En savoir plus sur les configurations de mise en réseau pour Elastic SAN

Le réseau san (Elastic Storage Area Network) Azure vous permet de sécuriser et de contrôler le niveau d’accès à vos volumes Elastic SAN requis par vos applications et environnements d’entreprise. Cet article décrit les options permettant aux utilisateurs et aux applications d’accéder aux volumes Elastic SAN depuis une infrastructure de réseau virtuel Azure.

Vous pouvez configurer des groupes de volumes Elastic SAN pour autoriser uniquement l’accès sur des points de terminaison spécifiques, sur des sous-réseaux de réseau virtuel spécifiques. Les sous-réseaux autorisés peuvent appartenir à un réseau virtuel dans le même abonnement ou dans un autre abonnement, y compris dans un abonnement appartenant à un autre locataire Microsoft Entra. Une fois que l’accès réseau est configuré pour un groupe de volumes, la configuration est héritée par tous les volumes appartenant au groupe.

En fonction de votre configuration, les applications sur des réseaux virtuels appairés ou des réseaux locaux peuvent également accéder aux volumes du groupe. Les réseaux locaux doivent être connectés au réseau virtuel par un VPN ou par ExpressRoute. Pour plus d’informations sur les configurations de réseau virtuel, consultez Infrastructure de réseau virtuel Azure.

Il existe deux types de points de terminaison de réseau virtuel que vous pouvez configurer pour autoriser l’accès à un groupe de volumes Elastic SAN :

Pour déterminer l’option qui vous convient le mieux, consultez Comparer les points de terminaison privés et les points de terminaison de service. En règle générale, vous devez utiliser les points de terminaison privés plutôt que les points de terminaison de service, car Private Link offre de meilleures fonctionnalités. Pour plus d’informations, consultez Azure Private Link.

Après avoir configuré les points de terminaison, vous pouvez configurer des règles réseau pour mieux contrôler l’accès à votre groupe de volumes Elastic SAN. Une fois les points de terminaison et les règles réseau configurés, les clients peuvent se connecter aux volumes du groupe pour traiter leurs charges de travail.

Accès au réseau public

Vous pouvez activer ou désactiver l’accès Internet public à vos points de terminaison Elastic SAN au niveau du SAN. L’activation de l’accès au réseau public pour un réseau Elastic SAN vous permet de configurer l’accès public à des groupes de volumes individuels dans ce SAN sur des points de terminaison de service de stockage. Par défaut, l’accès public à des groupes de volumes individuels est refusé même si vous l’autorisez au niveau du SAN. Si vous désactivez l’accès public au niveau du SAN, l’accès aux groupes de volumes au sein de ce SAN n’est disponible que sur les points de terminaison privés.

Intégrité des données

L’intégrité des données est importante pour prévenir l’altération des données dans le stockage cloud. TCP fournit un niveau fondamental d’intégrité des données via son mécanisme de somme de contrôle ; il peut être amélioré sur iSCSI avec une détection d’erreur plus robuste avec une vérification de redondance cyclique (CRC), en particulier CRC-32C. CRC-32C peut être utilisé pour ajouter la vérification de somme de contrôle pour les en-têtes et les charges utiles de données iSCSI.

Elastic SAN prend en charge la vérification de somme de contrôle CRC-32C quand elle est activée côté client pour les connexions à des volumes Elastic SAN. Elastic SAN offre également la possibilité d’appliquer cette détection d’erreurs via une propriété qui peut être définie au niveau du groupe de volumes et dont les volumes de ce groupe de volumes héritent. Quand vous activez cette propriété sur un groupe de volumes, Elastic SAN rejette toutes les connexions des clients aux volumes du groupe de volumes si CRC-32C n’est pas défini pour les synthèses d’en-têtes ou de données sur ces connexions. Quand vous désactivez cette propriété, la vérification de somme de contrôle des volumes Elastic SAN dépend du fait que CRC-32C est défini pour les synthèses d’en-têtes ou de données sur le client, mais votre instance Elastic SAN ne va rejeter aucune connexion. Pour savoir comment activer la protection CRC, consultez Configurer la mise en réseau.

Remarque

Certains systèmes d’exploitation peuvent ne pas prendre en charge les synthèses d’en-têtes ou de données iSCSI. Fedora et ses distributions Linux en aval comme Red Hat Enterprise Linux, CentOS, Rocky Linux, etc. ne prennent pas en charge les synthèses de données. N’activez pas la protection CRC sur vos groupes de volumes si vos clients utilisent des systèmes d’exploitation comme ceux-ci qui ne prennent pas en charge les synthèses d’en-têtes ou de données iSCSI, car les connexions aux volumes vont échouer.

Points de terminaison de service de stockage

Un point de terminaison de service de réseau virtuel Azure fournit une connectivité sécurisée et directe aux services Azure sur une route optimisée du réseau principal Azure. Les points de terminaison de service vous permettent de sécuriser vos ressources de service Azure stratégiques afin que seuls des réseaux virtuels spécifiques puissent y accéder.

