Helyszíni azure-fájlok, amelyeket az AD DS véd egy magánhálózaton

Ez az architektúra bemutatja, hogyan biztosíthat fájlmegosztásokat a felhőben olyan helyszíni felhasználóknak és alkalmazásoknak, amelyek privát végponton keresztül férnek hozzá a Windows Serveren tárolt fájlokhoz.

Töltse le az architektúra Visio-fájlját.

1. Ez a megoldás szinkronizálja a helyszíni AD DS-t és a felhőalapú Microsoft Entra-azonosítót. A szinkronizálás hatékonyabbá teszi a felhasználókat azáltal, hogy közös identitást biztosít a felhőbeli és a helyszíni erőforrások eléréséhez.

   A Microsoft Entra Connect egy helyszíni Microsoft-alkalmazás, amely elvégzi a szinkronizálást. A Microsoft Entra Connectről további információt a Microsoft Entra Connect mi az a Microsoft Entra Connect? és a Microsoft Entra Connect Sync: A szinkronizálás ismertetése és testreszabása című témakörben talál.

2. Az Azure Virtual Network virtuális hálózatot biztosít a felhőben. Ebben a megoldásban legalább két alhálózattal rendelkezik, egyet az Azure DNS-hez, egyet pedig egy privát végponthoz a fájlmegosztás eléréséhez.

3. A VPN vagy az Azure ExpressRoute biztonságos kapcsolatokat biztosít a helyszíni hálózat és a felhőbeli virtuális hálózat között. HA VPN-t használ, hozzon létre egy átjárót az Azure VPN Gateway használatával. ExpressRoute használata esetén hozzon létre egy ExpressRoute virtuális hálózati átjárót. További információ: Mi a VPN Gateway? és az ExpressRoute virtuális hálózati átjárók ismertetése.

4. Az Azure Files fájlmegosztást biztosít a felhőben. Ehhez Azure Storage-fiókra van szükség. További információ a fájlmegosztásokról: Mi az Azure Files?

5. A privát végpont hozzáférést biztosít a fájlmegosztáshoz. A privát végpontok olyanok, mint egy hálózati adapter (NIC) egy Alhálózaton belül, amely egy Azure-szolgáltatáshoz csatlakozik. Ebben az esetben a szolgáltatás a fájlmegosztás. További információ a privát végpontokról: Privát végpontok használata az Azure Storage-hoz.

6. A helyszíni DNS-kiszolgáló feloldja az IP-címeket. Az Azure DNS azonban feloldja az Azure-fájlmegosztás teljes tartománynevét (FQDN). Az Azure DNS-be érkező ÖSSZES DNS-lekérdezés a virtuális hálózatból származik. A virtuális hálózaton egy DNS-proxy irányítja ezeket a lekérdezéseket az Azure DNS-be. További információkért lásd a DNS-továbbítót használó helyszíni számítási feladatokat.

   A DNS-proxyt windowsos vagy linuxos kiszolgálón is megadhatja, vagy használhatja az Azure Firewallt. Az Azure Firewall beállítással kapcsolatos információkért, amelyek előnye, hogy nem kell virtuális gépet kezelnie, tekintse meg az Azure Firewall DNS-beállításait.

7. A helyszíni egyéni DNS úgy van konfigurálva, hogy a DNS-forgalmat egy feltételes továbbítón keresztül továbbítsa az Azure DNS-be. A feltételes továbbítással kapcsolatos információk a dns-továbbítót használó helyszíni számítási feladatokban is megtalálhatók.

8. A helyszíni AD DS hitelesíti a fájlmegosztáshoz való hozzáférést. Ez egy négylépéses folyamat, az első részben leírtak szerint : AD DS-hitelesítés engedélyezése az Azure-fájlmegosztásokhoz

