Elastik SAN için ağ yapılandırmaları hakkında bilgi edinin
Azure Elastik depolama alanı ağı (SAN), uygulamalarınızın ve kurumsal ortamlarınızın gerektirdiği Elastik SAN birimlerinizin erişim düzeyini güvenlik altına almanızı ve denetlemenizi sağlar. Bu makalede, kullanıcıların ve uygulamaların Azure sanal ağ altyapısından Elastik SAN birimlerine erişmesine izin verme seçenekleri açıklanmaktadır.
Elastik SAN birim gruplarını yalnızca belirli sanal ağ alt ağlarında belirli uç noktalara erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar aynı abonelikteki bir sanal ağa veya farklı bir Microsoft Entra kiracısına ait abonelikler de dahil olmak üzere farklı bir aboneliktekilere ait olabilir. Ağ erişimi bir birim grubu için yapılandırıldıktan sonra, yapılandırma gruba ait tüm birimler tarafından devralınır.
Yapılandırmanıza bağlı olarak, eşlenmiş sanal ağlardaki veya şirket içi ağlardaki uygulamalar da gruptaki birimlere erişebilir. Şirket içi ağların bir VPN veya ExpressRoute ile sanal ağa bağlanması gerekir. Sanal ağ yapılandırmaları hakkında daha fazla bilgi için bkz . Azure sanal ağ altyapısı.
Elastik SAN birim grubuna erişime izin vermek için yapılandırabileceğiniz iki tür sanal ağ uç noktası vardır:
Hangi seçeneğin sizin için en uygun olduğuna karar vermek için bkz . Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma. Genel olarak, Özel Bağlantı daha iyi özellikler sunduğundan hizmet uç noktaları yerine özel uç noktaları kullanmanız gerekir. Daha fazla bilgi için bkz. Azure Özel Bağlantı.
Uç noktaları yapılandırdıktan sonra, Elastik SAN birim grubunuz için erişimi daha fazla denetlemek için ağ kurallarını yapılandırabilirsiniz. Uç noktalar ve ağ kuralları yapılandırıldıktan sonra, istemciler iş yüklerini işlemek için gruptaki birimlere bağlanabilir.
Genel ağ erişimi
San düzeyinde Elastik SAN uç noktalarınıza genel İnternet erişimini etkinleştirebilir veya devre dışı bırakabilirsiniz. Elastik SAN için genel ağ erişimini etkinleştirmek, depolama hizmeti uç noktaları üzerinden bu SAN'daki tek tek birim gruplarına genel erişimi yapılandırmanıza olanak tanır. Varsayılan olarak, SAN düzeyinde izin verseniz bile tek tek birim gruplarına genel erişim reddedilir. SAN düzeyinde genel erişimi devre dışı bırakırsanız, bu SAN içindeki birim gruplarına erişim yalnızca özel uç noktalar üzerinden kullanılabilir.
Veri Bütünlüğü
Veri bütünlüğü, bulut depolamada veri bozulmasını önlemek için önemlidir. TCP, sağlama toplamı mekanizması aracılığıyla temel düzeyde veri bütünlüğü sağlar, döngüsel yedeklilik denetimi (CRC) ile iSCSI üzerinden daha sağlam hata algılama özelliğiyle geliştirilebilir ve özellikle CRC-32C. CRC-32C, iSCSI üst bilgileri ve veri yükleri için sağlama toplamı doğrulaması eklemek için kullanılabilir.
Elastik SAN, Elastik SAN birimlerine bağlantılar için istemci tarafında etkinleştirildiğinde CRC-32C sağlama toplamı doğrulamasını destekler. Elastik SAN ayrıca bu hata algılamayı birim grubu düzeyinde ayarlanabilen ve bu birim grubundaki herhangi bir birim tarafından devralınan bir özellik aracılığıyla zorlama olanağı sunar. Bu özelliği bir birim grubunda etkinleştirdiğinizde, CRC-32C bu bağlantılardaki üst bilgi veya veri özetleri için ayarlı değilse Elastic SAN birim grubundaki tüm birimlere yönelik tüm istemci bağlantılarını reddeder. Bu özelliği devre dışı bırakdığınızda, Elastik SAN birim sağlama toplamı doğrulaması CRC-32C'nin istemcideki üst bilgi veya veri özetleri için ayarlanıp ayarlanmadığına bağlıdır, ancak Elastik SAN'nız hiçbir bağlantıyı reddetmez. CRC korumasını etkinleştirmeyi öğrenmek için bkz . Ağı yapılandırma.
Not
Bazı işletim sistemleri iSCSI üst bilgisini veya veri özetlerini desteklemeyebilir. Fedora ve Red Hat Enterprise Linux, CentOS, Rocky Linux gibi aşağı akış Linux dağıtımları veri özetlerini desteklemez. İstemcileriniz iSCSI üst bilgisini veya veri özetlerini desteklemeyen işletim sistemlerini kullanıyorsa, birimlere bağlantılar başarısız olacağı için birim gruplarınızda CRC korumasını etkinleştirmeyin.
