Konfigurieren von öffentlichen und privaten Netzwerkendpunkten für die Azure-Dateisynchronisierung

Azure Files und die Azure-Dateisynchronisierung verfügen über zwei Arten von Endpunkten für den Zugriff auf Azure-Dateifreigaben:

  • Öffentliche Endpunkte mit einer öffentlichen IP-Adresse, auf die von jedem Ort der Welt aus zugegriffen werden kann.
  • Private Endpunkte, die in einem virtuellen Netzwerk vorhanden sind und eine private IP-Adresse im Adressraum des virtuellen Netzwerks aufweisen.

Für Azure Files und die Azure-Dateisynchronisierung werden mit den Azure-Verwaltungsobjekten (dem Speicherkonto und dem Speichersynchronisierungsdienst) sowohl die öffentlichen als auch die privaten Endpunkte gesteuert. Das Speicherkonto ist ein Verwaltungskonstrukt, das einen gemeinsam genutzten Pool mit Speicherplatz darstellt, in dem Sie mehrere Dateifreigaben sowie weitere Speicherressourcen wie Blobs oder Warteschlangen bereitstellen können. Der Speichersynchronisierungsdienst ist ein Verwaltungskonstrukt für registrierte Server. Hierbei handelt es sich um Windows-Dateiserver mit einer etablierten Vertrauensstellung mit der Azure-Dateisynchronisierung und mit Synchronisierungsgruppen, mit denen die Topologie der Synchronisierungsbeziehung definiert wird.

In diesem Artikel wird beschrieben, wie Sie die Netzwerkendpunkte für Azure Files und für die Azure-Dateisynchronisierung konfigurieren. Weitere Informationen zum Konfigurieren von Netzwerkendpunkten für den direkten Zugriff auf Azure-Dateifreigaben (anstelle der lokalen Zwischenspeicherung bei der Azure-Dateisynchronisierung) finden Sie unter Konfigurieren von Azure Files-Netzwerkendpunkten.

Wir empfehlen Ihnen, vor dem Lesen dieses Leitfadens den Artikel Azure-Dateisynchronisierung – Überlegungen zum Netzwerkbetrieb zu lesen.

Voraussetzungen

In diesem Artikel wird Folgendes vorausgesetzt:

  • Sie verfügen über ein Azure-Abonnement. Wenn Sie noch kein Abonnement haben, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Sie haben bereits eine Azure-Dateifreigabe in einem Speicherkonto erstellt, mit dem von der lokalen Umgebung aus eine Verbindung hergestellt werden soll. Informationen zum Erstellen einer Azure-Dateifreigabe finden Sie unter Erstellen einer Azure-Dateifreigabe.
  • Sie lassen Domänendatenverkehr zu den folgenden Endpunkten zu (siehe Azure-Dienstendpunkte):

Außerdem zu beachten:

Erstellen der privaten Endpunkte

Wenn Sie einen privaten Endpunkt für eine Azure-Ressource erstellen, werden die folgenden Ressourcen bereitgestellt:

  • Ein privater Endpunkt: Eine Azure-Ressource, die entweder den privaten Endpunkt für das Speicherkonto oder für den Speichersynchronisierungsdienst darstellt. Stellen Sie sich dies wie eine Ressource vor, die Ihre Azure-Ressource und eine Netzwerkschnittstelle miteinander verbindet.
  • Eine Netzwerkschnittstelle (NIC) : Die Netzwerkschnittstelle, über die eine private IP-Adresse im angegebenen virtuellen Netzwerk bzw. Subnetz verwaltet wird. Dies ist genau die gleiche Ressource, die bei der Bereitstellung eines virtuellen Computers bereitgestellt wird. Sie wird aber nicht einer VM zugewiesen, sondern befindet sich im Besitz des privaten Endpunkts.
  • Eine private DNS-Zone: Falls Sie für dieses virtuelle Netzwerk noch keinen privaten Endpunkt bereitgestellt haben, wird für Ihr virtuelles Netzwerk eine neue private DNS-Zone bereitgestellt. Ein DNS-A-Eintrag wird für die Azure-Ressource in dieser DNS-Zone ebenfalls erstellt. Wenn Sie in diesem virtuellen Netzwerk bereits einen privaten Endpunkt bereitgestellt haben, wird der vorhandenen DNS-Zone ein neuer A-Eintrag für die Azure-Ressource hinzugefügt. Die Bereitstellung einer DNS-Zone ist optional, aber diese Vorgehensweise wird dringend empfohlen, um die erforderliche DNS-Verwaltung zu vereinfachen.

Hinweis

In diesem Artikel werden die DNS-Suffixe für die öffentlichen Azure-Regionen verwendet. Dies sind core.windows.net für Speicherkonten und afs.azure.net für Speichersynchronisierungsdienste. Dies gilt auch für Azure Sovereign Clouds, z. B. die Azure US Government-Cloud. Fügen Sie einfach die entsprechenden Suffixe für Ihre Umgebung ein.

Erstellen des privaten Endpunkts für das Speicherkonto

Navigieren Sie zu dem Speicherkonto, für das Sie einen privaten Endpunkt erstellen möchten. Wählen Sie im Inhaltsverzeichnis für das Speicherkonto Netzwerk > Private Endpunktverbindungen > + Privater Endpunkt aus, um einen neuen privaten Endpunkt zu erstellen.

Screenshot: Eintrag „Private Endpunktverbindungen“ im Inhaltsverzeichnis des Speicherkontos

Im anschließend angezeigten Assistenten müssen mehrere Seiten ausgefüllt werden.

Wählen Sie auf dem Blatt Grundlagen das gewünschte Abonnement, die Ressourcengruppe, den Namen, den Namen der Netzwerkschnittstelle und die Region für Ihren privaten Endpunkt aus. Diese können beliebig sein und müssen nicht mit dem Speicherkonto übereinstimmen. Allerdings müssen Sie den privaten Endpunkt in derselben Region erstellen wie das virtuelle Netzwerk, in dem Sie den privaten Endpunkt erstellen möchten. Wählen Sie dann Weiter: Ressource aus.

Screenshot: Angeben der Projekt- und Instanzdetails für einen neuen privaten Endpunkt

Wählen Sie auf dem Blatt Ressource die Option Datei für die untergeordnete Zielressource aus. Wählen Sie anschließend Weiter: Virtuelles Netzwerk aus.

Screenshot: Auswählen der Ressource, über die Sie sich mit dem neuen privaten Endpunkt verbinden möchten

Auf dem Blatt Virtuelles Netzwerk können Sie das spezifische virtuelle Netzwerk und das Subnetz auswählen, dem Sie Ihren privaten Endpunkt hinzufügen möchten. Wählen Sie die dynamische oder statische IP-Adresszuordnung für den neuen privaten Endpunkt aus. Wenn Sie sich für eine statische Zuordnung entscheiden, müssen Sie auch einen Namen und eine private IP-Adresse angeben. Optional können Sie auch eine Anwendungssicherheitsgruppe angeben. Wenn Sie fertig sind, wählen Sie Weiter: DNS aus.

Screenshot: Angeben der Details zu virtuellem Netzwerk, Subnetz und IP-Adresse für den neuen privaten Endpunkt

Das Blatt DNS enthält die Informationen zur Integration Ihres privaten Endpunkts in eine private DNS-Zone. Vergewissern Sie sich, dass Abonnement und Ressourcengruppe korrekt sind, und wählen Sie dann Weiter: Tags aus.

Screenshot: Integrieren Ihres privaten Endpunkts in eine private DNS-Zone

Sie können optional Tags anwenden, um Ihre Ressourcen zu kategorisieren, und beispielsweise den Namen Umgebung und den Wert Test auf alle Testressourcen anwenden. Geben Sie bei Bedarf Name-Wert-Paare ein, und wählen Sie dann Weiter: Überprüfen + erstellen aus.

Screenshot: Optionales Tagging Ihres privaten Endpunkts mit Name-Wert-Paaren für eine einfache Einteilung in Kategorien

Klicken Sie auf Überprüfen + Erstellen, um den privaten Endpunkt zu erstellen.

Wenn Sie in Ihrem virtuellen Netzwerk über eine VM verfügen oder die DNS-Weiterleitung wie unter Konfigurieren der DNS-Weiterleitung für Azure Files beschrieben konfiguriert haben, können Sie testen, ob Ihr privater Endpunkt richtig eingerichtet wurde. Führen Sie hierzu die folgenden Befehle über PowerShell, die Befehlszeile oder das Terminal (für Windows, Linux oder macOS) aus. Sie müssen <storage-account-name> durch den entsprechenden Speicherkontonamen ersetzen:

nslookup <storage-account-name>.file.core.windows.net

Falls alles richtig funktioniert, sollte die folgende Ausgabe angezeigt werden (Beispiel für Windows), wobei 192.168.0.5 die private IP-Adresse des privaten Endpunkts in Ihrem virtuellen Netzwerk ist:

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Erstellen des privaten Endpunkts für den Speichersynchronisierungsdienst

Navigieren Sie zum Private Link-Center, indem Sie oben im Azure-Portal in der Suchleiste den Suchbegriff Private Link eingeben. Wählen Sie im Inhaltsverzeichnis des Private Link-Centers die Option Private Endpunkte und dann + Hinzufügen aus, um einen neuen privaten Endpunkt zu erstellen.

Screenshot: Private Link-Center

Im anschließend angezeigten Assistenten müssen mehrere Seiten ausgefüllt werden.

Wählen Sie auf dem Blatt Grundlagen die gewünschte Ressourcengruppe, den Namen und die Region für Ihren privaten Endpunkt aus. Dies können beliebig ausgewählte Angaben sein, die nicht mit den Angaben für den Speichersynchronisierungsdienst übereinstimmen müssen. Allerdings müssen Sie den privaten Endpunkt in derselben Region wie das virtuelle Netzwerk erstellen, in dem Sie den privaten Endpunkt erstellen möchten.

Screenshot des Abschnitts „Grundlagen“ des Abschnitts „Erstellen eines privaten Endpunkts“

Wählen Sie auf dem Blatt Ressourcen das Optionsfeld für Verbindung mit einer Azure-Ressource im eigenen Verzeichnis herstellen aus. Wählen Sie unter Ressourcentyp die Option Microsoft.StorageSync/storageSyncServices aus.

Auf dem Blatt Konfiguration können Sie das spezifische virtuelle Netzwerk und das Subnetz auswählen, dem Sie Ihren privaten Endpunkt hinzufügen möchten. Wählen Sie dasselbe virtuelle Netzwerk wie oben für das Speicherkonto aus. Das Blatt „Konfiguration“ enthält auch die Informationen zum Erstellen bzw. Aktualisieren der privaten DNS-Zone.

Klicken Sie auf Überprüfen + erstellen, um den privaten Endpunkt zu erstellen.

Sie können testen, ob Ihr privater Endpunkt richtig eingerichtet wurde, indem Sie die folgenden PowerShell-Befehle ausführen.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Wenn alles richtig funktioniert, sollte die folgende Ausgabe angezeigt werden, in der 192.168.1.4, 192.168.1.5, 192.168.1.6 und 192.168.1.7 für die privaten IP-Adressen stehen, die dem privaten Endpunkt zugewiesen sind:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Einschränken des Zugriffs auf die öffentlichen Endpunkte

Sie können den Zugriff auf die öffentlichen Endpunkte des Speicherkontos und des Speichersynchronisierungsdiensts einschränken. Die Einschränkung des Zugriffs auf den öffentlichen Endpunkt sorgt für zusätzliche Sicherheit, indem sichergestellt wird, dass nur Netzwerkpakete von genehmigten Orten akzeptiert werden.

Beschränken des Zugriffs auf den öffentlichen Endpunkt des Speicherkontos

Der Zugriff auf den öffentlichen Endpunkt wird in den Firewalleinstellungen für das Speicherkonto beschränkt. Im Allgemeinen beschränken die meisten Firewallrichtlinien für Speicherkonten den Netzwerkzugriff auf ein virtuelles Netzwerk (oder auf mehrere). Der Speicherkontozugriff kann auf zwei Arten auf ein virtuelles Netzwerk beschränkt werden:

  • Erstellen eines oder mehrerer privater Endpunkte für das Speicherkonto und Deaktivieren des Zugriffs auf den öffentlichen Endpunkt. Dadurch wird sichergestellt, dass nur von Datenverkehr aus den gewünschten virtuellen Netzwerken auf die Azure-Dateifreigaben im Speicherkonto zugegriffen werden kann.
  • Beschränken des öffentlichen Endpunkts auf ein einzelnes virtuelles Netzwerk (oder auf mehrere). Hierzu werden sogenannte Dienstendpunkte des virtuellen Netzwerks verwendet. Wenn Sie den Datenverkehr für ein Speicherkonto über einen Dienstendpunkt beschränken, erfolgt der Zugriff auf das Speicherkonto weiterhin über die öffentliche IP-Adresse.

Hinweis

Die Ausnahme Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto muss für das Speicherkonto ausgewählt sein, um vertrauenswürdigen Microsoft-Erstanbieterdiensten, z. B. der Azure-Dateisynchronisierung, den Zugriff auf das Speicherkonto zu erlauben. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste.

Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste und Deaktivieren des Zugriffs auf den öffentlichen Endpunkt des Speicherkontos

Wenn der gesamte Zugriff auf den öffentlichen Endpunkt deaktiviert wird, kann über die entsprechenden privaten Endpunkte weiterhin auf das Speicherkonto zugegriffen werden. Andernfalls werden gültige Anforderungen, die an den öffentlichen Endpunkt des Speicherkontos gesendet werden, abgelehnt.

Navigieren Sie zu dem Speicherkonto, für das Sie den gesamten Zugriff auf den öffentlichen Endpunkt einschränken möchten. Wählen Sie im Inhaltsverzeichnis des Speicherkontos den Eintrag Netzwerke aus.

Wählen Sie oben auf der Seite das Optionsfeld Aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen aus. Hierdurch werden einige Einstellungen zum Steuern der Einschränkung des öffentlichen Endpunkts eingeblendet. Aktivieren Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben, um vertrauenswürdigen Microsoft-Erstanbieterdiensten, z. B. der Azure-Dateisynchronisierung, den Zugriff auf das Speicherkonto zu erlauben.

Screenshot: Blatt „Netzwerk“ mit den erforderlichen Einstellungen zum Deaktivieren des Zugriffs auf den öffentlichen Endpunkt des Speicherkontos

Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste und Beschränken des Zugriffs auf den öffentlichen Endpunkt des Speicherkontos auf bestimmte virtuelle Netzwerke

Wenn Sie das Speicherkonto auf bestimmte virtuelle Netzwerke einschränken, lassen Sie Anforderungen an den öffentlichen Endpunkt aus den angegebenen virtuellen Netzwerken zu. Hierzu werden sogenannte Dienstendpunkte des virtuellen Netzwerks verwendet. Die Nutzung ist mit oder ohne private Endpunkte möglich.

Navigieren Sie zu dem Speicherkonto, für das Sie den öffentlichen Endpunkt auf bestimmte virtuelle Netzwerke einschränken möchten. Wählen Sie im Inhaltsverzeichnis des Speicherkontos den Eintrag Netzwerke aus.

Wählen Sie oben auf der Seite das Optionsfeld Aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen aus. Hierdurch werden einige Einstellungen zum Steuern der Einschränkung des öffentlichen Endpunkts eingeblendet. Wählen Sie + Vorhandenes virtuelles Netzwerk hinzufügen aus, um das jeweilige virtuelle Netzwerk auszuwählen, für das der Zugriff auf das Speicherkonto über den öffentlichen Endpunkt zulässig sein soll. Wählen Sie ein virtuelles Netzwerk und ein Subnetz für dieses virtuelle Netzwerk und dann Aktivieren aus.

Aktivieren Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben, um vertrauenswürdigen Microsoft-Erstanbieterdiensten, z. B. der Azure-Dateisynchronisierung, den Zugriff auf das Speicherkonto zu erlauben.

Screenshot: Blatt „Netzwerke“ mit einem bestimmten virtuellen Netzwerk, für das der Zugriff auf das Speicherkonto über den öffentlichen Endpunkt zulässig sein soll

Deaktivieren des Zugriffs auf den öffentlichen Endpunkt des Speichersynchronisierungsdiensts

Mit der Azure-Dateisynchronisierung können Sie den Zugriff auf bestimmte virtuelle Netzwerke nur über private Endpunkte einschränken. Die Verwendung von Dienstendpunkten für die Einschränkung des Zugriffs auf den öffentlichen Endpunkt auf bestimmte virtuelle Netzwerke wird von der Azure-Dateisynchronisierung nicht unterstützt. Dies bedeutet, dass der öffentliche Endpunkt des Speichersynchronisierungsdienstes die beiden Zustände aktiviert und deaktiviert annehmen kann.

Wichtig

Sie müssen einen privaten Endpunkt erstellen, bevor Sie den Zugriff auf den öffentlichen Endpunkt deaktivieren. Wenn der öffentliche Endpunkt deaktiviert ist und kein privater Endpunkt konfiguriert ist, kann die Synchronisierung nicht funktionieren.

Führen Sie die folgenden Schritte aus, um den Zugriff auf den öffentlichen Endpunkt des Speichersynchronisierungsdiensts zu deaktivieren:

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zum Speichersynchronisierungsdienst und wählen Sie im linken Navigationsbereich Einstellungen>Netzwerk aus.
  3. Wählen Sie unter Zugriff zulassen von die Option Nur von privaten Endpunkten aus.
  4. Wählen Sie in der Liste Private Endpunktverbindungen einen privaten Endpunkt aus.

Azure Policy

Azure Policy unterstützt die Durchsetzung von Organisationsstandards und die bedarfsorientierte Einhaltung dieser Standards. Azure Files und Azure-Dateisynchronisierung stellen mehrere hilfreiche Netzwerkrichtlinien zur Überwachung und Wartung zur Verfügung, mit denen Sie Ihre Bereitstellung überwachen und automatisieren können.

Richtlinien überwachen Ihre Umgebung und warnen Sie, wenn Ihre Speicherkonten oder Speichersynchronisierungsdienste vom definierten Verhalten abweichen. Beispiel: Ein öffentlicher Endpunkt ist aktiviert. In Ihrer Richtlinie wurde aber festgelegt, dass die öffentlichen Endpunkte deaktiviert sein sollen. Die Richtlinien zum Ändern und Bereitstellen gehen einen Schritt weiter und ändern eine Ressource proaktiv (z. B. den Speichersynchronisierungsdienst) oder stellen Ressourcen (z. B. private Endpunkte) so bereit, dass sie den Richtlinien entsprechen.

Folgende vordefinierte Richtlinien stehen für Azure Files und die Azure-Dateisynchronisierung zur Verfügung:

Aktion Dienst Bedingung Richtlinienname
Audit Azure Files Der öffentliche Endpunkt des Speicherkontos ist aktiviert. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste und Deaktivieren des Zugriffs auf den öffentlichen Endpunkt des Speicherkontos. Netzwerkzugriff auf Speicherkonten einschränken
Audit Azure-Dateisynchronisierung Der öffentliche Endpunkt des Speichersynchronisierungsdiensts ist aktiviert. Weitere Informationen finden Sie unter Deaktivieren des Zugriffs auf den öffentlichen Endpunkt des Speichersynchronisierungsdiensts. Für die Azure-Dateisynchronisierung sollte der Zugriff auf öffentliche Netzwerke deaktiviert sein
Audit Azure Files Das Speicherkonto benötigt mindestens einen privaten Endpunkt. Weitere Informationen finden Sie unter Erstellen des privaten Endpunkts für das Speicherkonto. Das Speicherkonto muss eine Private Link-Verbindung verwenden
Audit Azure-Dateisynchronisierung Der Speichersynchronisierungsdienst benötigt mindestens einen privaten Endpunkt. Weitere Informationen finden Sie unter Erstellen des privaten Endpunkts für den Speichersynchronisierungsdienst. Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden
Ändern Azure-Dateisynchronisierung Deaktivieren Sie den öffentlichen Endpunkt für den Speichersynchronisierungsdienst. Ändern – Azure-Dateisynchronisierung zum Deaktivieren des Zugriffs auf öffentliche Netzwerke konfigurieren
Bereitstellen Azure-Dateisynchronisierung Stellen Sie einen privaten Endpunkt für den Speichersynchronisierungsdienst bereit. Konfigurieren der Azure-Dateisynchronisierung mit privaten Endpunkten
Bereitstellen Azure-Dateisynchronisierung Stellen Sie einen A-Eintrag für die DNS-Zone „privatelink.afs.azure.net“ bereit. Konfigurieren der Azure-Dateisynchronisierung für die Verwendung privater DNS-Zonen

Einrichten einer Bereitstellungsrichtlinie für den privaten Endpunkt

Wenn Sie eine Bereitstellungsrichtlinie für den privaten Endpunkt einrichten möchten, wechseln Sie zum Azure-Portal, und suchen Sie nach Richtlinie. Das Azure-Richtliniencenter (Azure Policy Center) sollte ein Topergebnis sein. Navigieren Sie im Inhaltsverzeichnis des Richtliniencenters zu Erstellung>Definitionen. Der daraufhin angezeigte Bereich Definitionen enthält die vordefinierten Richtlinien für alle Azure-Dienste. Wenn Sie die jeweilige Richtlinie suchen möchten, wählen Sie im Kategoriefilter die Kategorie Speicher aus, oder suchen Sie nach Azure-Dateisynchronisierung mit privaten Endpunkten konfigurieren. Wählen Sie ... und Zuweisen aus, um eine neue Richtlinie aus der Definition zu erstellen.

Auf dem Blatt Grundlagen des Assistenten zum Zuweisen von Richtlinien können Sie eine Ausschlussliste für einen Bereich, eine Ressource oder Ressourcengruppe festlegen und Ihrer Richtlinie einen Anzeigenamen zuweisen, damit Sie sie einfacher unterscheiden können. Sie müssen diese Elemente nicht ändern, damit die Richtlinie funktioniert, aber Sie können bei Bedarf Änderungen vornehmen. Wählen Sie Weiter aus, um die Seite Parameter anzuzeigen.

Wählen Sie auf dem Blatt Parameter die ... neben der Dropdownliste privateEndpointSubnetId aus, um das virtuelle Netzwerk und das Subnetz auszuwählen, in dem die privaten Endpunkte für Ihre Speichersynchronisierungsdienst-Ressourcen bereitgestellt werden sollten. Bei dem daraufhin angezeigten Assistenten kann es einige Sekunden dauern, bis die verfügbaren virtuellen Netzwerke in Ihrem Abonnement geladen sind. Wählen Sie das entsprechende virtuelle Netzwerk/Subnetz für Ihre Umgebung aus, und klicken Sie auf Auswählen. Wählen Sie Weiter aus, um das Blatt Wartung anzuzeigen.

Damit der private Endpunkt bereitgestellt werden kann, wenn ein Speichersynchronisierungsdienst ohne einen privaten Endpunkt identifiziert wird, müssen Sie auf der Seite Wartung das Kontrollkästchen Korrekturtask erstellen aktivieren. Wählen Sie abschließend Überprüfen und erstellen aus, um die Richtlinienzuweisung zu überprüfen, und wählen Sie Erstellen aus, um sie zu erstellen.

Die daraufhin angezeigte Richtlinienzuweisung wird in regelmäßigen Abständen ausgeführt. Direkt nach der Erstellung wird sie möglicherweise noch nicht ausgeführt.

Weitere Informationen