Privát végpontok használata Azure Storage-hoz
Az Azure Storage-fiókok privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő ügyfelek biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül. A privát végpont a virtuális hálózat címterétől eltérő IP-címet használ minden egyes tárfiók-szolgáltatáshoz. A virtuális hálózaton lévő ügyfelek és a tárfiók közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton, így kiküszöböli a nyilvános internetről való kitettséget.
Feljegyzés
A privát végpontok nem érhetők el általános célú v1-tárfiókokhoz.
Privát végpontok használata a tárfiókhoz lehetővé teszi a következőket:
- A tárfiók biztonságossá tételéhez használjon privát hivatkozást. Manuálisan konfigurálhatja a tárolási tűzfalat a tárolószolgáltatás nyilvános végpontján lévő kapcsolatok blokkolásához. A privát hivatkozás létrehozása nem blokkolja automatikusan a nyilvános végpont kapcsolatait.
- A virtuális hálózat (VNet) biztonságának növelése azáltal, hogy lehetővé teszi Önnek a virtuális hálózatból történő adatszivárgás letiltását.
- Biztonságosan kapcsolódhat olyan helyszíni hálózatokról származó tárfiókokhoz, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter a virtuális hálózaton (VNet) található Azure-szolgáltatásokhoz. Amikor privát végpontot hoz létre a tárfiókhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a tárterület között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és a tárolási szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak a társzolgáltatáshoz a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok a tárfiók által támogatott összes protokollhoz használhatók, beleértve a REST-et és az SMB-t is.
A privát végpontok szolgáltatásvégpontokat használó alhálózatokban hozhatók létre. Az alhálózatban lévő ügyfelek így privát végpontok használatával csatlakozhatnak egy tárfiókhoz, míg a szolgáltatásvégpontok segítségével másokhoz is hozzáférhetnek.
Ha létrehoz egy privát végpontot a virtuális hálózaton található egyik tárolási szolgáltatáshoz, a rendszer egy hozzájárulási kérést küld a tárfiók tulajdonosának jóváhagyás céljából. Ha a privát végpont létrehozását kérelmező felhasználó egyben a tárfiók tulajdonosa, a rendszer automatikusan jóváhagyja a hozzájárulási kérést.
A tárfiókok tulajdonosai az Azure Portal tárfiókjának "Privát végpontok" lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.
Tipp.
Ha csak a privát végponton keresztül szeretné korlátozni a tárfiókhoz való hozzáférést, konfigurálja a tár tűzfalat a nyilvános végponton keresztüli hozzáférés megtagadására vagy szabályozására.
A tárfiókot úgy is biztonságossá teheti, hogy csak a virtuális hálózatról fogadjon kapcsolatokat, ha úgy konfigurálja a tár tűzfalat , hogy alapértelmezés szerint megtagadja a nyilvános végponton keresztüli hozzáférést. Nincs szükség tűzfalszabályra a privát végponttal rendelkező virtuális hálózatok forgalmának engedélyezéséhez, mivel a tár tűzfala csak a nyilvános végponton keresztül szabályozza a hozzáférést. A privát végpontok ehelyett az alhálózatok számára a tárolási szolgáltatáshoz való hozzáférés engedélyezéséhez szükséges hozzájárulási folyamatra támaszkodnak.
Feljegyzés
A blobok tárfiókok közötti másolásakor az ügyfélnek hálózati hozzáféréssel kell rendelkeznie mindkét fiókhoz. Ha tehát csak egy fiókhoz (a forráshoz vagy a célhoz) használ privát kapcsolatot, győződjön meg arról, hogy az ügyfél hálózati hozzáféréssel rendelkezik a másik fiókhoz. A hálózati hozzáférés konfigurálásának egyéb módjairól az Azure Storage-tűzfalak és virtuális hálózatok konfigurálása című témakörben olvashat.
