Informationen zu Netzwerkkonfigurationen für Elastic SAN
Azure Elastic SAN (Storage Area Network) ermöglicht Ihnen, die für Ihre Anwendungen und Unternehmensumgebungen erforderliche Zugriffsebene auf Ihre Elastic SAN-Volumes zu schützen und zu steuern. In diesem Artikel werden die Optionen beschrieben, mit denen Benutzer*innen und Anwendungen der Zugriff auf Elastic SAN-Volumes über eine Virtuelle Azure-Netzwerkinfrastruktur gewährt werden kann.
Sie können Elastic SAN-Volumegruppen so konfigurieren, dass der Zugriff nur über bestimmte Endpunkte in bestimmten VNet-Subnetzen zugelassen wird. Die zulässigen Subnetze können zu einem virtuellen Netzwerk in demselben Abonnement oder in einem anderen Abonnement gehören – einschließlich Abonnements, die zu einem anderen Microsoft Entra-Mandanten gehören. Sobald der Netzwerkzugriff für eine Volumegruppe konfiguriert ist, wird die Konfiguration an alle Volumes, die zu dieser Gruppe gehören, vererbt.
Abhängig von Ihrer Konfiguration können Anwendungen in virtuellen Netzwerken mit Peering oder lokalen Netzwerken auch auf Volumes in der Gruppe zugreifen. Lokale Netzwerke müssen über ein VPN oder ExpressRoute mit dem virtuellen Netzwerk verbunden sein. Weitere Informationen zu Konfigurationen virtueller Netzwerke finden Sie im Artikel zur Infrastruktur von Azure Virtual Network.
Es gibt zwei Typen von VNet-Endpunkten, die Sie konfigurieren können, um den Zugriff auf eine Elastic SAN-Volumegruppe zuzulassen:
Informationen dazu, welche Option für Sie am besten geeignet ist, finden Sie unter Private Endpunkte und Dienstendpunkte im Vergleich. Im Allgemeinen sollten Sie private Endpunkte anstelle von Dienstendpunkten verwenden, da Private Link bessere Funktionen bietet. Weitere Informationen hierzu finden Sie unter Azure Private Link.
Nachdem Sie die Endpunkte konfiguriert haben, können Sie Netzwerkregeln konfigurieren, um den Zugriff auf Ihre Elastic SAN-Volumegruppe weiter zu steuern. Sobald die Endpunkte und Netzwerkregeln konfiguriert worden sind, können Clients eine Verbindung mit Volumes in der Gruppe herstellen, um ihre Workloads zu verarbeiten.
Zugriff aus öffentlichen Netzwerken
Sie können den öffentlichen Internetzugriff auf Ihre Elastic SAN-Endpunkte auf der SAN-Ebene aktivieren oder deaktivieren. Durch Aktivieren des öffentlichen Netzwerkzugriffs für eine Elastic SAN-Instanz können Sie den öffentlichen Zugriff auf einzelne Volumegruppen in diesem SAN (Storage Area Network) über Speicherdienstendpunkte konfigurieren. Standardmäßig wird der öffentliche Zugriff auf einzelne Volumegruppen verweigert, auch wenn Sie ihn auf der SAN-Ebene zulassen. Wenn Sie den öffentlichen Zugriff auf der SAN-Ebene deaktivieren, ist der Zugriff auf die Volumegruppen innerhalb dieses SAN nur über private Endpunkte verfügbar.
Datenintegrität
Die Datenintegrität ist wichtig, um Datenbeschädigungen im Cloudspeicher zu verhindern. TCP bietet über seinen Prüfsummenmechanismus ein grundlegendes Maß an Datenintegrität, die über iSCSI mit einer zyklischen Redundanzprüfung (CRC), insbesondere CRC-32C, verbessert werden kann. CRC-32C kann verwendet werden, um Prüfsummenüberprüfung für iSCSI-Header und Datenpayloads hinzuzufügen.
