ملفات Azure التي تم الوصول إليها محليا وتأمينها بواسطة AD DS

توضح هذه البنية طريقة لتوفير مشاركات الملفات في السحابة للمستخدمين المحليين والتطبيقات التي تصل أيضا إلى الملفات على Windows Server.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

1. يقوم هذا الحل بمزامنة AD DS المحلي ومعرف Microsoft Entra المستند إلى السحابة. تجعل المزامنة المستخدمين أكثر إنتاجية من خلال توفير هوية مشتركة للوصول إلى كلا الموارد السحابية والمحلية.

   Microsoft Entra الاتصال هو تطبيق Microsoft المحلي الذي يقوم بالمزامنة. لمزيد من المعلومات حول Microsoft Entra الاتصال، راجع ما هو Microsoft Entra الاتصال؟ وMicrosoft Entra الاتصال Sync: فهم المزامنة وتخصيصها.

2. توفر Azure Virtual Network شبكة ظاهرية في السحابة. بالنسبة لهذا الحل، يحتوي على شبكتين فرعيتين على الأقل، واحدة لـ Azure DNS والأخرى لنقطة نهاية خاصة للوصول إلى مشاركة الملف.

3. يوفر إما VPN أو Azure ExpressRoute اتصالات آمنة بين الشبكة المحلية والشبكة الظاهرية في السحابة. إذا كنت تستخدم VPN، فأنشئ بوابة باستخدام Azure VPN Gateway. إذا كنت تستخدم ExpressRoute، فأنشئ بوابة شبكة ظاهرية ExpressRoute. لمزيد من المعلومات، راجع ما هي بوابة VPN؟ وحول بوابات الشبكة الظاهرية ExpressRoute.

4. توفر ملفات Azure مشاركة ملف في السحابة. يتطلب هذا حساب Azure Storage. لمزيد من المعلومات حول مشاركات الملفات، راجع ما هي ملفات Azure؟.

5. توفر نقطة نهاية خاصة الوصول إلى مشاركة الملف. تشبه نقطة النهاية الخاصة بطاقة واجهة الشبكة (NIC) داخل شبكة فرعية متصلة بخدمة Azure. في هذه الحالة، تكون الخدمة هي مشاركة الملفات. لمزيد من المعلومات حول نقاط النهاية الخاصة، راجع استخدام نقاط النهاية الخاصة لـ Azure Storage.

6. يحل خادم DNS المحلي عناوين IP. ومع ذلك، يحل Azure DNS مشاركة ملف Azure Fully Qualified Domain Name (FQDN). تنشأ جميع استعلامات DNS إلى Azure DNS من الشبكة الظاهرية. يوجد وكيل DNS داخل الشبكة الظاهرية لتوجيه هذه الاستعلامات إلى Azure DNS. لمزيد من المعلومات، راجع أحمال العمل المحلية باستخدام معيد توجيه DNS.

   يمكنك توفير وكيل DNS على خادم Windows أو Linux، أو يمكنك استخدام Azure Firewall. للحصول على معلومات حول خيار Azure Firewall، الذي يتمتع بميزة أنك لست مضطراً لإدارة جهاز ظاهري، راجع إعدادات Azure Firewall DNS.

7. تم تكوين DNS المخصص الداخلي لإعادة توجيه نسبة استخدام شبكة DNS إلى Azure DNS عبر معيد توجيه شرطي. توجد معلومات حول إعادة التوجيه الشرطي أيضاً في أحمال العمل المحلية باستخدام معيد توجيه DNS.

8. تصادق خدمات مجال Active Directory المحلية الوصول إلى مشاركة الملف. إنها عملية من أربع خطوات، كما هو موضح في الجزء الأول: تمكين مصادقة خدمات مجال Active Directory لمشاركات ملفات Azure

