تحرير

مشاركة عبر

مشاركة ملف سحابة Azure enterprise

Azure DNS
Azure Files
Azure Private Link
Azure Storage
Azure Virtual Network

توضح هذه البنية المرجعية حل مشاركة الملفات السحابية على مستوى المؤسسة الذي يستخدم خدمات Azure بما في ذلك Azure FilesوAzure File SyncوAzure Private DNSوAzure Private Endpoint. ويحقق الحل وفورات في التكاليف عن طريق الاستعانة بمصادر خارجية لإدارة خوادم الملفات والبنية التحتية مع الاحتفاظ بالتحكم في البيانات.

بناء الأنظمة

يوضح الرسم التخطيطي التالي كيف يمكن للعملاء الوصول إلى مشاركات ملفات Azure:

  • محليًا من خلال خادم ملفات ترتيب السحابة.
  • عن بعد عبر نظير ExpressRoute الخاص أو أنفاق VPN في بيئة شبكة خاصة.

رسم تخطيطي لمشاركة الملفات السحابية على مستوى المؤسسة يوضح كيف يمكن للعملاء الوصول إلى مشاركات ملفات Azure محليا من خلال خادم ملفات ترتيب السحابة أو عن بعد عبر نظير ExpressRoute الخاص أو نفق VPN في بيئة شبكة خاصة.

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

يستخدم حل مشاركة الملفات السحابية على مستوى المؤسسة الطرق التالية لتوفير نفس تجربة المستخدم مثل مشاركة الملفات التقليدية ولكن مع مشاركات ملفات Azure:

  • يستخدم Azure File Sync لمزامنة قوائم التحكم في الوصول إلى الملفات والمجلدات (ACL) بين خوادم الملفات المحلية ومشاركات ملفات Azure.
  • يستخدم ميزة ترتيب السحابة من عامل Azure File Sync لتخزين الملفات التي يتم الوصول إليها بشكل متكرر محليًا مؤقتًا.
  • فرض مصادقة AD DS لمشاركات Azure Files.
  • الوصول إلى خدمات مشاركة الملفات ومزامنة الملفات عبر IP الخاص من خلال Private Link ونقطة النهاية الخاصة عبر نظير خاص ExpressRoute أو نفق VPN.

من خلال تنفيذ Azure Private Endpoint على Azure Files وAzure File Sync، يتم تعطيل الوصول إلى نقطة النهاية العامة بحيث يتم تقييد الوصول إلى Azure Files وAzure File Sync من شبكة Azure الظاهرية.

يوسع نفق التناظر الخاص لـExpressRoute VPN من موقع إلى موقع الشبكة المحلية إلى شبكة Azure الظاهرية. تقتصر نسبة استخدام الشبكة Azure File Sync وServer Message Block (SMB) من أماكن العمل إلى Azure Files ونقاط النهاية الخاصة لمزامنة ملفات Azure على الاتصال الخاص فقط. أثناء الانتقال، ستسمح Azure Files بالاتصال فقط إذا تم إجراؤه باستخدام SMB 3.0+. يتم تشفير الاتصالات التي تتم من عامل مزامنة ملفات Azure إلى مشاركة ملف Azure أو خدمة مزامنة التخزين دائمًا. في حالة عدم التشغيل، يقوم Azure Storage تلقائيا بتشفير بياناتك عند استمرارها في السحابة، كما هو الحال مع ملفات Azure.

يعد محلل نظام أسماء المجالات (DNS) مكونا مهما للحل. كل خدمة Azure، في هذه الحالة Azure Files وAzure File Sync، لها اسم مجال مؤهل بالكامل (FQDN). يتم حل FQDNs لهذه الخدمات إلى عناوين IP العامة الخاصة بها في هذه الحالات:

  • عندما يصل عميل إلى مشاركة ملفات Azure.
  • عندما يقوم عامل Azure File Sync، الذي تم نشره على خادم ملفات محلي، بالوصول إلى خدمة Azure File Sync.

