Nastavení proxy a firewallu Synchronizace souborů Azure

Synchronizace souborů Azure připojí vaše místní servery k Azure Files, což umožňuje synchronizaci s více lokalitami a funkce vrstvení cloudu. Místní server musí být například připojený k internetu. Správce IT musí rozhodnout, jak nejlépe se server dostat ke cloudovým službám Azure.

Tento článek poskytuje přehled o konkrétních požadavcích a možnostech, které jsou k dispozici pro úspěšné a bezpečné připojení serveru k Synchronizace souborů Azure.

Před přečtením tohoto návodu doporučujeme přečíst si Synchronizace souborů Azure důležité informace o sítích.

Přehled

Synchronizace souborů Azure funguje jako služba orchestrace mezi vaším Windows Serverem, sdílenou složkou Azure a několika dalšími službami Azure pro synchronizaci dat, jak je popsáno ve vaší skupině synchronizace. Aby Synchronizace souborů Azure správně fungovaly, budete muset nakonfigurovat servery tak, aby komunikovali s následujícími službami Azure:

  • Azure Storage
  • Synchronizace souborů Azure
  • Azure Resource Manager
  • Ověřovací služby

Poznámka

Agent Synchronizace souborů Azure na Windows Serveru inicializuje všechny požadavky na cloudové služby, což vede k tomu, že je potřeba zvážit jenom odchozí provoz z pohledu brány firewall.
Žádná služba Azure neicializuje připojení k agentu Synchronizace souborů Azure.

Porty

Synchronizace souborů Azure přesune data a metadata souborů výhradně přes HTTPS a vyžaduje, aby byl port 443 otevřený odchozí. V důsledku toho se veškerý provoz zašifruje.

Sítě a speciální připojení k Azure

Agent Synchronizace souborů Azure nemá žádné požadavky týkající se speciálních kanálů, jako je ExpressRoute atd. do Azure.

Synchronizace souborů Azure bude fungovat všemi dostupnými prostředky, které umožňují přístup k Azure, automaticky se přizpůsobí různým charakteristikám sítě, jako je šířka pásma, latence a nabízí kontrolu nad správcem pro vyladění.

Proxy server

Synchronizace souborů Azure podporuje nastavení proxy serveru specifického pro aplikaci a pro celý počítač.

Nastavení proxy serveru specifického pro aplikaci umožňují konfiguraci proxy serveru speciálně pro Synchronizace souborů Azure provoz. Nastavení proxy serveru specifického pro aplikaci jsou podporovaná v agentech verze 4.0.1.0 nebo novější a je možné je nakonfigurovat během instalace agenta nebo pomocí rutiny powershellu Set-StorageSyncProxyConfiguration.

příkazů PowerShellu pro konfiguraci nastavení proxy serveru pro konkrétní aplikaci:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Pokud například proxy server vyžaduje ověření pomocí uživatelského jména a hesla, spusťte následující příkazy PowerShellu:

# IP address or name of the proxy server.
$Address="127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Nastavení proxy serveru v celém počítači jsou pro agenta Synchronizace souborů Azure transparentní, protože celý provoz serveru se směruje přes proxy server.

Pokud chcete nakonfigurovat nastavení proxy serveru pro celý počítač, postupujte následovně:

  1. Konfigurace nastavení proxy serveru pro aplikace .NET

    • Upravte tyto dva soubory:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • <Do souborů machine.config přidejte oddíl system.net> (pod <oddíl system.serviceModel>). Změňte 127.0.01:8888 na IP adresu a port proxy serveru.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. Nastavení proxy serveru WinHTTP

    Poznámka

    Existuje několik metod (WPAD, soubor PAC, netsh atd.) ke konfiguraci Windows Serveru pro použití proxy serveru. Následující postup popisuje, jak nakonfigurovat nastavení proxy serveru pomocí netsh, ale všechny metody uvedené v nastavení proxy serveru v Windows dokumentaci jsou podporované.

    • Spuštěním následujícího příkazu z příkazového řádku se zvýšenými oprávněními nebo PowerShellu zobrazte stávající nastavení proxy serveru:

      netsh winhttp show proxy

    • Spuštěním následujícího příkazu z příkazového řádku se zvýšenými oprávněními nebo PowerShellu nastavte nastavení proxy serveru (změňte 127.0.01:8888 na IP adresu a port proxy serveru):

      netsh winhttp set proxy 127.0.0.1:8888

  3. Restartujte službu agenta synchronizace Storage spuštěním následujícího příkazu z příkazového řádku se zvýšenými oprávněními nebo PowerShellu:

    net stop filesyncsvc

    Poznámka: Služba Storage Sync Agent (filesyncsvc) se po zastavení automaticky spustí.

