Upravit

Sdílet prostřednictvím


Použití sdílených složek Azure v hybridním prostředí

Microsoft Entra ID
Azure Files

Tato architektura ukazuje, jak zahrnout sdílené složky Azure do hybridního prostředí. Sdílené složky Azure se používají jako bezserverové sdílené složky. Když je integrujete se službou Active Directory Directory Services (AD DS), můžete řídit a omezovat přístup uživatelům služby AD DS. Sdílené složky Azure pak můžou nahradit tradiční souborové servery.

Architektura

Diagram architektury sdílených složek Azure, který ukazuje, jak můžou klienti přistupovat ke sdílené složce Azure přímo přes port TCP 445 (SMB 3.0) nebo napřed navazováním připojení VPN.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Tato architektura se skládá z následujících součástí:

  • Tenant Microsoft Entra. Tato komponenta je instance Microsoft Entra, kterou vytvořila vaše organizace. Funguje jako adresářová služba pro cloudové aplikace uložením objektů zkopírovaných z místní Active Directory. Poskytuje také služby identit při přístupu ke sdíleným složkám Azure.
  • Server SLUŽBY AD DS. Tato komponenta je místní adresářová služba a služba identit. Adresář SLUŽBY AD DS se synchronizuje s Microsoft Entra ID, aby mohl ověřovat místní uživatele.
  • Server Microsoft Entra Connect Sync. Tato komponenta je místní server, na kterém běží služba Microsoft Entra Connect Sync. Tato služba synchronizuje informace uchovávané v místní Active Directory s ID Microsoft Entra.
  • Brána virtuální sítě: Tato volitelná komponenta slouží k odesílání šifrovaného provozu mezi službou Azure Virtual Network a místním umístěním přes internet.
  • Sdílené složky Azure. Sdílené složky Azure poskytují úložiště pro soubory a složky, ke kterým máte přístup přes protokol SMB (Server Message Block), systém souborů NFS (Network File System) a protokoly HTTP (Hypertext Transfer Protocol). Sdílené složky se nasazují do účtů úložiště Azure.
  • Trezor služby Recovery Services Tato volitelná komponenta poskytuje zálohování sdílených složek Azure.
  • Klienti. Tyto komponenty jsou členské počítače služby AD DS, ze kterých mají uživatelé přístup ke sdíleným složkám Azure.

Komponenty

Klíčové technologie používané k implementaci této architektury:

  • Microsoft Entra ID je služba podnikové identity, která poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup.
  • Azure Files nabízí plně spravované sdílené složky v cloudu, které jsou přístupné pomocí standardních protokolů odvětví.
  • Brána VPN Gateway odesílá šifrovaný provoz mezi virtuální sítí Azure a místním umístěním přes veřejný internet.

Podrobnosti scénáře

Potenciální případy použití

Obvyklá využití pro tuto architekturu:

  • Nahraďte nebo doplňte místní souborové servery. Služba Azure Files může zcela nahradit nebo doplnit tradiční místní souborové servery nebo síťová úložná zařízení. Pomocí sdílených složek Azure a ověřováním AD DS můžete migrovat data do služby Azure Files. Tato migrace může využít výhod vysoké dostupnosti a škálovatelnosti a současně minimalizovat změny klientů.
  • Lift and shift. Azure Files usnadňuje "metodu "lift and shift" aplikací, které očekávají, že sdílená složka bude ukládat data aplikací nebo uživatelů do cloudu.
  • Zálohování a zotavení po havárii Azure Files můžete použít jako úložiště pro zálohy nebo zotavení po havárii, abyste zlepšili kontinuitu podnikových procesů. Soubory Azure můžete použít k zálohování dat z existujících souborových serverů a zachování nakonfigurovaných seznamů řízení přístupu pro Windows podle uvážení. Data uložená ve sdílených složkách Azure nemají vliv na havárie, které by mohly mít vliv na místní umístění.
  • Synchronizace souborů Azure. Díky Synchronizace souborů Azure se sdílené složky Azure můžou replikovat na Windows Server v místním prostředí nebo v cloudu. Tato replikace zlepšuje výkon a distribuuje ukládání dat do mezipaměti do místa, kde se používají.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Použití účtů úložiště FileStorage pro sdílené složky Azure pro obecné účely verze 2 (GPv2) nebo FileStorage

Sdílenou složku Azure můžete vytvořit v různých účtech úložiště. I když účty úložiště pro obecné účely verze 1 (GPv1) a klasické účty úložiště můžou obsahovat sdílené složky Azure, většina nových funkcí služby Azure Files je dostupná jenom v účtech úložiště GPv2 a FileStorage. Zatímco sdílená složka Azure ukládá data účtů úložiště GPv2 na hardwaru založeném na pevných discích (HDD), ukládá data účtů úložiště FileStorage na hardware založeném na jednotce SSD (Solid-State Drive). Další informace najdete v tématu Vytvoření sdílené složky Azure.

