Aspekty sítí Synchronizace souborů Azure

Ke sdílené složce Azure se můžete připojit dvěma způsoby:

• Přístup ke sdílené složce přímo přes protokoly SMB nebo FileREST. Tento model přístupu se primárně používá k odstranění co největšího počtu místních serverů.
• Vytvoření mezipaměti sdílené složky Azure na místním serveru (nebo na virtuálním počítači Azure) s Synchronizace souborů Azure a přístup k datům sdílené složky z místního serveru s vaším zvoleným protokolem (SMB, NFS, FTPS atd.) pro váš případ použití. Tento vzor přístupu je užitečný, protože kombinuje to nejlepší z místního výkonu i cloudového škálování a bezserverových připojitelných služeb, jako je Azure Backup.

Tento článek se zaměřuje na to, jak nakonfigurovat sítě, když váš případ použití volá použití Synchronizace souborů Azure k ukládání souborů do mezipaměti místně, a ne přímo připojovat sdílenou složku Azure přes protokol SMB. Další informace o aspektech sítí pro nasazení služby Azure Files najdete v tématu Důležité informace o sítích služby Azure Files.

Konfigurace sítě pro Synchronizace souborů Azure zahrnuje dva různé objekty Azure: službu synchronizace úložiště a účet úložiště Azure. Účet úložiště je konstruktor správy, který představuje sdílený fond úložiště, ve kterém můžete nasadit více sdílených složek a také další prostředky úložiště, jako jsou kontejnery objektů blob nebo fronty. Služba synchronizace úložiště je konstruktor správy, který představuje registrované servery, což jsou souborové servery Windows se zavedeným vztahem důvěryhodnosti s Synchronizace souborů Azure a skupiny synchronizace, které definují topologii vztahu synchronizace.

Důležité

Synchronizace souborů Azure nepodporuje internetové směrování. Synchronizace souborů podporuje výchozí možnost síťového směrování, tedy směrování Microsoftu.

Připojení se souborovým serverem Windows do Azure s využitím Synchronizace souborů Azure

Pokud chcete nastavit a používat soubory Azure a Synchronizace souborů Azure s místním souborovým serverem Windows, nevyžaduje se kromě základního připojení k internetu žádné speciální sítě k Azure. Pokud chcete nasadit Synchronizace souborů Azure, nainstalujete agenta Synchronizace souborů Azure na souborový server Windows, který chcete synchronizovat s Azure. Agent Synchronizace souborů Azure dosahuje synchronizace se sdílenou složkou Azure prostřednictvím dvou kanálů:

• Protokol FileREST, což je protokol založený na protokolu HTTPS, který se používá pro přístup ke sdílené složce Azure. Vzhledem k tomu, že protokol FileREST k přenosu dat používá standardní protokol HTTPS, pro odchozí připojení musí být přístupný pouze port 443. Synchronizace souborů Azure nepoužívá protokol SMB k přenosu dat mezi místními servery Windows a sdílenou složkou Azure.
• Synchronizační protokol Synchronizace souborů Azure, což je protokol založený na protokolu HTTPS, který se používá pro výměnu znalostí synchronizace, tj. informace o verzi souborů a složek mezi koncovými body ve vašem prostředí. Tento protokol slouží také k výměně metadat o souborech a složkách ve vašem prostředí, jako jsou časové razítka a seznamy řízení přístupu (ACL).

Vzhledem k tomu, že Azure Files nabízí přímý přístup protokolu SMB ke sdíleným složkám Azure, zákazníci se často ptají, jestli potřebují nakonfigurovat speciální sítě pro připojení sdílených složek Azure pomocí protokolu SMB pro přístup agenta Synchronizace souborů Azure. To není povinné a nedoporučuje se s výjimkou scénářů správce, protože chybí detekce rychlých změn u změn provedených přímo ve sdílené složce Azure (změny nemusí být zjištěny déle než 24 hodin v závislosti na velikosti a počtu položek ve sdílené složce Azure). Pokud chcete sdílenou složku Azure používat přímo, tj. nepoužíváte Synchronizace souborů Azure k ukládání do místní mezipaměti, podívejte se na přehled sítí Azure Files.

I když Synchronizace souborů Azure nevyžaduje žádnou speciální konfiguraci sítě, někteří zákazníci můžou chtít nakonfigurovat upřesňující nastavení sítě tak, aby povolovali následující scénáře:

• Spolupracujte s konfigurací proxy serveru vaší organizace.
• Otevřete místní bránu firewall vaší organizace pro službu Azure Files a Synchronizace souborů Azure služby.
• Tunelování služby Azure Files a Synchronizace souborů Azure přenosy přes ExpressRoute nebo připojení VPN.

Konfigurace proxy serverů

Mnoho organizací používá proxy server jako zprostředkující mezi prostředky uvnitř místní sítě a prostředky mimo svou síť, jako je například v Azure. Proxy servery jsou užitečné pro mnoho aplikací, jako je izolace sítě a zabezpečení a monitorování a protokolování. Synchronizace souborů Azure může plně spolupracovat s proxy serverem, musíte ale ručně nakonfigurovat nastavení koncového bodu proxy pro vaše prostředí pomocí Synchronizace souborů Azure. To je nutné provést přes PowerShell pomocí rutiny Set-StorageSyncProxyConfigurationserveru Synchronizace souborů Azure .

Další informace o tom, jak nakonfigurovat Synchronizace souborů Azure s proxy serverem, najdete v tématu Konfigurace Synchronizace souborů Azure pomocí proxy serveru.

Konfigurace bran firewall a značek služeb

Mnoho organizací izoluje své souborové servery od většiny internetových umístění pro účely zabezpečení. Pokud chcete v takovém prostředí používat Synchronizace souborů Azure, musíte nakonfigurovat bránu firewall tak, aby umožňovala odchozí přístup k vybraným službám Azure. Můžete to udělat tak, že povolíte odchozí přístup portu 443 k požadovaným koncovým bodům cloudu, které hostují konkrétní služby Azure, pokud vaše brána firewall podporuje adresu URL/domény. Pokud ne, můžete rozsahy IP adres pro tyto služby Azure načíst prostřednictvím značek služeb.

Synchronizace souborů Azure vyžaduje rozsahy IP adres pro následující služby, jak jsou identifikovány jejich značkami služeb:

Služba	Popis	Značka služby
Synchronizace souborů Azure	Služba Synchronizace souborů Azure reprezentovaná objektem služby synchronizace úložiště zodpovídá za základní aktivitu synchronizace dat mezi sdílenou složkou Azure a souborovým serverem Windows.	StorageSyncService
Soubory Azure	Všechna data synchronizovaná prostřednictvím Synchronizace souborů Azure jsou uložená ve sdílené složce Azure. Soubory změněné na souborových serverech s Windows se replikují do sdílené složky Azure a soubory vrstvené na místním souborovém serveru se bez problémů stáhnou, když je uživatel požádá.	Storage
Azure Resource Manager	Azure Resource Manager je rozhraní pro správu Pro Azure. Všechna volání správy, včetně registrace Synchronizace souborů Azure serveru a probíhajících úloh synchronizačního serveru, se provádějí prostřednictvím Azure Resource Manageru.	AzureResourceManager
Microsoft Entra ID	Microsoft Entra ID (dříve Azure AD) obsahuje instanční objekty potřebné k autorizaci registrace serveru vůči službě synchronizace úložiště a instanční objekty potřebné k tomu, aby Synchronizace souborů Azure byly autorizované pro přístup k vašim cloudovým prostředkům.	AzureActiveDirectory

Pokud používáte Synchronizace souborů Azure v Rámci Azure, i když je v jiné oblasti, můžete použít název značky služby přímo ve skupině zabezpečení sítě a povolit tak provoz do této služby. Další informace najdete v tématu popisujícím skupiny zabezpečení sítě.