Elastic SAN unterstützt die CRC-32C-Prüfsummenüberprüfung, wenn sie auf der Clientseite für Verbindungen mit Elastic SAN-Volumes aktiviert ist. Elastic SAN bietet auch die Möglichkeit, diese Fehlererkennung über eine Eigenschaft zu erzwingen, die auf Ebene Volumegruppe festgelegt werden kann, die von jedem Volume innerhalb dieser Volumegruppe geerbt wird. Wenn Sie diese Eigenschaft für eine Volumegruppe aktivieren, lehnt Elastic SAN alle Clientverbindungen zu allen Volume in der Volumegruppe ab, wenn CRC-32C nicht für Header- oder Datenauszüge für diese Verbindungen festgelegt ist. Wenn Sie diese Eigenschaft deaktivieren, hängt die Prüfsummenüberprüfung des Elastic SAN-Volume davon ab, ob CRC-32C für Header- oder Datenauszüge auf dem Client festgelegt ist, aber Ihr Elastic SAN wird keine Verbindungen ablehnen. Informationen zum Aktivieren des CRC-Schutzes finden Sie unter Konfigurieren von Netzwerken.
Hinweis
Einige Betriebssysteme unterstützen möglicherweise keine iSCSI-Header- oder Datenauszüge. Fedora und seine nachgelagerten Linux-Distributionen wie Red Hat Enterprise Linux, CentOS, Rocky Linux usw. unterstützen keine Datenauszüge. Aktivieren Sie den CRC-Schutz für Ihre Volumegruppen nicht, wenn Ihre Clients Betriebssysteme wie diese verwenden, die iSCSI-Header- oder Datenauszüge nicht unterstützen, da Verbindungen mit den Volumes fehlschlagen werden.
Speicherdienstendpunkte
Azure Virtual Network-Dienstendpunkte bieten über eine optimierte Route über das Azure-Backbonenetzwerk sichere und direkte Konnektivität mit Azure-Diensten. Dienstendpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen zu schützen, sodass nur bestimmte virtuelle Netzwerke darauf zugreifen können.
Regionsübergreifende Dienstendpunkte für Azure Storage funktionieren zwischen virtuellen Netzwerken und Speicherdienstinstanzen in jeder Region. Bei regionsübergreifenden Dienstendpunkten verwenden Subnetze keine öffentliche IP-Adresse mehr, um mit einem Speicherkonto zu kommunizieren, auch nicht mit einem Speicherkonto in einer anderen Region. Stattdessen wird für den gesamten Datenverkehr von Subnetzen zu Speicherkonten eine private IP-Adresse als Quell-IP-Adresse verwendet.
Tipp
Die ursprünglichen lokalen Dienstendpunkte, die als Microsoft.Storage bezeichnet werden, werden aus Gründen der Abwärtskompatibilität weiterhin unterstützt. Für neue Bereitstellungen sollten Sie jedoch regionsübergreifende Endpunkte erstellen, die als Microsoft.Storage.Global bezeichnet werden.
Regionsübergreifende und lokale Dienstendpunkte können nicht im selben Subnetz koexistieren. Um regionsübergreifende Dienstendpunkte verwenden zu können, müssen Sie möglicherweise vorhandene Microsoft.Storage-Endpunkte löschen und sie als regionsübergreifende Endpunkte (Microsoft.Storage.Global) neu zu erstellen.
Private Endpunkte
Azure Private Link ermöglicht Ihnen, über einenprivaten Endpunkt von einem Subnetz eines virtuellen Netzwerks sicher auf eine Elastic SAN-Volumegruppe zuzugreifen. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst wird über das Microsoft-Backbonenetzwerk übertragen, wodurch das Risiko, dass Ihr Dienst für das öffentliche Internet verfügbar gemacht wird, eliminiert wird. Ein privater Elastic SAN-Endpunkt verwendet für jede Volumegruppe einen Satz von IP-Adressen aus dem Subnetzadressraum. Pro Endpunkt werden maximal 20 verwendet.