بعد تمكين نقطة نهاية خاصة، يتم تخصيص عناوين IP الخاصة في شبكة Azure الظاهرية. تسمح هذه العناوين بالوصول إلى هذه الخدمات عبر اتصال خاص، ويجب الآن حل نفس FQDNs إلى عناوين IP الخاصة. لتحقيق ذلك، تقوم Azure Files وAzure File Sync بإنشاء سجل DNS لاسم متعارف عليه (CNAME) لإعادة توجيه الدقة إلى اسم مجال خاص:

  • يحصل اسم المجال العام *.afs.azure.net لـAzure File Sync على إعادة توجيه CNAME إلى اسم المجال الخاص *.<region>.privatelink.afs.azure.net.
  • يحصل اسم المجال العام <name>.file.core.windows.net لملفات Azure على إعادة توجيه CNAME إلى اسم المجال الخاص <name>.privatelink.file.core.windows.net.

يقوم الحل الموضح في هذه البنية بتكوين إعدادات DNS المحلية بشكل صحيح بحيث تحل أسماء المجالات الخاصة إلى عناوين IP الخاصة، باستخدام الطرق التالية:

  • يتم إنشاء مناطق DNS الخاصة (المكونات 11 و12) من Azure لتوفير تحليل الاسم الخاص لمزامنة ملفات Azure وملفات Azure.
  • ترتبط مناطق DNS الخاصة بشبكة Azure الظاهرية بحيث يمكن لخادم DNS المنشور في الشبكة الظاهرية أو محلل DNS الخاص Azure (المكون 8) حل أسماء المجالات الخاصة.
  • يتم إنشاء سجلات DNS A لملفات Azure ومزامنة ملفات Azure في مناطق DNS الخاصة. للحصول على خطوات تكوين نقطة النهاية، راجع تكوين نقاط نهاية شبكة ملفات Azure وتكوين نقاط نهاية شبكة Azure File Sync.
  • يقوم خادم DNS المحلي (المكون 3) بإعداد إعادة التوجيه الشرطي لإعادة توجيه استعلام DNS لـdomain afs.azure.net وإلى file.core.windows.net خادم DNS في شبكة Azure الظاهرية (المكون 8).
  • بعد تلقي استعلام DNS الذي تمت إعادة توجيهه من خادم DNS المحلي، يستخدم خادم DNS (المكون 8) في شبكة Azure الظاهرية محلل Azure DNS المتكرر لحل أسماء المجالات الخاصة وإرجاع عناوين IP الخاصة إلى العميل.

المكونات

يستخدم الحل الموضح في الرسم التخطيطي للبنية المكونات التالية:

  • العميل (المكون 1 أو 2) - عادة ما يكون العميل عبارة عن سطح مكتب Windows أو Linux أو Mac OSX يمكنه التحدث إلى خادم ملفات أو ملفات Azure من خلال بروتوكول SMB.

  • خوادم DC وDNS (المكون 3) - وحدة التحكم بالمجال (DC) هي خادم يستجيب لطلبات المصادقة ويتحقق من المستخدمين على شبكات الكمبيوتر. يوفر خادم DNS خدمات تحليل اسم تعيين اسم الكمبيوتر إلى IP لأجهزة الكمبيوتر والمستخدمين. يمكن دمج خوادم DC وDNS في خادم واحد أو يمكن فصلها إلى خوادم مختلفة.

  • خادم الملفات (المكون 4) - خادم يستضيف مشاركات الملفات ويوفر خدمات مشاركة الملفات.

  • جهاز CE/VPN (المكون 5) - يتم استخدام جهاز توجيه حافة العميل (CE) أو جهاز VPN لإنشاء اتصال ExpressRoute أو VPN بشبكة Azure الظاهرية.

  • Azure ExpressRoute أو بوابة Azure VPN (المكون 6) - Azure ExpressRoute هي خدمة تتيح لك توسيع شبكتك المحلية إلى سحابة Microsoft عبر اتصال خاص يسهله موفر الاتصال. Azure VPN Gateway هي نوع محدد من بوابة الشبكة الظاهرية التي تستخدم لإرسال حركة مرور مشفرة بين شبكة Azure الظاهرية وموقع محلي عبر الإنترنت العام. ينشئ ExpressRoute أو بوابة VPN اتصال ExpressRoute أو VPN بشبكتك المحلية.

  • نقطة نهاية Azure الخاصة (المكون 7) - واجهة شبكة تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. في هذا الحل، تتصل نقطة نهاية Azure File Sync الخاصة ب Azure File Sync (9)، وتتصل نقطة نهاية Azure Files الخاصة بملفات Azure (10).

  • يستخدم خادم DNS/محلل DNS الخاص Azure (المكون 8) في مثيل شبكة Azure الظاهرية محلل Azure DNS المتكرر لحل اسم المجال الخاص وإرجاع عنوان IP خاص إلى العميل، بعد تلقي استعلام DNS معاد توجيهه من خادم DNS محلي.

  • Azure File Sync والتدرج السحابي (المكون 9) - تتيح لك Azure File Sync مركزية مشاركات ملفات مؤسستك في Azure، مع الحفاظ على مرونة خادم الملفات المحلي وأدائه وتوافقه. ترتيب السحابة هي ميزة اختيارية لخدمة Azure File Sync حيث يتم تخزين الملفات التي يتم الوصول إليها بشكل متكرر بشكل مؤقت محليًا على الخادم بينما يتم ترتيب جميع الملفات الأخرى في Azure Files استنادًا إلى إعدادات النهج.

  • Azure Files (المكون 10) - خدمة مدارة بشكل كامل توفر مشاركات ملفات في السحابة، والتي يمكن الوصول إليها عبر بروتوكول Server Message Block (SMB) القياسي في الصناعة. تنفذ Azure Files بروتوكول SMB v3 وتدعم المصادقة من خلال Active Directory محلي Domain Services (AD DS) وMicrosoft Entra Domain Services. File shares من Azure File يمكن تحميله بشكل متزامن عن طريق النشر على السحابة أو محليًا باستخدام Windows وLinux وmacOS. بالإضافة إلى ذلك، يمكن تخزين مشاركات ملفات SMB Azure مؤقتا بالقرب من مكان استخدام البيانات، على خوادم Windows مع Azure File Sync للوصول السريع.

  • Azure Private DNS (المكونان 11 و12) - خدمة DNS التي تقدمها Azure، يدير DNS الخاص أسماء المجالات ويحلها في شبكة ظاهرية، دون الحاجة إلى إضافة حل DNS مخصص.

  • Azure Backup (المكون 13) - Azure Backup هي خدمة نسخ احتياطي لمشاركة ملفات Azure تستخدم لقطات مشاركة الملفات لتوفير حل نسخ احتياطي مستند إلى السحابة. لاعتبارات، راجع فقدان البيانات والنسخ الاحتياطي.

تفاصيل السيناريو

يسمح لك هذا الحل بالوصول إلى مشاركات ملفات Azure في بيئة عمل مختلطة عبر شبكة خاصة ظاهرية بين الشبكات الظاهرية المحلية وشبكات Azure الظاهرية دون اجتياز الإنترنت. كما يسمح لك بالتحكم في الوصول إلى الملفات والحد منه من خلال المصادقة المستندة إلى الهوية.

حالات الاستخدام المحتملة

يدعم حل مشاركة الملفات السحابية حالات الاستخدام المحتملة التالية:

  • رفع وإزاحة خادم الملفات أو مشاركة الملفات. من خلال الرفع والتحويل، فإنك تلغي الحاجة إلى إعادة هيكلة البيانات أو إعادة تنسيقها. يمكنك أيضًا الاحتفاظ بالتطبيقات القديمة محليًا مع الاستفادة من التخزين السحابي.
  • تسريع الابتكار السحابي مع زيادة الكفاءة التشغيلية. يقلل من تكلفة الحفاظ على الأجهزة والمساحة المادية، ويحمي من تلف البيانات وفقدان البيانات.
  • وصول خاص إلى مشاركات ملفات Azure. الحماية من النقل غير المصرّح للبيانات.