المكونات

• Azure Storage عبارة عن مجموعة من الخدمات السحابية الآمنة والقابلة للتطوير بشكل كبير للبيانات والتطبيقات وأحمال العمل. وتتضمن Azure Files وAzure Table Storage وAzure Queue Storage.
• تقدم Azure Files مشاركات ملفات مُدارة بالكامل في حساب Azure Storage. يمكن الوصول إلى الملفات من السحابة أو من مكان العمل المحلي. يمكن لعمليات توزيع Windows وLinux وmacOS تحميل مشاركات ملف Azure بشكل متزامن. يستخدم الوصول إلى الملفات بروتوكول Server Message Block (SMB) المتوافق مع معايير الصناعة.
• Azure Virtual Network هي لبنة الإنشاء الأساسية للشبكات الخاصة في Azure. وهي توفر البيئة لموارد Azure، مثل الأجهزة الظاهرية، للتواصل بأمان مع بعضها، ومع الإنترنت، ومع الشبكات المحلية.
• يوسع Azure ExpressRoute الشبكات المحلية في سحابة Microsoft عبر اتصال خاص.
• تعمل Azure VPN Gateway على توصيل الشبكات المحلية بـ Azure من خلال شبكات VPN من موقع إلى موقع، بنفس الطريقة التي تتصل بها بموقع فرعي بعيد. الاتصال آمن ويستخدم بروتوكولات Internet Protocol Security (IPsec) المتوافقة مع معايير الصناعة (IPsec) وInternet Key Exchange (IKE).
• يوفر Azure Private Link اتصالاً خاصاً من شبكة ظاهرية إلى نظام Azure الأساسي كخدمة (PaaS) أو مملوكة للعملاء أو خدمات شركاء Microsoft. فهو يبسط بنية الشبكة ويؤمن الاتصال بين نقاط النهاية في Azure عن طريق القضاء على تعرض البيانات للإنترنت العام.
• نقطة النهاية الخاصة هي واجهة شبكة تستخدم عنوان IP خاصاً من شبكتك الظاهرية. يمكنك استخدام نقاط النهاية الخاصة لحسابات Azure Storage للسماح للعملاء على شبكة ظاهرية بالوصول إلى البيانات عبر ارتباط خاص.
• يُعد Azure Firewall هو خدمة أمان شبكة مدارة تعتمد على مجموعة النظراء تحمي موارد الشبكة الظاهرية لـ Azure. تتسم هذه الخدمة بأنها جدار حماية ذي حالة خاصة بالكامل ذي قابلية وصول عالية مضمنة وقابلية توسع سحابة غير مقيدة. يمكنك تكوين Azure Firewall ليعمل كوكيل DNS. وكيل DNS هو وسيط لطلبات DNS من الأجهزة الظاهرية للعميل إلى خادم DNS.

تفاصيل السيناريو

ضع في اعتبارك الحالة المتداولة التالية. يوفر Windows Server المحلي ملفات للمستخدمين والتطبيقات. تقوم خدمات مجال Windows Server Active Directory (خدمات مجال Active Directory) بتأمين الملفات، وهناك خادم DNS محلي. كل شيء موجود على نفس الشبكة الخاصة.

افترض الآن أن هناك حاجة إلى مشاركة الملفات في السحابة.

توضح البنية الموصوفة هنا كيفية استخدام Azure لتلبية هذه الحاجة، وكيفية القيام بذلك بتكلفة منخفضة، ومن خلال الاستمرار في استخدام الشبكة المحلية وخدمات مجال Active Directory وDNS.

في هذه البنية، توفر Azure Files مشاركة الملف. توفر شبكة VPN من موقع إلى موقع أو Azure ExpressRoute اتصالات آمنة بين الشبكة المحلية وشبكة Azure الظاهرية. يستخدم المستخدمون والتطبيقات الاتصالات للوصول إلى الملفات. يتعاون معرف Microsoft Entra وAzure DNS مع AD DS وDNS المحليين لتأمين الوصول.

باختصار، إذا كنت في الموقف الموصوف، يمكنك توفير الملفات السحابية للمستخدمين المحليين بتكلفة منخفضة، والاستمرار في توفير وصول آمن للملفات باستخدام خدمات مجال Active Directory وDNS الداخليين.

حالات الاستخدام المحتملة

• ينتقل خادم الملفات إلى السحابة، ولكن يجب أن يظل المستخدمون في أماكن العمل المحلية.
• تحتاج التطبيقات التي تم ترحيلها إلى السحابة إلى الوصول إلى الملفات المحلية، وكذلك الملفات التي تم ترحيلها إلى السحابة.
• تحتاج إلى تقليل التكاليف عن طريق نقل تخزين الملفات إلى السحابة.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الموثوقيه

تضمن الموثوقية أن التطبيق الخاص بك يمكنه الوفاء بالالتزامات التي تقوم بها لعملائك. لمزيد من المعلومات، يرجى مراجعة نظرة عامة على ركيزة الموثوقية.