Pokud používáte Synchronizace souborů Azure místně, můžete pomocí rozhraní API značek služeb získat konkrétní rozsahy IP adres pro seznam povolených adres vaší brány firewall. Tyto informace můžete získat dvěma způsoby:

• Aktuální seznam rozsahů IP adres pro všechny služby Azure podporující značky služeb se publikuje každý týden na webu Stažení softwaru společnosti Microsoft ve formě dokumentu JSON. Každý cloud Azure má svůj vlastní dokument JSON s rozsahy IP adres relevantními pro tento cloud:
  • Azure Public
  • Azure pro vládu USA
  • Microsoft Azure provozovaný společností 21Vianet
  • Azure (Německo)
• Rozhraní API pro zjišťování značek služeb (Preview) umožňuje programově načítat aktuální seznam značek služeb. Ve verzi Preview může rozhraní API pro zjišťování značek služeb vracet informace, které nejsou natolik aktuální jako informace v dokumentech JSON publikovaných na webu Stažení softwaru společnosti Microsoft. Povrch rozhraní API můžete použít na základě vašich předvoleb automatizace:
  • REST API
  • Azure PowerShell
  • Azure CLI

Další informace o tom, jak pomocí rozhraní API značek služeb načíst adresy vašich služeb, najdete v seznamu povolených adres pro Synchronizace souborů Azure IP adresy.

Tunelování provozu přes virtuální privátní síť nebo ExpressRoute

Některé organizace vyžadují komunikaci s Azure, aby přešly přes síťový tunel, například virtuální privátní síť (VPN) nebo ExpressRoute, pro další vrstvu zabezpečení nebo aby se zajistila komunikace s Azure podle deterministické trasy.

Při vytváření síťového tunelu mezi místní sítí a Azure vytváříte partnerský vztah místní sítě s jednou nebo více virtuálními sítěmi v Azure. Virtuální síť neboli virtuální síť se podobá tradiční síti, kterou byste provozli místně. Podobně jako účet úložiště Azure nebo virtuální počítač Azure je virtuální síť prostředek Azure, který je nasazený ve skupině prostředků.

Azure Files a Synchronizace souborů Azure podporují následující mechanismy pro tunelování provozu mezi místními servery a Azure:

• Azure VPN Gateway: Brána VPN je konkrétní typ brány virtuální sítě, která se používá k odesílání šifrovaného provozu mezi virtuální sítí Azure a alternativním umístěním (například místně) přes internet. Azure VPN Gateway je prostředek Azure, který je možné nasadit ve skupině prostředků vedle účtu úložiště nebo jiných prostředků Azure. Vzhledem k tomu, že Synchronizace souborů Azure je určená k použití s místním souborovým serverem Windows, normálně byste používali síť VPN typu Site-to-Site (S2S), i když je technicky možné použít síť VPN typu Point-to-Site (P2S).

  Připojení VPN typu Site-to-Site (S2S) připojují vaši virtuální síť Azure a místní síť vaší organizace. Připojení VPN typu S2S umožňuje nakonfigurovat připojení VPN jednou pro server VPN nebo zařízení hostované v síti vaší organizace, a ne pro každé klientské zařízení, které potřebuje přístup ke sdílené složce Azure. Pokud chcete zjednodušit nasazení připojení S2S VPN, přečtěte si téma Konfigurace sítě VPN typu Site-to-Site (S2S) pro použití se službou Azure Files.

• ExpressRoute, která umožňuje vytvořit definovanou trasu (privátní připojení) mezi Azure a vaší místní sítí, která neprochází internetem. Vzhledem k tomu, že ExpressRoute poskytuje vyhrazenou cestu mezi místním datacentrem a Azure, může být ExpressRoute užitečná, když je klíčovým aspektem výkonu sítě. ExpressRoute je také dobrou volbou, když zásady nebo zákonné požadavky vaší organizace vyžadují deterministický přístup k vašim prostředkům v cloudu.

