استخدام مشاركات ملف Azure في بيئة مختلطة

توضح هذه البنية كيفية تضمين مشاركات ملفات Azure في بيئتك المختلطة. يتم استخدام مشاركات ملفات Azure كمشاركات ملفات بلا خادم. من خلال دمجها مع خدمات Active Directory (AD DS)، يمكنك التحكم في الوصول إلى مستخدمي AD DS والحد منه. يمكن لمشاركات ملفات Azure بعد ذلك استبدال خوادم الملفات التقليدية.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

تتكون البنية من المكونات التالية:

• مستأجر Microsoft Entra. هذا المكون هو مثيل ل Microsoft Entra تم إنشاؤه بواسطة مؤسستك. يعمل كخدمة دليل للتطبيقات السحابية، عن طريق تخزين الكائنات التي يتم نسخها من Active Directory محلي. كما يوفر خدمات الهوية عند الوصول إلى مشاركات ملفات Azure.
• خادم AD DS. هذا المكون هو دليل محلي وخدمة هوية. تتم مزامنة دليل AD DS مع معرف Microsoft Entra لتمكينه من مصادقة المستخدمين المحليين.
• خادم Microsoft Entra Connect Sync. هذا المكون هو خادم محلي يقوم بتشغيل خدمة Microsoft Entra Connect Sync. تقوم هذه الخدمة بمزامنة المعلومات الموجودة في Active Directory محلي مع معرف Microsoft Entra.
• بوابة الشبكة الظاهرية. يتم استخدام هذا المكون الاختياري لإرسال حركة مرور مشفرة بين شبكة Azure الظاهرية وموقع محلي عبر الإنترنت.
• مشاركات ملف Azure. توفر مشاركات ملفات Azure تخزينًا للملفات والمجلدات التي يمكنك الوصول إليها عبر بروتوكولات Server Message Block (SMB) ونظام ملفات الشبكة (NFS) وبروتوكول نقل النص التشعبي (HTTP). يتم نشر مشاركات الملفات في حسابات تخزين Azure.
• مخزن خدمات الاسترداد. يوفر هذا المكون الاختياري النسخ الاحتياطي لمشاركات ملفات Azure.
• العملاء. هذه المكونات هي أجهزة كمبيوتر عضو في AD DS، والتي يمكن للمستخدمين الوصول منها إلى مشاركات ملفات Azure.

المكونات

التقنيات الرئيسية المستخدمة لتنفيذ هذه البنية:

• معرف Microsoft Entra هو خدمة هوية مؤسسة توفر تسجيل الدخول الأحادي والمصادقة متعددة العوامل والوصول المشروط.
• تقدم Azure Files مشاركات ملفات مدارة بالكامل في السحابة التي يمكن الوصول إليها باستخدام البروتوكولات القياسية للصناعة.
• ترسل بوابة VPN Gateway نسبة استخدام الشبكة المشفرة بين شبكة Azure الظاهرية وموقع محلي عبر الإنترنت العام.

تفاصيل السيناريو

حالات الاستخدام المحتملة

تتضمن الاستخدامات النموذجية لهذه البنية الأساسية هذه الحَالات:

• استبدال خوادم الملفات المحلية أو استكمالها. يمكن لـAzure Files استبدال أو تكملة خوادم الملفات المحلية التقليدية أو أجهزة تخزين ملحقة بالشبكة بالكامل. بمشاركة ملفات Azure ومصادقة AD DS، يمكنك نقل البيانات إلى Azure Files. يمكن أن يستفيد هذا الترحيل من قابلية الوصول العالية وقابلية التوسع مع تقليل تغييرات العميل.
• الرفع والنقل. يجعل Azure Files من السهل «رفع ونقل» التطبيقات التي تتوقع مشاركة ملف لتخزين تطبيق أو بيانات مستخدم إلى السحابة.
• النسخ الاحتياطي والإصلاح بعد كارثة. يمكنك استخدام Azure Files كتخزين للنُسخ الاحتياطية، أو للإصلاح بعد كارثة لتحسين استمرارية العمل. يمكنك استخدام Azure Files لنسخ بياناتك احتياطيًا من خوادم الملفات الموجودة مع الاحتفاظ بقوائم التحكم بالوصول المستقلة لـWindows التي تم تكوينها. لا تتأثر البيانات المخزنة على مشاركات ملفات Azure بالكوارث التي قد تؤثر على المواقع المحلية.
• Azure File Sync. باستخدام Azure File Sync، يمكن لمشاركات ملفات Azure النسخ إلى Windows Server، بشكل معلي أو في السحابة. يحسن هذا النسخ المتماثل الأداء ويوزع التخزين المؤقت للبيانات إلى مكان استخدامها.

