使用 Azure 专用链接限制对托管磁盘的导入/导出访问

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集

可以使用专用终结点来限制托管磁盘的导出和导入,并通过专用链接从 Azure 虚拟网络上的客户端更安全地访问数据。 专用终结点将虚拟网络地址空间中的 IP 地址用于托管磁盘。 虚拟网络上客户端与托管磁盘之间的网络流量仅穿过虚拟网络以及 Microsoft 主干网络上的专用链接,因此不会从公共 Internet 公开。

若要使用专用链接导出和导入托管磁盘,首先要创建磁盘访问资源,并通过创建专用终结点将其链接到同一订阅中的虚拟网络。 然后,将磁盘或快照与磁盘访问实例相关联。

先决条件

限制

  • 同一磁盘访问对象不能同时导入或导出超过 5 个磁盘或快照。
  • 不能上传到同时具有磁盘访问对象和磁盘加密集的磁盘。

创建磁盘访问资源

  1. 登录到 Azure 门户并导航到“磁盘访问”。

  2. 选择“+ 创建”创建新的磁盘访问资源。

  3. 在“创建磁盘访问”窗格中,选择订阅和资源组。 在“实例详细信息”中,输入名称并选择区域。

    磁盘访问创建窗格的屏幕截图。填写所需的名称,选择一个区域,选择一个资源组,然后继续操作。

  4. 选择“查看 + 创建”。

  5. 创建资源后,直接导航到该资源。

    门户中“转到资源”按钮的屏幕截图。

创建专用终结点

接下来,你需要创建专用终结点并将其配置为用于磁盘访问。

  1. 从磁盘访问资源中,在“设置”下,选择“专用终结点连接接” 。

  2. 选择 “+ 专用终结点”。

    磁盘访问资源的概述窗格屏幕截图。突出显示了专用终结点连接。

  3. 在“创建专用终结点”窗格中,选择资源组。

  4. 提供名称并选择创建磁盘访问资源时所在的同一区域。

    专用终结点创建工作流(第一个窗格)的屏幕截图。如果未选择适当的区域,则稍后可能会遇到问题。

  5. 在完成时选择“下一步:资源”。

  6. 对于“资源类型”,请选择“Microsoft.Compute/diskAccesses” 。

  7. 为“资源”选择先前创建的磁盘访问资源。

  8. 将“目标子资源”保留为“磁盘” 。

  9. 选择“下一步: 虚拟网络”。

  10. 选择要限制磁盘导入和导出的虚拟网络。 这可防止将磁盘导入和导出到其他虚拟网络。

    注意

    如果为所选子网启用了网络安全组,则仅在此子网上对专用终结点禁用它。 此子网中的其他资源仍会强制使用网络安全组。

  11. 选择相应的子网。

    创建专用终结点的工作流(第三个窗格)的屏幕截图。强调了虚拟网络和子网。

  12. 选择“查看 + 创建”。

启用磁盘上的专用终结点

执行以下步骤:

  1. 导航到要配置的磁盘。

  2. 在“设置”下选择“网络” 。

  3. 选择“专用终结点(通过磁盘访问)”并选择之前创建的磁盘访问权限。

    托管磁盘网络窗格的屏幕截图。突出显示了专用终结点选择以及所选的磁盘访问。保存此选择会将磁盘配置为使用这种访问方式。

  4. 选择“保存”。

    现已配置了可用于导入和导出托管磁盘的专用链接。 可以使用 Azure CLIAzure PowerShell 模块导入。 可以导出 WindowsLinux VHD。