Privát végpont létrehozása
Ha privát végpontot szeretne létrehozni az Azure Portal használatával, olvassa el a Privát csatlakozás egy tárfiókhoz című témakört az Azure Portal Tárfiók felületéről.
Ha privát végpontot szeretne létrehozni a PowerShell vagy az Azure CLI használatával, tekintse meg ezeket a cikkeket. Mindkettő egy Azure-webalkalmazást tartalmaz célszolgáltatásként, de a privát kapcsolat létrehozásának lépései megegyeznek egy Azure Storage-fiók esetében.
Amikor létrehoz egy privát végpontot, meg kell adnia a tárolási fiókot és a tárolási szolgáltatást, amelyhez csatlakozik.
Minden elérni kívánt tárolási erőforráshoz külön privát végpontra van szüksége, nevezetesen blobokhoz, Data Lake Storage-hoz, fájlokhoz, üzenetsorokhoz, táblákhoz vagy statikus webhelyekhez. A privát végponton ezek a tárolási szolgáltatások a társított tárfiók cél-alerőforrásaként vannak definiálva.
Ha privát végpontot hoz létre a Data Lake Storage storage-erőforráshoz, akkor a Blob Storage-erőforráshoz is létre kell hoznia egyet. Ennek az az oka, hogy a Data Lake Storage-végpontot célzó műveletek átirányíthatók a Blob-végpontra. Hasonlóképpen, ha csak a Blob Storage-hoz ad hozzá privát végpontot, és nem a Data Lake Storage-hoz, bizonyos műveletek (például az ACL kezelése, a címtár létrehozása, a címtár törlése stb.) meghiúsulnak, mivel az API-khoz DFS privát végpont szükséges. Azzal, hogy mindkét erőforráshoz létrehoz egy privát végpontot, biztosítja, hogy minden művelet sikeresen befejeződhessen.
Tipp.
Hozzon létre egy külön privát végpontot a tárolási szolgáltatás másodlagos példányához az RA-GRS-fiókok jobb olvasási teljesítménye érdekében. Mindenképpen hozzon létre egy általános célú v2(Standard vagy Premium) tárfiókot.
A másodlagos régióhoz való olvasási hozzáféréshez georedundáns tároláshoz konfigurált tárfiókkal külön privát végpontokra van szükség a szolgáltatás elsődleges és másodlagos példányai számára is. A feladatátvételhez nem kell privát végpontot létrehoznia a másodlagos példányhoz. A privát végpont automatikusan csatlakozik az új elsődleges példányhoz a feladatátvétel után. A tárolási redundancia beállításairól az Azure Storage-redundancia című témakörben talál további információt.
Csatlakozás privát végponthoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a kapcsolati sztring kell használniuk a tárfiókhoz, mint a nyilvános végponthoz csatlakozó ügyfelek. A DNS-feloldásra támaszkodva automatikusan átirányítjuk a kapcsolatokat a virtuális hálózatról a tárfiókba egy privát kapcsolaton keresztül.
Fontos
Használja ugyanazt a kapcsolati sztring a tárfiókhoz való csatlakozáshoz privát végpontok használatával, ahogyan egyébként használná. Ne csatlakozzon a tárfiókhoz az altartomány URL-címével privatelink .
Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz a privát végpontokhoz szükséges frissítésekkel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción. Az alábbi DNS-módosításokról szóló szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.
DNS-módosítások privát végpontokhoz
Feljegyzés
A privát végpontok DNS-beállításainak konfigurálásáról további információt az Azure Private Endpoint DNS-konfigurációja című témakörben talál.
Privát végpont létrehozásakor a tárfiók DNS CNAME erőforrásrekordja egy altartomány aliasára frissül az előtaggal privatelink. Alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha a tárvégpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a tárolási szolgáltatás nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.
A fenti példában bemutatott példában a "StorageAccountA" tárfiók DNS-erőforrásrekordjai a privát végpontot futtató virtuális hálózaton kívülről oldódnak fel:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <storage szolgáltatás nyilvános végpontja> |
| <storage szolgáltatás nyilvános végpontja> | A | <storage szolgáltatás nyilvános IP-címe> |
Ahogy korábban említettük, a nyilvános végponton keresztül megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a tárolási tűzfal használatával.