Les points de terminaison de service inter-régions pour le Stockage Azure fonctionnent entre les réseaux virtuels et les instances de service dans n’importe quelle région. Grâce aux points de terminaison de service inter-régions, les sous-réseaux n’utilisent plus une adresse IP publique pour communiquer avec des comptes de stockage, y compris ceux d’une autre région. Au lieu de cela, tout le trafic d’un sous-réseau vers un compte de stockage utilise une adresse IP privée comme adresse IP source.

Conseil

Les points de terminaison de service locaux d’origine, identifiés comme Microsoft.Storage, sont toujours pris en charge pour la compatibilité descendante, mais vous devez créer des points de terminaison inter-régions, identifiés comme Microsoft.Storage.Global, pour les nouveaux déploiements.

Il est impossible que des points de terminaison de service inter-régions et des points de terminaison locaux coexistent sur le même sous-réseau. Pour utiliser des points de terminaison de service inter-régions, vous pourriez devoir supprimer des points de terminaison Microsoft.Storage existants et les recréer en tant que Microsoft.Storage.Global.

Points de terminaison privés

Azure Private Link vous permet d’accéder en toute sécurité à un groupe de volumes Elastic SAN via un point de terminaison privé depuis un sous-réseau de réseau virtuel. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft, éliminant le risque d’exposition de votre service à l’internet public. Un point de terminaison privé Elastic SAN utilise un ensemble d’adresses IP provenant de l’espace d’adressage du sous-réseau pour chaque groupe de volumes. Le nombre maximal utilisé par point de terminaison est de 20.

Les points de terminaison privés offrent plusieurs avantages par rapport aux points de terminaison de service. Pour une comparaison complète des points de terminaison privés et des points de terminaison de service, consultez Comparer les points de terminaison privés et les points de terminaison de service.

Restrictions

Les points de terminaison privés ne sont actuellement pas pris en charge pour Elastic SAN avec le stockage redondant interzone (ZRS).

Fonctionnement

Le trafic entre le réseau virtuel et l’Elastic SAN est routé sur un chemin optimal sur le réseau principal Azure. À la différence des points de terminaison de service, vous n’avez pas besoin de configurer de règles réseau pour autoriser le trafic à partir d’un point de terminaison privé, car le pare-feu de stockage contrôle uniquement l’accès via les points de terminaison publics.

Pour plus d’informations sur la configuration des points de terminaison privés, consultez Activer un point de terminaison privé.

Règles de réseau virtuel

Pour sécuriser davantage l’accès à vos volumes Elastic SAN, vous pouvez créer des règles de réseau virtuel pour les groupes de volumes configurés avec des points de terminaison de service, afin d’autoriser l’accès à partir de sous-réseaux spécifiques. Vous n’avez pas besoin de configurer de règles réseau pour autoriser le trafic à partir d’un point de terminaison privé, car le pare-feu de stockage contrôle uniquement l’accès via les points de terminaison publics.

Chaque groupe de volumes prend en charge jusqu’à 200 règles de réseau virtuel. Si vous supprimez un sous-réseau qui a été inclus dans une règle réseau, il est supprimé des règles réseau pour le groupe de volumes. Si vous créez un sous-réseau du même nom, il n’aura pas accès au groupe de volumes. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du groupe de volumes.

Les clients dont l’accès a été autorisé via ces règles réseau doivent également bénéficier des autorisations appropriées pour le groupe de volumes Elastic SAN.

Pour savoir comment définir des règles réseau, consultez Gérer les règles de réseau virtuel.

Connexions clientes

Une fois que vous avez activé les points de terminaison souhaités et autorisé l’accès dans vos règles réseau, vous pouvez vous connecter aux volumes Elastic SAN appropriés à l’aide du protocole iSCSI. Pour découvrir comment configurer des connexions clientes, consultez les articles concernant la connexion à Linux, Windows ou un cluster Azure Kubernetes Service.

Les sessions iSCSI peuvent se déconnecter et se reconnecter régulièrement au cours de la journée. Ces déconnexions et reconnexions font partie de la maintenance régulière ou sont le résultat des fluctuations du réseau. Vous ne devriez pas rencontrer de détérioration des performances en raison de ces déconnexions et reconnexions, et les connexions devraient se rétablir elles-mêmes. Si une connexion ne se rétablit pas, ou si vous rencontrez une détérioration des performances, créez un ticket de support.

Remarque

Si une connexion entre une machine virtuelle et un volume Elastic SAN est perdue, la connexion réessaye pendant 90 secondes jusqu’à ce qu’elle se termine. Une perte d’une connexion à un volume Elastic SAN n’entraîne pas le redémarrage de la machine virtuelle.

Étapes suivantes

Configurer le réseau Elastic SAN