Privátní koncové body

Kromě výchozích veřejných koncových bodů, které služba Azure Files a Synchronizace souborů Azure poskytují prostřednictvím účtu úložiště a služby synchronizace úložiště, poskytují možnost mít jeden nebo více privátních koncových bodů pro každý prostředek, aby se mohly soukromě a bezpečně připojit ke sdíleným složkám Azure z místního prostředí pomocí sítě VPN nebo ExpressRoute a z virtuální sítě Azure. Když vytvoříte privátní koncový bod pro prostředek Azure, získá privátní IP adresu z adresního prostoru vaší virtuální sítě, podobně jako místní souborový server Windows má IP adresu v rámci vyhrazeného adresního prostoru vaší místní sítě.

Důležité

Pokud chcete používat privátní koncové body pro prostředek služby synchronizace úložiště, musíte použít agenta Synchronizace souborů Azure verze 10.1 nebo vyšší. Verze agenta starší než 10.1 nepodporují privátní koncové body ve službě synchronizace úložiště. Všechny předchozí verze agenta podporují privátní koncové body v prostředku účtu úložiště.

Jednotlivý privátní koncový bod je přidružený ke konkrétní podsíti virtuální sítě Azure. Účty úložiště a služby synchronizace úložiště můžou mít privátní koncové body ve více než jedné virtuální síti.

Použití privátních koncových bodů umožňuje:

• Bezpečně se připojte k prostředkům Azure z místních sítí pomocí připojení VPN nebo ExpressRoute s privátním partnerským vztahem.
• Zabezpečte své prostředky Azure zakázáním veřejných koncových bodů pro Azure Files a Synchronizace souborů. Vytvoření privátního koncového bodu ve výchozím nastavení neblokuje připojení k veřejnému koncovému bodu.
• Zvyšte zabezpečení virtuální sítě tím, že umožníte blokování exfiltrace dat z virtuální sítě (a hranic partnerského vztahu).

Pokud chcete vytvořit privátní koncový bod, přečtěte si téma Konfigurace privátních koncových bodů pro Synchronizace souborů Azure.

Privátní koncové body a DNS

Při vytváření privátního koncového bodu ve výchozím nastavení také vytvoříme (nebo aktualizujeme existující) privátní zónu privatelink DNS odpovídající subdoméně. Pro oblasti veřejného cloudu jsou privatelink.file.core.windows.net tyto zóny DNS určené pro Soubory Azure a privatelink.afs.azure.net pro Synchronizace souborů Azure.

Poznámka:

Tento článek používá příponu DNS účtu úložiště pro veřejné oblasti Azure. core.windows.net Tento komentář platí také pro suverénní cloudy Azure, jako je cloud Azure US Government a Microsoft Azure provozovaný cloudem 21Vianet, a stačí nahradit příslušné přípony pro vaše prostředí.

Když vytváříte privátní koncové body pro účet úložiště a službu synchronizace úložiště, vytvoříme pro ně záznamy A v příslušných privátních zónách DNS. Aktualizujeme také veřejnou položku DNS tak, aby běžné plně kvalifikované názvy domén byly CNAMEs pro příslušný privatelink název. To umožňuje plně kvalifikovaným názvům domén odkazovat na IP adresy privátního koncového bodu, když je žadatel uvnitř virtuální sítě a aby ukazoval na IP adresy veřejného koncového bodu, když je žadatel mimo virtuální síť.

U služby Azure Files má každý privátní koncový bod jeden plně kvalifikovaný název domény podle vzoru storageaccount.privatelink.file.core.windows.net, který je namapovaný na jednu privátní IP adresu privátního koncového bodu. Pro Synchronizace souborů Azure má každý privátní koncový bod čtyři plně kvalifikované názvy domén pro čtyři různé koncové body, které Synchronizace souborů Azure zveřejňuje: správu, synchronizaci (primární), synchronizaci (sekundární) a monitorování. Plně kvalifikované názvy domén pro tyto koncové body se obvykle řídí názvem služby synchronizace úložiště, pokud název neobsahuje znaky jiné než ASCII. Pokud je mysyncservice například název služby synchronizace úložiště v oblasti USA – západ 2, budou ekvivalentní koncové body mysyncservicemanagement.westus2.afs.azure.net: , mysyncservicesyncp.westus2.afs.azure.neta mysyncservicesyncs.westus2.afs.azure.netmysyncservicemonitoring.westus2.afs.azure.net. Každý privátní koncový bod pro službu synchronizace úložiště bude obsahovat 4 odlišné IP adresy.