A StorageAccountA DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózat egyik ügyfele feloldja, a következő lesz:
| Név | Típus | Érték |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Ez a megközelítés lehetővé teszi a tárfiókhoz való hozzáférést ugyanazzal a kapcsolati sztring a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek, valamint a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani a tárfiók végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat StorageAccountA.privatelink.blob.core.windows.net a privát végpont IP-címével.
Tipp.
Egyéni vagy helyszíni DNS-kiszolgáló használata esetén a DNS-kiszolgálót úgy kell konfigurálnia, hogy az altartományban privatelink lévő tárfiók nevét a privát végpont IP-címére oldja fel. Ehhez delegálhatja az privatelink altartományt a virtuális hálózat privát DNS-zónájához, vagy konfigurálhatja a DNS-zónát a DNS-kiszolgálón, és hozzáadhatja a DNS A rekordokat.
A tárolási szolgáltatások privát végpontjaihoz és a kapcsolódó végponti cél alerőforrásokhoz ajánlott DNS-zónanevek a következők:
| Storage-szolgáltatás | Célzott alerőforrás | Zónanév |
|---|---|---|
| Blob szolgáltatás | blob | privatelink.blob.core.windows.net |
| Data Lake Storage | Dfs | privatelink.dfs.core.windows.net |
| Fájlszolgáltatás | fájl | privatelink.file.core.windows.net |
| Queue szolgáltatás | feldolgozási sor | privatelink.queue.core.windows.net |
| Table service | table | privatelink.table.core.windows.net |
| Statikus webhelyek | web | privatelink.web.core.windows.net |
A saját DNS-kiszolgáló privát végpontok támogatásához való konfigurálásáról az alábbi cikkekben talál további információt:
Díjszabás
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Ismert problémák
Tartsa szem előtt az Azure Storage privát végpontjaival kapcsolatos alábbi ismert problémákat.
A privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek tárolási hozzáférési korlátozásai
A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek, amikor más privát végpontokkal rendelkező tárfiókokhoz férnek hozzá. Tegyük fel például, hogy egy VNet N1 privát végponttal rendelkezik a Blob Storage A1 tárfiókhoz. Ha az A2 tárfiók privát végponttal rendelkezik a Blob Storage-hoz készült VNet N2-ben, akkor az N1 virtuális hálózat ügyfeleinek privát végponttal is hozzá kell férniük az A2 fiók blobtárolóihoz. Ha az A2 tárfiók nem rendelkezik privát végpontokkal a Blob Storage-hoz, akkor az N1 virtuális hálózat ügyfelei privát végpont nélkül érhetik el a blobtárolót a fiókban.
Ez a korlátozás annak a DNS-módosításnak az eredménye, amely akkor történt, amikor az A2 fiók létrehoz egy privát végpontot.
Blobok másolása tárfiókok között
A blobokat csak privát végpontok használatával másolhatja a tárfiókok között, ha az Azure REST API-t vagy a REST API-t használó eszközöket használja. Ilyen eszközök például az AzCopy, a Storage Explorer, az Azure PowerShell, az Azure CLI és az Azure Blob Storage SDK-k.
Csak azokat a privát végpontokat támogatja a rendszer, amelyek az erőforrásvégpontot vagy file a blob tárolási erőforrásvégpontot célják. Ez magában foglalja a REST API-hívásokat a Data Lake Storage-fiókokhoz, amelyekben az blob erőforrásvégpontra explicit módon vagy implicit módon hivatkoznak. A Data Lake Storage-erőforrásvégpontot dfs megcélozó privát végpontok még nem támogatottak. A tárfiókok közötti másolás a Hálózati fájlrendszer (NFS) protokoll használatával még nem támogatott.