• Az Azure Storage nagymértékben skálázható és biztonságos felhőszolgáltatások készlete az adatokhoz, alkalmazásokhoz és számítási feladatokhoz. Tartalmazza az Azure Filest, az Azure Table Storage-t és az Azure Queue Storage-ot.
• Az Azure Files teljes körűen felügyelt fájlmegosztásokat kínál egy Azure Storage-fiókban. A fájlok a felhőből vagy a helyszínen érhetők el. A Windows, Linux és macOS rendszerű környezetek egyidejűleg csatlakoztathatják az Azure-fájlmegosztásokat. A fájlhozzáférés az iparági szabvány kiszolgálói üzenetblokk (SMB) protokollt használja.
• Az Azure Virtual Network az Azure-beli magánhálózatok alapvető építőeleme. Az Azure-erőforrások, például a virtuális gépek környezetét biztosítja az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációhoz.
• Az Azure ExpressRoute privát kapcsolaton keresztül kiterjeszti a helyszíni hálózatokat a Microsoft-felhőbe.
• Az Azure VPN Gateway a helyszíni hálózatokat a helyek közötti VPN-ek segítségével csatlakoztatja az Azure-hoz, ugyanúgy, mint egy távoli fiókirodához. A kapcsolat biztonságos, és olyan szabványos iparági protokollokat használ, mint például az Internet Protocol Security (IPsec) és az Internet Key Exchange (IKE).
• Az Azure Private Link privát kapcsolatot biztosít egy virtuális hálózatról az Azure-platform szolgáltatásként (PaaS), az ügyfél tulajdonában lévő vagy a Microsoft partnerszolgáltatásaihoz. Leegyszerűsíti a hálózati architektúrát, és biztonságossá teszi a végpontok közötti kapcsolatot az Azure-ban azáltal, hogy megszünteti az adatok nyilvános interneten történő közzétételét.
• Egy privát végpont a virtuális hálózat egy privát IP-címét használó hálózati csatlakozási felület. Az Azure Storage-fiókok privát végpontjaival engedélyezheti, hogy a virtuális hálózaton lévő ügyfelek privát kapcsolaton keresztül férhessenek hozzá az adatokhoz.
• Az Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Az Azure Firewall konfigurálható DNS-proxyként való működésre. A DNS-proxy az ügyfél virtuális gépeitől a DNS-kiszolgálóig irányuló DNS-kérések közvetítője.

Vegye figyelembe a következő gyakori forgatókönyvet: a Windows Servert futtató helyszíni számítógép fájlmegosztásokat biztosít a felhasználók és alkalmazások számára. Active Directory tartományi szolgáltatások (AD DS) a fájlok védelmének elősegítésére szolgál, és egy helyszíni DNS-kiszolgáló kezeli a hálózati erőforrásokat. Minden ugyanazon a magánhálózaton belül működik.

Most tegyük fel, hogy ki kell terjesztenie a fájlmegosztásokat a felhőre.

Az itt ismertetett architektúra bemutatja, hogyan képes az Azure költséghatékonyan kielégíteni ezt az igényt, miközben fenntartja a helyszíni hálózat, az AD DS és a DNS használatát.

Ebben a beállításban az Azure Files a fájlmegosztások üzemeltetésére szolgál. A helyek közötti VPN vagy az Azure ExpressRoute fokozott biztonsági kapcsolatokat biztosít a helyszíni hálózat és az Azure Virtual Network között. A felhasználók és alkalmazások ezeken a kapcsolatokon keresztül férnek hozzá a fájlokhoz. A Microsoft Entra ID és az Azure DNS együttműködik a helyszíni AD DS-vel és a DNS-sel a biztonságos hozzáférés biztosítása érdekében.

Összefoglalva, ha ez a forgatókönyv vonatkozik Önre, a felhőalapú fájlmegosztásokat alacsony költséggel biztosíthatja a helyszíni felhasználóknak, miközben a meglévő AD DS- és DNS-infrastruktúrán keresztül fokozott biztonsági hozzáférést tart fenn.

• A fájlkiszolgáló a felhőbe kerül, de a felhasználóknak a helyszínen kell maradniuk.
• A felhőbe migrált alkalmazásoknak hozzá kell férnie a helyszíni fájlokhoz, valamint a felhőbe migrált fájlokhoz.
• A fájltárolás felhőbe való áthelyezésével csökkentenie kell a költségeket.

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információ: A megbízhatósági pillér áttekintése.