Vzhledem k tomu, že vaše privátní zóna DNS Azure je připojená k virtuální síti obsahující privátní koncový bod, můžete při volání rutiny z PowerShellu Resolve-DnsName na virtuálním počítači nslookup Azure (případně ve Windows a Linuxu) sledovat konfiguraci DNS:

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

V tomto příkladu se účet storageaccount.file.core.windows.net úložiště přeloží na privátní IP adresu privátního koncového bodu, který se 192.168.0.4stane .

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Pokud spustíte stejný příkaz z místního prostředí, uvidíte, že stejný název účtu úložiště se místo toho přeloží na veřejnou IP adresu účtu úložiště; storageaccount.file.core.windows.net je záznam CNAME , storageaccount.privatelink.file.core.windows.netkterý je zase záznamem CNAME pro cluster úložiště Azure, který je hostitelem účtu úložiště:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

To odráží skutečnost, že soubory Azure a Synchronizace souborů Azure můžou zveřejnit své veřejné koncové body i jeden nebo více privátních koncových bodů na prostředek. Pokud chcete zajistit, aby se plně kvalifikované názvy domén pro vaše prostředky přeložily na privátní IP adresy privátních koncových bodů, musíte změnit konfiguraci na místních serverech DNS. Toho lze dosáhnout několika způsoby:

• Úprava souboru hostitelů na vašich klientech tak, aby se plně kvalifikované názvy domén pro účty úložiště a Služby synchronizace úložiště přeložily na požadované privátní IP adresy. To se důrazně nedoporučuje pro produkční prostředí, protože tyto změny budete muset provést u každého klienta, který potřebuje přístup k vašim privátním koncovým bodům. Změny privátních koncových bodů nebo prostředků (odstranění, úpravy atd.) se nezpracují automaticky.
• Vytváření zón DNS na místních serverech pro privatelink.file.core.windows.net a privatelink.afs.azure.net se záznamy A pro vaše prostředky Azure To má výhodu, že klienti ve vašem místním prostředí budou moct automaticky přeložit prostředky Azure, aniž by museli konfigurovat jednotlivé klienty, ale toto řešení je podobně omezené na úpravu souboru hostitelů, protože se neprojeví změny. I když je toto řešení křehké, může být pro některá prostředí nejlepší volbou.
• Přesměrovávat core.windows.net zóny a afs.azure.net zóny z místních serverů DNS do privátní zóny DNS Azure. Privátního hostitele DNS Azure je možné dosáhnout prostřednictvím speciální IP adresy (168.63.129.16), která je přístupná pouze ve virtuálních sítích propojených se zónou Azure Private DNS. Pokud chcete toto omezení obejít, můžete ve virtuální síti spustit další servery DNS, které budou předávat core.windows.net a afs.azure.net do ekvivalentních zón Azure Private DNS. Abychom tuto nastavení zjednodušili, poskytli jsme rutiny PowerShellu, které automaticky nasadí servery DNS ve vaší virtuální síti Azure a nakonfigurují je podle potřeby. Informace o nastavení předávání DNS najdete v tématu Konfigurace DNS se službou Azure Files.

Šifrování během přenosu

Připojení z agenta Synchronizace souborů Azure do sdílené složky Azure nebo služby synchronizace úložiště se vždy šifrují. I když účty úložiště Azure mají nastavení pro zakázání šifrování při přenosu komunikace se službou Azure Files (a další služby úložiště Azure, které se spravují mimo účet úložiště), zakázání tohoto nastavení nebude mít vliv na šifrování Synchronizace souborů Azure při komunikaci se soubory Azure. Ve výchozím nastavení mají všechny účty úložiště Azure povolené šifrování během přenosu.

Další informace o šifrování během přenosu najdete v tématu vyžadování zabezpečeného přenosu v úložišti Azure.

Viz také

• Plánování nasazení Synchronizace souborů Azure
• Nasazení Synchronizace souborů Azure