• يخزن Azure Storage دائماً نسخاً متعددة من بياناتك في نفس المنطقة، بحيث تكون محمية من الانقطاعات المخطط لها وغير المخطط لها. توجد خيارات لإنشاء نسخ إضافية في مناطق أو أماكن أخرى. لمزيد من المعلومات، راجع تكرار Azure Storage.
• يحتوي Azure Firewall على قابلية وصول عالية مضمّنة. لمزيد من المعلومات، راجع ميزات Azure Firewall Standard.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

تحتوي هذه المقالات على معلومات أمان لمكونات Azure:

• أساس أمان Azure لـ Azure Storage
• أساس أمان Azure ل Azure Private Link
• أساس أمان Azure للشبكة الظاهرية
• أساس أمان Azure لـ Azure Firewall

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

لتقدير تكلفة منتجات وتكوينات Azure، استخدم حاسبة أسعارAzure.

تحتوي هذه المقالات على معلومات أسعار لمكونات Azure:

• تسعير ملفات Azure
• تسعير Azure Private Link
• تسعير الشبكة الظاهرية
• تسعير Azure Firewall

كفاءة الأداء

كفاءة الأداء هي قدرة حمل عملك على تغيير الحجم لتلبية المطالب التي يضعها المستخدمون عليها بطريقة فعالة. لمزيد من المعلومات، يرجى مراجعةأنماط كفاءة الأداء.

• تحتوي حسابات Azure Storage على جميع عناصر بيانات Azure Storage، بما في ذلك مشاركات الملفات. يوفر حساب التخزين مساحة اسم فريدة لبياناته، وهي مساحة اسم يمكن الوصول إليها من أي مكان في العالم عبر HTTP أو HTTPS. بالنسبة لهذه البنية، يحتوي حساب التخزين الخاص بك على مشاركات الملفات التي توفرها Azure Files. للحصول على أفضل أداء، نوصي بما يلي:
  • لا تضع قواعد البيانات والكائنات الثنائية كبيرة الحجم وما إلى ذلك في حسابات التخزين التي تحتوي على مشاركات الملفات.
  • ليس لديك أكثر من مشاركة ملف ذات نشاط عالٍ لكل حساب تخزين. يمكنك تجميع مشاركات الملفات الأقل نشاطاً في نفس حساب التخزين.
  • إذا كان حمل العمل يتطلب كميات كبيرة من IOPS أو سرعات نقل البيانات السريعة للغاية أو زمن انتقال منخفض جدا، فيجب عليك اختيار حسابات تخزين متميزة (FileStorage). حساب v2 القياسي للأغراض العامة مناسب لمعظم أحمال عمل مشاركة ملف SMB. لمزيد من المعلومات حول قابلية التوسع وأداء مشاركات الملفات، راجع قابلية التوسع في Azure Files وأهداف الأداء.
  • لا تستخدم حساب تخزين v1 للأغراض العامة، لأنه يفتقر إلى الميزات المهمة. بدلا من ذلك، قم بالترقية إلى حساب تخزين v2 للأغراض العامة. يتم وصف أنواع حسابات التخزين في نظرة عامة على حساب التخزين.
  • انتبه للحجم والسرعة والقيود الأخرى. راجع اشتراك Azure وحدود الخدمة والحصص والقيود.
• لا يوجد الكثير مما يمكنك فعله لتحسين أداء المكونات غير المتعلقة بالتخزين، باستثناء التأكد من أن التوزيع الخاص بك يفي بالحدود والحصص النسبية والقيود الموضحة في اشتراك Azure وحدود الخدمة والحصص والقيود.
• للحصول على معلومات حول قابلية التوسع لمكونات Azure، راجع اشتراك Azure وحدود الخدمة والحصص والقيود.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• رودني أوليفيرا | مهندس عملاء أول

الخطوات التالية

• التشغيل السريع: إنشاء شبكة ظاهرية باستخدام مدخل Microsoft Azure
• ما هي بوابة VPN؟
• البرنامج التعليمي: إنشاء بوابة VPN وإدارتها باستخدام مدخل Microsoft Azure
• مشاركة ملف سحابة مؤسسة Azure
• مفاهيم شبكة Azure الظاهرية وأفضل ممارساتها
• التخطيط لتوزيع ملفات Azure
• استخدام نقاط نهاية خاصة لـ Azure Storage
• تهيئة نقطة النهاية الخاصة بـ Azure DNS
• إعدادات DNS لجدار حماية Azure Firewall
• مقارنة خدمات مجال Active Directory المدارة ذاتيا ومعرف Microsoft Entra وخدمات مجال Microsoft Entra المدارة

الموارد ذات الصلة

• مشاركة ملف مختلط مع الإصلاح بعد كارثة لعمال الفروع المحلية والبعيدة
• مشاركة ملف سحابة مؤسسة Azure
• استخدام مشاركات ملفات Azure في بيئة مختلطة
• خدمات الملفات المختلطة