Brána firewall

Jak je uvedeno v předchozí části, port 443 musí být otevřený odchozí. Na základě zásad ve vašem datacentru, větvi nebo oblasti může být další omezení provozu přes tento port na konkrétní domény požadované nebo povinné.

Následující tabulka popisuje požadované domény pro komunikaci:

Služba Koncový bod veřejného cloudu koncový bod Azure Government Využití
Azure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Jakékoli uživatelské volání (například PowerShell) přejde na tuto adresu URL nebo prostřednictvím této adresy URL, včetně počátečního volání registrace serveru.
Azure Active Directory https://login.windows.net
https://login.microsoftonline.com
https://login.microsoftonline.us Volání Azure Resource Manager musí provést ověřený uživatel. K úspěchu se tato adresa URL používá pro ověřování uživatelů.
Azure Active Directory https://graph.microsoft.com/ https://graph.microsoft.com/ V rámci nasazení Synchronizace souborů Azure se vytvoří instanční objekt v Azure Active Directory předplatného. Tato adresa URL se používá pro tuto adresu. Tento objekt zabezpečení se používá k delegování minimální sady práv ke službě Synchronizace souborů Azure. Uživatel provádějící počáteční nastavení Synchronizace souborů Azure musí být ověřeným uživatelem s oprávněními vlastníka předplatného.
Azure Active Directory https://secure.aadcdn.microsoftonline-p.com Použijte adresu URL veřejného koncového bodu. Tato adresa URL je přístupná knihovnou ověřování služby Active Directory, kterou uživatelské rozhraní registrace serveru Synchronizace souborů Azure používá k přihlášení správce.
Azure Storage *.core.windows.net *.core.usgovcloudapi.net Když server stáhne soubor, server provede přesun dat efektivněji při komunikaci přímo se sdílenou složkou Azure v účtu Storage. Server má klíč SAS, který umožňuje pouze cílový přístup ke sdílené složce.
Synchronizace souborů Azure *.one.microsoft.com
*.afs.azure.net
*.afs.azure.us Po počáteční registraci serveru server obdrží server místní adresu URL instance služby Synchronizace souborů Azure v dané oblasti. Server může pomocí adresy URL komunikovat přímo a efektivně s instancí, která zpracovává synchronizaci.
Infrastruktura veřejných klíčů Microsoftu https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
Po instalaci agenta Synchronizace souborů Azure se adresa URL PKI použije ke stažení zprostředkujících certifikátů potřebných ke komunikaci se službou Synchronizace souborů Azure a sdílenou složkou Azure. Adresa URL OCSP slouží ke kontrole stavu certifikátu.
Microsoft Update *.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
*.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
Po instalaci agenta Synchronizace souborů Azure se adresy URL služby Microsoft Update používají ke stažení aktualizací Synchronizace souborů Azure agenta.

Důležité

Když povolíte provoz do *.afs.azure.net, provoz je možné synchronizovat pouze do synchronizační služby. V této doméně nejsou žádné další služby Microsoft. Když povolíte provoz do *.one.microsoft.com, provoz do více než jen synchronizační služby je možné ze serveru. V subdoménách je k dispozici mnoho dalších služby Microsoft.

Pokud je *.afs.azure.net nebo *.one.microsoft.com příliš široká, můžete komunikaci serveru omezit tak, že komunikaci povolíte pouze explicitním oblastním instancím služby Azure Files Sync. Které instance se mají zvolit, závisí na oblasti synchronizační služby úložiště, do které jste nasadili a zaregistrovali server. Tato oblast se v následující tabulce nazývá "Adresa URL primárního koncového bodu".

Z důvodů provozní kontinuity a zotavení po havárii (BCDR) jste možná vytvořili sdílené složky Azure v účtu úložiště, který je nakonfigurovaný pro geograficky redundantní úložiště (GRS). V takovém případě vaše sdílené složky Azure převezme služby při selhání spárované oblasti v případě trvalého výpadku oblasti. Synchronizace souborů Azure používá stejné regionální párování jako úložiště. Pokud tedy používáte účty úložiště GRS, musíte povolit další adresy URL, aby server mohl komunikovat s spárovanou oblastí pro Synchronizace souborů Azure. Následující tabulka volá tuto spárovanou oblast. Kromě toho je potřeba povolit také adresu URL profilu traffic manageru. Tím zajistíte, aby se síťový provoz mohl bezproblémově znovu směrovat do spárované oblasti v případě převzetí služeb při selhání a v následující tabulce se označuje jako adresa URL zjišťování.