تدفقات نسبة استخدام الشبكة

بعد تمكين Azure File Sync وAzure Files، يمكن الوصول إلى مشاركات ملفات Azure في وضعين، وضع ذاكرة التخزين المؤقت المحلي أو الوضع البعيد. في كلا الوضعين، يستخدم العميل بيانات اعتماد AD DS الحالية لمصادقة نفسه.

  • وضع ذاكرة التخزين المؤقت المحلية - يصل العميل إلى الملفات ومشاركات الملفات من خلال خادم ملفات محلي مع تمكين ترتيب السحابة. عندما يفتح مستخدم ملفًا من خادم الملفات المحلي، يتم تقديم بيانات الملف إما من ذاكرة التخزين المؤقت المحلية لخادم الملفات، أو يقوم عامل Azure File Sync باستدعاء بيانات الملف بسلاسة من ملفات Azure. في الرسم التخطيطي للبنية لهذا الحل، يحدث ذلك بين المكون 1 و4.

  • الوضع عن بعد - يصل العميل إلى الملفات ومشاركات الملفات مباشرة من مشاركة ملف Azure عن بعد. في الرسم التخطيطي للبنية لهذا الحل، ينتقل تدفق نسبة استخدام الشبكة عبر المكونات 2 و5 و6 و7 و10.

تنتقل نسبة استخدام شبكة Azure File Sync بين المكونات 4 و5 و6 و7، باستخدام دائرة ExpressRoute للاتصال الموثوق به.

تمر استعلامات تحليل اسم المجال الخاص عبر المكونات 3 و5 و6 و8 و11 و12 باستخدام التسلسل التالي:

  1. يرسل العميل استعلامًا إلى خادم DNS محلي لحل Azure Files أو اسم DNS لمزامنة ملفات Azure.
  2. يحتوي خادم DNS المحلي على معيد توجيه شرطي يشير تحليل اسم Azure File وAzure File Sync DNS إلى خادم DNS في شبكة Azure الظاهرية.
  3. تتم إعادة توجيه الاستعلام إلى خادم DNS أو محلل DNS الخاص ل Azure في شبكة Azure الظاهرية.
  4. اعتمادا على تكوين DNS للشبكة الظاهرية:
    • إذا تم تكوين خادم DNS مخصص، يرسل خادم DNS في شبكة Azure الظاهرية استعلام اسم إلى محلل DNS (168.63.129.16) المتوفر من Azure.
    • إذا تم تكوين محلل DNS الخاص ل Azure، وكان الاستعلام يطابق مناطق DNS الخاصة المرتبطة بالشبكة الظاهرية، تتم استشارة هذه المناطق.
  5. يقوم محلل DNS الخاص لخادم DNS/Azure بإرجاع عنوان IP خاص، بعد حل اسم المجال الخاص إلى منطقة DNS الخاصة المعنية. يستخدم ارتباطات شبكة Azure الظاهرية إلى منطقة Azure Files DNS ومنطقة DNS الخاصة ل Azure File Sync.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

ضع في اعتبارك النقاط التالية عند تنفيذ هذا الحل.

التخطيط

الشبكات

DNS

عند إدارة تحليل الاسم لنقاط النهاية الخاصة، يتم حل أسماء المجالات الخاصة لملفات Azure ومزامنة ملفات Azure بالطريقة التالية:

من جانب Azure:

  • إذا تم استخدام تحليل الاسم المقدم من Azure، يجب أن ترتبط شبكة Azure الظاهرية بمناطق DNS الخاصة المتوفرة.
  • إذا تم استخدام "إحضار خادم DNS الخاص بك"، يجب أن ترتبط الشبكة الظاهرية حيث يتم نشر خادم DNS الخاص بك بمناطق DNS الخاصة المتوفرة.

من الجانب المحلي، يتم تعيين اسم المجال الخاص إلى عنوان IP خاص بإحدى الطرق التالية:

  • من خلال إعادة توجيه DNS إلى خادم DNS المنشور في شبكة Azure الظاهرية أو محلل DNS الخاص Azure، كما يظهر الرسم التخطيطي.
  • من خلال خادم DNS المحلي الذي يقوم بإعداد مناطق للمجال <region>.privatelink.afs.azure.net الخاص و privatelink.file.core.windows.net. يسجل الخادم عناوين IP لملفات Azure ونقاط النهاية الخاصة لمزامنة ملفات Azure كسجلات DNS A في مناطق DNS الخاصة بها. يحل العميل المحلي اسم المجال الخاص مباشرة من خادم DNS المحلي.

نظام الملفات الموزعة (DFS)

عندما يتعلق الأمر بحل مشاركة الملفات المحلي، يختار العديد من المسؤولين استخدام DFS بدلا من خادم ملفات مستقل تقليدي. يسمح DFS للمسؤولين بدمج مشاركات الملفات التي قد تكون موجودة على خوادم متعددة بحيث تظهر كما لو كانت كلها موجودة في نفس الموقع، ما يسمح للمستخدمين بالوصول إليها من نقطة واحدة على الشبكة. في أثناء الانتقال إلى حل مشاركة ملف السحابة، يمكن استبدال توزيع DFS-R التقليدي بنشر Azure File Sync. لمزيد من المعلومات، راجع ترحيل DFS Replication (DFS-R) إلى Azure File Sync.

فقدان البيانات والنسخ الاحتياطي

فقدان البيانات هو مشكلة خطيرة للشركات من جميع الأحجام. يستخدم النسخ الاحتياطي لمشاركة ملفات Azure نسخ مطابقة لمشاركة الملفات للنسخ الاحتياطي على السحابة يحمي بياناتك في السحابة ويزيل تكاليف الصيانة الإضافية المتضمنة في حلول النسخ الاحتياطي المحلية. تتضمن الفوائد الرئيسية للنسخ الاحتياطي لمشاركة ملف Azure ما يلي:

  • البنية الأساسية المعدومة
  • استبقاء مخصص
  • قدرات الإدارة المضمنة
  • عمليات الاستعادة الفورية
  • التنبيه وإعداد التقارير
  • الحماية من الحذف العرضي لمشاركات الملفات

لمزيد من المعلومات، راجع حول النسخ الاحتياطي لمشاركة ملف Azure

دعم الهويات المختلطة على Azure Files

على الرغم من أن هذه المقالة تصف Active Directory للمصادقة على ملفات Azure، فمن الممكن استخدام معرف Microsoft Entra لمصادقة هويات المستخدمين المختلطين. تدعم Azure Files المصادقة المستندة إلى الهوية عبر Server Message Block (SMB)، باستخدام بروتوكول مصادقة Kerberos من خلال الطرق التالية:

  • خدمات مجال Active Directory الداخلية
  • خدمات مجال Microsoft Entra
  • Microsoft Entra Kerberos (لهويات المستخدمين المختلطين فقط)
  • مصادقة AD لعملاء Linux

لمزيد من المعلومات، راجع تمكين مصادقة Microsoft Entra Kerberos للهويات المختلطة على ملفات Azure.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات محسنة لتخفيف DDoS لتوفير المزيد من الدفاع ضد هجمات DDoS. يجب تمكين Azure DDOS Protection على أي شبكة ظاهرية محيطة.

تدقيق الأمان هو شرط ضروري للمساعدة في الحفاظ على أمان المؤسسة. تتطلب معايير الصناعة من المؤسسات اتباع مجموعة صارمة من القواعد المتعلقة بأمن البيانات والخصوصية.

تدقيق الوصول إلى الملفات

يمكن تمكين تدقيق الوصول إلى الملفات محليا عن بعد:

  • محليا، باستخدام التحكم في الوصول الديناميكي. لمزيد من المعلومات، راجع التخطيط لتدقيق الوصول إلى الملفات.
  • عن بعد، باستخدام سجلات تخزين Azure في Azure Monitor على ملفات Azure. تحتوي سجلات Azure Storage على StorageRead وStorageWrite وStorageDelete وسجلات المعاملات. يمكن تسجيل الوصول إلى ملف Azure إلى حساب تخزين أو مساحة عمل تحليلات السجل أو دفقه إلى مركز أحداث بشكل منفصل. لمزيد من المعلومات، راجع مراقبة ملفات Azure.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية