اعتبارات شبكة ملفات Azure

يُمكنك الوصول إلى مشاركات Azure File عبر نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت، أو عبر نقطة نهاية خاصة واحدة أو أكثر على شبكتك، أو عن طريق التخزين المؤقت لمشاركة Azure File محليا باستخدام Azure File Sync (مشاركات ملفات SMB فقط). تركز هذه المقالة على كيفية تكوين Azure File للوصول المباشر عبر نقاط النهاية العامة و/أو الخاصة. لمعرفة كيفية تخزين مشاركة Azure File مؤقتا مَحليا باستخدام Azure File Sync، راجع مقدمة حول Azure File Sync.

نوصي بقراءة التخطيط لنشر ملفات Azure قبل قراءة هذا الدليل.

غالبا ما يتطلب الوصول المباشر إلى مشاركة ملف Azure تفكيرا إضافيا فيما يتعلق بالشبكات:

• تتواصل مشاركات ملفات SMB عبر المنفذ 445، الذي تحظره العديد من المؤسسات وموفري خدمة الإنترنت (ISP) لنسبة استخدام الشبكة الصادرة (الإنترنت). تنشأ هذه الممارسة من إرشادات الأمان القديمة حول الإصدارات المهملة وغير الآمنة عبر الأنترنت لبروتوكول SMB. على الرغم من أن SMB 3.x بروتوكول آمن على إنترنت، إلا أنه قد لا يكون من الممكن تغيير السياسات التنظيمية أو ISP. لذلك، غالبا ما يتطلب تركيب مُشاركة ملف SMB تكوين شبكة اتصال إضافي لاستخدامه خارج Azure.

• تعتمد مشاركات ملفات NFS على المصادقة على مُستوى الشبكة وبالتالي لا يمكن الوصول إليها إلا عبر الشبكات المقيدة. يتطلب استخدام مشاركة ملف NFS دائمًا مستوى معينًا من تكوين الشبكة.

يتم تكوين نقاط النهاية العامة والخاصة لـ Azure File على عنصر إدارة المستوى الأعلى لـ Azure File، حساب تخزين Azure. حساب التخزين هو بناء إدارة تمثل مجموعة مشتركة من التخزين حيث يمكنك توزيع مشاركات Azure File متعددة، بالإضافة إلى موارد تخزين Azure أخرى، مثل حاويات العنصر الثنائي كبير الحجم وقوائم الانتظار.

يعتبر هذا الفيديو دليلاً وعرضًا توضيحيًا لكيفية عرض مشاركات ملفات Azure بشكل آمن مباشرة إلى العاملين في مجال المعلومات والتطبيقات في خمس خطوات بسيطة. توفر الأقسام أدناه روابط وسياقًا إضافيًا للوثائق المشار إليها في الفيديو. لاحظ أن Azure Active Directory هو الآن معرف Microsoft Entra. لمزيد من المعلومات، راجع اسم جديد ل Azure AD.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS)
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)

نقل آمن

بشكل افتراضي، تتطلب حِسابات تخزين Azure نقلا آمنا، بغض النظر عما إذا كان يتم الوصول إلى البيانات عبر نقطة النهاية العامة أو الخاصة. بالنسبة لـ Azure File، يتم فرض إعداد النقل الآمن المطلوب لجميع وصول البروتوكول إلى البيانات المخزنة على مشاركات Azure File، بما في ذلك SMB وNFS وFileREST. يمكنك تعطيل إعداد طلب النقل الآمن للسماح بحركة المرور غير المشفرة. في مدخل Microsoft Azure، قد ترى أيضا هذا الإعداد المسمى على أنه يتطلب نقلا آمنا لعمليات REST API.

بروتوكولات SMB و NFS و FileREST لها سلوك مختلف قليلا فيما يتعلق بإعداد النقل الآمن المطلوب:

• عند تمكين النقل الآمن المطلوب على حساب تخزين، سوف تتطلب جميع مشاركات ملفات SMB في حساب التخزين هذا بروتوكول SMB 3.x مع خوارزميات تشفير AES-128-CCM أو AES-128-GCM أو AES-256-GCM، اعتمادا على مفاوضات التشفير المتاحة/المطلوبة بين عميل SMB وAzure Files. يُمكنك تبديل خوارزميات تشفير SMB المسموح بها عبر إعدادات أمان SMB. يؤدي تعطيل إعداد النقل الآمن المطلوب إلى تَمكين حوامل SMB 2.1 و SMB 3.x بدون تشفير.

• لا تدعم مشاركات ملفات NFS آلية تشفير، لذلك من أجل استخدام بروتوكول NFS للوصول إلى مشاركة ملف Azure، يجب تعطيل طلب نقل آمن لحساب التخزين.

• عند الحاجة إلى نقل آمن، لا يجوز ان تستخدم بروتوكول FileREST إلا مع HTTPS. يتم دعم FileREST فقط على مُشاركات ملفات SMB اليوم.

إشعار

يتم تشفير الاتصال بين عميل وحساب تخزين Azure باستخدام بروتوكول أمان طبقة النقل (TLS). تعتمد Azure Files على تطبيق Windows ل SSL الذي لا يستند إلى OpenSSL وبالتالي لا يتعرض للثغرات الأمنية المتعلقة ب OpenSSL.

نقطة النهاية العامة

نقطة النهاية العامة لمشاركة Azure File داخل حساب تخزين هي نقطة نهاية مكشوفة للإنترنت. نقطة النهاية العامة هي نقطة النهاية الافتراضية لحساب التخزين، ومع ذلك، يمكن تعطيلها إذا رغبت في ذلك.

يُمكن لبروتوكولات SMB وNFS وFileREST استخدام نقطة النهاية العامة. ومع ذلك، فإن لكل منها قواعد مختلفة قليلا للوصول:

• يُمكن الوصول إلى مشاركات ملفات SMB من أي مكان في العالم عبر نقطة النهاية العامة لحساب التخزين مع SMB 3.x مع التشفير. وهذا يعني أن الطلبات المصادق عليها، مثل الطلبات المُصرح بها بواسطة هوية تسجيل دخول المستخدم، يمكن أن تنشأ بشكل آمن من داخل أو خارج Azure. إذا كنت ترغب في SMB 2.1 أو SMB 3.x بدون تشفير، فيجب استيفاء شرطين:

  1. يجب تعطيل إعداد طلب نقل آمنفي حساب التخزين.
  2. يجب أن ينشأ الطلب مِن داخل منطقة Azure. كما ذكرنا سابقا، يُسمح بطلبات SMB المشفرة من أي مكان، داخل منطقة Azure أو خارجها.

• يُمكن الوصول إلى مشاركات ملفات NFS من نقطة النهاية العامة لحساب التخزين إذا وفقط إذا كانت نقطة النهاية العامة لحساب التخزين مقتصرة على شبكات ظاهرية محددة باستخدام نقاط نهاية الخدمة. راجع إعدادات جدار حِماية نقطة النهاية العامة للحصول على معلومات إضافية حول نقاط نهاية الخدمة.

• يُمكن الوصول إلى FileREST عبر نقطة النهاية العامة. إذا كان النقل الآمن مطلوبًا، يتم قبول طلبات HTTPS فقط. إذا تم تعطيل النقل الآمن، سيتم قبول طلبات HTTP بواسطة نقطة النهاية العامة بغض النظر عن الأصل.

إعدادات جدار الحماية لنقطة النهاية العامة

يقيد جدار حماية حِساب التخزين الوصول إلى نقطة النهاية العامة لحساب التخزين. باستخدام جدار حماية حساب التخزين، يمكنك تقييد الوصول إلى عناوين IP/نطاقات عناوين IP معينة، أو إلى شبكات افتراضية مُحددة، أو تعطيل نقطة النهاية العامة بالكامل.

عند تقييد نسبة استخدام الشبكة لنقطة النهاية العامة إلى شبكة ظاهرية واحدة أو أكثر، فإنك تستخدم إمكانية الشبكة الظاهرية تسمى نقاط نهاية الخدمة. لا تزال الطلبات الموجهة إلى نقطة نهاية الخدمة الخاصة بـ Azure File تنتقل إلى عنوان IP العام لحساب التخزين؛ ومع ذلك، تقوم طبقة الشبكات بإجراء تحقق إضافي من الطلب للتحقق من أنه قادم من شبكة افتراضية معتمدة. تدعم بروتوكولات SMB وNFS وFileREST نقاط نهاية خدمة الدَعم. على عكس SMB و FileREST، ومع ذلك، لا يمكن الوصول إلى مشاركات ملفات NFS إلا مع نقطة النهاية العامة من خلال استخدام نقطة نهاية الخدمة.

لمعرفة المزيد حول كيفية تهيئة جدار حماية حساب التخزين، راجع تهيئة جدران حماية تخزين Azure والشبكات الظاهرية.

التوجيه لشبكة نقطة النهاية العامة

تدعم ملفات Azure خيارات توجيه الشبكة المتعددة. الخيار الافتراضي، توجيه Microsoft، يعمل مع كافة تهيئات ملفات Azure. لا يدعم خيار توجيه الإنترنت سيناريوهات الانضمام إلى مجال AD أو Azure File Sync.

نقاط النهاية الخاصة

بالإضافة إلى نقطة النهاية العامة الافتراضية لحساب التخزين، توفر ملفات Azure خيار الحصول على نقطة نهاية خاصة واحدة أو أكثر. نقطة النهاية الخاصة هي نقطة نهاية لا يمكن الوصول إليها إلا من خلال الشبكة Azure الظاهرية. عندما تُنشئ نقطة نهاية خاصة لحساب التخزين الخاص بك، يحصل حساب التخزين الخاص بك على عنوان IP خاص من داخل مساحة عنوان الشبكة الظاهرية الخاصة بك، وهو يشبه إلى حد كبير كيفية تلقي خادم الملفات المحلي أو جهاز NAS عنوان IP داخل مساحة العنوان المخصصة من الشبكة المحلية الخاصة بك.

تقترن نقطة نهاية خاصة فردية بشبكة فرعية محددة لشبكة Azure الظاهرية. قد يحتوي حساب تخزين على نقاط نهاية خاصة في أكثر من شبكة ظاهرية واحدة.

يتيح لك استخدام نقاط النهاية الخاصة مع ملفات Azure ما يلي:

• الاتصال بأمان بمشاركات ملفات Azure من الشبكات المحلية باستخدام اتصال VPN أو ExpressRoute مع نظير خاص.
• تأمين مشاركات ملف Azure عن طريق تهيئة جدار حماية حساب التخزين لمنع كافة الاتصالات على نقطة النهاية العامة. بشكل افتراضي، لا يؤدي إنشاء نقطة نهاية خاصة إلى حظر الاتصالات بنقطة النهاية العامة.
• زيادة الأمان للشبكة الظاهرية من خلال تمكينك من منع تسرب البيانات من الشبكة الظاهرية (وحدود التناظر).

لإنشاء نقطة نهاية خاصة، راجع تهيئة نقاط نهاية خاصة لملفات Azure.

المرور النفقي عبر شبكة خاصة ظاهرية أو ExpressRoute

لاستخدام نقاط النهاية الخاصة للوصول إلى مشاركات ملفات SMB أو NFS من محلي، يجب إنشاء نفق شبكة بين الشبكة المَحلية وAzure. تشبه الشبكة الافتراضية، أو VNet، الشبكة التقليدية التي تشغلها مَحليًا. مثل حساب تخزين Azure H أو Azure VM، تعتبر VNet مورد Azure يتم نشرها في مجموعة موارد.

تدعم ملفات Azure الآليات التالية لحركة مرور النفق بين محطات العمل والخوادم المحلية الخاصة بك ومشاركات ملفات Azure SMB/NFS:

• Azure VPN Gateway: VPN Gateway هي نوع معين من بوابة الشبكة الافتراضية التي تُستخدم لإرسال حركة مرور مشفرة بين شبكة Azure الظاهرية وموقع بديل (مثل الموقع الداخلي) عبر الإنترنت. Azure VPN Gateway هي مورد Azure يمكن توزيعها في مجموعة موارد جنبًا إلى جنب مع حساب تخزين أو موارد Azure أخرى. تعرض بوابات VPN نوعين مختلفين من الاتصالات:
  • اتصالات Point-to-Site (P2S) VPN gateway: وهي اتصالات VPN بين Azure وعميل فردي. هذا الحل مفيد بشكل أساسي للأجهزة التي ليست جزءا من الشبكة المحلية لمؤسستك. حالة الاستخدام الشائع هي للعاملين عن بُعد الذين يريدون أن يكونوا قادرين على تحميل مشاركة Azure File الخاص بهم من المنزل أو المقهى أو الفندق أثناء التنقل. لاستخدام اتصال P2S VPN مع Azure File، يجب تهيئة اتصال P2S VPN لكل عميل يريد الاتصال. راجع تكوين VPN من نقطة إلى موقع (P2S) على Windows للاستخدام مع Azure Files وتكوين VPN من نقطة إلى موقع (P2S) على Linux للاستخدام مع ملفات Azure.
  • Site-to-Site (S2S) VPN، وهي اتصالات VPN بين Azure وشبكة مؤسستك. يتيح لك اتصال S2S VPN تهيئة اتصال VPN مرة واحدة، لخادم VPN أو جهاز مستضاف على شبكة مؤسستك، بدلًا من القيام به لكل جهاز عميل يحتاج إلى الوصول إلى مشاركة Azure File. راجع تكوين VPN من موقع إلى موقع (S2S) للاستخدام مع ملفات Azure.
• ExpressRoute، الذي يتيح لك إنشاء مسار محدد بين Azure والشبكة المحلية التي لا تعبر الإنترنت. نظرا لأن ExpressRoute يوفر مسارا مخصصا بين مركز البيانات المحلي وAzure، يمكن أن يكون ExpressRoute مفيدا عندما يكون أداء الشبكة أحد الاعتبارات. يعد ExpressRoute أيضًا خيارًا جيدًا عندما تتطلب سياسة مؤسستك أو متطلباتها التنظيمية مسارًا محددًا إلى مواردك في السحابة.

إشعار

على الرغم من أننا نوصي باستخدام نقاط النهاية الخاصة للمساعدة في توسيع شبكتك المحلية إلى Azure، إلا أنه من المُمكن تقنيا التوجيه إلى نقطة النهاية العامة عبر اتصال VPN. ومع ذلك، يتطلب ذلك ترميز عنوان IP لنقطة النهاية العامة لمجموعة تخزين Azure التي تخدم حِساب التخزين الخاص بك. نظرا لأنه قد يتم نقل حسابات التخزين بين مجموعات التخزين في أي وقت وتتم إضافة مجموعات جديدة وإزالتها بشكل متكرر، فإن هذا يتطلب ترميزا مضمنا بانتظام لجميع عناوين IP الممكنة لتخزين Azure في قواعد التوجيه الخاصة بك.

تكوين DNS

عند إنشاء نقطة نهاية خاصة، فإننا نقوم أيضًا بشكل افتراضي بإنشاء (أو تحديث منطقة DNS خاصة موجودة) مطابقة privatelink للمجال الفرعي. بشكل صارم، لا يلزم إنشاء منطقة DNS خاصة لاستخدام نقطة نهاية خاصة لحساب التخزين الخاص بك. ومع ذلك، يوصى به بشدة بشكل عام، وهو مطلوب بشكل صريح عند تحميل مشاركة ملف Azure مع أساس مستخدم Active Directory أو الوصول إليه من واجهة برمجة تطبيقات FileREST.

إشعار

تستخدم هذه المقالة لاحقة DNS لحساب التخزين لمناطق Azure العامة core.windows.net. ينطبق هذا التعليق أيضا على سحابات Azure السيادية مثل سحابة Azure US Government وMicrosoft Azure التي تشغلها سحابة 21Vianet - ما عليك سوى استبدال اللاحقات المناسبة للبيئة الخاصة بك.

في منطقة DNS الخاصة بك، نقوم بإنشاء سجل لـ storageaccount.privatelink.file.core.windows.net لسجل CNAME للاسم العادي لحساب التخزين، والذي يتبع النمطstorageaccount.file.core.windows.net. نظرًا إلى أن منطقة DNS الخاصة بـ Azure متصلة بالشبكة الظاهرية المحتوية على نقطة النهاية الخاصة، يمكنك مراقبة تهيئة DNS عند استدعاء Resolve-DnsName cmdlet من PowerShell في Azure VM (بالتناوب nslookup في نظامي التشغيل Windows وLinux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

في هذا المثال، يحل حساب storageaccount.file.core.windows.net التخزين إلى عنوان IP الخاص لنقطة النهاية الخاصة، والذي يحدث أن يكون 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

إذا قمت بتشغيل نفس الأمر من أماكن العمل، فسترى أن نفس اسم حساب التخزين يحل إلى عنوان IP العام لحساب التخزين بدلا من ذلك. على سبيل المثال، storageaccount.file.core.windows.net هو سجل CNAME ل storageaccount.privatelink.file.core.windows.net، والذي بدوره هو سجل CNAME لمجموعة تخزين Azure التي تستضيف حساب التخزين:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

وهذا يعكس حقيقة أن حساب التخزين يمكن أن يعرض كلاً من نقطة النهاية العامة ونقطة نهاية خاصة واحدة أو أكثر. للتأكد من أن اسم حساب التخزين يتحول إلى عنوان IP الخاص بنقطة النهاية الخاصة، يجب عليك تغيير التهيئة على خوادم DNS المحلية. ويمكن تحقيق ذلك بعدة طرق:

• تعديل ملف المضيفين على العملاء لإجراء storageaccount.file.core.windows.net تحول إلى عنوان IP الخاص بنقطة النهاية الخاصة المطلوبة. لا ينصح بذلك بشدة لبيئات الإنتاج، لأنك ستحتاج إلى إجراء هذه التغييرات على كل عميل يريد تحميل مشاركات ملفات Azure، ولن تتم معالجة التغييرات على حساب التخزين أو نقطة النهاية الخاصة تلقائيا.
• إنشاء سجل في storageaccount.file.core.windows.net خوادم DNS المحلية الخاصة بك. يتمتع هذا بميزة أن العملاء في البيئة المحلية الخاصة بك ستكون قادرة على تحويل حساب التخزين تلقائيًا دون الحاجة إلى تهيئة كل عميل، ولكن هذا الحل غير مجدٍ أيضًا في تعديل ملف المضيفين لعدم انعكاس التغييرات. ومع ذلك، فإن هذا الحل هش بالمثل لتعديل ملف المضيفين لأن التغييرات لا تنعكس. على الرغم من أن هذا الحل هش، فقد يكون الخيار الأفضل لبعض البيئات.
• إعادة توجيه core.windows.net المنطقة من خوادم DNS المحلية إلى منطقة DNS الخاصة بـ Azure الخاصة بك. يمكن الوصول إلى مضيف DNS الخاص بـ Azure من خلال عنوان IP خاص ( 168.63.129.16 ) الذي يمكن الوصول إليه فقط داخل الشبكات الظاهرية المرتبطة بمنطقة DNS الخاصة بـ Azure. لحل هذا التقييد، يمكنك تشغيل خوادم DNS إضافية ضمن شبكتك الظاهرية التي ستعيد توجيههاcore.windows.net إلى منطقة DNS الخاصة بـ Azure. لتبسيط هذا الإعداد، قدمنا PowerShell cmdlets التي ستقوم بنشر خوادم DNS تلقائيا في شبكة Azure الظاهرية وتكوينها حسب الرغبة. لمعرفة كيفية إعداد إعادة توجيه DNS، راجع تهيئة DNS باستخدام ملفات Azure.

SMB على QUIC

يدعم Windows Server 2022 Azure Edition بروتوكول نقل جديد يسمى QUIC لخادم SMB الذي يوفره دور خادم الملفات. QUIC هو بديل ل TCP الذي تم بناؤه فوق UDP، مما يوفر العديد من المزايا على TCP مع الاستمرار في توفير آلية نقل موثوقة. إحدى المزايا الرئيسية لبروتوكول SMB هي أنه بدلاً من استخدام المنفذ 445، فإن جميع عمليات النقل تتم عبر المنفذ 443، وهو مفتوح على نطاق واسع للخارج لدعم HTTPS. هذا يعني بشكل فعال أن SMB عبر QUIC يقدم "SMB VPN" لمشاركة المَلفات عبر الإنترنت العام. Windows 11 يشحن مع SMB من خلال عميل قادر على QUIC.

في الوقت الحالي، لا تدعم ملفات Azure بشكل مباشر SMB من خلال QUIC. ومع ذلك، يمكنك الوصول إلى مشاركات ملفات Azure عبر مزامنة ملفات Azure التي تعمل على Windows Server كما في الرسم التخطيطي أدناه. يمنحك هذا أيضًا خيار تخزين ذاكرات التخزين المؤقت لمزامنة ملفات Azure محليًا أو في مراكز بيانات Azure مختلفة لتوفير ذاكرات تخزين مؤقت محلية للقوى العاملة الموزعة. لمعرفة المزيد حول هذا الخيار، راجع نشر مزامنة ملفات Azure وSMB عبر QUIC.

(راجع أيضًا )

• نظرة عامة على ملفات Azure
• التخطيط لتوزيع ملفات Azure