Configurer des points de terminaison de réseau public et privé Azure File Sync

Azure Files et Azure File Sync fournissent deux principaux types de points de terminaison pour l’accès aux partages de fichiers Azure :

  • Les points de terminaison publics, qui ont une adresse IP publique et sont accessibles partout dans le monde.
  • Les points de terminaison privés, qui existent au sein d’un réseau virtuel et ont une adresse IP privée comprise dans l’espace d’adressage de ce réseau virtuel.

Pour Azure Files et Azure File Sync, les objets de gestion Azure, le compte de stockage et le service de synchronisation du stockage, contrôlent les points de terminaison publics et privés. Le compte de stockage est une construction de gestion qui représente un pool de stockage partagé dans lequel vous pouvez déployer plusieurs partages de fichiers, ainsi que d’autres ressources de stockage, telles que des objets blob ou des files d’attente. Le service de synchronisation de stockage est une construction de gestion qui représente les serveurs inscrits, qui sont des serveurs de fichiers Windows avec une relation d’approbation établie avec Azure File Sync, ainsi que des groupes de synchronisation, qui définissent la topologie de la relation de synchronisation.

Cet article se concentre sur la configuration des points de terminaison réseau pour Azure Files et Azure File Sync. Pour en savoir plus sur la configuration des points de terminaison réseau pour accéder directement aux partages de fichiers Azure, plutôt que d’effectuer une mise en cache locale avec Azure File Sync, consultez Configuration des points de terminaison réseau Azure Files.

Avant de lire le présent guide, nous vous recommandons de lire Considérations relatives aux réseaux Azure File Sync.

Prérequis

Cet article suppose que vous avez :

  • Vous avez un abonnement Azure. Si vous n’avez pas d’abonnement, vous pouvez créer un compte gratuit avant de commencer.
  • Vous avez déjà créé un partage de fichiers Azure dans un compte de stockage auquel vous souhaitez vous connecter à partir d’un emplacement local. Pour savoir comment créer un partage de fichiers Azure, consultez Créer un partage de fichiers Azure.
  • Pour autoriser le trafic de domaine vers les points de terminaison suivants, consultez Points de terminaison de service Azure :

De plus :

Créer les points de terminaison privés

Lorsque vous créez un point de terminaison privé pour une ressource Azure, les ressources suivantes sont déployées :

  • Un point de terminaison privé : Ressource Azure représentant le point de terminaison privé pour le compte de stockage ou le service de synchronisation de stockage. Considérez-la comme une ressource qui connecte votre ressource Azure à une interface réseau.
  • Une interface réseau (NIC) : interface réseau qui gère une adresse IP privée au sein du réseau virtuel ou du sous-réseau spécifié. C’est exactement la même ressource que celle déployée lors du déploiement d’une machine virtuelle, mais au lieu d’être attribuée à une machine virtuelle, elle est détenue par le point de terminaison privé.
  • Une zone DNS privée : si vous n’avez jamais déployé de point de terminaison privé pour ce réseau virtuel, une nouvelle zone DNS privée sera déployée pour votre réseau virtuel. Un enregistrement DNS A est également créé pour la ressource Azure dans cette zone DNS. Si vous avez déjà déployé un point de terminaison privé dans ce réseau virtuel, un nouvel enregistrement A est ajouté à la zone DNS existante pour la ressource Azure. Le déploiement d’une zone DNS est facultatif, mais il est fortement recommandé pour simplifier la gestion DNS requise.

Notes

Cet article utilise les suffixes DNS pour les régions publiques Azure, core.windows.net pour les comptes de stockage et afs.azure.net pour les services de synchronisation de stockage. Cela vaut aussi pour les clouds souverains Azure que sont notamment le cloud Azure US Government (il vous suffit de remplacer les suffixes appropriés pour votre environnement).

Créer le point de terminaison privé du compte de stockage

Accédez au compte de stockage pour lequel vous souhaitez créer un point de terminaison privé. Dans la table des matières du compte de stockage, sélectionnez Réseau, Connexions de point de terminaison privé, puis + Point de terminaison privé pour créer un point de terminaison privé.

Capture d’écran de l’élément Connexions de point de terminaison privé dans la table des matières du compte de stockage.

L’Assistant obtenu comprend plusieurs pages dont vous devez suivre les instructions.

Dans le panneau Informations de base, sélectionnez l’abonnement, le groupe de ressources, le nom, le nom de l’interface réseau et la région souhaités pour votre point de terminaison privé. Vous pouvez choisir ceux que vous voulez. Ils ne doivent pas nécessairement correspondre au compte de stockage. Vous devez simplement créer le point de terminaison privé dans la même région que le réseau virtuel dans lequel vous souhaitez créer le point de terminaison privé. Sélectionnez ensuite Suivant : Ressource .

Capture d’écran montrant comment fournir les détails du projet et de l’instance pour un nouveau point de terminaison privé.

Dans le panneau Ressource, sélectionnez fichier pour la sous-ressource cible. Sélectionnez ensuite Suivant : réseau virtuel.

Capture d’écran montrant comment sélectionner la ressource à laquelle vous souhaitez vous connecter avec le nouveau point de terminaison privé.

Le panneau Réseau virtuel vous permet de sélectionner le réseau virtuel et le sous-réseau auxquels vous souhaitez ajouter votre point de terminaison privé. Sélectionnez l’allocation d’adresse IP dynamique ou statique pour le nouveau point de terminaison privé. Si vous sélectionnez le mode statique, vous devez également fournir un nom et une adresse IP privée. Si vous le souhaitez, vous pouvez également spécifier un groupe de sécurité d’application. Quand vous avez terminé, cliquez sur Suivant : DNS.

Capture d’écran montrant comment fournir les détails relatifs aux réseau virtuel, sous-réseau et adresse IP pour le nouveau point de terminaison privé.

Le panneau DNS contient les informations permettant d’intégrer votre point de terminaison privé à une zone DNS privée. Vérifiez que l’abonnement et le groupe de ressources sont corrects, puis sélectionnez Suivant : Étiquettes.

Capture d’écran montrant comment intégrer votre point de terminaison privé à une zone DNS privée.

Vous pouvez éventuellement appliquer des étiquettes pour classer vos ressources, telles que l’application du nom Environnement et de la valeur Test à toutes les ressources de test. Si vous le souhaitez, entrez des paires nom/valeur, puis sélectionnez Suivant : Vérifier + créer.

Capture d’écran montrant comment étiqueter éventuellement votre point de terminaison privé avec des paires nom/valeur pour faciliter la catégorisation.

Cliquez sur Vérifier + créer pour créer le point de terminaison privé.

Si vous disposez d’une machine virtuelle dans votre réseau virtuel, ou si vous avez configuré le transfert DNS comme décrit dans Configuration du transfert DNS pour Azure Files, vous pouvez vérifier que votre point de terminaison privé est correctement configuré en exécutant les commandes suivantes à partir de PowerShell, de la ligne de commande ou du terminal (fonctionne sur Windows, Linux et macOS). Vous devez remplacer <storage-account-name> par le nom du compte de stockage approprié :

nslookup <storage-account-name>.file.core.windows.net

Si tout fonctionne correctement, vous devriez voir la sortie suivante, où 192.168.0.5 correspond à l’adresse IP privée du point de terminaison privé de votre réseau virtuel (sortie affichée pour Windows) :

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Créer le point de terminaison privé du service de synchronisation de stockage

Accédez au Centre de liaisons privées en tapant Liaison privée dans la barre de recherche en haut du portail Azure. Dans la table des matières du Centre de liaisons privées, sélectionnez Points de terminaison privés, puis + Ajouter pour créer un point de terminaison privé.

Capture d’écran du Centre de liaisons privées

L’Assistant obtenu comprend plusieurs pages dont vous devez suivre les instructions.

Dans le panneau De base, sélectionnez le groupe de ressources, le nom et la région souhaités pour votre point de terminaison privé. Vous pouvez choisir ceux que vous voulez. Ils ne doivent pas nécessairement correspondre au service de synchronisation du stockage. Vous devez simplement créer le point de terminaison privé dans la même région que le réseau virtuel dans lequel vous souhaitez créer le point de terminaison privé.

Capture d’écran de la section De base de la fenêtre Créer un point de terminaison privé

Dans le panneau Ressource, activez la case d’option Se connecter à une ressource Azure de mon annuaire. Sous Type de ressource, sélectionnez Microsoft.StorageSync/storageSyncServices pour le type de ressource.

Le panneau Configuration vous permet de sélectionner le réseau virtuel et le sous-réseau auxquels vous souhaitez ajouter votre point de terminaison privé. Sélectionnez le même réseau virtuel que celui que vous avez utilisé pour le compte de stockage ci-dessus. Le panneau Configuration contient également les informations relatives à la création et à la mise à jour de la zone DNS privée.

Sélectionnez Vérifier + créer pour créer le point de terminaison privé.

Vous pouvez tester que votre point de terminaison privé est configuré correctement en exécutant les commandes PowerShell suivantes.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Si tout fonctionne correctement, vous devez voir la sortie suivante, où 192.168.1.4, 192.168.1.5, 192.168.1.6 et 192.168.1.7 sont les adresses IP privées attribuées au point de terminaison privé :

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Limiter l’accès aux points de terminaison publics

Vous pouvez restreindre l’accès aux points de terminaison publics du compte de stockage et du service de synchronisation du stockage. Restreindre l’accès au point de terminaison public fournit une sécurité supplémentaire en garantissant que les paquets réseau sont uniquement acceptés à partir des emplacements approuvés.

Restreindre l’accès au point de terminaison public du compte de stockage

Les restrictions d’accès au point de terminaison public s’effectuent à l’aide des paramètres de pare-feu du compte de stockage. En général, la plupart des stratégies de pare-feu d’un compte de stockage limitent l’accès réseau à un ou plusieurs réseaux virtuels. Il existe deux approches pour limiter l’accès d’un compte de stockage à un réseau virtuel :

  • Créer un ou plusieurs points de terminaison privés pour le compte de stockage et désactiver l’accès au point de terminaison public. Seul le trafic en provenance des réseaux virtuels souhaités accède alors aux partages de fichiers Azure du compte de stockage.
  • Limiter le point de terminaison public à un ou plusieurs réseaux virtuels. Cette approche s’appuie sur une fonctionnalité du réseau virtuel appelée points de terminaison de service. Quand vous limitez le trafic à un compte de stockage via un point de terminaison de service, vous continuez d’accéder au compte de stockage via l’adresse IP publique.

Remarque

L’exception Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage doit être sélectionnée sur votre compte de stockage pour autoriser les services Microsoft premier tiers approuvés, comme Azure File Sync, à accéder au compte de stockage. Pour en savoir plus, consultez Octroyer l’accès aux services Azure approuvés.

Octroyer l’accès aux services Azure approuvés et désactiver l’accès au point de terminaison public du compte de stockage

Lorsque l’accès au point de terminaison public est désactivé, le compte de stockage reste accessible via ses points de terminaison privés. Si ce n’est pas le cas, les requêtes valides envoyées au point de terminaison public du compte de stockage seront rejetées.

Accédez au compte de stockage pour lequel vous souhaitez limiter tous les accès au point de terminaison public. Dans la table des matières du compte de stockage, sélectionnez Réseaux.

En haut de la page, sélectionnez la case d’option Activé à partir des réseaux virtuels et des adresses IP sélectionnés. Cela aura pour effet d’afficher un certain nombre de paramètres permettant de contrôler la restriction du point de terminaison public. Sélectionnez Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage pour autoriser les services Microsoft tiers approuvés, comme Azure File Sync, à accéder au compte de stockage.

Capture d’écran du panneau Réseau avec les paramètres requis pour désactiver l’accès au point de terminaison public du compte de stockage.

Octroyer l’accès aux services Azure approuvés et restreindre l’accès au point de terminaison public du compte de stockage à des réseaux virtuels spécifiques

Quand vous limitez le compte de stockage à des réseaux virtuels spécifiques, vous autorisez les requêtes vers le point de terminaison public depuis les réseaux virtuels spécifiés. Cette approche s’appuie sur une fonctionnalité du réseau virtuel appelée points de terminaison de service. Cela peut être utilisé avec ou sans points de terminaison privés.

Accédez au compte de stockage dont le point de terminaison public ne doit être accessible qu’à certains réseaux virtuels. Dans la table des matières du compte de stockage, sélectionnez Réseaux.

En haut de la page, sélectionnez la case d’option Activé à partir des réseaux virtuels et des adresses IP sélectionnés. Cela aura pour effet d’afficher un certain nombre de paramètres permettant de contrôler la restriction du point de terminaison public. Sélectionnez + Ajouter un réseau virtuel existant pour sélectionner le réseau virtuel qui doit être autorisé à accéder au compte de stockage via le point de terminaison public. Sélectionnez un réseau virtuel et un sous-réseau pour ce réseau virtuel, puis sélectionnez Activer.

Sélectionnez Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage pour autoriser les services Microsoft tiers approuvés, comme Azure File Sync, à accéder au compte de stockage.

Capture d’écran du panneau Réseau montrant un réseau virtuel autorisé à accéder au compte de stockage via le point de terminaison public.

Désactiver l’accès au point de terminaison public du service de synchronisation du stockage

Azure File Sync vous permet de restreindre l’accès à des réseaux virtuels spécifiques par le biais de points de terminaison privés uniquement. Azure File Sync ne prend pas en charge les points de terminaison de service pour restreindre l’accès au point de terminaison public à des réseaux virtuels spécifiques. Cela signifie que les deux états du point de terminaison public du service de synchronisation du stockage sont Activé et Désactivé.

Important

Vous devez créer un point de terminaison privé avant de désactiver l’accès au point de terminaison public. Si le point de terminaison public est désactivé et qu’aucun point de terminaison privé n’est configuré, la synchronisation ne peut pas fonctionner.

Pour désactiver l’accès au point de terminaison public du service de synchronisation de stockage, procédez comme suit :

  1. Connectez-vous au portail Azure.
  2. Accédez au service de synchronisation de stockage et sélectionnez Paramètres>Réseau dans la navigation de gauche.
  3. Sous Autoriser l’accès à partir de, sélectionnez Points de terminaison privés uniquement.
  4. Sélectionnez un point de terminaison privé dans la liste Connexions de point de terminaison privé.

Azure Policy

Azure Policy permet d’appliquer les normes de l’organisation et d’évaluer la conformité par rapport à ces normes à grande échelle. Azure Files et Azure File Sync exposent plusieurs stratégies réseau d’audit et de correction utiles qui vous aident à superviser et à automatiser votre déploiement.

Les stratégies auditent votre environnement et vous alertent si vos comptes de stockage ou services de synchronisation de stockage divergent du comportement défini, par exemple si un point de terminaison public est activé alors que votre stratégie a été définie de façon à ce que les points de terminaison publics soient désactivés. Les stratégies de modification/déploiement vont au-delà et permettent de modifier de manière proactive une ressource (telle que le service de synchronisation de stockage) ou de déployer des ressources (telles que des points de terminaison privés) afin d’être en adéquation avec les stratégies.

Les stratégies prédéfinies suivantes sont disponibles pour Azure Files et Azure File Sync :

Action Service Condition Nom de stratégie
Audit Azure Files Le point de terminaison public du compte de stockage est activé. Consultez Octroyer l’accès aux services Azure approuvés et désactiver l’accès au point de terminaison public du compte de stockage pour plus d’informations. Les comptes de stockage doivent limiter l’accès réseau
Audit Azure File Sync Le point de terminaison public du service de synchronisation de stockage est activé. Pour plus d’informations, consultez Désactiver l’accès au point de terminaison public du service de synchronisation de stockage. L’accès au réseau public doit être désactivé pour Azure File Sync
Audit Azure Files Le compte de stockage a besoin d’au moins un point de terminaison privé. Pour plus d’informations, consultez Créer le point de terminaison privé du compte de stockage. Le compte de stockage doit utiliser une connexion de liaison privée
Audit Azure File Sync Le service de synchronisation de stockage a besoin d’au moins un point de terminaison privé. Pour plus d’informations, consultez Créer le point de terminaison privé du service de synchronisation de stockage. Azure File Sync doit utiliser une liaison privée
Modifier Azure File Sync Désactiver le point de terminaison public du service de synchronisation de stockage. Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public
Déployer Azure File Sync Déployer un point de terminaison privé pour le service de synchronisation de stockage. Configurer Azure File Sync avec des points de terminaison privés
Déployer Azure File Sync Déployer un enregistrement A dans la zone DNS privatelink.afs.azure.net. Configurer Azure File Sync pour utiliser des zones DNS privées

Configurer une stratégie de déploiement de points de terminaison privé

Pour configurer une stratégie de déploiement de points de terminaison privé, accédez au portail Azure et recherchez Stratégie. Le centre Azure Policy doit être l’un des premiers résultats. Accédez à Création>Définitions dans la table des matières du centre de stratégie. Le volet Définitions qui s’affiche contient les stratégies prédéfinies pour tous les services Azure. Pour trouver la stratégie spécifique, sélectionnez la catégorie Stockage dans le filtre de catégorie, ou recherchez Configurer Azure File Sync avec des points de terminaison privés. Sélectionnez ... et Attribuer pour créer une nouvelle stratégie à partir de la définition.

Le panneau Informations de base de l’Assistant Attribuer la stratégie vous permet de définir une étendue, une liste d’exclusion de ressource ou de groupe de ressources, et de donner à votre stratégie un nom convivial pour vous aider à la distinguer. Vous n’avez pas besoin de modifier ces éléments pour que la stratégie fonctionne, mais vous pouvez le faire si vous souhaitez apporter des modifications. Sélectionnez Suivant pour accéder à la page Paramètres.

Dans le panneau Paramètres, sélectionnez ... en regard de la liste déroulante privateEndpointSubnetId pour sélectionner le réseau virtuel et le sous-réseau où les points de terminaison privés pour vos ressources de service de synchronisation de stockage doivent être déployés. L’Assistant peut mettre plusieurs secondes à charger les réseaux virtuels disponibles dans votre abonnement. Sélectionnez le réseau/sous-réseau virtuel approprié pour votre environnement, puis cliquez sur Sélectionner. Sélectionnez Suivant pour accéder au panneau Correction.

Pour que le point de terminaison privé soit déployé quand un service de synchronisation de stockage sans point de terminaison privé est identifié, vous devez sélectionner la tâche Créer une correction dans la page Correction. Pour finir, sélectionnez Vérifier + créer pour passer en revue l’attribution de stratégie et Créer pour la créer.

L’attribution de stratégie résultante sera exécutée régulièrement, et risque de ne pas être exécutée immédiatement après sa création.

Voir aussi