配置网络终结点以访问 Azure 文件共享

Azure 文件存储提供两种主要类型的终结点用于访问 Azure 文件共享:

  • 公共终结点:使用公共 IP 地址,可从全球任意位置访问。
  • 专用终结点:位于某个虚拟网络中,并使用该虚拟网络的地址空间内部的专用 IP 地址。

公共和专用终结点位于 Azure 存储帐户中。 存储帐户是代表共享存储池的管理结构,你可以在其中部署多个文件共享以及其他存储资源(例如,Blob 容器或队列)。

本文重点介绍如何配置存储帐户的终结点,以便直接访问 Azure 文件共享。 本文的大部分内容也适用于 Azure 文件同步如何与存储帐户的公共和专用终结点互操作。 若要详细了解 Azure 文件同步的网络注意事项,请参阅配置 Azure 文件同步代理和防火墙设置

在阅读本指南之前,建议先阅读 Azure 文件存储的网络注意事项

适用于

文件共享类型 SMB NFS
标准文件共享 (GPv2)、LRS/ZRS 是 否
标准文件共享 (GPv2)、GRS/GZRS 是 否
高级文件共享 (FileStorage)、LRS/ZRS 是 是

先决条件

  • 本文假设你已经创建了一个 Azure 订阅。 如果还没有订阅,请在开始前创建一个试用帐户
  • 本文假设你已经在要从本地连接到的存储帐户中创建了一个 Azure 文件共享。 若要了解如何创建 Azure 文件共享,请参阅创建 Azure 文件共享
  • 如果你打算使用 Azure PowerShell,请安装最新版本
  • 如果你打算使用 Azure CLI,请安装最新版本

终结点配置

可以配置终结点,以限制对存储帐户的网络访问。 可通过两种方法来仅限虚拟网络访问存储帐户:

创建专用终结点

为存储帐户创建专用终结点时,会部署以下 Azure 资源:

  • 一个专用终结点:表示存储帐户专用终结点的 Azure 资源。 可将此资源视为连接存储帐户和网络接口的资源。
  • 一个网络接口 (NIC) :在指定的虚拟网络/子网中保留专用 IP 地址的网络接口。 此网络接口是部署虚拟机 (VM) 时部署的同一个资源,但它不会分配到 VM,而是由专用终结点拥有。
  • 专用域名系统 DNS 区域:如果你以前没有为此虚拟网络部署过专用终结点,系统将为虚拟网络部署新的专用 DNS 区域。 此外,将为此 DNS 区域中的存储帐户创建 DNS A 记录。 如果已在此虚拟网络中部署了专用终结点,则会将存储帐户的新 A 记录添加到现有 DNS 区域。 部署 DNS 区域是可选操作。 不过,强烈建议执行此操作;如果使用 AD 服务主体或 FileREST API 装载 Azure 文件共享,则必须执行此操作。

导航到要为其创建专用终结点的存储帐户。 在存储帐户的目录中依次选择“网络”、“专用终结点连接”,然后选择“+ 专用终结点”创建新的专用终结点 。

存储帐户目录中“专用终结点连接”项的屏幕截图。

出现的向导包含多个要完成的页。

在“基本信息”边栏选项卡中,为专用终结点选择所需的订阅、资源组、名称和区域。 资源组、名称和区域可以任意配置,不必与存储帐户匹配,但必须在同一区域中创建专用终结点和用于容纳该专用终结点的存储帐户。 然后选择“下一步: 资源”。

显示如何为新的专用终结点提供项目和实例详细信息的屏幕截图。

在“资源”边栏选项卡中,为目标子资源选择“文件”。 然后选择“下一步: 虚拟网络”。

显示如何选择要使用新的专用终结点连接到的资源的屏幕截图。

在“虚拟网络”边栏选项卡中,可以选择要向其添加专用终结点的特定虚拟网络和子网。 为新的专用终结点选择动态或静态 IP 地址分配。 如果选择静态,则还需要提供名称和专用 IP 地址。 DNS 部分包含用于将专用终结点与专用 DNS 区域集成的信息。 确保订阅和资源组正确,然后选择“下一步: 标记”。

显示如何为新的专用终结点提供虚拟网络、子网和 IP 地址详细信息的屏幕截图。

可以选择性地应用标记来对资源进行分类,如将名称“环境”和值“测试”应用于所有测试资源。 输入名称/值对(如果需要),然后选择“下一步: 查看 + 创建”。

显示如何可以选择使用名称/值对来标记专用终结点以实现轻松分类的屏幕截图。

单击“查看 + 创建”以创建专用终结点。

验证连接性

如果你在虚拟网络中有一个 VM,或者已按配置 Azure 文件存储的 DNS 转发所述配置了 DNS 转发,那么你可测试是否已正确设置专用终结点。 从 PowerShell、命令行或终端运行以下命令(适用于 Windows、Linux 或 macOS)。 必须将 <storage-account-name> 替换为相应的存储帐户名称:

nslookup <storage-account-name>.file.core.chinacloudapi.cn

如果成功,应会看到以下输出,其中 192.168.0.5 是虚拟网络中专用终结点的专用 IP 地址(Windows 中显示的输出):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.chinacloudapi.cn
Address:  192.168.0.5
Aliases:  storageaccount.file.core.chinacloudapi.cn

限制公共终结点访问

若要限制公共终结点访问,首先需要禁用对公共终结点的一般访问。 禁用对公共终结点的访问不会影响专用终结点。 禁用公共终结点后,可选择可继续访问它的特定网络或 IP 地址。 通常,大多数针对存储帐户的防火墙策略仅限一个或多个虚拟网络进行网络访问。

禁止对公共终结点的访问

禁止对公共终结点的访问时,仍可通过存储帐户的专用终结点来访问该存储帐户。 否则,对存储帐户的公共终结点发出的有效请求将被拒绝,除非这些请求来自特别指定的源

导航到要限制对其公共终结点的所有访问的存储帐户。 在该存储帐户的目录中,选择“网络”。

在页面顶部,选择“从选定的虚拟网络和 IP 地址启用”单选按钮。 随后会显示一些用于控制公共终结点限制的设置。 选择“允许受信任服务列表上的 Azure 服务访问此存储帐户”,以允许受信任的第一方 Microsoft 服务(例如 Azure 文件同步)访问存储帐户。

“网络”边栏选项卡的屏幕截图,其中包含禁用对存储帐户公共终结点的访问权限所需的设置。

仅限从特定的虚拟网络访问公共终结点

如果仅限从特定的虚拟网络访问存储帐户,则会允许从指定的虚拟网络内部对公共终结点发出请求。 为此,可以使用称作“服务终结点”的虚拟网络功能。 在具有或没有专用终结点的情况下都可以使用此功能。

导航到仅限从特定虚拟网络访问公共终结点的存储帐户。 在该存储帐户的目录中,选择“网络”。

在页面顶部,选择“从选定的虚拟网络和 IP 地址启用”单选按钮。 随后会显示一些用于控制公共终结点限制的设置。 选择“+添加现有虚拟网络”,以选择应允许其通过公共终结点访问存储帐户的特定虚拟网络。 选择虚拟网络并为该虚拟网络选择子网,然后选择“启用”。

选择“允许受信任服务列表上的 Azure 服务访问此存储帐户”,以允许受信任的第一方 Microsoft 服务(例如 Azure 文件同步)访问存储帐户。

“网络”边栏选项卡的屏幕截图,其中显示了允许通过公共终结点访问存储帐户的特定虚拟网络。

另请参阅