Azure Elastic SAN を使用すると、アプリケーションとエンタープライズ環境で必要な Elastic SAN ボリュームへのアクセス レベルをセキュリティで保護および制御できます。 この記事では、ユーザーとアプリケーションが Azure 仮想ネットワーク インフラストラクチャから Elastic SAN ボリュームにアクセスできるようにするオプションについて説明します。
特定の仮想ネットワーク サブネット上の特定のエンドポイント経由のアクセスのみを許可するように Elastic SAN ボリューム グループを構成できます。 許可するサブネットは、同じサブスクリプション内の仮想ネットワークに属していても、異なるサブスクリプション (異なる Microsoft Entra テナントに属するサブスクリプションも含む) 内のサブネットであってもかまいません。 ボリューム グループに対してネットワーク アクセスが構成されると、その構成はそのグループに属するすべてのボリュームによって継承されます。
構成に応じて、ピアリングされた仮想ネットワークまたはオンプレミス ネットワーク上のアプリケーションもグループ内のボリュームにアクセスできます。 オンプレミス ネットワークは、VPN または ExpressRoute によって仮想ネットワークに接続する必要があります。 仮想ネットワーク構成の詳細については、「Azure 仮想ネットワーク インフラストラクチャ」を参照してください。
Elastic SAN ボリューム グループへのアクセスを許可するように構成できる仮想ネットワーク エンドポイントには、次の 2 種類があります。
一般に、サービス エンドポイントの代わりにプライベート エンドポイントを使用する必要があります。これは、より優れた機能を提供するためです。 詳細については、Azure Private Link に関するページを参照してください。 2 つの違いの詳細については、「 プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。
エンドポイントを構成した後、ネットワーク規則を構成して、Elastic SAN ボリューム グループへのアクセスをさらに制御できます。 エンドポイントとネットワーク規則が構成されたら、クライアントはグループ内のボリュームに接続してワークロードを処理できます。
プライベート エンドポイント
Azure Private Link を使用すると、仮想ネットワーク サブネットから プライベート エンドポイント 経由で Elastic SAN ボリューム グループに安全にアクセスできます。 仮想ネットワークとサービス間のトラフィックは Microsoft バックボーン ネットワークを通過するため、サービスがパブリック インターネットに公開されるリスクが排除されます。 Elastic SAN プライベート エンドポイントは、各ボリューム グループのサブネット アドレス空間からの IP アドレスのセットを使用します。 エンドポイントごとに使用される最大数は 20 です。
プライベート エンドポイントには、サービス エンドポイントに比べていくつかの利点があります。 プライベート エンドポイントとサービス エンドポイントの完全な比較については、「 プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。
動作方法
仮想ネットワークと Elastic SAN の間のトラフィックは、Azure バックボーン ネットワーク上の最適なパスを介してルーティングされます。 サービス エンドポイントとは異なり、ストレージ ファイアウォールはパブリック エンドポイントを介したアクセスのみを制御するため、プライベート エンドポイントからのトラフィックを許可するようにネットワーク規則を構成する必要はありません。
プライベート エンドポイントを構成する方法の詳細については、「 Azure Elastic SAN のプライベート エンドポイントを構成する」を参照してください。
パブリック ネットワーク アクセス
SAN を作成するときに、SAN レベルで Elastic SAN エンドポイントへのパブリック インターネット アクセスを有効または無効にすることができます。 プライベート エンドポイントのみを使用している場合は、パブリック ネットワーク アクセスを無効にし、サービス エンドポイントを使用している場合にのみ有効にします。 Elastic SAN に対する公衆ネットワーク アクセスを有効にすると、ストレージ サービス エンドポイント経由で、その SAN に個々のボリューム グループへの公衆アクセスを構成できます。 個々のボリューム グループへの公衆アクセスは、SAN レベルで許可した場合でも、既定では拒否されます。 SAN レベルでパブリック アクセスを無効にすると、その SAN 内のボリューム グループへのアクセスはプライベート エンドポイント経由でのみ可能になります。
ストレージ サービス エンドポイント
Azure Virtual Network サービス エンドポイントは、Azure バックボーン ネットワーク上で最適化されたルートを使用して、Azure サービスへの安全な直接接続を提供します。 サービス エンドポイントを使用すると、重要な Azure サービス リソースを保護して、特定の仮想ネットワークのみがリソースにアクセスできるようにすることができます。
Azure Storage のクロスリージョン サービス エンドポイントは、任意のリージョンの仮想ネットワークとストレージ サービス インスタンスの間で機能します。 リージョン間サービス エンドポイントを使用すると、サブネットでは、別のリージョン内のストレージ アカウントを含めて、ストレージ アカウントとの通信にパブリック IP アドレスを使用しなくなります。 代わりに、サブネットからストレージ アカウントへのすべてのトラフィックで、ソース IP としてプライベート IP アドレスが使用されます。