Cloud Oblast Adresa URL primárního koncového bodu Spárovaná oblast Adresa URL zjišťování
Veřejná Austrálie – východ https://australiaeast01.afs.azure.net
https://kailani-aue.one.microsoft.com
Austrálie – jihovýchod https://tm-australiaeast01.afs.azure.net
https://tm-kailani-aue.one.microsoft.com
Veřejná Austrálie – jihovýchod https://australiasoutheast01.afs.azure.net
https://kailani-aus.one.microsoft.com
Austrálie – východ https://tm-australiasoutheast01.afs.azure.net
https://tm-kailani-aus.one.microsoft.com
Veřejná Brazílie – jih https://brazilsouth01.afs.azure.net Středojižní USA https://tm-brazilsouth01.afs.azure.net
Veřejná Střední Kanada https://canadacentral01.afs.azure.net
https://kailani-cac.one.microsoft.com
Kanada – východ https://tm-canadacentral01.afs.azure.net
https://tm-kailani-cac.one.microsoft.com
Veřejná Kanada – východ https://canadaeast01.afs.azure.net
https://kailani-cae.one.microsoft.com
Střední Kanada https://tm-canadaeast01.afs.azure.net
https://tm-kailani.cae.one.microsoft.com
Veřejná Indie – střed https://centralindia01.afs.azure.net
https://kailani-cin.one.microsoft.com
Indie – jih https://tm-centralindia01.afs.azure.net
https://tm-kailani-cin.one.microsoft.com
Veřejná Střední USA https://centralus01.afs.azure.net
https://kailani-cus.one.microsoft.com
USA – východ 2 https://tm-centralus01.afs.azure.net
https://tm-kailani-cus.one.microsoft.com
Veřejná Východní Asie https://eastasia01.afs.azure.net
https://kailani11.one.microsoft.com
Southeast Asia https://tm-eastasia01.afs.azure.net
https://tm-kailani11.one.microsoft.com
Veřejná East US https://eastus01.afs.azure.net
https://kailani1.one.microsoft.com
USA – západ https://tm-eastus01.afs.azure.net
https://tm-kailani1.one.microsoft.com
Veřejná USA – východ 2 https://eastus201.afs.azure.net
https://kailani-ess.one.microsoft.com
Střední USA https://tm-eastus201.afs.azure.net
https://tm-kailani-ess.one.microsoft.com
Veřejná Německo – sever https://germanynorth01.afs.azure.net Německo – středozápad https://tm-germanywestcentral01.afs.azure.net
Veřejná Německo – středozápad https://germanywestcentral01.afs.azure.net Německo – sever https://tm-germanynorth01.afs.azure.net
Veřejná Japonsko – východ https://japaneast01.afs.azure.net Japonsko – západ https://tm-japaneast01.afs.azure.net
Veřejná Japonsko – západ https://japanwest01.afs.azure.net Japonsko – východ https://tm-japanwest01.afs.azure.net
Veřejná Jižní Korea – střed https://koreacentral01.afs.azure.net/ Jižní Korea – jih https://tm-koreacentral01.afs.azure.net/
Veřejná Jižní Korea – jih https://koreasouth01.afs.azure.net/ Jižní Korea – střed https://tm-koreasouth01.afs.azure.net/
Veřejná USA – středosever https://northcentralus01.afs.azure.net Středojižní USA https://tm-northcentralus01.afs.azure.net
Veřejná Severní Evropa https://northeurope01.afs.azure.net
https://kailani7.one.microsoft.com
West Europe https://tm-northeurope01.afs.azure.net
https://tm-kailani7.one.microsoft.com
Veřejná Středojižní USA https://southcentralus01.afs.azure.net USA – středosever https://tm-southcentralus01.afs.azure.net
Veřejná Indie – jih https://southindia01.afs.azure.net
https://kailani-sin.one.microsoft.com
Indie – střed https://tm-southindia01.afs.azure.net
https://tm-kailani-sin.one.microsoft.com
Veřejná Southeast Asia https://southeastasia01.afs.azure.net
https://kailani10.one.microsoft.com
Východní Asie https://tm-southeastasia01.afs.azure.net
https://tm-kailani10.one.microsoft.com
Veřejná Švýcarsko – sever https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Švýcarsko – západ https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Veřejná Švýcarsko – západ https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Švýcarsko – sever https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Veřejná Spojené království – jih https://uksouth01.afs.azure.net
https://kailani-uks.one.microsoft.com
Spojené království – západ https://tm-uksouth01.afs.azure.net
https://tm-kailani-uks.one.microsoft.com
Veřejná Spojené království – západ https://ukwest01.afs.azure.net
https://kailani-ukw.one.microsoft.com
Spojené království – jih https://tm-ukwest01.afs.azure.net
https://tm-kailani-ukw.one.microsoft.com
Veřejná USA – středozápad https://westcentralus01.afs.azure.net Západní USA 2 https://tm-westcentralus01.afs.azure.net
Veřejná West Europe https://westeurope01.afs.azure.net
https://kailani6.one.microsoft.com
Severní Evropa https://tm-westeurope01.afs.azure.net
https://tm-kailani6.one.microsoft.com
Veřejná USA – západ https://westus01.afs.azure.net
https://kailani.one.microsoft.com
East US https://tm-westus01.afs.azure.net
https://tm-kailani.one.microsoft.com
Veřejná Západní USA 2 https://westus201.afs.azure.net USA – středozápad https://tm-westus201.afs.azure.net
Státní správa USA (Gov) – Arizona https://usgovarizona01.afs.azure.us USA (Gov) – Texas https://tm-usgovarizona01.afs.azure.us
Státní správa USA (Gov) – Texas https://usgovtexas01.afs.azure.us USA (Gov) – Arizona https://tm-usgovtexas01.afs.azure.us
  • Pokud používáte účet úložiště nakonfigurovaný pro místně redundantní úložiště (LRS) nebo zónově redundantní úložiště (ZRS), stačí povolit jenom adresu URL uvedenou v části Adresa URL primárního koncového bodu.

