استخدام نقاط النهاية الخاصة لـ Azure Storage
يمكنك استخدام نقاط النهاية الخاصة لحسابات Azure Storage خاصتك للسماح للعملاء على شبكة افتراضية (VNet) بالوصول الآمن إلى البيانات عبر رابط خاص . تستخدم نقطة النهاية الخاصة عنوان IP منفصلاً عن مساحة عنوان VNet لكل خدمة حساب تخزين. تمر حركة مرور الشبكة بين العملاء على VNet وحساب التخزين عبر VNet ورابط خاص على شبكة Microsoft الأساسية، ما يقضي على التعرض من الإنترنت العام.
ملاحظة
نقاط النهاية الخاصة غير متاحة لحسابات التخزين ذات الأغراض العامة الإصدار 1.
يتيح لك استخدام نقاط النهاية الخاصة لحساب التخزين خاصتك ما يلي:
- أمِّن حساب التخزين خاصتك عن طريق تكوين جدار حماية التخزين لحظر جميع الاتصالات على نقطة النهاية العامة لخدمة التخزين.
- زِد الأمان للشبكة الافتراضية (VNet )، من خلال تمكينك من حظر تصفية البيانات من VNet.
- اتصل بحسابات التخزين من الشبكات المحلية التي تتصل بشبكة VNet باستخدام VPN أو ExpressRoutes مع خاصية النقر بطريقة آمنة.
نظرة عامة منطقية
{ 2 }{ 3>نظرة عامة على نقاط النهاية الخاصة لتخزين Azure <3 }<1 }{ 4}
نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في شبكتك الافتراضية (VNet). عند إنشاء نقطة نهاية خاصة لحساب التخزين خاصتك، فإنه يوفر اتصالًا آمنًا بين العملاء على VNet خاصتك والتخزين خاصتك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عنوان IP لشبكة VNet خاصتك. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة التخزين رابطًا خاصًا آمنًا.
يُمْكن للتطبيقات في VNet الاتصال بخدمة التخزين عبر نقطة النهاية الخاصة بسهولة، باستخدام نفس سلاسل الاتصال وآليات التفويض التي قد تستخدمها بخلاف ذلك. يُمْكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها حساب التخزين، بما في ذلك REST وSMB.
يُمْكن إنشاء نقاط نهاية خاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة . ومن ثمَّ يمكن للعملاء في الشبكة الفرعية الاتصال بحساب تخزين واحد باستخدام نقطة نهاية خاصة، مع استخدام نقاط نهاية الخدمة للوصول إلى الآخرين.
عند إنشاء نقطة نهاية خاصة لخدمة تخزين في VNet، يتم إرسال طلب موافقة للموافقة عليه إلى مالك حساب التخزين. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضًا مالكًا لحساب التخزين، يتم قبول طلب الموافقة هذا تلقائيًا.
يمكن لأصحاب حساب التخزين إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال علامة تبويب نقاط النهاية الخاصةلحساب التخزين في مدخل Microsoft Azure.
تلميح
إذا كنت تريد تقييد الوصول إلى حساب التخزين خاصتك من خلال نقطة النهاية الخاصة فقط، فكوِّن جدار حماية التخزين لرفض الوصول أو التحكم فيه من خلال نقطة النهاية العامة.
يمكنك تأمين حساب التخزين خاصتك لقبول الاتصالات من VNet فقط عن طريق تكوين جدار حماية التخزين لمنع الوصول من خلال نقطة النهاية العامة افتراضيًا. لستَ بحاجة إلى قاعدة جدار حماية للسماح بحركة المرور من VNet التي تحتوي على نقطة نهاية خاصة، نظرًا إلى أن جدار حماية التخزين يتحكم فقط في الوصول من خلال نقطة النهاية العامة. تعتمد نقاط النهاية الخاصة بدلاً من ذلك على تدفق الموافقة لمنح الشبكات الفرعية من الوصول إلى خدمة التخزين.
ملاحظة
عند نسخ النقط بين حسابات التخزين، يجب أن يكون لدى عميلك إمكانية الوصول إلى كلا الحسابين خلال الشبكة. لذلك إذا اخترت استخدام رابط خاص لحساب واحد فقط (إما المصدر أو الوجهة )، فتأكد من أن عميلك لديه وصول شبكي إلى الحساب الآخر. للتعرف على طرق أخرى لتكوين الوصول إلى الشبكة، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية .
إنشاء نقطة نهاية خاصة
لإنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure، راجع الاتصال بشكل خاص بحساب تخزين من تجربة حساب التخزين في بوابة Azure .
لإنشاء نقطة نهاية خاصة باستخدام PowerShell أو واجهة سطر الأوامر من Azure، راجع أي من هذه المقالات. يتميز كلاهما بتطبيق Azure كخدمة مستهدفة، ولكن خطوات إنشاء رابط خاص هي نفسها لحساب تخزين Azure.
عند إنشاء نقطة نهاية خاصة، يجب تحديد حساب التخزين وخدمة التخزين التي يتصل بها.
تحتاج إلى نقطة نهاية خاصة منفصلة لكل مورد تخزين تحتاج الوصول إليه، وهي الكائنات الثنائية كبيرة الحجم أو Azure Data Lake Storage Gen 2 أو الملفاتأو قوائم الانتظار أو الجداول أو المواقع الثابتة. على نقطة النهاية الخاصة، تُعرف خدمات التخزين هذه على أنها المورد الفرعي المستهدف لحساب التخزين المرتبط.
إذا أنشأت نقطة نهاية خاصة لمورد تخزينAzure Data Lake Storage Gen 2، فإنه يجب عليك أيضًا إنشاء نقطة نهاية لمورد تخزين كائن ثنائي كبير الحجم. وذلك لأن العمليات التي تستهدف نقطة النهاية Data Lake Storage Gen2 قد تتم إعادة توجيهها إلى نقطة نهاية كائن ثنائي كبير الحجم. من خلال إنشاء نقطة نهاية خاصة لكلا الموردين، فإنك تضمن أن العمليات يمكن أن تكتمل بنجاح.
تلميح
أنشئ نقطة نهاية خاصة منفصلة للمثيل الثانوي لخدمة التخزين للحصول على أداء قراءة أفضل على حسابات RA - GRS. تأكد من إنشاء حساب تخزين v 2(قياسي أو ممتاز) للأغراض العامة.
لقراءة الوصول إلى المنطقة الثانوية مع حساب تخزين تم تكوينه للتخزين المتكرر جغرافيًا، تحتاج إلى نقاط نهاية خاصة منفصلة لكل من الحالات الأساسية والثانوية للخدمة. لست بحاجة إلى إنشاء نقطة نهاية خاصة للمثيل الثانوي لـ تجاوز الفشل. ستتصل نقطة النهاية الخاصة تلقائيًا بالمثيل الأساسي الجديد بعد تجاوز الفشل. لمزيد من المعلومات حول خيارات التخزين الاحتياطي، راجع تخزين Azure الاحتياطي.
الاتصال بنقطة نهاية خاصة
يجب على العملاء على VNet المستخدمين نقطة النهاية الخاصة استخدام نفس سلسلة الاتصال لحساب التخزين مثل العملاء الذين يتصلون بنقطة النهاية العامة. نعتمد على حل DNS لتوجيه الاتصالات تلقائيًا من VNet إلى حساب التخزين عبر رابط خاص.
هام
استخدم نفس سلسلة الاتصال للاتصال بحساب التخزين باستخدام نقاط النهاية الخاصة التي ستستخدمها بخلاف ذلك. يُرجى عدم الاتصال بحساب التخزين باستخدام عنوان URL للنطاق الفرعي privatelink الخاص به.
افتراضيًا، ننشئ منطقة DNS خاصة متصلة بشبكة VNet مع التحديثات اللازمة لنقاط النهاية الخاصة. ومع ذلك، إذا كنت تستخدم خادم DNS خاصتك، فقد تحتاج إلى إجراء تغييرات إضافية على تكوين DNS خاصتك. يصف القسم الخاص بتغييرات DNS أدناه التحديثات المطلوبة لنقاط النهاية الخاصة.
تغييرات DNS لنقاط النهاية الخاصة
عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل موارد DNS CNAME لحساب التخزين إلى اسم مستعار في نطاق فرعي مع البادئة privatelink. افتراضيًا، ننشئ أيضًا منطقة DNS خاصة، تتوافق مع privatelink النطاق الفرعي، مع سجلات موارد DNS A لنقاط النهاية الخاصة.
عند حل عنوان URL لنقطة نهاية التخزين من خارج VNet باستخدام نقطة النهاية الخاصة، يتم حلها إلى نقطة النهاية العامة لخدمة التخزين. عند حلها من VNet التي تستضيف نقطة النهاية الخاصة ، يتم حل عنوان URL لنقطة نهاية التخزين إلى عنوان IP الخاص بنقطة النهاية الخاصة.
بالنسبة إلى المثال الموضح أعلاه، ستكون سجلات مورد DNS لحساب التخزين "StorageAccountA "، عند حلها من خارج VNet التي تستضيف نقطة النهاية الخاصة، كما يلي:
| الاسم | النوع | القيمة |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | < نقطة النهاية العامة لخدمة التخزين > |
| < نقطة النهاية العامة لخدمة التخزين > | A | < عنوان IP العام لخدمة التخزين > |
من المعلوم مسبقًا، أنه يمكنك رفض أو التحكم في وصول العملاء خارج VNet من خلال نقطة النهاية العامة باستخدام جدار حماية التخزين.
ستصبح سجلات موارد DNS لـ StorageAccountA، عند حلها من قبل عميل في VNet يستضيف نقطة النهاية الخاصة:
| الاسم | النوع | القيمة |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
يتيح هذا النهج الوصول إلى حساب التخزين باستخدام نفس سلسلة الاتصال للعملاء على VNet الذين يستضيفون نقاط النهاية الخاصة، بالإضافة إلى العملاء خارج VNet.