• Az Azure Storage mindig több másolatot tárol az adatokról ugyanabban a zónában, így védve van a tervezett és nem tervezett kimaradásoktól. Más zónákban vagy régiókban is létrehozhat további másolatokat. További információ: Azure Storage-redundancia.
• Az Azure Firewall beépített magas rendelkezésre állású. További információkért tekintse meg az Azure Firewall Standard funkcióit.

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Ezek a cikkek biztonsági információkat tartalmaznak az Azure-összetevőkről:

• Azure-biztonsági alapkonfiguráció az Azure Storage-hoz
• Azure-biztonsági alapkonfiguráció az Azure Private Linkhez
• Az Azure biztonsági alapkonfigurációja a virtuális hálózathoz
• Azure-biztonsági alapkonfiguráció az Azure Firewallhoz

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

Az Azure-termékek és -konfigurációk költségeinek becsléséhez használja az Azure Díjszabás kalkulátorát.

Ezek a cikkek díjszabási információkat tartalmaznak az Azure-összetevőkről:

• Az Azure Files díjszabása
• Az Azure Private Link díjszabása
• A Virtual Network szolgáltatás díjszabása
• Az Azure Firewall díjszabása

A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. További információ: Teljesítményhatékonysági pillér áttekintése.

• Az Azure Storage-fiókjai tartalmazzák az összes Azure Storage-adatobjektumot, beleértve a fájlmegosztásokat is. A tárfiókok egyedi névteret biztosítanak az adataikhoz, egy névteret, amely a világ bármely pontjáról elérhető HTTP-en vagy HTTPS-en keresztül. Ebben az architektúrában a tárfiók az Azure Files által biztosított fájlmegosztásokat tartalmazza. A legjobb teljesítmény érdekében a következőket javasoljuk:
  • Ne helyezzen adatbázisokat, blobokat stb. fájlmegosztásokat tartalmazó tárfiókokba.
  • Tárfiókonként legfeljebb egy erősen aktív fájlmegosztással rendelkezik. A kevésbé aktív fájlmegosztásokat ugyanabba a tárfiókba csoportosíthatja.
  • Ha a számítási feladat nagy mennyiségű IOPS-t, rendkívül gyors adatátviteli sebességet vagy nagyon alacsony késést igényel, akkor prémium szintű (FileStorage) tárfiókokat kell választania. A standard általános célú v2-fiók a legtöbb SMB-fájlmegosztási számítási feladathoz megfelelő. A fájlmegosztások méretezhetőségéről és teljesítményéről további információt az Azure Files skálázhatósági és teljesítménycéljaiban talál.
  • Ne használjon általános célú v1-tárfiókot, mert nem rendelkezik fontos funkciókkal. Ehelyett frissítsen egy általános célú v2-tárfiókra. A tárfiókok típusait a tárfiókok áttekintése ismerteti.
  • Ügyeljen a méretre, a sebességre és az egyéb korlátozásokra. Tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.
• A nem tárolási összetevők teljesítményének javítása érdekében nem sokat tehet, kivéve, ha meggyőződik arról, hogy az üzembe helyezés betartja az Azure-előfizetések és -szolgáltatások korlátaiban, kvótáiban és korlátaiban leírt korlátokat, kvótákat és korlátozásokat.
• Az Azure-összetevők méretezhetőségével kapcsolatos információkért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátait.

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Rudnei Oliveira | Vezető Azure biztonsági mérnök

• Rövid útmutató: Virtuális hálózat létrehozása az Azure Portal használatával
• Mi az a VPN-átjáró?
• Oktatóanyag: VPN-átjáró létrehozása és kezelése az Azure Portal használatával
• Azure enterprise cloud file share
• Az Azure Virtual Network fogalmai és ajánlott eljárásai
• Azure Files üzembe helyezésének tervezése
• Privát végpontok használata Azure Storage-hoz
• Az Azure privát végpont DNS-konfigurációja
• Az Azure Firewall DNS-beállításai
• Saját kezelésű Active Directory tartományi szolgáltatások, Microsoft Entra-azonosító és felügyelt Microsoft Entra Domain Services összehasonlítása

• Hibrid fájlmegosztás vészhelyreállítással távoli és helyi fiókmunkások számára
• Azure enterprise cloud file share
• Azure-fájlmegosztások használata hibrid környezetben
• Hibrid fájlszolgáltatások