Vytvoření sdílených složek Azure v účtech úložiště, které obsahují jenom sdílené složky Azure

Účty úložiště umožňují používat různé služby úložiště ve stejném účtu úložiště. Mezi tyto služby úložiště patří sdílené složky Azure, kontejnery objektů blob a tabulky. Všechny služby úložiště v jednom účtu úložiště sdílejí stejné limity účtu úložiště. Kombinování služeb úložiště ve stejném účtu úložiště ztěžuje řešení problémů s výkonem.

Poznámka:

Pokud je to možné, nasaďte každou sdílenou složku Azure ve vlastním samostatném účtu úložiště. Pokud se do stejného účtu úložiště nasadí více sdílených složek Azure, všechny sdílejí limity účtu úložiště.

Použití sdílených složek úrovně Premium pro úlohy, které vyžadují vysokou propustnost

Sdílené složky Úrovně Premium se nasazují do účtů úložiště FileStorage a ukládají se na hardware založený na jednotce SSD (Solid-State Drive). Toto nastavení je vhodné pro ukládání a přístup k datům, která vyžadují konzistentní výkon, vysokou propustnost a nízkou latenci. (Například tyto sdílené složky úrovně Premium dobře fungují s databázemi.) U standardních sdílených složek můžete ukládat další úlohy, které jsou méně citlivé na proměnlivost výkonu. Mezi tyto typy úloh patří sdílené složky pro obecné účely a vývojové/testovací prostředí. Další informace najdete v tématu Vytvoření sdílené složky Azure.

Při přístupu ke sdíleným složkám Azure SMB vždy vyžadovat šifrování

Při přístupu k datům ve sdílených složkách Smb Azure vždy používejte šifrování při přenosu. Šifrování během přenosu je ve výchozím nastavení povolené. Služba Azure Files povolí připojení jenom v případě, že se vytvoří pomocí protokolu, který používá šifrování, jako je protokol SMB 3.0. Klienti, kteří nepodporují protokol SMB 3.0, nebudou moct připojit sdílenou složku Azure, pokud je vyžadováno šifrování během přenosu.

Použití sítě VPN, pokud je blokovaný port, který protokol SMB používá (port 445)

Řada poskytovatelů internetových služeb blokuje port TCP (Transmission Control Protocol) 445, který se používá pro přístup ke sdíleným složkám Azure. Pokud odblokování portu TCP 445 není možnost, můžete přistupovat ke sdíleným složkám Azure přes připojení ExpressRoute nebo virtuální privátní sítě (VPN) (site-to-site nebo point-to-site), abyste se vyhnuli blokování provozu. Další informace najdete v tématu Konfigurace sítě VPN typu Point-to-Site (P2S) ve Windows pro použití se službou Soubory Azure a konfigurace sítě VPN typu Site-to-Site pro použití se službou Azure Files.

Zvažte použití Synchronizace souborů Azure se sdílenými složkami Azure

Služba Synchronizace souborů Azure umožňuje ukládat sdílené složky Azure do mezipaměti na místním souborovém serveru s Windows Serverem. Když povolíte vrstvení cloudu, Synchronizace souborů pomáhá zajistit, aby souborový server vždy získal volné místo, i když zpřístupňuje více souborů, než by souborový server mohl ukládat místně. Pokud máte místní souborové servery s Windows Serverem, zvažte integraci souborových serverů se sdílenými složkami Azure pomocí Synchronizace souborů Azure. Další informace najdete v tématu Plánování nasazení Synchronizace souborů Azure.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

  • Velikost sdílené složky Azure je omezená na 100 tebibajtů (TiB). Neexistuje žádná minimální velikost sdílené složky a žádný limit počtu sdílených složek Azure.
  • Maximální velikost souboru ve sdílené složce je 1 TiB a počet souborů ve sdílené složce není nijak omezený.
  • Omezení IOPS a propustnosti jsou pro každý účet úložiště Azure a sdílí se mezi sdílenými složkami Azure ve stejném účtu úložiště.