ヒント
Microsoft.Storage として識別される元のローカル サービス エンドポイントは下位互換性のためにサポートされていますが、新しいデプロイでは、Microsoft.Storage.Global と識別されるリージョン間エンドポイントを作成する必要があります。
クロスリージョン サービス エンドポイントとローカル エンドポイントは、同じサブネット上に共存できません。 リージョン間サービス エンドポイントを使用するには、既存の Microsoft.Storage エンドポイントを削除し、 Microsoft.Storage.Global として再作成します。
ネットワーク トラフィックを制御する
プライベート エンドポイント
プライベート エンドポイントの作成を承認すると、プライベート エンドポイントをホストするサブネットからのすべてのトラフィックへの暗黙的なアクセスが許可されます。 より詳細なレベルでトラフィックを制御する必要がある場合は、 ネットワーク ポリシーを使用します。
サービス エンドポイント
サービス エンドポイントは既定でブロックされてデータに対するすべての受信要求をブロックするため、サービス エンドポイントを使用する場合は仮想ネットワーク ルールを構成する必要があります。 Elastic SAN の各ボリューム グループでは、最大 200 個の仮想ネットワーク規則がサポートされます。 ネットワーク規則に含まれているサブネットを削除すると、ボリューム グループのネットワーク規則から削除されます。 同じ名前で新しいサブネットを作成しても、ボリューム グループにアクセスできません。 アクセスを許可するには、ボリューム グループのネットワーク規則で新しいサブネットを明示的に承認する必要があります。 これらのネットワーク規則経由でアクセスを許可されたクライアントには、ボリューム グループに対する Elastic SAN への適切なアクセス許可も付与する必要があります。 ネットワーク 規則を定義する方法については、仮想ネットワーク規則の構成に関するページを参照してください。
データの整合性
データ整合性は、クラウド ストレージ内のデータの破損を防ぐために重要です。 TCP では、チェックサム メカニズムを通じて基本的なレベルのデータ整合性を実現します。これは、循環冗長検査 (CRC) (特に CRC-32C) によって堅牢性を向上したエラー検出を使用して iSCSI で拡張できます。 CRC-32C を使用すると、iSCSI ヘッダーとデータ ペイロードのチェックサム検証を追加できます。
Elastic SAN で CRC-32C チェックサム検証がサポートされるのは、それがクライアント側で Elastic SAN ボリュームへの接続に対して有効になっている場合です。 Elastic SAN ではさらに、ボリューム グループ レベルで設定できるプロパティを使用してこのエラー検出を実現できます。このプロパティは、そのボリューム グループ内のすべてのボリュームに継承されます。 ボリューム グループでこのプロパティを有効にすると、そのボリューム グループ内のボリュームへのクライアント接続でヘッダーまたはデータ ダイジェストに対して CRC-32C が設定されていない場合、Elastic SAN ではそれらの接続をすべて拒否します。 このプロパティを無効にすると、Elastic SAN ボリュームのチェックサム検証の有無は、クライアントでヘッダーまたはデータ ダイジェストに対して CRC-32C が設定されているかどうかによって決まりますが、Elastic SAN で接続が拒否されることはありません。 Elastic SAN の作成時に CRC 保護を有効にするか、既存の Elastic SAN で有効にすることができます。
注
オペレーティング システムによっては、iSCSI ヘッダーまたはデータ ダイジェストをサポートしない場合があります。 Fedora とそのダウンストリーム Linux ディストリビューション (Red Hat Enterprise Linux、CentOS、Rocky Linux など) では、データ ダイジェストをサポートしていません。 お使いのクライアントで、iSCSI ヘッダーまたはデータ ダイジェストがサポートされないこうしたオペレーティング システムを使用している場合は、ボリュームへの接続が失敗するため、ボリューム グループで CRC 保護を有効にしないでください。
クライアント接続
目的のエンドポイントを有効にし、ネットワーク規則でアクセスを許可した後、iSCSI プロトコルを使用して適切な Elastic SAN ボリュームに接続できます。 クライアント接続の構成方法については、Linux、Windows、Azure Kubernetes Service クラスターへの接続方法に関する記事を参照してください。
iSCSI セッションは、1 日の間で定期的に切断と再接続を繰り返します。 こうした切断や再接続は、定期的なメンテナンスの一環として、またはネットワーク変動の結果として実施されます。 切断や再接続によってパフォーマンスが低下することはありません。また、各接続は単独で再確立する必要があります。 接続が再確立されない場合、またはパフォーマンスが低下する場合は、サポート チケットを発行します。
注
仮想マシン (VM) と Elastic SAN ボリュームの間の接続が失われた場合、接続は終了するまで 90 秒間再試行されます。 Elastic SAN ボリュームへの接続が失われると、VM は再起動されません。