  • Pokud používáte účet úložiště nakonfigurovaný pro GRS, povolte tři adresy URL.

Příklad: Nasadíte synchronizační službu "West US" úložiště a zaregistrujete server. Adresy URL umožňující serveru komunikovat pro tento případ jsou:

  • https://westus01.afs.azure.net (primární koncový bod: USA – západ)
  • https://eastus01.afs.azure.net (spárovaná oblast převzetí služeb při selhání: USA – východ)
  • https://tm-westus01.afs.azure.net (adresa URL zjišťování primární oblasti)

Seznam povolených ip adres Synchronizace souborů Azure

Synchronizace souborů Azure podporuje použití značek služeb, které představují skupinu předpon IP adres pro danou službu Azure. Značky služeb můžete použít k vytvoření pravidel brány firewall, která umožňují komunikaci se službou Synchronizace souborů Azure. Značka služby pro Synchronizace souborů Azure je StorageSyncService.

Pokud používáte Synchronizace souborů Azure v Rámci Azure, můžete k povolení provozu použít název značky služby přímo ve skupině zabezpečení sítě. Další informace o tom, jak to udělat, najdete v tématu Skupiny zabezpečení sítě.

Pokud používáte Synchronizace souborů Azure místně, můžete pomocí rozhraní API značek služeb získat konkrétní rozsahy IP adres pro seznam povolených bran firewall. Pro získání těchto informací existují dvě metody:

  • Aktuální seznam rozsahů IP adres pro všechny služby Azure podporující značky služeb se publikuje každý týden ve službě Microsoft Download Center ve formě dokumentu JSON. Každý cloud Azure má svůj vlastní dokument JSON s rozsahy IP adres relevantními pro daný cloud:
  • Rozhraní API pro zjišťování značek služeb (Preview) umožňuje programové načítání aktuálního seznamu značek služeb. Ve verzi Preview může rozhraní API pro zjišťování značek služeb vracet informace, které jsou méně aktuální než informace vrácené z dokumentů JSON publikovaných na webu Stažení softwaru společnosti Microsoft. Povrch rozhraní API můžete použít na základě vašich preferencí automatizace:

Vzhledem k tomu, že rozhraní API pro zjišťování značek služeb se neaktualizuje tak často jako dokumenty JSON publikované do webu Stažení softwaru společnosti Microsoft, doporučujeme použít dokument JSON k aktualizaci seznamu povolených místních bran firewall. Můžete to provést následujícím způsobem:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://docs.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Rozsahy $ipAddressRanges IP adres pak můžete použít k aktualizaci brány firewall. Informace o aktualizaci brány firewall nebo síťového zařízení najdete na webu vašeho firewallu.

Testování síťového připojení ke koncovým bodům služby

Jakmile je server zaregistrovaný ve službě Synchronizace souborů Azure, můžete rutinu Test-StorageSyncNetworkConnectivity a ServerRegistration.exe použít k testování komunikace se všemi koncovými body (URL) specifickými pro tento server. Tato rutina může pomoct s řešením potíží, když nekompletní komunikace brání serveru v plné práci s Synchronizace souborů Azure a dá se použít k vyladění konfigurace proxy serveru a brány firewall.

Pokud chcete spustit test připojení k síti, spusťte následující příkazy PowerShellu:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Souhrn a omezení rizik

Seznamy uvedené dříve v tomto dokumentu obsahují adresy URL Synchronizace souborů Azure aktuálně komunikují. Brány firewall musí být schopné povolit odchozí provoz do těchto domén. Microsoft se snaží tento seznam aktualizovat.

Nastavení pravidel brány firewall pro omezení domény může být mírou pro zlepšení zabezpečení. Pokud se používají tyto konfigurace brány firewall, je potřeba mít na paměti, že adresy URL se přidají a mohou se dokonce v průběhu času měnit. Pravidelně se podívejte na tento článek.

Další kroky