Depolama hizmeti uç noktaları
Azure Sanal Ağ hizmet uç noktaları, Azure omurga ağı üzerinden iyileştirilmiş bir yol kullanarak Azure hizmetlerine güvenli ve doğrudan bağlantı sağlar. Hizmet uç noktaları, yalnızca belirli sanal ağların erişebilmesi için kritik Azure hizmet kaynaklarınızın güvenliğini sağlamanızı sağlar.
Azure Depolama için bölgeler arası hizmet uç noktaları, herhangi bir bölgedeki sanal ağlar ve depolama hizmeti örnekleri arasında çalışır. Bölgeler arası hizmet uç noktalarıyla alt ağlar artık başka bir bölgedekiler de dahil olmak üzere herhangi bir depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, bir alt ağdan depolama hesabına gelen tüm trafik, kaynak IP olarak özel bir IP adresi kullanır.
İpucu
Microsoft.Storage olarak tanımlanan özgün yerel hizmet uç noktaları geriye dönük uyumluluk için hala desteklenmektedir, ancak yeni dağıtımlar için Microsoft.Storage.Global olarak tanımlanan bölgeler arası uç noktalar oluşturmanız gerekir.
Bölgeler arası hizmet uç noktaları ve yerel uç noktalar aynı alt ağda bir arada kullanılamaz. Bölgeler arası hizmet uç noktalarını kullanmak için mevcut Microsoft.Storage uç noktalarını silmeniz ve bunları Microsoft.Storage.Global olarak yeniden oluşturmanız gerekebilir.
Özel uç noktalar
Azure Özel Bağlantı, bir sanal ağ alt ağından özel uç nokta üzerinden bir Elastik SAN birim grubuna güvenli bir şekilde erişmenizi sağlar. Sanal ağınız ile hizmet arasındaki trafik Microsoft omurga ağından geçerek hizmetinizi genel İnternet'e aktarma riskini ortadan kaldırır. Elastik SAN özel uç noktası, her birim grubu için alt ağ adres alanından bir IP adresleri kümesi kullanır. Uç nokta başına kullanılan maksimum sayı 20'dir.
Özel uç noktaların hizmet uç noktalarına göre çeşitli avantajları vardır. Özel uç noktaların hizmet uç noktalarıyla tam karşılaştırması için bkz . Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma.
Kısıtlamalar
Özel uç noktalar şu anda alanlar arası yedekli depolama (ZRS) kullanan esnek SAN'lar için desteklenmemektedir.
Nasıl çalışır?
Sanal ağ ile Elastik SAN arasındaki trafik, Azure omurga ağındaki en uygun yol üzerinden yönlendirilir. Depolama güvenlik duvarı yalnızca genel uç noktalar üzerinden erişimi denetlediğinden, hizmet uç noktalarının aksine ağ kurallarını özel uç noktadan gelen trafiğe izin verecek şekilde yapılandırmanız gerekmez.
Özel uç noktaları yapılandırma hakkında ayrıntılı bilgi için bkz . Özel uç noktayı etkinleştirme.
Sanal ağ kuralları
Elastik SAN birimlerinize erişimi daha da güvenli bir şekilde sağlamak için, belirli alt ağlardan erişime izin vermek üzere hizmet uç noktalarıyla yapılandırılmış birim grupları için sanal ağ kuralları oluşturabilirsiniz. Depolama güvenlik duvarı yalnızca genel uç noktalar üzerinden erişimi denetlediğinden, özel uç noktadan gelen trafiğe izin vermek için ağ kurallarına ihtiyacınız yoktur.
Her birim grubu en fazla 200 sanal ağ kuralını destekler. Bir ağ kuralına eklenmiş bir alt ağı silerseniz, bu alt ağ birim grubunun ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız, birim grubuna erişimi olmaz. Erişime izin vermek için, birim grubunun ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.
Bu ağ kuralları aracılığıyla erişim verilen istemcilere, Elastik SAN'ın birim grubuna uygun izinler de verilmelidir.
Ağ kurallarını tanımlamayı öğrenmek için bkz . Sanal ağ kurallarını yönetme.
İstemci bağlantıları
İstenen uç noktaları etkinleştirdikten ve ağ kurallarınızda erişim verdikten sonra, iSCSI protokolunu kullanarak uygun Elastik SAN birimlerine bağlanabilirsiniz. İstemci bağlantılarını yapılandırmayı öğrenmek için Linux, Windows veya Azure Kubernetes Service kümesine bağlanma makalelerine bakın.
iSCSI oturumlarının belirli aralıklarla bağlantısı kesilebilir ve gün içinde yeniden bağlanabilir. Bu bağlantı kesilmeleri ve yeniden bağlantılar, düzenli bakımın veya ağ dalgalanmalarının bir parçasıdır. Bu bağlantı kesilmeleri ve yeniden bağlantılar sonucunda herhangi bir performans düşüşü yaşamamanız ve bağlantıların kendi kendine yeniden kurulması gerekir. Bağlantı yeniden kurulmazsa veya performans düşüşü yaşıyorsanız bir destek bileti oluşturun.
Not
Sanal makine (VM) ile Elastik SAN birimi arasındaki bağlantı kesilirse, bağlantı sonlandırana kadar 90 saniye boyunca yeniden denenecektir. Elastik SAN birimine bağlantının kaybolması VM'nin yeniden başlatılmasına neden olmaz.