Condividi tramite


Configurare Sincronizzazione file di Azure endpoint di rete pubblici e privati

File di Azure e Sincronizzazione file di Azure prevedono due tipi principali di endpoint per l'accesso alle condivisioni file di Azure:

  • Endpoint pubblici, che hanno un indirizzo IP pubblico e sono accessibili da qualsiasi parte del mondo.
  • Endpoint privati, presenti all'interno di una rete virtuale, che hanno un indirizzo IP privato all'interno dello spazio di indirizzi della rete virtuale.

Sia per File di Azure che per Sincronizzazione file di Azure, gli oggetti di gestione di Azure (l'account di archiviazione e il servizio di sincronizzazione archiviazione) controllano sia gli endpoint pubblici che privati. L'account di archiviazione è un costrutto di gestione che rappresenta un pool condiviso di archiviazione in cui è possibile distribuire più condivisioni file, nonché altre risorse di archiviazione, ad esempio BLOB o code. Il servizio di sincronizzazione archiviazione è un costrutto di gestione che rappresenta i server registrati, ovvero file server Windows con una relazione di trust stabilita con Sincronizzazione file di Azure, e i gruppi di sincronizzazione, che definiscono la topologia della relazione di sincronizzazione.

Questo articolo illustra come configurare gli endpoint di rete per File di Azure e Sincronizzazione file di Azure. Per altre informazioni su come configurare gli endpoint di rete per l'accesso diretto alle condivisioni file di Azure, anziché memorizzare nella cache locale con Sincronizzazione file di Azure, vedere Configurazione degli endpoint di rete File di Azure.

È consigliabile leggere Sincronizzazione file di Azure considerazioni sulla rete prima di leggere questa guida pratica.

Prerequisiti

Questo articolo presuppone quanto segue:

  • Che si abbia una sottoscrizione di Azure. Se non si ha già una sottoscrizione, creare un account gratuito prima di iniziare.
  • È già stata creata una condivisione file di Azure in un account di archiviazione a cui connettersi dall'ambiente locale. Per informazioni su come creare una condivisione file di Azure, vedere Creare una condivisione file di Azure.
  • È possibile consentire il traffico di dominio agli endpoint seguenti, vedere Endpoint di servizio di Azure:

Inoltre:

Creare gli endpoint privati

Quando si crea un endpoint privato per una risorsa di Azure, vengono distribuite le risorse seguenti:

  • Un endpoint privato: una risorsa di Azure che rappresenta l'endpoint privato per l'account di archiviazione o il servizio di sincronizzazione archiviazione. Si consideri questa risorsa che connette la risorsa di Azure e un'interfaccia di rete.
  • Interfaccia di rete :interfaccia di rete che gestisce un indirizzo IP privato all'interno della rete virtuale/subnet specificata. Si tratta della stessa risorsa che viene distribuita quando si distribuisce una macchina virtuale (VM), ma anziché essere assegnata a una macchina virtuale, è di proprietà dell'endpoint privato.
  • Una zona DNS privata: se non è mai stato distribuito un endpoint privato per questa rete virtuale in precedenza, verrà distribuita una nuova zona DNS privata per la rete virtuale. In questa zona DNS verrà anche creato un record A DNS per la risorsa di Azure. Se in questa rete virtuale è già stato distribuito un endpoint privato, nella zona DNS esistente verrà aggiunto un nuovo record A per la risorsa di Azure. La distribuzione di una zona DNS è facoltativa, ma è altamente consigliata per semplificare la gestione DNS necessaria.

Nota

Questo articolo usa i suffissi DNS per le aree pubbliche di Azure, core.windows.net per gli account di archiviazione e afs.azure.net per i servizi di sincronizzazione archiviazione. Questo vale anche per i cloud sovrani di Azure, ad esempio il cloud di Azure US Government, che è sufficiente sostituire i suffissi appropriati per l'ambiente in uso.

Creare l'endpoint privato per l'account di archiviazione

Passare all'account di archiviazione per cui creare un endpoint privato. Dal menu del servizio, in Sicurezza e rete selezionare Rete, Connessioni endpoint privati e quindi + Endpoint privato per creare un nuovo endpoint privato.

Screenshot della voce Connessioni endpoint privato nel menu del servizio account di archiviazione.

La procedura guidata risultante include più pagine da completare.

Nel pannello Informazioni di base selezionare la sottoscrizione, il gruppo di risorse, il nome, il nome dell'interfaccia di rete e l'area desiderati per l'endpoint privato. che non devono necessariamente corrispondere a quelli dell'account di archiviazione, anche se l'endpoint privato deve essere creato nella stessa area della rete virtuale in cui inserirlo. Selezionare quindi Avanti: Risorsa.

Screenshot che mostra come specificare i dettagli del progetto e dell'istanza per un nuovo endpoint privato.

Nel pannello Risorsa selezionare il file per la sotto-risorsa di destinazione. Selezionare Avanti: Rete virtuale.

Screenshot che mostra come selezionare la risorsa a cui connettersi usando il nuovo endpoint privato.

Il pannello Rete virtuale consente di selezionare la rete virtuale e la subnet specifiche a cui si vuole aggiungere l'endpoint privato. Selezionare l'allocazione dinamica o statica degli indirizzi IP per il nuovo endpoint privato. Se si seleziona statico, sarà necessario specificare anche un nome e un indirizzo IP privato. È anche possibile specificare facoltativamente un gruppo di sicurezza delle applicazioni. Al termine, selezionare Avanti: DNS.

Screenshot che mostra come specificare i dettagli della rete virtuale, della subnet e dell'indirizzo IP per il nuovo endpoint privato.

Il pannello DNS contiene le informazioni per l'integrazione dell'endpoint privato con una zona DNS privata. Assicurarsi che la sottoscrizione e il gruppo di risorse siano corretti, quindi selezionare Avanti: Tag.

Screenshot che mostra come integrare l'endpoint privato con una zona DNS privato.

Facoltativamente, è possibile applicare tag per classificare le risorse, ad esempio applicare il nome Ambiente e il valore Test a tutte le risorse di test. Immettere coppie nome/valore se necessario e quindi selezionare Avanti: Rivedi e crea.

Screenshot che mostra come contrassegnare facoltativamente l'endpoint privato con coppie nome/valore per facilitare la categorizzazione.

Infine, selezionare Crea per creare l'endpoint privato.

Se si dispone di una macchina virtuale all'interno della rete virtuale o si è configurato l'inoltro DNS come descritto in Configurazione dell'inoltro DNS per File di Azure, è possibile verificare che l'endpoint privato sia configurato correttamente eseguendo i comandi seguenti da PowerShell, dalla riga di comando o dal terminale (funziona per Windows, Linux o macOS). È necessario sostituire <storage-account-name> con il nome dell'account di archiviazione appropriato:

nslookup <storage-account-name>.file.core.windows.net

Se tutto funziona correttamente, verrà visualizzato l'output seguente, dove 192.168.0.5 è l'indirizzo IP privato dell'endpoint privato nella rete virtuale (output mostrato per Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Creare l'endpoint privato del servizio di sincronizzazione archiviazione

Passare a Centro collegamento privato digitando Collegamento privato nella barra di ricerca nella parte superiore del portale di Azure. Nel sommario del Centro collegamento privato selezionare Endpoint privati e quindi + Aggiungi per creare un nuovo endpoint privato.

Screenshot del centro collegamento privato

La procedura guidata risultante include più pagine da completare.

Nel pannello Informazioni di base selezionare il gruppo di risorse, il nome e l'area da usare per l'endpoint privato, che non devono necessariamente corrispondere a quelli del servizio sincronizzazione archiviazione, anche se l'endpoint privato deve essere creato nella stessa area della rete virtuale in cui inserirlo.

Screenshot della sezione Informazioni di base della sezione per creare un endpoint privato

Nel pannello Risorsa selezionare il pulsante di opzione Connettersi a una risorsa di Azure nella directory. In Tipo di risorsa selezionare Microsoft.StorageSync/storageSyncServices.

Il pannello Configurazione consente di selezionare la rete virtuale e la subnet specifiche a cui aggiungere l'endpoint privato. Selezionare la stessa rete virtuale di quella usata per l'account di archiviazione. Il pannello Configurazione contiene anche le informazioni per la creazione o l'aggiornamento della zona DNS privato.

Selezionare Rivedi e crea per creare l'endpoint privato.

È possibile verificare che l'endpoint privato sia configurato correttamente eseguendo i comandi di PowerShell seguenti.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Se tutto funziona correttamente, verrà visualizzato l'output seguente in cui 192.168.1.4, 192.168.1.6192.168.1.5, e 192.168.1.7 sono gli indirizzi IP privati assegnati all'endpoint privato:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Limitare l'accesso agli endpoint pubblici

È possibile limitare l'accesso agli endpoint pubblici sia dell'account di archiviazione che dei servizi di sincronizzazione archiviazione. La limitazione dell'accesso all'endpoint pubblico garantisce una maggiore sicurezza assicurando che i pacchetti di rete vengano accettati solo da posizioni approvate.

Limitare l'accesso all'endpoint pubblico dell'account di archiviazione

Per limitare l'accesso all'endpoint pubblico, usare le impostazioni del firewall dell'account di archiviazione. In generale, la maggior parte dei criteri del firewall per un account di archiviazione limiterà l'accesso di rete a una o più reti virtuali. Per limitare l'accesso a un account di archiviazione consentendolo solo a una rete virtuale, sono disponibili due approcci:

  • Creare uno o più endpoint privati per l'account di archiviazione e disabilitare l'accesso all'endpoint pubblico. In questo modo si garantisce che solo il traffico originato dalle reti virtuali desiderate possa accedere alle condivisioni file di Azure nell'account di archiviazione.
  • Limitare l'endpoint pubblico a una o più reti virtuali. Questa operazione può essere eseguita usando una funzionalità della rete virtuale denominata endpoint di servizio. Quando si limita il traffico a un account di archiviazione tramite un endpoint di servizio, si accede comunque all'account di archiviazione tramite l'indirizzo IP pubblico.

Nota

L'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questa eccezione dell'account di archiviazione deve essere selezionata nell'account di archiviazione per consentire servizi Microsoft attendibili, ad esempio Sincronizzazione file di Azure di accedere all'account di archiviazione. Per altre informazioni, vedere Concedere l'accesso ai servizi di Azure attendibili.

Concedere l'accesso ai servizi di Azure attendibili e disabilitare l'accesso all'endpoint pubblico dell'account di archiviazione

Se si disabilita l'accesso all'endpoint pubblico, l'account di archiviazione rimane comunque accessibile tramite i relativi endpoint privati. Altrimenti le richieste valide inviate all'endpoint pubblico dell'account di archiviazione verranno rifiutate.

Passare all'account di archiviazione per cui limitare tutto l'accesso all'endpoint pubblico. Nel sommario per l'account di archiviazione selezionare Rete.

Nella parte superiore della pagina selezionare il pulsante di opzione Abilitato nelle reti virtuali selezionate e negli indirizzi IP. Verranno rese visibili diverse impostazioni nascoste per il controllo della restrizione dell'endpoint pubblico. Selezionare Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione per consentire a servizi Microsoft proprietari attendibili, ad esempio Sincronizzazione file di Azure di accedere all'account di archiviazione.

Screenshot del pannello Rete con le impostazioni necessarie per disabilitare l'accesso all'endpoint pubblico dell'account di archiviazione.

Concedere l'accesso ai servizi di Azure attendibili e limitare l'accesso all'endpoint pubblico dell'account di archiviazione a reti virtuali specifiche

Quando si limita l'account di archiviazione a reti virtuali specifiche, è possibile consentire le richieste all'endpoint pubblico dall'interno delle reti virtuali specificate. Questa operazione può essere eseguita usando una funzionalità della rete virtuale denominata endpoint di servizio. Si può usare con o senza endpoint privati.

Passare all'account di archiviazione per cui limitare tutto l'accesso all'endpoint pubblico consentendolo solo a specifiche reti virtuali. Nel sommario per l'account di archiviazione selezionare Rete.

Nella parte superiore della pagina selezionare il pulsante di opzione Abilitato nelle reti virtuali selezionate e negli indirizzi IP. Verranno rese visibili diverse impostazioni nascoste per il controllo della restrizione dell'endpoint pubblico. Selezionare +Aggiungi rete virtuale esistente per selezionare la rete virtuale specifica che deve essere autorizzata ad accedere all'account di archiviazione tramite l'endpoint pubblico. Selezionare una rete virtuale e una subnet per la rete virtuale e quindi selezionare Abilita.

Selezionare Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione per consentire a servizi Microsoft proprietari attendibili, ad esempio Sincronizzazione file di Azure di accedere all'account di archiviazione.

Screenshot del pannello Rete con una rete virtuale specifica consentita per accedere all'account di archiviazione tramite l'endpoint pubblico.

Disabilitare l'accesso all'endpoint pubblico del servizio di sincronizzazione archiviazione

Sincronizzazione file di Azure consente di limitare l'accesso a reti virtuali specifiche solo tramite endpoint privati; Sincronizzazione file di Azure non supporta gli endpoint di servizio per limitare l'accesso all'endpoint pubblico a reti virtuali specifiche. Ciò significa che i due stati per l'endpoint pubblico del servizio di sincronizzazione archiviazione sono abilitati e disabilitati.

Importante

È necessario creare un endpoint privato prima di disabilitare l'accesso all'endpoint pubblico. Se l'endpoint pubblico è disabilitato e non è configurato alcun endpoint privato, la sincronizzazione non può funzionare.

Per disabilitare l'accesso all'endpoint pubblico del servizio di sincronizzazione archiviazione, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Passare al servizio di sincronizzazione archiviazione e selezionare Impostazioni>rete nel riquadro di spostamento a sinistra.
  3. In Consenti l'accesso da selezionare Solo endpoint privati.
  4. Selezionare un endpoint privato dall'elenco Connessioni endpoint privato.

Criteri di Azure

Criteri di Azure consente di applicare gli standard dell'organizzazione e di valutare la conformità a tali standard su larga scala. File di Azure e Sincronizzazione file di Azure esporre diversi criteri di rete utili per il controllo e la correzione che consentono di monitorare e automatizzare la distribuzione.

I criteri controllano l'ambiente e avvisano se gli account di archiviazione o i servizi di sincronizzazione archiviazione differiscono dal comportamento definito. Ad esempio, se un endpoint pubblico è abilitato quando i criteri sono stati impostati in modo che gli endpoint pubblici siano disabilitati. La modifica/distribuzione dei criteri consente di modificare ulteriormente e in modo proattivo una risorsa(ad esempio il servizio di sincronizzazione archiviazione) o distribuire risorse (ad esempio endpoint privati) per allinearsi ai criteri.

Per File di Azure e Sincronizzazione file di Azure sono disponibili i criteri predefiniti seguenti:

Azione Service Condizione Nome del criterio
Controllo File di Azure L'endpoint pubblico dell'account di archiviazione è abilitato. Per altre informazioni, vedere Concedere l'accesso ai servizi di Azure attendibili e disabilitare l'accesso all'endpoint pubblico dell'account di archiviazione. Gli account di archiviazione devono limitare l'accesso alla rete
Controllo Sincronizzazione file di Azure L'endpoint pubblico del servizio di sincronizzazione archiviazione è abilitato. Per altre informazioni, vedere Disabilitare l'accesso all'endpoint pubblico del servizio di sincronizzazione archiviazione. L'accesso alla rete pubblica deve essere disabilitato per Sincronizzazione file di Azure
Controllo File di Azure L'account di archiviazione richiede almeno un endpoint privato. Per altre informazioni, vedere Creare l'endpoint privato dell'account di archiviazione. L'account di archiviazione deve usare una connessione collegamento privato
Controllo Sincronizzazione file di Azure Il servizio di sincronizzazione archiviazione richiede almeno un endpoint privato. Per altre informazioni, vedere Creare l'endpoint privato del servizio di sincronizzazione archiviazione. Sincronizzazione file di Azure deve usare collegamenti privati
Modifica Sincronizzazione file di Azure Disabilitare l'endpoint pubblico del servizio di sincronizzazione archiviazione. Modificare - Configurare la Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica
Distribuzione Sincronizzazione file di Azure Distribuire un endpoint privato per il servizio di sincronizzazione archiviazione. Configurare Sincronizzazione file di Azure con endpoint privati
Distribuzione Sincronizzazione file di Azure Distribuire un record A nella zona DNS privatelink.afs.azure.net. Configurare Sincronizzazione file di Azure per usare zone private DNS

Configurare un criterio di distribuzione dell'endpoint privato

Per configurare un criterio di distribuzione dell'endpoint privato, passare alla portale di Azure e cercare Criteri. Il centro Criteri di Azure deve essere un risultato principale. Passare a Authoring Definitions (Definizioni di creazione>) nel sommario del Centro criteri. Il riquadro Definizioni risultante contiene i criteri predefiniti in tutti i servizi di Azure. Per trovare i criteri specifici, selezionare la categoria Archiviazione nel filtro categoria oppure cercare Configura Sincronizzazione file di Azure con endpoint privati. Selezionare ... e Assegna per creare un nuovo criterio dalla definizione.

Il pannello Informazioni di base della procedura guidata Assegna criteri consente di impostare un ambito, una risorsa o un elenco di esclusione di gruppi di risorse e assegnare al criterio un nome descrittivo per distinguerlo. Non è necessario modificarli per il funzionamento del criterio, ma è possibile apportare modifiche. Selezionare Avanti per passare alla pagina Parametri.

Nel pannello Parametri selezionare ... accanto all'elenco a discesa privateEndpointSubnetId per selezionare la rete virtuale e la subnet in cui devono essere distribuiti gli endpoint privati per le risorse del servizio di sincronizzazione archiviazione. La procedura guidata risultante può richiedere alcuni secondi per caricare le reti virtuali disponibili nella sottoscrizione. Selezionare la rete virtuale/subnet appropriata per l'ambiente e fare clic su Seleziona. Selezionare Avanti per passare al pannello Correzione .

Affinché l'endpoint privato venga distribuito quando viene identificato un servizio di sincronizzazione archiviazione senza un endpoint privato, è necessario selezionare l'attività Crea una correzione nella pagina Correzione. Infine, selezionare Rivedi e crea per esaminare l'assegnazione dei criteri e Crea per crearla.

L'assegnazione dei criteri risultante verrà eseguita su base periodica e potrebbe non essere eseguita immediatamente dopo la creazione.

Vedi anche