Další informace najdete v tématu Škálovatelnost a výkonnostní cíle služby Azure Files.

Dostupnost

Poznámka:

Účet úložiště Azure je nadřazený prostředek pro sdílené složky Azure. Sdílená složka Azure má úroveň redundance, kterou poskytuje účet úložiště obsahující sdílenou složku.

  • Sdílené složky Azure v současné době podporují následující možnosti redundance dat:
    • Místně redundantní úložiště (LRS): Data se kopírují synchronně třikrát v rámci jednoho fyzického umístění v primární oblasti. Tento postup chrání před ztrátou dat kvůli hardwarovým chybám, jako je například chybná disková jednotka.
    • Zónově redundantní úložiště (ZRS): Data se kopírují synchronně napříč třemi zónami dostupnosti Azure v primární oblasti. Zóny dostupnosti jsou jedinečná fyzická umístění v rámci oblasti Azure. Každá zóna se skládá z jednoho nebo více datacenter vybavených nezávislým napájením, chlazením a sítěmi.
    • Geograficky redundantní úložiště (GRS): Data se kopírují synchronně třikrát v rámci jednoho fyzického umístění v primární oblasti pomocí LRS. Data se pak asynchronně zkopírují do jednoho fyzického umístění v sekundární oblasti. Geograficky redundantní úložiště poskytuje šest kopií vašich dat rozložených mezi dvěma oblastmi Azure.
    • Geograficky zónově redundantní úložiště (GZRS) Data se kopírují synchronně napříč třemi zónami dostupnosti Azure v primární oblasti pomocí ZRS. Data se pak asynchronně zkopírují do jednoho fyzického umístění v sekundární oblasti.
  • Sdílené složky Úrovně Premium je možné ukládat pouze v místně redundantním úložišti (LRS) a zónově redundantním úložišti (ZRS). Sdílené složky úrovně Standard je možné ukládat v úložišti LRS, ZRS, geograficky redundantním úložišti (GRS) a geograficky zónově redundantním úložišti (GZRS). Další informace najdete v tématu Plánování nasazení služby Azure Files a redundance služby Azure Storage.
  • Azure Files je cloudová služba a stejně jako u všech cloudových služeb musíte mít připojení k internetu pro přístup ke sdíleným složkám Azure. Důrazně doporučujeme použít řešení redundantního připojení k internetu, abyste se vyhnuli přerušení.

Možnosti správy

  • Sdílené složky Azure můžete spravovat pomocí stejných nástrojů jako jakákoli jiná služba Azure. Mezi tyto nástroje patří Azure Portal, rozhraní příkazového řádku Azure a Azure PowerShell.
  • Sdílené složky Azure vynucuje standardní oprávnění k souborům Windows. Oprávnění adresáře nebo souboru můžete nakonfigurovat připojením sdílené složky Azure a konfigurací oprávnění pomocí Průzkumník souborů, příkazu Windows icacls.exe nebo rutiny Prostředí Windows PowerShell set-Acl.
  • Snímek sdílené složky Azure můžete použít k vytvoření kopie dat sdílené složky Azure jen pro čtení k určitému bodu v čase. Snímek sdílené složky vytvoříte na úrovni sdílené složky. Jednotlivé soubory pak můžete obnovit na webu Azure Portal nebo v Průzkumník souborů, kde můžete také obnovit celou sdílenou složku. Pro každou sdílenou složku můžete mít až 200 snímků, což umožňuje obnovit soubory do různých verzí k určitému bodu v čase. Pokud sdílenou složku odstraníte, odstraní se také její snímky. Snímky sdílených složek jsou přírůstkové. Uloží se jenom data, která se změnila po uložení posledního snímku sdílené složky. Tento postup minimalizuje čas potřebný k vytvoření snímku sdílené složky a šetří náklady na úložiště. Snímky sdílených složek Azure se používají také při ochraně sdílených složek Azure pomocí služby Azure Backup. Další informace najdete v tématu Přehled snímků sdílených složek pro Azure Files.
  • Náhodné odstranění sdílených složek Azure můžete zabránit povolením obnovitelného odstranění sdílených složek. Pokud odstraníte sdílenou složku, když je povolené obnovitelné odstranění, přejde sdílená složka do stavu obnovitelného odstranění místo trvalého vymazání. Můžete nakonfigurovat dobu obnovení obnovitelně odstraněných dat, než se trvale odstraní a během této doby uchovávání sdílenou složku obnoví. Další informace najdete v tématu Povolení obnovitelného odstranění sdílených složek Azure.

Poznámka:

Azure Backup umožňuje obnovitelné odstranění všech sdílených složek v účtu úložiště při konfiguraci zálohování první sdílené složky Azure v příslušném účtu úložiště.

Poznámka:

Sdílené složky úrovně Standard i Premium se účtují na využitou kapacitu při obnovitelném odstranění místo zřízené kapacity.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

  • Pro přístup ke sdíleným složkám Azure použijte ověřování AD DS přes protokol SMB. Toto nastavení poskytuje stejné bezproblémové jednotné přihlašování (SSO) při přístupu ke sdíleným složkám Azure jako přístup k místním sdíleným složkám. Další informace naleznete v tématu Jak funguje a kroky povolení funkcí. Váš klient musí být připojený k doméně ke službě AD DS, protože ověřování stále provádí řadič domény služby AD DS. Abyste získali přístup k datům, musíte také přiřadit oprávnění na úrovni sdílené složky i souboru nebo adresáře. Přiřazení oprávnění na úrovni sdílení prochází modelem Azure RBAC. Oprávnění na úrovni souboru nebo adresáře se spravuje jako seznamy ACL systému Windows.

    Poznámka:

    Přístup ke sdíleným složkám Azure se vždy ověřuje. Sdílené složky Azure nepodporují anonymní přístup. Kromě ověřování založeného na identitě přes protokol SMB se uživatelé můžou ověřit ve sdílené složce Azure také pomocí přístupového klíče k úložišti a sdíleného přístupového podpisu.

  • Všechna data uložená ve sdílené složce Azure se šifrují v klidovém stavu pomocí šifrování služby Azure Storage (SSE). Služba SSE funguje podobně jako nástroj BitLocker Drive Encryption ve Windows, kde se data šifrují pod úrovní systému souborů. Ve výchozím nastavení se data uložená ve službě Azure Files šifrují pomocí klíčů spravovaných Microsoftem. S klíči spravovanými Microsoftem udržuje Microsoft klíče k šifrování a dešifrování dat a jejich pravidelné obměně. Můžete také zvolit správu vlastních klíčů, což vám dává kontrolu nad procesem obměně.

  • Ve výchozím nastavení jsou u všech účtů úložiště Azure povolené šifrování během přenosu. Toto nastavení znamená, že veškerá komunikace se sdílenými složkami Azure je šifrovaná. Klienti, kteří nepodporují šifrování, se nemůžou připojit ke sdíleným složkám Azure. Pokud zakážete šifrování během přenosu, můžou se připojit také klienti se staršími operačními systémy, jako je Windows Server 2008 R2 nebo starší Linux. V takových případech nejsou přenášená data ze sdílených složek Azure šifrovaná.

  • Ve výchozím nastavení se klienti můžou připojit ke sdílené složce Azure odkudkoli. Pokud chcete omezit sítě, ze kterých se můžou klienti připojovat ke sdíleným složkám Azure, nakonfigurujte připojení brány firewall, virtuálních sítí a privátních koncových bodů. Další informace najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí a konfigurace koncových bodů sítě služby Azure Files.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů a vysvětlení fakturace služby Azure Files.

  • Azure Files má dvě úrovně úložiště a dva cenové modely:
    • Úložiště úrovně Standard: Používá úložiště založené na hdd. Neexistuje minimální velikost sdílené složky a platíte jenom za využitý prostor úložiště. Platíte také za operace se soubory, jako je výčet adresáře nebo čtení souboru.
    • Premium Storage: Používá úložiště založené na SSD. Minimální velikost sdílené složky úrovně Premium je 100 gibibajtů a platíte za zřízený prostor úložiště. Při použití služby Premium Storage jsou všechny operace se soubory zdarma.
  • Další náklady jsou spojené se snímky sdílených složek a odchozími přenosy dat. (Při přenosu dat ze sdílených složek Azure je příchozí přenos dat zdarma.) Náklady na přenos dat závisí na množství přenesených dat a skladové jednotce (SKU) vaší brány virtuální sítě, pokud ji používáte. Další informace o nákladech najdete v tématu Ceny služby Azure Files a cenová kalkulačka Azure. Skutečné náklady se liší podle oblasti Azure a jednotlivých kontraktů. Další informace o cenách vám poskytne obchodní zástupce Microsoftu.

Další kroky

Další informace o technologiích komponent:

Prozkoumejte související architektury: