Configurer l’accès réseau pour la préversion d'Azure Elastic SAN

Vous pouvez contrôler l’accès à vos volumes SAN (Elastic Storage Area Network) Azure. Le contrôle de l’accès vous permet de sécuriser vos données et de répondre aux besoins de vos applications et de vos environnements d’entreprise.

Cet article explique comment configurer votre Elastic SAN pour autoriser l’accès à partir de votre infrastructure de réseau virtuel Azure.

Pour configurer l’accès réseau à votre Elastic SAN :

Prérequis

  • Si vous utilisez Azure PowerShell, installez le dernier module Azure PowerShell.
  • Si vous comptez utiliser Azure CLI, installez la dernière version.
  • Une fois que vous avez installé la dernière version, exécutez az extension add -n elastic-san pour installer l’extension pour Elastic SAN. Aucune étape d’inscription supplémentaire n’est requise.

Limites

La liste suivante contient les régions dans lesquelles Elastic SAN est actuellement disponible, et les régions qui prennent en charge à la fois le stockage redondant interzone (ZRS) et le stockage localement redondant (LRS), ou uniquement LRS :

  • Australie Est - LRS
  • Brésil Sud – LRS
  • Canada Centre – LRS
  • USA Centre – LRS
  • Asie Est – LRS
  • USA Est - LRS
  • USA Est 2 - LRS
  • France Centre – LRS et ZRS
  • Allemagne Centre-Ouest – LRS
  • Inde Centre, LRS
  • Japon Est – LRS
  • Corée Centre – LRS
  • Europe Nord – LRS et ZRS
  • Norvège Est, LRS
  • Afrique du Sud Nord – LRS
  • USA Centre Sud - LRS
  • Asie Sud-Est - LRS
  • Suède Centre - LRS
  • Suisse Nord – LRS
  • Émirats arabes unis Nord, LRS
  • Royaume-Uni Sud - LRS
  • Europe Ouest – LRS et ZRS
  • USA Ouest 2 - LRS &ZRS
  • USA Ouest 3 - LRS

Elastic SAN est également disponible dans les régions suivantes, mais sans prise en charge de la zone de disponibilité :

  • Canada Est - LRS
  • Japon Ouest - LRS
  • USA Centre Nord - LRS

Pour activer ces régions, exécutez la commande suivante pour inscrire l’indicateur de fonctionnalité nécessaire :

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Configurer l’accès au réseau public

Vous activez l’accès Internet public à vos points de terminaison Elastic SAN au niveau du SAN. L’activation de l’accès au réseau public pour un réseau Elastic SAN vous permet de configurer l’accès public à des groupes de volumes individuels sur des points de terminaison de service de stockage. Par défaut, l’accès public à des groupes de volumes individuels est refusé même si vous l’autorisez au niveau du SAN. Vous devez configurer explicitement vos groupes de volumes pour autoriser l’accès à partir de plages d’adresses IP et de sous-réseaux de réseau virtuel spécifiques.

Vous pouvez activer l’accès au réseau public lorsque vous créez un SAN élastique ou que vous l’activez pour un SAN existant à l’aide du module Azure PowerShell ou d’Azure CLI.

Utilisez le module Azure PowerShell ou Azure CLI pour activer l’accès au réseau public.

Configurer la détection des erreurs iSCSI

Activer la détection des erreurs iSCSI

Pour activer la vérification de somme de contrôle CRC-32C pour les en-têtes iSCSI ou les charges utiles de données, définissez CRC-32C sur les en-têtes ou les synthèses de données pour toutes les connexions sur vos clients qui se connectent aux volumes Elastic SAN. Pour ce faire, connectez vos clients à des volumes SAN élastiques à l’aide de scripts multisession générés dans le portail Azure ou fournis dans les articles de connexion SAN élastique Windows ou Linux.

Si vous avez besoin de le faire, vous pouvez le faire sans les scripts de connexion multisession. Sur Windows, vous pouvez le faire en définissant des synthèses d’en-tête ou de données sur 1 lors de la connexion aux volumes Elastic SAN (LoginTarget et PersistentLoginTarget). Sur Linux, vous pouvez le faire en mettant à jour le fichier de configuration iSCSI global (iscsid.conf, généralement trouvé dans le répertoire /etc/iscsi). Quand un volume est connecté, un nœud est créé, ainsi qu’un fichier config spécifique à ce nœud (par exemple sur Ubuntu, vous le trouverez dans le répertoire /etc/iscsi/nodes/$volume_iqn/portal_hostname,$port) qui hérite des paramètres du fichier config global. Si vous avez déjà connecté des volumes à votre client avant de mettre à jour votre fichier de configuration globale, mettez à jour le fichier de configuration spécifique au nœud pour chaque volume directement ou à l’aide de la commande suivante :

sudo iscsiadm -m node -T $volume_iqn -p $portal_hostname:$port -o update -n $iscsi_setting_name -v $setting_value

Where

  • $volume_iqn : IQN de volume Elastic SAN
  • $portal_hostname : nom d’hôte de portail du volume Elastic SAN
  • $port : 3260
  • $iscsi_setting_name : node.conn[0].iscsi. HeaderDigest (ou) node.conn[0].iscsi. DataDigest
  • $setting_value : CRC32C

Renforcer la détection des erreurs iSCSI

Pour appliquer la détection d’erreurs iSCSI, définissez CRC-32C pour les synthèses d’en-tête et de données sur vos clients et activez la propriété de protection CRC sur le groupe de volumes qui contient des volumes déjà connectés à vos clients ou qui n’ont pas encore été connectés à partir de vos clients. Si vos volumes SAN élastiques sont déjà connectés et ne disposent pas de CRC-32C pour les deux synthèses, vous devez déconnecter les volumes et les reconnecter à l’aide de scripts multisession générés dans le portail Azure lors de la connexion à un volume SAN élastique, ou à partir de l’ Windows ou Les articles de connexion SAN élastique linux.

Remarque

La fonctionnalité de protection CRC n’est actuellement pas disponible en Europe Nord et USA Centre Sud.

Pour activer la protection CRC sur le groupe de volumes :

Activez la protection CRC sur un nouveau groupe de volumes :

Capture d’écran de l’activation de la protection CRC sur le nouveau groupe de volumes.

Activez la protection CRC sur un groupe de volumes existant :

Capture d’écran de l’activation de la protection CRC sur le groupe de volumes existant.

Configurer un point de terminaison de réseau virtuel

Vous pouvez configurer vos groupes de volumes Elastic SAN pour autoriser l’accès uniquement à partir de points de terminaison sur des sous-réseaux de réseau virtuel spécifiques. Les sous-réseaux autorisés peuvent appartenir à des réseaux virtuels du même abonnement, ou à ceux d’un autre abonnement, notamment un abonnement appartenant à un autre locataire Microsoft Entra.

Vous pouvez autoriser l’accès à votre groupe de volumes Elastic SAN à partir de deux types de points de terminaison de réseau virtuel Azure :

Un point de terminaison privé utilise une ou plusieurs adresses IP privées du sous-réseau de votre réseau virtuel pour accéder à un groupe de volumes Elastic SAN sur le réseau principal Microsoft. Avec un point de terminaison privé, le trafic entre votre réseau virtuel et le groupe de volumes est sécurisé via une liaison privée.

Les points de terminaison de service de réseau virtuel sont publics et accessibles via Internet. Vous pouvez configurer des règles de réseau virtuel pour contrôler l’accès à votre groupe de volumes lors de l’utilisation de points de terminaison de service de stockage.

Les règles de réseau s’appliquent uniquement aux points de terminaison publics d’un groupe de volumes, et non aux points de terminaison privés. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé. Vous pouvez utiliser des Stratégies réseau pour contrôler le trafic sur les points de terminaison privés si vous souhaitez affiner les règles d’accès. Si vous souhaitez utiliser des points de terminaison privés exclusivement, n’activez pas les points de terminaison de service pour le groupe de volumes.

Pour déterminer le type de point de terminaison qui vous convient le mieux, consultez Comparer les points de terminaison privés et les points de terminaison de service.

Une fois l’accès réseau configuré pour un groupe de volumes, la configuration est héritée par tous les volumes appartenant au groupe.

Le processus d’activation de chaque type de point de terminaison est la suivante :

Configurer un point de terminaison privé

Important

La configuration d’une connexion de point de terminaison privé se fait en deux étapes :

  • La création du point de terminaison et de la connexion associée.
  • L’approbation de la connexion.

Vous pouvez également utiliser des stratégies réseau pour affiner le contrôle d’accès sur les points de terminaison privés.

Pour créer un point de terminaison privé pour un groupe de volumes Elastic SAN, vous devez avoir le rôle Propriétaire du groupe de volumes Elastic SAN . Pour approuver une nouvelle connexion de point de terminaison privé, vous devez avoir l’autorisation d’effectuer l’opération du fournisseur de ressources Azure Microsoft.ElasticSan/elasticSans/PrivateEndpointConnectionsApproval/action. L’autorisation pour cette opération est incluse dans le rôle Administrateur réseau Elastic SAN, mais elle peut également être accordée via un rôle Azure personnalisé.

Si vous créez le point de terminaison à partir d’un compte d’utilisateur qui dispose de tous les rôles et autorisations nécessaires à la création et à l’approbation, le processus peut être effectué en une seule étape. Si ce n’est pas le cas, il faut deux étapes distinctes pour deux utilisateurs différents.

Le service Elastic SAN et le réseau virtuel pourraient se trouver dans des groupes de ressources, des régions et des abonnements distincts, notamment des abonnements qui appartiennent à des locataires Microsoft Entra distincts. Dans ces exemples, nous créons le point de terminaison privé dans le même groupe de ressources que le réseau virtuel.

Vous pouvez créer une connexion de point de terminaison privé à votre groupe de volumes dans le portail Azure lorsque vous créez un groupe de volumes ou lorsque vous modifiez un groupe de volumes existant. Pour créer un point de terminaison privé, il vous faut un réseau virtuel existant.

Lors de la création ou de la modification d’un groupe de volumes, sélectionnez Mise en réseau, puis + Créer un point de terminaison privé sous Connexions de point de terminaison privé.

Renseignez les valeurs du menu qui s’affiche, puis sélectionnez le réseau virtuel et le sous-réseau que vos applications utiliseront pour se connecter. Lorsque vous avez terminé, sélectionnez Ajouter, puis Enregistrer.

Capture d’écran de l’expérience de création de point de terminaison privé de groupe de volumes.

Configurer un point de terminaison de service Stockage Azure

Pour configurer un point de terminaison de service Stockage Azure à partir du réseau virtuel où l’accès est nécessaire, vous devez disposer de l’autorisation pour l’opération de fournisseur de ressources Azure Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action via un rôle Azure personnalisé pour configurer un point de terminaison de service.

Les points de terminaison de service de réseau virtuel sont publics et accessibles via Internet. Vous pouvez configurer des règles de réseau virtuel pour contrôler l’accès à votre groupe de volumes lors de l’utilisation de points de terminaison de service de stockage.

Remarque

La configuration de règles qui octroient l’accès à des sous-réseaux de réseaux virtuels faisant partie d’un autre tenant Microsoft Entra est prise en charge uniquement via PowerShell, l’interface CLI et les API REST. S’il est possible de consulter ces règles sur le portail Azure, il est impossible de les y configurer.

  1. Accédez à votre réseau virtuel et sélectionnez Points de terminaison de service.

  2. Sélectionnez Ajouter.

  3. Dans l’écran Ajouter des points de terminaison de service :

    1. Pour Service, sélectionnez Microsoft.Storage.Global pour ajouter un point de terminaison de service interrégional.

    Remarque

    Vous pouvez constater que Microsoft.Storage est répertorié comme point de terminaison de service de stockage disponible. Cette option concerne les points de terminaison intrarégionaux qui existent uniquement pour des raisons de compatibilité descendante. Utilisez toujours des points de terminaison interrégionaux, sauf si vous avez une raison spécifique d’utiliser des points de terminaison intrarégionaux.

  4. Pour Sous-réseaux, sélectionnez tous les sous-réseaux sur lesquels vous souhaitez autoriser l’accès.

  5. Sélectionnez Ajouter.

Capture d’écran de la page du point de terminaison de service de réseau virtuel, ajout du point de terminaison du service de stockage.

Configurer des règles de réseau virtuel

Toutes les demandes entrantes de données sur un point de terminaison de service sont bloquées par défaut. Seules les applications qui demandent des données à partir de sources autorisées que vous configurez dans vos règles de réseau peuvent accéder à vos données.

Vous pouvez gérer les règles de réseau virtuel pour les groupes de volumes via le portail Azure, PowerShell ou CLI.

Important

Si vous souhaitez activer l’accès à votre compte de stockage à partir d’un réseau/sous-réseau virtuel se trouvant dans un autre tenant Microsoft Entra, vous devez utiliser PowerShell ou Azure CLI. Le portail Azure n’affiche pas les sous-réseaux des autres tenants Microsoft Entra.

Si vous supprimez un sous-réseau qui a été inclus dans une règle réseau, il sera supprimé des règles réseau pour le groupe de volumes. Si vous créez un sous-réseau du même nom, il n’aura pas accès au groupe de volumes. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du groupe de volumes.

  1. Accédez à votre réseau SAN et sélectionnez Groupes de volumes.
  2. Sélectionnez un groupe de volumes et sélectionnez Créer.
  3. Ajoutez un réseau virtuel existant et un sous-réseau, puis sélectionnez Enregistrer.

Configurer les connexions clientes

Une fois que vous avez activé les points de terminaison souhaités et accordé l’accès dans vos règles réseau, vous pouvez configurer vos clients pour qu’ils se connectent aux volumes Elastic SAN appropriés.

Remarque

Si une connexion entre une machine virtuelle et un volume Elastic SAN est perdue, la connexion réessaye pendant 90 secondes jusqu’à ce qu’elle se termine. Une perte d’une connexion à un volume Elastic SAN n’entraîne pas le redémarrage de la machine virtuelle.

Étapes suivantes