Delen via


Netwerkeindpunten configureren voor toegang tot Azure-bestandsshares

Azure Files biedt twee hoofdtypen eindpunten voor toegang tot Azure-bestandsshares:

  • Openbare eindpunten, die een openbaar IP-adres hebben en overal ter wereld toegankelijk zijn.
  • Privé-eindpunten, die zich binnen een virtueel netwerk bevinden en een privé-IP-adres hebben in de adresruimte van het virtuele netwerk.

Openbare en privé-eindpunten bestaan in het Azure-opslagaccount. Een opslagaccount is een beheerconstructie die een gedeelde opslaggroep vertegenwoordigt waarin u meerdere bestandsshares kunt implementeren, evenals andere opslagresources, zoals blob-containers of wachtrijen.

Dit artikel richt zich op het configureren van de eindpunten van een opslagaccount voor het rechtstreeks openen van de Azure-bestandsshare. Veel van dit artikel is ook van toepassing op de werking van Azure File Sync met openbare en privé-eindpunten voor het opslagaccount. Zie de configuratie van azure File Sync-proxy- en firewallinstellingen voor meer informatie over netwerkoverwegingen voor Azure File Sync.

We raden u aan azure Files-netwerkoverwegingen te lezen voordat u deze handleiding leest.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Ja Nee
Standaardbestandsshares (GPv2), GRS/GZRS Ja Nee
Premium bestandsshares (FileStorage), LRS/ZRS Ja Ja

Vereisten

  • In dit artikel wordt ervan uitgegaan dat u al een Azure-abonnement hebt gemaakt. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.
  • In dit artikel wordt ervan uitgegaan dat u al een Azure-bestandsshare hebt gemaakt in een opslagaccount waarmee u verbinding wilt maken vanuit on-premises. Zie Een Azure-bestandsshare maken als u wilt lezen hoe u een Azure-bestandsshare maakt.
  • Als u van plan bent om Azure PowerShell te gebruiken, installeert u de nieuwste versie.
  • Als u van plan bent om de Artikel CLI te gebruiken, installeert u de nieuwste versie.

Eindpuntconfiguraties

U kunt uw eindpunten configureren om de netwerktoegang tot uw opslagaccount te beperken. Er zijn twee benaderingen voor het beperken van de toegang van een opslagaccount tot een virtueel netwerk:

Een privé-eindpunt maken

Wanneer u een privé-eindpunt voor uw opslagaccount maakt, worden de volgende Azure-resources geïmplementeerd:

  • Een privé-eindpunt: een Azure-resource die het privé-eindpunt van het opslagaccount vertegenwoordigt. U kunt dit zien als een resource die een verbinding opzet tussen een opslagaccount en een netwerkinterface.
  • Een netwerkinterface (NIC):de netwerkinterface die een privé-IP-adres onderhoudt binnen het opgegeven virtuele netwerk/subnet. Dit is precies dezelfde resource die wordt geïmplementeerd wanneer u een virtuele machine (VM) implementeert, maar in plaats van te worden toegewezen aan een virtuele machine, is deze eigendom van het privé-eindpunt.
  • Een dns-zone (Private Domain Name System): als u nog geen privé-eindpunt voor dit virtuele netwerk hebt geïmplementeerd, wordt er een nieuwe privé-DNS-zone geïmplementeerd voor uw virtuele netwerk. Er wordt ook een DNS A-record gemaakt voor het opslagaccount in deze DNS-zone. Als u al een privé-eindpunt hebt geïmplementeerd in dit virtuele netwerk, wordt er een nieuwe A-record voor het opslagaccount toegevoegd aan de bestaande DNS-zone. Het implementeren van een DNS-zone is optioneel. Het wordt echter ten zeerste aanbevolen en vereist als u uw Azure-bestandsshares wilt koppelen met een AD-service-principal of met behulp van de FileREST-API.

Notitie

In dit artikel wordt het DNS-achtervoegsel voor opslagaccounts gebruikt voor de openbare regio's van Azure, te weten core.windows.net. Dit commentaar is ook van toepassing op Onafhankelijke Azure-clouds, zoals de Azure US Government-cloud en de Microsoft Azure beheerd door de 21Vianet-cloud. Vervang gewoon de juiste achtervoegsels voor uw omgeving.

Ga naar het opslagaccount waarvoor u een privé-eindpunt wilt maken. Selecteer in de inhoudsopgave voor het opslagaccount netwerken, privé-eindpuntverbindingen en vervolgens + privé-eindpunt om een nieuw privé-eindpunt te maken.

Schermopname van het privé-eindpuntverbindingsitem in de inhoudsopgave van het opslagaccount.

Er wordt een wizard gestart waarin u meerdere pagina's moet invullen.

Selecteer op de blade Basisinformatie het gewenste abonnement, de resourcegroep, de naam, de netwerkinterfacenaam en de regio voor uw privé-eindpunt. U kunt hier kiezen wat u wilt. De waarden hoeven niet overeen te komen met die van het opslagaccount. U moet het privé-eindpunt wel maken in dezelfde regio als het virtuele netwerk waarin u het privé-eindpunt wilt maken. Selecteer vervolgens Volgende: Resource.

Schermopname die laat zien hoe u de project- en instantiegegevens voor een nieuw privé-eindpunt opgeeft.

Selecteer op de blade Resource het bestand voor de doelsubresource. Selecteer vervolgens Volgende: Virtueel netwerk.