Private Endpunkte bieten mehrere Vorteile gegenüber Dienstendpunkten. Einen vollständigen Vergleich von privaten Endpunkten und Dienstendpunkten finden Sie unter Private Endpunkte und Dienstendpunkte im Vergleich.
Beschränkungen
Private Endpunkte werden derzeit nicht für Elastic SANs mit zonenredundantem Speicher (ZRS) unterstützt.
Funktionsweise
Der Datenverkehr zwischen dem virtuellen Netzwerk und dem Elastic SAN wird über einen optimalen Pfad im Azure-Backbonenetzwerk geleitet. Im Gegensatz zu Dienstendpunkten müssen Sie keine Netzwerkregeln konfigurieren, um Datenverkehr von einem privaten Endpunkt zuzulassen, da die Speicherfirewall nur den Zugriff über öffentliche Endpunkte steuert.
Ausführliche Informationen zum Konfigurieren privater Endpunkte finden Sie unter Aktivieren privater Endpunkte.
Regeln für virtuelle Netzwerke
Um den Zugriff auf Ihre Elastic SAN-Volumes weiter zu sichern, können Sie VNET-Regel für Volumegruppen erstellen, die mit Dienstendpunkten konfiguriert sind, um den Zugriff aus bestimmten Subnetzen zuzulassen. Sie müssen keine Netzwerkregeln konfigurieren, um Datenverkehr von einem privaten Endpunkt zuzulassen, da die Speicherfirewall nur den Zugriff über öffentliche Endpunkte steuert.
Jede Volumegruppe unterstützt bis zu 200 VNET-Regeln. Wenn Sie ein Subnetz löschen, das in eine Netzwerkregel einbezogen wurde, wird es aus den Netzwerkregeln für die Volumegruppe entfernt. Wenn Sie ein neues Subnetz mit demselben Namen erstellen, hat es keinen Zugriff auf die Volumegruppe. Wenn Sie den Zugriff zulassen möchten, müssen Sie das neue Subnetz in den Netzwerkregeln für die Volumegruppe explizit autorisieren.
Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen auch die entsprechenden Berechtigungen für die Elastic SAN-Volumegruppe erhalten.
Informationen zum Definieren von Netzwerkregeln finden Sie unter Verwalten von VNET-Regeln.
Clientverbindungen
Nachdem Sie die gewünschten Endpunkte aktiviert und in Ihren Netzwerkregeln Zugriff gewährt haben, können Sie mithilfe des iSCSI-Protokolls eine Verbindung mit den entsprechenden Elastic SAN-Volumes herstellen. Informationen zum Konfigurieren von Clientverbindungen finden Sie in den Artikeln zum Herstellen einer Verbindung mit Linux-, Windows- oder Azure Kubernetes Service-Clustern.
iSCSI-Sitzungen können die Verbindung im Laufe des Tages regelmäßig trennen und erneut herstellen. Dieses Trennen und erneute Herstellen der Verbindung sind Teil einer regelmäßigen Wartung oder das Ergebnis von Netzwerkschwankungen. Aufgrund des Trennens und erneuten Herstellens der Verbindung sollten keine Leistungsbeeinträchtigungen auftreten, und die Verbindungen sollten von selbst erneut hergestellt werden. Wenn eine Verbindung nicht selbst hergestellt wird oder Leistungsbeeinträchtigungen auftreten, erstellen Sie ein Supportticket.
Hinweis
Wenn eine Verbindung zwischen einem virtuellen Computer (einer VM) und einem Elastic SAN-Volume verloren geht, wird der Aufbau der Verbindung 90 Sekunden lang erneut versucht, bis sie beendet wird. Wenn eine Verbindung mit einem Elastic SAN-Volume verloren geht, wird die VM nicht neu gestartet.