إذا كنت تستخدم خادم DNS مخصصًا على شبكتك، فإنه يجب أن يكون العملاء قادرين على حل FQDN لنقطة نهاية حساب التخزين إلى عنوان IP الخاص لنقطة النهاية. يجب تكوين خادم DNS خاصتك لتفويض نطاق الرابط الفرعي خاصتك إلى منطقة DNS الخاصة لـ VNet، أو تكوين سجلات A لـ StorageAccountA.privatelink.blob.core.windows.net بعنوان IP الخاص لنقطة النهاية.
تلميح
عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS خاصتك لحل اسم حساب التخزين في privatelink النطاق الفرعي إلى عنوان IP الخاص لنقطة النهاية. يمكنك القيام بذلك عن طريق تفويض النطاق الفرعي privatelink إلى منطقة DNS الخاصة في VNet أو عن طريق تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.
أسماء مناطق DNS الموصى بها لنقاط النهاية الخاصة لخدمات التخزين، والموارد الفرعية لنقطة النهاية المستهدفة المرتبطة بها، هي:
| خدمة التخزين | الهدف الفرعي المورد | اسم المنطقة |
|---|---|---|
| خدمة كائن البيانات الثنائية | كائن ثنائي كبير الحجم | privatelink.blob.core.windows.net |
| Data Lake Storage Gen2 | dfs | privatelink.dfs.core.windows.net |
| خدمة الملفات | file | privatelink.file.core.windows.net |
| خدمة الانتظار | قائمة انتظار | privatelink.queue.core.windows.net |
| خدمة الجدول | جدول | privatelink.table.core.windows.net |
| مواقع ويب ثابتة | الويب | privatelink.web.core.windows.net |
للمزيد من المعلومات حول تكوين خادم DNS الخاص بك لدعم نقاط النهاية الخاصة ، راجع المقالات التالية:
التسعير
للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.
المشكلات المعروفة
ضع في اعتبارك المشكلات المعروفة التالية حول نقاط النهاية الخاصة لـ Azure Storage.
قيود الوصول إلى التخزين للعملاء في VNets مع نقاط النهاية الخاصة
يواجه العملاء في VNets الذين لديهم نقاط نهاية خاصة موجودة قيودًا عند الوصول إلى حسابات التخزين الأخرى التي تحتوي على نقاط نهاية خاصة. على سبيل المثال، لنفترض أن VNet N 1 يحتوي على نقطة نهاية خاصة لحساب تخزين A 1 لتخزين كائن ثنائي كبير الحجم. إذا كان حساب التخزين A 2 يحتوي على نقطة نهاية خاصة في VNet N 2 لتخزين كائن ثنائي كبير الحجم، فإنه يجب على العملاء في VNet N 1 الوصول إلى تخزين كائن ثنائي كبير الحجم في الحساب A 2 باستخدام نقطة نهاية خاصة. إذا لم يكن لدى حساب التخزين A 2 أي نقاط نهاية خاصة لتخزين كائن ثنائي كبير الحجم، فإنه يمكن للعملاء في VNet N 1 الوصول إلى تخزين كائن ثنائي كبير الحجم في هذا الحساب دون نقطة نهاية خاصة.
هذا القيد ناتج عن تغييرات DNS التي أُجريت عندما ينشئ الحساب A 2 نقطة نهاية خاصة.
قواعد مجموعة أمان الشبكة للشبكات الفرعية ذات نقاط النهاية الخاصة
في الوقت الحالي، لا يمكنك تكوين قواعد مجموعة أمان الشبكة (NSG) والمسارات التي يحددها المستخدم لنقاط النهاية الخاصة. لا تُطبق قواعد NSG على الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة على نقطة النهاية الخاصة. يتم تطبيقها فقط على نقاط النهاية الأخرى (على سبيل المثال: وحدات التحكم في واجهة الشبكة). الحل المحدود لهذه المشكلة هو تنفيذ قواعد الوصول خاصتك لنقاط النهاية الخاصة على الشبكات الفرعية المصدر، على الرغم من أن هذا النهج قد يتطلب نفقات عامة أعلى للإدارة.
نسخ الكائنات الثنائية كبيرة الحجم بين حسابات التخزين
يمكنك نسخ النقط بين حسابات التخزين باستخدام نقاط النهاية الخاصة فقط إذا كنت تستخدم واجهة برمجة تطبيقات REST من Azure، أو الأدوات التي تستخدم واجهة برمجة تطبيقات REST. تشمل هذه الأدوات AzCopy وStorage Explorer وAzure PowerShell وAzure CLI وAzure Blob Storage SDKs.
يتم دعم نقاط النهاية الخاصة فقط التي تستهدف مورد تخزين كائن ثنائي كبير الحجم. نقاط النهاية الخاصة التي تستهدف Azure Data Lake Storage Gen 2 أو مورد File غير مدعومة حتى الآن. كما أن النسخ بين حسابات التخزين باستخدام بروتوكول نظام ملفات الشبكة (NFS) غير مدعوم حتى الآن.