了解彈性 SAN 的網路設定
Azure 彈性存放區域網路 (SAN) 可讓您保護及控制應用程式和企業環境所需的彈性 SAN 磁碟區存取層級。 本文說明允許使用者和應用程式從 Azure 虛擬網路基礎結構存取彈性 SAN 磁碟區的選項。
您可以設定彈性 SAN 磁碟區群組,只允許存取特定虛擬網路子網路上的特定端點。 允許的子網路可以屬於相同訂用帳戶中的虛擬網路,或屬於不同訂用帳戶中的虛擬網路,包括屬於不同 Microsoft Entra 租用戶的訂用帳戶。 設定磁碟區群組的網路存取之後,屬於該群組的所有磁碟區都會繼承設定。
根據您的組態,對等互連虛擬網路或內部部署網路上的應用程式也可以存取群組中的磁碟區。 內部部署網路必須透過 VPN 或 ExpressRoute 連線到虛擬網路。 如需虛擬網路組態的詳細資訊,請參閱 Azure 虛擬網路基礎結構。
您可以設定兩種類型的虛擬網路端點,以允許存取彈性 SAN 磁碟區群組:
若要決定哪一個選項最適合您,請參閱比較私人端點和服務端點。 一般而言,您應該使用私人端點,而不是服務端點,因為 Private Link 提供更佳的功能。 如需詳細資訊,請參閱 Azure Private Link。
設定端點之後,您可以設定網路規則,以進一步控制對彈性 SAN 磁碟區群組的存取。 設定端點和網路規則之後,用戶端就可以連線到群組中的磁碟區來處理其工作負載。
公用網路存取
您可以在 SAN 層級啟用或停用對彈性 SAN 端點的公共網際網路存取。 啟用彈性 SAN 的公用網路存取可讓您透過儲存體服務端點,設定該 SAN 中個別磁碟區群組的公用存取。 依據預設,即使您允許在 SAN 層級存取個別磁碟區群組,還是會拒絕公用存取。 如果您在 SAN 層級停用公用存取,則只能透過私人端點存取該 SAN 內的磁碟區群組。
資料完整性
數據完整性對於防止雲端記憶體中的數據損毀而言很重要。 TCP 透過總和檢查碼機制提供數據完整性的基礎層級,其可透過iSCSI加強,並透過迴圈備援檢查(CRC)進行更強固的錯誤偵測,特別是CRC-32C。 CRC-32C 可用來新增 iSCSI 標頭和數據承載的總和檢查碼驗證。
在用戶端上啟用ELASTIC SAN 磁碟區連線時,彈性SAN支援CRC-32C總和檢查碼驗證。 彈性 SAN 也可讓您透過可在磁碟區群組層級設定的屬性強制執行此錯誤偵測,該屬性是由該磁碟區群組內的任何磁碟區繼承。 當您在磁碟區群組上啟用此屬性時,如果CRC-32C未針對這些連線上的標頭或數據摘要設定CRC-32C,彈性SAN會拒絕與磁碟區群組中任何磁碟區的所有用戶端連線。 當您停用此屬性時,彈性 SAN 磁碟區總和檢查碼驗證取決於是否已針對用戶端上的標頭或數據摘要設定 CRC-32C,但您的彈性 SAN 不會拒絕任何連線。 若要瞭解如何啟用CRC保護,請參閱 設定網路功能。
注意
某些操作系統可能不支援 iSCSI 標頭或數據摘要。 Fedora 及其下游 Linux 散發套件,例如 Red Hat Enterprise Linux、CentOS、Rocky Linux 等,不支持數據摘要。 如果您的用戶端使用這類不支援 iSCSI 標頭或數據摘要的作業系統,請勿在磁碟區群組上啟用 CRC 保護,因為與磁碟區的連線將會失敗。
儲存體服務端點
Azure 虛擬網路服務端點可透過 Azure 骨幹網路使用最佳化路由,為 Azure 服務提供安全且直接的連線能力。 服務端點可讓您保護重要的 Azure 服務資源,以便只有特定的虛擬網路可以存取它們。
適用於 Azure 儲存體的跨區域服務端點會在虛擬網路與任何區域中的儲存體服務執行個體之間運作。 使用跨區域服務端點時,子網路將不再使用公用 IP 位址與儲存體帳戶通訊,包括位於另一個區域中的儲存體帳戶。 反之,從子網路到儲存體帳戶的所有流量都會使用私人 IP 位址作為來源 IP。
提示
原始本機服務端點,識別為 Microsoft.Storage,仍支援回溯相容性,但您應該針對新的部署建立跨區域端點,識別為 Microsoft.Storage.Global。
跨區域服務端點和本機服務端點無法共存於相同的子網路上。 若要使用跨區域服務端點,您可能必須刪除現有的 Microsoft.Storage 端點,並將其重新建立為 Microsoft.Storage.Global。
私人端點
Azure Private Link 可讓您從虛擬網路子網路透過私人端點安全地存取彈性 SAN 磁碟區群組。 虛擬網路與服務間的流量會周遊 Microsoft 骨幹網路,以降低將服務公開到公用網際網路的風險。 彈性 SAN 私人端點會針對每個磁碟區群組使用子網路位址空間中的一組 IP 位址。 每個端點使用的最大數目為 20。
私人端點比服務端點多了幾個優點。 如需私人端點與服務端點的完整比較,請參閱比較私人端點和服務端點。
限制
針對使用區域備援儲存體 (ZRS) 的彈性 SAN,目前不支援私人端點。
運作方式
虛擬網路與彈性 SAN 之間的流量會透過 Azure 骨幹網路上的最佳路徑路由傳送。 不同於服務端點,您不需要設定網路規則來允許來自私人端點的流量,因為儲存體防火牆只會控制透過公用端點的存取。
如需如何設定私人端點的詳細資料,請參閱啟用私人端點。
虛擬網路規則
若要進一步保護對彈性 SAN 磁碟區的存取,您可以為使用服務端點設定的磁碟區群組建立虛擬網路規則,以允許從特定子網路存取。 您不需要網路規則來允許自私人端點的流量,因為儲存體防火牆只會控制透過公用端點的存取。
每個磁碟區群組最多支援 200 個虛擬網路規則。 如果您刪除已包含在網路規則中的子網路,則會從磁碟區群組的網路規則中將其移除。 如果您以相同名稱建立新的子網路,將無法存取磁碟區群組。 若要允許存取,您必須在磁碟區群組的網路規則中明確授權新的子網路。
透過這些網路規則授與存取權的用戶端也必須獲授與彈性 SAN 到磁碟區群組的適當權限。
若要了解如何定義網路規則,請參閱管理虛擬網路規則。
用戶端連接
啟用所需的端點並授與網路規則中的存取權之後,您可以使用 iSCSI 通訊協定連線到適當的彈性 SAN 磁碟區。 若要了解如何設定用戶端連線,請參閱如何連線到 Linux、Windows 或 Azure Kubernetes Service 叢集的文章。
iSCSI 工作階段可以定期中斷連線,並在當天進行重新連線。 這些中斷連線和重新連線是定期維護的一部分,或網路波動的結果。 您不應該因為這些中斷連線和重新連線遇到任何效能降低的情況,且連線應該自行重新建立。 如果連線並未自行重新建立,或您遇到效能降低的情況,請提出支援票證。
注意
如果虛擬機器 (VM) 與彈性 SAN 磁碟區之間的連線遺失,將會重試連線 90 秒,直到終止為止。 失去與彈性 SAN 磁碟區的連線並不會讓 VM 重新啟動。