Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Private-Endpunkte für Ihre Azure Storage-Konten verwenden, um Clients auf einem Azure Virtual Network den sicheren Zugriff auf Daten über eine Private Link zu ermöglichen. Der private Endpunkt verwendet eine separate IP-Adresse vom virtuellen Netzwerkadressraum für jeden Speicherkontodienst. Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und dem Speicherkonto durchläuft das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird.
Hinweis
Private Endpunkte sind für Speicherkonten vom Typ „Universell V1“ nicht verfügbar.
Die Verwendung privater Endpunkte für Ihr Speicherkonto bietet Ihnen folgende Möglichkeiten:
- Sichern Sie Ihr Speicherkonto mithilfe eines privaten Links. Sie können die Speicherfirewall manuell konfigurieren, um Verbindungen am öffentlichen Endpunkt des Speicherdiensts zu blockieren. Durch das Erstellen eines privaten Links werden Verbindungen am öffentlichen Endpunkt nicht automatisch blockiert.
- Erhöhen Sie die Sicherheit für das virtuelle Netzwerk, indem Sie die Exfiltration von Daten aus dem virtuellen Netzwerk blockieren können.
- Stellen Sie sicher eine Verbindung mit Speicherkonten aus lokalen Netzwerken her, die über VPN oder ExpressRoutes mit privatem Peering eine Verbindung mit dem virtuellen Netzwerk herstellen.
Konzeptionelle Übersicht
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem Virtual Network. Wenn Sie einen privaten Endpunkt für Ihr Speicherkonto erstellen, bietet es sichere Konnektivität zwischen Clients in Ihrem virtuellen Netzwerk und Ihrem Speicher. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen. Für die Verbindung zwischen dem privaten Endpunkt und dem Speicherdienst wird eine sichere private Verbindung verwendet.
Anwendungen im virtuellen Netzwerk können eine nahtlose Verbindung mit dem Speicherdienst über den privaten Endpunkt herstellen, wobei die gleichen Verbindungszeichenfolgen und Autorisierungsmechanismen verwendet werden, die sie andernfalls verwenden würden. Private Endpunkte können mit allen vom Speicherkonto unterstützten Protokollen verwendet werden, einschließlich REST und SMB.
Private Endpunkte können in Subnetzen erstellt werden, die Dienstendpunkte verwenden. Clients in einem Subnetz können somit eine Verbindung mit einem Speicherkonto über einen privaten Endpunkt herstellen, während für den Zugriff auf andere Konten Dienstendpunkte verwendet werden.
Wenn Sie einen privaten Endpunkt für einen Speicherdienst in Ihrem virtuellen Netzwerk erstellen, wird eine Zustimmungsanforderung zur Genehmigung an den Besitzer des Speicherkontos gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch ein Besitzer des Speicherkontos ist, wird diese Einwilligungsanforderung automatisch genehmigt.
Besitzer von Speicherkonten können Zustimmungsanforderungen und die privaten Endpunkte über die Registerkarte "Private-Endpunkte" für das Speicherkonto im Azure Portal verwalten.
Tipp
Wenn der Zugriff auf Ihr Speicherkonto nur über den privaten Endpunkt erfolgen soll, konfigurieren Sie die Speicherfirewall so, dass der Zugriff über den öffentlichen Endpunkt verweigert oder gesteuert wird.
Sie können Ihr Speicherkonto so schützen, dass nur Verbindungen aus Ihrem virtuellen Netzwerk akzeptiert werden, indem Sie die Speicherfirewall so konfigurieren , dass der Zugriff über seinen öffentlichen Endpunkt standardmäßig verweigert wird. Sie benötigen keine Firewallregel, um Datenverkehr aus einem virtuellen Netzwerk zuzulassen, das über einen privaten Endpunkt verfügt, da die Speicherfirewall nur den Zugriff über den öffentlichen Endpunkt steuert. Private Endpunkte verwenden stattdessen den Einwilligungsflow, um Subnetzen den Zugriff auf den Speicherdienst zu gewähren.
Darüber hinaus ist bei der Konfiguration eines privaten Endpunkts der Datenverkehr aus dem zugeordneten virtuellen Netzwerk immer zulässig, auch wenn der Zugriff auf öffentliche Netzwerke für das Speicherkonto deaktiviert ist.
Hinweis
Beim Kopieren von Blobs zwischen Speicherkonten benötigt der Client Netzwerkzugriff auf beide Konten. Wenn Sie also einen privaten Link für ein einziges Konto (Quelle oder Ziel) verwenden möchten, stellen Sie sicher, dass der Client über Netzwerkzugriff auf das andere Konto verfügt. Weitere Informationen zum Konfigurieren des Netzwerkzugriffs finden Sie unter Configure Azure Storage Firewalls und virtuellen Netzwerken.
Erstellen eines privaten Endpunkts
Informationen dazu, wie Sie mithilfe des Azure-Portals einen privaten Endpunkt erstellen, finden Sie unter Stellen Sie vom Speichererlebnis im Azure-Portal aus eine private Verbindung zu einem Speicherkonto her.
Informationen zum Erstellen eines privaten Endpunkts mithilfe von PowerShell oder der Azure CLI finden Sie in einem dieser Artikel. Beide weisen eine Azure Web-App als Zieldienst auf, aber die Schritte zum Erstellen eines privaten Links sind für ein Azure Storage Konto identisch.
Wenn Sie einen privaten Endpunkt erstellen, müssen Sie das Speicherkonto und den Speicherdienst angeben, mit dem eine Verbindung hergestellt wird.
Sie benötigen einen separaten privaten Endpunkt für jede Speicherressource, auf die Sie zugreifen müssen, nämlich Blobs, Data Lake Storage, Files, Queues, Tables oder Static Websites. Für den privaten Endpunkt sind diese Speicherdienste als untergeordnete Zielressourcen des zugeordneten Speicherkontos definiert.
Wenn Sie einen privaten Endpunkt für die Data Lake Storage Speicherressource erstellen, sollten Sie auch einen für die Blob Storage-Ressource erstellen. Das liegt daran, dass Vorgänge, die auf den Data Lake Storage Endpunkt abzielen, möglicherweise an den Blob-Endpunkt umgeleitet werden. Wenn Sie nur einen privaten Endpunkt für Blob Storage hinzufügen und nicht für Data Lake Storage, treten bei einigen Vorgängen (z. B. Verwalten von ACL, Erstellen von Verzeichnis, Verzeichnis löschen usw.) ein Fehler auf, da die APIs einen privaten DFS-Endpunkt erfordern. Durch das Erstellen eines privaten Endpunkts für beide Ressourcen sorgen Sie dafür, dass alle Vorgänge erfolgreich abgeschlossen werden können.
Tipp
Erstellen Sie einen separaten privaten Endpunkt für die sekundäre Instanz des Speicherdiensts, um die Leseleistung für RA-GRS-Konten zu verbessern. Erstellen Sie unbedingt ein Speicherkonto (Standard oder Premium) vom Typ „Universell v2 (GPv2)“.
Für Lesezugriff auf die sekundäre Region mit einem Speicherkonto, das für georedundanten Speicher konfiguriert ist, benötigen Sie separate private Endpunkte sowohl für die primäre als auch die sekundäre Instanz des Diensts. Sie müssen für ein Failover keinen privaten Endpunkt für die sekundäre Instanz erstellen. Der private Endpunkt stellt nach einem Failover automatisch eine Verbindung mit der neuen primären Instanz her. Weitere Informationen zu Speicherredundanzoptionen finden Sie unter Azure Storage Redundanz.
Herstellen einer Verbindung mit einem privaten Endpunkt
Clients in einem virtuellen Netzwerk, in dem der private Endpunkt verwendet wird, sollten dieselbe connection string für das Speicherkonto wie Clients verwenden, die eine Verbindung mit dem öffentlichen Endpunkt herstellen. Wir verlassen uns auf die DNS-Auflösung, um die Verbindungen vom virtuellen Netzwerk automatisch über eine private Verbindung an das Speicherkonto weiterzuleiten.
Wichtig
Verwenden Sie dieselbe Connection String, um eine Verbindung zum Speicherkonto, mithilfe privater Endpunkte, herzustellen, wie Sie es sonst verwenden würden. Stellen Sie keine Verbindung mit dem Speicherkonto mithilfe der Unterdomänen-URL privatelink her.
Standardmäßig erstellen wir eine private DNS-Zone , die mit den erforderlichen Updates für die privaten Endpunkte an das virtuelle Netzwerk angefügt ist. Wenn Sie jedoch einen eigenen DNS-Server verwenden, müssen Sie möglicherweise zusätzliche Änderungen an Ihrer DNS-Konfiguration vornehmen. Im folgenden Abschnitt zu DNS-Änderungen werden die für private Endpunkte erforderlichen Updates beschrieben.
DNS-Änderungen für private Endpunkte
Hinweis
Ausführliche Informationen zum Konfigurieren Ihrer DNS-Einstellungen für private Endpunkte finden Sie unter Azure Private Endpoint DNS-Konfiguration.
Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Ressourceneintrag für das Speicherkonto auf einen Alias in einer Unterdomäne mit dem Präfix privatelink aktualisiert. Standardmäßig erstellen wir außerdem eine private DNS-Zone, die der Unterdomäne privatelink entspricht, mit den DNS-A-Ressourceneinträgen für die privaten Endpunkte.
Wenn Sie die URL des Speicherendpunkts von außerhalb des virtuellen Netzwerks über den privaten Endpunkt auflösen, wird sie dem öffentlichen Endpunkt des Speicherdiensts zugeordnet. Bei Auflösung aus dem virtuellen Netzwerk, das den privaten Endpunkt hostet, wird die Speicherendpunkt-URL auf die IP-Adresse des privaten Endpunkts aufgelöst.
Im oben dargestellten Beispiel werden die DNS-Ressourceneinträge für das Speicherkonto "StorageAccountA", wenn sie von außerhalb des virtuellen Netzwerks aufgelöst werden, das den privaten Endpunkt hostet, sein:
| Name | type | Wert |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | <Öffentlicher Endpunkt des Speicherdiensts> |
| <Öffentlicher Endpunkt des Speicherdiensts> | Ein | <Öffentliche IP-Adresse des Speicherdiensts> |
Wie bereits erwähnt, können Sie den Zugriff für Clients außerhalb des virtuellen Netzwerks über den öffentlichen Endpunkt mithilfe der Speicherfirewall verweigern oder steuern.
Die DNS-Ressourceneinträge für StorageAccountA, die von einem Client im virtuellen Netzwerk aufgelöst werden, in dem der private Endpunkt gehostet wird, lautet:
| Name | type | Wert |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
Ein | 10.1.1.5 |
Dieser Ansatz ermöglicht den Zugriff auf das Speicherkonto wobei dieselbe connection string für Clients im virtuellen Netzwerk verwendet wird, die die privaten Endpunkte hosten, sowie Clients außerhalb des virtuellen Netzwerks.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen Clients in der Lage sein, den FQDN für den Speicherkontoendpunkt in die IP-Adresse des privaten Endpunkts aufzulösen. Sie sollten Ihren DNS-Server so konfigurieren, dass Sie Ihre private Link-Unterdomäne an die private DNS-Zone für das virtuelle Netzwerk delegieren, oder konfigurieren Sie die A-Records für StorageAccountA.privatelink.blob.core.windows.net mit der IP-Adresse des privaten Endpunkts.
Tipp
Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server verwenden, sollten Sie ihn so konfigurieren, dass der Speicherkontoname in der Unterdomäne privatelink in die IP-Adresse des privaten Endpunkts aufgelöst wird. Dazu können Sie die privatelink Unterdomäne an die private DNS-Zone des virtuellen Netzwerks delegieren oder die DNS-Zone auf Ihrem DNS-Server konfigurieren und die DNS A-Einträge hinzufügen.
Die empfohlenen DNS-Zonennamen der privaten Endpunkte für die Speicherdienste und die verknüpften untergeordneten Zielressourcen der Endpunkte lauten wie folgt:
| Speicherdienst | Zielunterressource | Zonenname |
|---|---|---|
| Blob-Dienst | Blob | privatelink.blob.core.windows.net |
| Data Lake Storage | DFS | privatelink.dfs.core.windows.net |
| Dateidienst | file | privatelink.file.core.windows.net |
| Warteschlangendienst | queue | privatelink.queue.core.windows.net |
| Tabellenspeicherdienst | Tisch | privatelink.table.core.windows.net |
| Statische Websites | Web- | privatelink.web.core.windows.net |
Weitere Informationen zum Konfigurieren des eigenen DNS-Servers für die Unterstützung privater Endpunkte finden Sie in den folgenden Artikeln:
- Name-Auflösung für Ressourcen in Azure virtuellen Netzwerken
- DNS-Konfiguration für private Endpunkte
Preise
Details zu den Preisen finden Sie unter Azure Private Link pricing.
Bekannte Probleme
Beachten Sie die folgenden bekannten Probleme bei privaten Endpunkten für Azure Storage.
Speicherzugriffseinschränkungen für Clients in virtuellen Netzwerken mit privaten Endpunkten
Clients in virtuellen Netzwerken mit vorhandenen privaten Endpunkten haben Einschränkungen beim Zugriff auf andere Speicherkonten mit privaten Endpunkten. Angenommen, ein virtuelles Netzwerk N1 verfügt über einen privaten Endpunkt für ein Speicherkonto A1 für Blob Storage. Wenn das Speicherkonto A2 über einen privaten Endpunkt in einem virtuellen Netzwerk N2 für BLOB-Speicher verfügt, müssen Clients im virtuellen Netzwerk N1 auch auf Blob Storage in Konto A2 zugreifen, indem sie einen privaten Endpunkt verwenden. Wenn für das Speicherkonto A2 keine privaten Endpunkte für Blob Storage vorhanden sind, können Clients im virtuellen Netzwerk N1 ohne privaten Endpunkt auf BLOB-Speicher in diesem Konto zugreifen.
Diese Einschränkung ist die Folge der DNS-Änderungen, die vorgenommen werden, wenn Konto A2 einen privaten Endpunkt erstellt.
Kopieren von Blobs zwischen Speicherkonten
Sie können Blobs zwischen Speicherkonten nur mithilfe privater Endpunkte kopieren, wenn Sie die Azure REST-API oder Tools verwenden, die die REST-API verwenden. Zu diesen Tools gehören AzCopy, Storage Explorer, Azure PowerShell, Azure CLI und die Azure Blob Storage SDKs.
Nur private Endpunkte mit dem Speicher-Ressourcenendpunkt blob oder file als Ziel werden unterstützt. Dazu gehören REST-API-Aufrufe für Data Lake Storage Konten, in denen der blob-Ressourcenendpunkt explizit oder implizit referenziert wird. Private Endpunkte, die auf den Data Lake Storage dfs-Ressourcenendpunkt abzielen, werden noch nicht unterstützt. Das Kopieren zwischen Speicherkonten mithilfe des Network File System (NFS)-Protokolls wird noch nicht unterstützt.