Saiba mais sobre as configurações de rede do Elastic SAN
O Azure Elastic SAN (rede de área de armazenamento) permite que você proteja e controle o nível de acesso aos seus volumes do Elastic SAN que os aplicativos e os ambientes corporativos exigem. Este artigo descreve as opções para permitir que usuários e aplicativos acessem volumes do Elastic SAN de uma infraestrutura de rede virtual do Azure.
Você pode configurar os grupos de volumes do Elastic SAN para permitir apenas o acesso por pontos de extremidade específicos em sub-redes de rede virtual específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou àquelas em uma assinatura diferente, incluindo assinaturas que pertençam a um locatário diferente do Microsoft Entra. Depois que o acesso à rede é configurado para um grupo de volumes, a configuração é herdada por todos os volumes pertencentes ao grupo.
Dependendo de sua configuração, aplicativos em redes virtuais emparelhadas ou redes locais também podem acessar volumes no grupo. As redes locais devem ser conectadas à rede virtual por uma VPN ou ExpressRoute. Para obter mais informações sobre configurações de rede virtual, consulte Infraestrutura de rede virtual do Azure.
Há dois tipos de pontos de extremidade de rede virtual que você pode configurar para permitir o acesso a um grupo de volumes do Elastic SAN:
Para decidir qual é a melhor opção para você, confira Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço. Em geral, você deve usar pontos de extremidade privados em vez de pontos de extremidade de serviço, pois o Link Privado oferece melhores recursos. Para obter mais informações, confira Link Privado do Azure.
Depois de configurar os pontos de extremidade, você pode configurar regras de rede para controlar ainda mais o acesso ao grupo de volumes do Elastic SAN. Depois que os pontos de extremidade e as regras de rede forem configurados, os clientes poderão se conectar a volumes no grupo para processar cargas de trabalho.
Acesso à rede pública
Você pode habilitar ou desabilitar o acesso público à Internet aos pontos de extremidade SAN elásticos no nível de SAN. Habilitar o acesso à rede pública para uma SAN Elástica permite que você configure o acesso público a grupos de volume individuais nessa SAN por pontos de extremidade de serviço de armazenamento. Por padrão, o acesso público a grupos de volumes individuais é negado mesmo se você permitir no nível de SAN. Se você desabilitar o acesso público no nível de SAN, o acesso aos grupos de volume dentro dessa SAN só estará disponível em pontos de extremidade privados.
Integridade dos Dados
A integridade dos dados é importante para evitar a corrupção de dados no armazenamento em nuvem. O TCP fornece um nível fundamental de integridade de dados por meio de seu mecanismo de soma de verificação, que pode ser aprimorado no iSCSI com uma detecção de erros mais robusta por meio de uma verificação de redundância cíclica (CRC), especificamente CRC-32C. O CRC-32C pode ser usado para adicionar verificação de soma de verificação para cabeçalhos iSCSI e cargas de dados.
O Elastic SAN oferece suporte à verificação de soma de verificação CRC-32C quando habilitada no lado do cliente para conexões com volumes do Elastic SAN. O Elastic SAN também oferece a capacidade de impor essa detecção de erros por meio de uma propriedade que pode ser definida no nível do grupo de volumes, que é herdada por qualquer volume dentro desse grupo de volumes. Ao habilitar essa propriedade em um grupo de volumes, o Elastic SAN rejeita todas as conexões de cliente a qualquer volume no grupo de volumes se o CRC-32C não estiver definido para os resumos de cabeçalho ou de dados nessas conexões. Ao desabilitar essa propriedade, a verificação da soma de verificação do volume do Elastic SAN depende de o CRC-32C estar definido para resumos de cabeçalho ou de dados no cliente, mas o Elastic SAN não rejeitará nenhuma conexão. Para saber como habilitar a proteção do CRC, confira Configurar a rede.
Observação
Alguns sistemas operacionais podem não dar suporte ao cabeçalho iSCSI ou aos resumos de dados. O Fedora e suas distribuições downstream do Linux, como Red Hat Enterprise Linux, CentOS, Rocky Linux etc., não oferecem suporte a resumos de dados. Não habilite a proteção CRC em seus grupos de volumes se seus clientes usarem sistemas operacionais como esses que não suportam cabeçalho iSCSI ou resumos de dados, pois as conexões com os volumes falharão.
Pontos de extremidade de serviço de armazenamento
Os pontos de extremidade de serviço de Rede Virtual do Azure fornecem conectividade segura e direta aos serviços do Azure usando uma rota otimizada pela rede de backbone do Azure. Os pontos de extremidade de serviço permitem que você proteja seus recursos críticos de serviço do Azure para que somente redes virtuais específicas possam acessá-los.
Os pontos de extremidade de serviço entre regiões para o Armazenamento do Azure funcionam entre redes virtuais e instâncias de serviço de armazenamento em qualquer região. Com pontos de extremidade de serviço entre regiões, as sub-redes não usarão mais um endereço IP público para se comunicar com qualquer conta de armazenamento, incluindo aquelas em outra região. Em vez disso, todo o tráfego de uma sub-rede para uma conta de armazenamento usa um endereço IP privado como IP de origem.
Dica
Os pontos de extremidade de serviço locais originais, identificados como Microsoft.Storage, ainda têm suporte para compatibilidade com versões anteriores, mas você deve criar pontos de extremidade entre regiões, identificados como Microsoft.Storage.Global, para novas implantações.
Os pontos de extremidade de serviço entre regiões e os locais não podem coexistir na mesma sub-rede. Para usar os pontos de extremidade de serviço entre regiões, talvez seja necessário excluir os pontos de extremidade Microsoft.Storage existentes e recriá-los como Microsoft.Storage.Global.
Pontos de extremidade privados
O Link Privado do Azure permite que você acesse um grupo de volumes do Elastic SAN com segurança por meio de um ponto de extremidade privado de uma sub-rede de rede virtual. O tráfego entre sua rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando o risco de expor seu serviço à Internet pública. Um ponto de extremidade privado do Elastic SAN usa um conjunto de endereços IP do espaço de endereço de sub-rede para cada grupo de volumes. O número máximo usado por ponto de extremidade é 20.
Os pontos de extremidade privados têm várias vantagens sobre os pontos de extremidade de serviço. Para obter uma comparação completa entre os pontos de extremidade privados e os pontos de extremidade de serviço, confira Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço.
Restrições
No momento, não há suporte para pontos de extremidade privados para SANs elásticas usando ZRS (armazenamento com redundância de zona).
Como ele funciona
O tráfego entre a rede virtual e o Elastic SAN é roteado por um caminho ideal na rede de backbone do Azure. Ao contrário dos pontos de extremidade de serviço, não é necessário configurar regras de rede para permitir o tráfego de um ponto de extremidade privado, pois o firewall de armazenamento controla apenas o acesso por meio de pontos de extremidade públicos.
Para obter detalhes sobre como configurar pontos de extremidade privados, confira Habilitar ponto de extremidade privado.
Regras de rede virtual
Para proteger ainda mais o acesso aos volumes do Elastic SAN, você pode criar regras de rede virtual para grupos de volumes configurados com pontos de extremidade de serviço para permitir o acesso de sub-redes específicas. Você não precisa de regras de rede para permitir o tráfego de um ponto de extremidade privado, pois o firewall de armazenamento só controla o acesso por meio de pontos de extremidade públicos.
Cada grupo de volumes dá suporte a até 200 regras de rede virtual. Se você excluir uma sub-rede que foi incluída em uma regra de rede, ela será removida das regras de rede para o grupo de volumes. Se você criar uma sub-rede com o mesmo nome, ela não terá acesso ao grupo de volumes. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede do grupo de volumes.
Os clientes que recebem acesso por meio dessas regras de rede também devem receber as permissões apropriadas para o grupo de volumes do Elastic SAN.
Para saber como definir regras de rede, confira Gerenciar regras de rede virtual.
Conexões de cliente
Depois de habilitar os pontos de extremidade desejados e conceder acesso às regras de rede, você poderá se conectar aos volumes apropriados do Elastic SAN usando o protocolo iSCSI. Para saber como configurar conexões de clientes, confira os artigos sobre como se conectar ao Linux, Windows ou ao cluster do Serviço de Kubernetes do Azure.
As sessões de iSCSI podem se desconectar e se reconectar periodicamente ao longo do dia. Essas desconexões e reconexões fazem parte da manutenção regular ou são resultado de flutuações de rede. Você não deverá experimentar nenhuma degradação de desempenho como resultado dessas desconexões e reconexões e as conexões devem ser restabelecidas por si próprias. Se uma conexão não for restabelecida ou você estiver experimentando uma degradação de desempenho, crie um tíquete de suporte.
Observação
Se uma conexão entre uma VM (máquina virtual) e um volume Elastic SAN for perdida, a conexão tentará novamente por 90 segundos até o encerramento. Perder uma conexão com um volume Elastic SAN não fará com que a VM seja reiniciada.