także klientów spoza sieci wirtualnej.
Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania nazwy FQDN punktu końcowego konta magazynu do prywatnego adresu IP punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A dla StorageAccountA.privatelink.blob.core.windows.net z prywatnym adresem IP punktu końcowego.
Napiwek
W przypadku korzystania z niestandardowego lub lokalnego serwera DNS należy skonfigurować serwer DNS, aby rozwiązać nazwę konta magazynu w poddomenie privatelink na prywatny adres IP punktu końcowego. Można to zrobić, delegując privatelink poddomenę do prywatnej strefy DNS sieci wirtualnej lub konfigurując strefę DNS na serwerze DNS i dodając rekordy DNS A.
Zalecane nazwy stref DNS dla prywatnych punktów końcowych usług magazynowania oraz powiązanych podzasobów docelowych punktów końcowych to:
| Usługa magazynu | Docelowy zasób podrzędny | Nazwa strefy |
|---|---|---|
| Blob service | blob | privatelink.blob.core.windows.net |
| Data Lake Storage | Systemu plików DFS | privatelink.dfs.core.windows.net |
| Usługa plików | plik | privatelink.file.core.windows.net |
| usługa kolejki | kolejka | privatelink.queue.core.windows.net |
| Table service | tabela | privatelink.table.core.windows.net |
| Statyczne witryny internetowe | Internet | privatelink.web.core.windows.net |
Aby uzyskać więcej informacji na temat konfigurowania własnego serwera DNS do obsługi prywatnych punktów końcowych, zapoznaj się z następującymi artykułami:
- Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure
- Konfiguracja DNS dla prywatnych punktów końcowych
Cennik
Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.
Znane problemy
Pamiętaj o następujących znanych problemach dotyczących prywatnych punktów końcowych dla usługi Azure Storage.
Ograniczenia dostępu do zasobów magazynowych dla klientów w sieciach wirtualnych z prywatnymi punktami końcowymi
Użytkownicy w sieciach wirtualnych z istniejącymi prywatnymi punktami końcowymi napotykają ograniczenia w dostępie do innych kont magazynowych, które posiadają prywatne punkty końcowe. Załóżmy na przykład, że sieć wirtualna N1 ma prywatny punkt końcowy dla konta magazynu A1 dla usługi Blob Storage. Jeśli konto magazynu A2 ma prywatny punkt końcowy w sieci wirtualnej N2 dla usługi Blob Storage, klienci w sieci wirtualnej N1 muszą również uzyskać dostęp do Blob Storage na koncie A2 przy użyciu prywatnego punktu końcowego. Jeśli konto magazynu A2 nie ma żadnych prywatnych punktów końcowych dla usługi Blob Storage, klienci w sieci wirtualnej N1 mogą uzyskać dostęp do usługi Blob Storage na tym koncie bez prywatnego punktu końcowego.
To ograniczenie jest wynikiem zmian DNS wprowadzonych podczas tworzenia prywatnego punktu końcowego przez konto A2.
Kopiowanie obiektów blob między kontami przechowywania
Obiekty blob można kopiować między kontami magazynu przy użyciu prywatnych punktów końcowych tylko wtedy, gdy używasz interfejsu API REST platformy Azure lub narzędzi korzystających z interfejsu API REST. Te narzędzia obejmują narzędzia AzCopy, Eksplorator usługi Storage, program Azure PowerShell, interfejs wiersza polecenia platformy Azure i zestawy SDK usługi Azure Blob Storage.
Obsługiwane są tylko prywatne punkty końcowe przeznaczone dla punktu końcowego zasobu magazynu blob lub file. Obejmuje to wywołania REST API względem kont usługi Data Lake Storage, w których punkt końcowy zasobu blob jest odwoływany jawnie lub niejawnie. Prywatne punkty końcowe przeznaczone dla punktu końcowego zasobu usługi Data Lake Storage dfs nie są jeszcze obsługiwane. Kopiowanie między kontami magazynu przy użyciu protokołu NFS nie jest jeszcze obsługiwane.