Schermopname die laat zien hoe u selecteert met welke resource u verbinding wilt maken met het nieuwe privé-eindpunt.

Met de blade Virtueel netwerk kunt u het specifieke virtuele netwerk en subnet selecteren waaraan u uw privé-eindpunt wilt toevoegen. Selecteer dynamische of statische IP-adrestoewijzing voor het nieuwe privé-eindpunt. Als u statisch selecteert, moet u ook een naam en een privé-IP-adres opgeven. U kunt eventueel ook een toepassingsbeveiligingsgroep opgeven. Wanneer u klaar bent, selecteert u Volgende: DNS.

Schermopname van het opgeven van gegevens van het virtuele netwerk, subnet en IP-adres voor het nieuwe privé-eindpunt.

De BLADE DNS bevat de informatie voor het integreren van uw privé-eindpunt met een privé-DNS-zone. Zorg ervoor dat het abonnement en de resourcegroep juist zijn en selecteer vervolgens Volgende: Tags.

Schermopname die laat zien hoe u uw privé-eindpunt integreert met een privé-DNS-zone.

U kunt eventueel tags toepassen om uw resources te categoriseren, zoals het toepassen van de naamomgeving en de waarde Testen op alle testbronnen. Voer desgewenst naam-/waardeparen in en selecteer vervolgens Volgende: Beoordelen en maken.

Schermopname van het optioneel taggen van uw privé-eindpunt met naam-/waardeparen voor eenvoudige categorisatie.

Klik op Beoordelen en maken om het privé-eindpunt te maken.

Connectiviteit verifiëren

Als u een VIRTUELE machine in uw virtuele netwerk hebt of als u DNS-doorsturen hebt geconfigureerd zoals beschreven in DNS-doorsturen configureren voor Azure Files, kunt u testen of uw privé-eindpunt juist is ingesteld. Voer de volgende opdrachten uit vanuit PowerShell, de opdrachtregel of de terminal (werkt voor Windows, Linux of macOS). U moet <storage-account-name> door de juiste naam van het opslagaccount:

nslookup <storage-account-name>.file.core.windows.net

Als dit lukt, ziet u de volgende uitvoer, waar 192.168.0.5 is het privé-IP-adres van het privé-eindpunt in uw virtuele netwerk (uitvoer weergegeven voor Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Toegang tot openbare eindpunten beperken

Als u eerst de toegang tot openbare eindpunten beperkt, moet u algemene toegang tot het openbare eindpunt uitschakelen. Het uitschakelen van toegang tot het openbare eindpunt heeft geen invloed op privé-eindpunten. Nadat het openbare eindpunt is uitgeschakeld, kunt u specifieke netwerken of IP-adressen selecteren die toegang tot het eindpunt kunnen blijven krijgen. Over het algemeen beperken de meeste firewallbeleidsregels voor een opslagaccount netwerktoegang tot een of meer virtuele netwerken.

Toegang tot het openbare eindpunt uitschakelen

Wanneer alle toegang tot het openbare eindpunt wordt uitgeschakeld, is het opslagaccount nog toegankelijk via de privé-eindpunten van het account. Anders worden geldige aanvragen voor het openbare eindpunt van het opslagaccount geweigerd, tenzij ze afkomstig zijn van een specifiek toegestane bron.

Ga naar het opslagaccount waarvoor u alle toegang tot het openbare eindpunt wilt beperken. Selecteer Netwerken in de inhoudsopgave voor het opslagaccount.

Selecteer boven aan de pagina het keuzerondje Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen . Hierdoor komen er een aantal instellingen beschikbaar voor het beperken van de toegang tot het openbare eindpunt. Selecteer Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount om vertrouwde first party-Microsoft-services zoals Azure File Sync toegang te geven tot het opslagaccount.

Schermopname van de blade Netwerken met de vereiste instellingen om de toegang tot het openbare eindpunt van het opslagaccount uit te schakelen.

Toegang tot het openbare eindpunt beperken tot specifieke virtuele netwerken

Wanneer u het opslagaccount beperkt tot specifieke virtuele netwerken, kunt u aanvragen naar het openbare eindpunt toestaan vanuit de opgegeven virtuele netwerken. Hiervoor wordt een voorziening van het virtuele netwerk gebruikt met de naam service-eindpunten. Deze voorziening kan worden gebruikt met of zonder privé-eindpunten.

Ga naar het opslagaccount waarvoor u het openbare eindpunt wilt beperken tot bepaalde virtuele netwerken. Selecteer Netwerken in de inhoudsopgave voor het opslagaccount.

Selecteer boven aan de pagina het keuzerondje Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen . Hierdoor komen er een aantal instellingen beschikbaar voor het beperken van de toegang tot het openbare eindpunt. Selecteer +Bestaand virtueel netwerk toevoegen om het specifieke virtuele netwerk te selecteren dat toegang moet hebben tot het opslagaccount via het openbare eindpunt. Selecteer een virtueel netwerk en een subnet voor dat virtuele netwerk en selecteer vervolgens Inschakelen.

Selecteer Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount om vertrouwde first party-Microsoft-services zoals Azure File Sync toegang te geven tot het opslagaccount.

Schermopname van de blade Netwerken met een specifiek virtueel netwerk dat toegang heeft tot het opslagaccount via het openbare eindpunt.

Zie ook