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

استخدام حسابات تخزين الأغراض العامة v2 (GPv2) أو FileStorage لمشاركات ملفات Azure

يمكنك إنشاء مشاركة ملف Azure في حسابات تخزين مختلفة. على الرغم من أن general-purpose v1 (GPv1) وحسابات التخزين الكلاسيكية يمكنها أن تحتوي على مشاركات ملفات Azure، فإن معظم الميزات الجديدة لملفات Azure متاحة فقط في حسابات تخزين GPv2 وFileStorage. بينما تخزن مشاركة ملف Azure بيانات حسابات تخزين GPv2 على الأجهزة المستندة إلى محرك الأقراص الثابتة (المستندة إلى HDD)، فإنها تخزن بيانات حسابات تخزين FileStorage على الأجهزة المستندة إلى محرك الأقراص ذي الحالة الصلبة (المستندة إلى SSD). لمزيد من المعلومات، راجع إنشاء مشاركة ملف Azure.

إنشاء مشاركات ملفات Azure في حسابات التخزين التي تحتوي على مشاركات ملفات Azure فقط

تسمح لك حسابات التخزين باستخدام خدمات تخزين مختلفة في نفس حساب التخزين. تتضمن خدمات التخزين هذه مشاركات ملفات Azure وحاويات الكائن الثنائي كبير الحجم والجداول. تشترك جميع خدمات التخزين في حساب تخزين واحد في نفس حدود حساب التخزين. يجعل خلط خدمات التخزين في نفس حساب التخزين من الصعب استكشاف مشكلات الأداء وإصلاحها.

استخدام مشاركات الملفات المتميزة لأحمال العمل التي تتطلب معدل نقل عالٍ

يتم نشر مشاركات الملفات Premium إلى حسابات تخزين FileStorage ويتم تخزينها على أجهزة مستندة إلى محرك الأقراص ذات الحالة الصلبة (المستندة إلى SSD). هذا الإعداد يجعلها مناسبة لتخزين البيانات والوصول إليها التي تتطلب أداء متسقًا ومعدل نقل عاليًا وزمن انتقال منخفض. (على سبيل المثال، تعمل مشاركات الملفات المتميزة هذه بشكل جيد مع قواعد البيانات.) يمكنك تخزين أحمال العمل الأخرى الأقل حساسية لتقلب الأداء على مشاركات الملفات القياسية. تتضمن أنواع حمل العمل هذه مشاركات الملفات للأغراض العامة وبيئات التطوير/الاختبار. لمزيد من المعلومات، راجع كيفية إنشاء مشاركة ملف Azure.

تتطلب دائما التشفير عند الوصول إلى مشاركات ملفات SMB Azure

استخدم التشفير دائما أثناء النقل عند الوصول إلى البيانات في مشاركات ملفات SMB Azure. يتم تمكين التشفير أثناء النقل بشكل افتراضي. تسمح Azure Files بالاتصال فقط إذا تم إجراؤه باستخدام بروتوكول يستخدم التشفير، مثل SMB 3.0. العميل الذي لا يدعم SMB 3.0 لن يتاح له أن يدخل مشاركة ملف Azure إذا كان التشفير في مرحلة النقل مطلوبًا.

استخدام VPN إذا تم حظر المنفذ الذي يستخدمه SMB (المنفذ 445)

يحظر العديد من موفري خدمة الإنترنت منفذ بروتوكول التحكم في الإرسال (TCP) 445، والذي يستخدم للوصول إلى مشاركات ملفات Azure. إذا لم يكن إلغاء حظر منفذ TCP 445 خيارًا، يمكنك الوصول إلى مشاركات ملفات Azure عبر اتصال ExpressRoute أو شبكة ظاهرية خاصة (VPN) (من موقع إلى موقع أو من نقطة إلى موقع) لتجنب حظر نسبة استخدام الشبكة. لتبسيط نشر اتصال P2S VPN، راجع تهيئة Point-to-Site (P2S) VPN على Windows للاستخدام مع ملفات Azure و تهيئة Point-to-Site (P2S) VPN على Linux لاستخدامه مع ملفات Azure.

ضع في اعتبارك استخدام Azure File Sync مع مشاركات ملفات Azure

Azure File Sync هي خدمة تسمح لك بتخزين مشاركات ملفات Azure مؤقتًا على خادم ملفات Windows Server محلي. عندما تتيح ترتيب السحابة، يساعد Azure File Sync على ضمان أن خادم الملفات به مساحة متاحة دائمًا مع توفير المزيد من الملفات من التي يمكن لخادم ملفات تخزينها محليًا. إذا كان لديك خوادم ملفات Windows Server محلية، ففكر في دمج خوادم الملفات مع مشاركات ملفات Azure باستخدام Azure File Sync. لمزيد من المعلومات، راجع التخطيط لتوزيع Azure File Sync.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

قابلية التوسع

• يقتصر حجم مشاركة ملف Azure على 100 تيبيبايت (TiB). لا يوجد حد أدنى لحجم مشاركة الملفات ولا يوجد حد لعدد مشاركات ملفات Azure.
• الحد الأقصى لحجم ملف في مشاركة ملف هو 1 تيرابايت، ولا يوجد حد لعدد الملفات في مشاركة ملف.
• حدود IOPS ومعدل النقل لكل حساب تخزين Azure وتتم مشاركتها بين مشاركات ملفات Azure في نفس حساب التخزين.

لمزيد من المعلومات، راجع قابلية التوسع وأهداف الأداء في Azure Files.

التوافر

• تدعم مشاركات ملفات Azure حاليا خيارات تكرار البيانات التالية:
  • التخزين المحلي الزائد (LRS). يتم نسخ ⁧⁩البيانات بشكل متزامن ثلاث مرات داخل موقع فعلي واحد في المنطقة. هذا الإجراء يحمي من فقدان البيانات بسبب عيوب الأجهزة، مثل محرك الأقراص التالف.
  • تخزين متكرر للمنطقة (ZRS). يتم نسخ البيانات بشكل متزامن عبر ثلاث مناطق توفر قابلية وصول لـ Azure في المنطقة الأساسية. مناطق التوفر هي مواقع مادية فريدة داخل منطقة Azure. تحتوي كل منطقة على مركز بيانات واحد أو أكثر من مركز مزوداً بطاقة مستقلة وتبريد وشبكات.
  • تخزين متكرر جيولوجيًا (GRS). تقوم ⁧⁩وحدة التخزين الزائدة محلياً بنسخ البيانات بشكل متزامن ثلاث مرات داخل موقع فعلي واحد في المنطقة باستخدام LRS. ثم يتم نسخ بياناتك بشكل غير متزامن إلى موقع فعلي واحد في المنطقة الثانوية. يوفر التخزين المكرر جغرافيًا ست نسخ من بياناتك الموزعة بين منطقتي Azure.
  • التخزين المتكرر للمنطقة الجغرافية. نسخ البيانات بشكل متزامن عبر ثلاث مناطق يُوفر قابلية الوصول لـ Azure في المنطقة الأساسية باستخدام ZRS. ثم يتم نسخ بياناتك بشكل غير متزامن إلى موقع فعلي واحد في المنطقة الثانوية.
• يمكن تخزين مشاركات الملفات Premium في التخزين الزائد محليًا (LRS) والتخزين المتكرر للمنطقة (ZRS) فقط. يمكن تخزين مشاركات الملفات القياسية في LRS وZRS والتخزين المتكرر جغرافيا (GRS) والتخزين المتكرر للمنطقة الجغرافية (GZRS). لمزيد من المعلومات، راجع التخطيط لتوزيع ملفات Azure وتكرار تخزين Azure.
• Azure Files هي خدمة سحابية، وكما هو الحال مع جميع الخدمات السحابية، يجب أن يكون لديك اتصال بالإنترنت للوصول إلى مشاركات ملفات Azure. يوصى بشدة بحل الاتصال بالإنترنت المكرر لتجنب الاضطرابات.

قَابلية الإدارة

• يمكنك إدارة مشاركات ملفات Azure باستخدام نفس الأدوات مثل أي خدمة Azure أخرى. تتضمن هذه الأدوات مدخل Microsoft Azure وواجهة Command-Line Azure وAzure PowerShell.
• تفرض مشاركات الملفات Azure أذونات ملف Windows القياسية. يمكنك تكوين أذونات على مستوى الدليل أو الملف عن طريق تحميل مشاركة ملف Azure وتكوين الأذونات باستخدام الأمر مستكشف الملفات أو Windowsicacls.exe أو الأمر Set-Acl Windows PowerShell cmdlet.
• يمكنك استخدام لقطة مشاركة ملف Azure لإنشاء نسخة من نقطة زمنية للقراءة فقط من بيانات مشاركة ملف Azure. أنت تقوم بإنشاء لقطة مشاركة على مستوى مشاركة الملف. يمكنك عندها استعادة الملفات الفردية في مدخل Microsoft Azure أو في File Explorer، حيث يمكنك أيضًا استعادة مشاركة كاملة. يمكنك الحصول على ما يصل إلى 200 لقطة لكل مشاركة، مما يتيح لك استعادة الملفات إلى إصدارات زمنية مختلفة. إذا قمت بحذف مشاركة، يتم حذف اللقطات الخاصة به أيضًا. لقطات المشاركة تزايدية. يتم حفظ البيانات التي تم تغييرها بعد أحدث لقطة مشاركة فقط. يقلل هذا الإجراء من الوقت المطلوب لإنشاء لقطة المشاركة ويوفر تكاليف التخزين. تستخدم لقطات مشاركة ملف Azure أيضًا عند حماية مشاركات ملفات Azure باستخدام Azure Backup. لمزيد من المعلومات، راجع نظرة عامة على مشاركة النسخ المطابقة لـAzure Files .
• يمكنك منع الحذف العرضي لمشاركات ملفات Azure عن طريق تمكين الحذف المبدئي لمشاركات الملفات. إذا قمت بحذف مشاركة ملف عند تمكين حذف مبدئي، فستنتقل مشاركة الملف إلى حالة حذف مبدئي بدلًا من مسحها نهائيًا. يمكنك تكوين مقدار الوقت الذي يمكن فيه استعادة البيانات المحذوفة بشكل مبدئي قبل حذفها نهائيًا، واسترجاع المشاركة في أي وقت خلال فترة الاحتفاظ هذه. لمزيد من المعلومات، راجع تمكين الحذف المبدئي على مشاركات ملفات Azure.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

• استخدم مصادقة AD DS عبر SMB للوصول إلى مشاركات ملفات Azure. يوفر هذا الإعداد نفس تجربة تسجيل الدخول الأحادي (SSO) السلسة عند الوصول لمشاركات ملفات Azure كالوصول إلى مشاركات الملفات المحلية. لمزيد من المعلومات، راجع كيفية عملها وخطوات تمكين الميزات. يجب أن يكون العميل الخاص بك مجالًا مرتبطًا بـAD DS، لأن المصادقة لا تزال تتم بواسطة وحدة تحكم مجال AD DS. تحتاج أيضًا إلى تعيين أذونات مستوى المشاركة ومستوى الملف/الدليل للوصول إلى البيانات. ينتقل تعيين إذن مستوى المشاركة من خلال نموذج Azure RBAC. تتم إدارة إذن مستوى الملف/الدليل كقوائم ACL Windows.

  إشعار

  تتم مصادقة الوصول إلى مشاركات ملفات Azure دائمًا. لا تدعم مشاركات ملفات Azure الوصول المجهول. بالإضافة إلى المصادقة المستندة إلى الهوية عبر SMB، يمكن للمستخدمين المصادقة على مشاركة ملف Azure أيضًا باستخدام مفتاح الوصول إلى التخزين وتوقيع الوصول المشترك.

• يتم تشفير جميع البيانات المخزنة في مشاركة ملف Azure في وضع عدم التشغيل باستخدام تشفير خدمة تخزين Azure (SSE). يعمل تشفير خدمة التخزين بشكل مشابه لـBitLocker على Windows: يتم تشفير البيانات تحت مستوى نظام الملفات. بشكل افتراضي، يتم تشفير البيانات المخزنة في Azure Files باستخدام مفاتيح مدارة من Microsoft. باستخدام المفاتيح التي تديرها Microsoft، تحتفظ Microsoft بمفاتيح تشفير / فك تشفير البيانات، وهي تدير تدويرها بانتظام. يمكنك أيضًا اختيار إدارة المفاتيح الخاصة بك، مما يمنحك التحكم في عملية التدوير.

• يتم تمكين التشفير أثناء النقل لجميع حسابات تخزين Azure بشكل افتراضي. يعني هذا الإعداد أن جميع الاتصالات بمشاركات ملفات Azure مشفرة. لا يمكن للعملاء الذين لا يدعمون التشفير الاتصال بمشاركات ملفات Azure. إذا قمت بتعطيل التشفير في أثناء النقل، يمكن للعملاء الذين يشغلون أنظمة التشغيل القديمة، مثل Windows Server 2008 R2 أو Linux الأقدم، الاتصال أيضًا. في مثل هذه الحالات، لا يتم تشفير البيانات في أثناء النقل من مشاركات ملفات Azure.

• بشكل افتراضي، يمكن للعملاء الاتصال بمشاركة ملف Azure من أي مكان. للحد من الشبكات التي يمكن للعملاء الاتصال بمشاركات ملفات Azure منها، قم بتكوين جدار الحماية والشبكات الظاهرية واتصالات نقطة النهاية الخاصة. لمزيد من المعلومات، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية وتكوين نقاط نهاية شبكة ملفات Azure.

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة وفهم فوترة ملفات Azure.

• تحتوي ملفات Azure على مستويين للتخزين ونموذجين للتسعير:
  • التخزين القياسي: يستخدم التخزين المستند إلى HDD. لا يوجد حد أدنى لحجم مشاركة الملف، وأنت تدفع فقط مقابل مساحة التخزين المستخدمة. أيضا، تدفع مقابل عمليات الملفات، مثل تعداد دليل أو قراءة ملف.
  • تخزين Premium: يستخدم التخزين المستند إلى SSD. الحد الأدنى لحجم مشاركة ملف متميز هو 100 جيبي بايت، وتدفع لكل مساحة تخزين تم توفيرها. عند استخدام التخزين المتميز، تكون جميع عمليات الملفات مجانية.
• ترتبط التكاليف الإضافية بلقطات مشاركة الملفات ونقل البيانات الصادرة. (عند نقل البيانات من مشاركات ملفات Azure، يكون نقل البيانات الواردة مجانيًا.) تعتمد تكاليف نقل البيانات على كمية البيانات المنقولة ووحدة حفظ المخزون (SKU) لبوابة الشبكة الظاهرية، إذا كنت تستخدم واحدة. لمزيد من المعلومات حول التكاليف، راجع تسعير ملفات Azure وحاسبة تسعير Azure. تختلف التكلفة الفعلية حسب منطقة Azure وعقدك الفردي. اتصل بممثل مبيعات Microsoft للحصول على معلومات إضافية حول التسعير.

الخطوات التالية

تعرف على المزيد حول تقنيات المكونات:

• كيفية إنشاء مشاركة ملف Azure للحصول على إرشادات حول بدء استخدام مشاركة SMB.
• كيفية إنشاء مشاركة NFS للحصول على إرشادات حول بدء استخدام مشاركة إدخال NFS.

الموارد ذات الصلة

استكشاف البنى ذات الصلة:

• مشاركة ملف سحابة مؤسسة Azure
• خدمات الملفات المختلطة
• إعداد نسخة احتياطية من الملفات والتطبيقات على مركز مُكدّس الذاكرة المؤقتة Azure
• غابات متعددة مع AD DS ومعرف Microsoft Entra
• غابات متعددة مع AD DS وMicrosoft Entra ID وMicrosoft Entra Domain Services
• خدمة Azure Virtual Desktop للمؤسسة