Szerkesztés

Azure Enterprise felhőbeli fájlmegosztás

Azure DNS
Azure Files
Azure Private Link
Azure Storage
Azure Virtual Network

Ez a referenciaarchitektúra egy nagyvállalati szintű felhőbeli fájlmegosztási megoldást mutat be, amely Azure-szolgáltatásokat használ, beleértve az Azure Filest, az Azure File Syncet, az Azure saját DNS és az Azure Private Endpointet. A megoldás költségmegtakarítást eredményez a fájlkiszolgálók és az infrastruktúra felügyeletének kiszervezésével, az adatok felügyeletének megtartása mellett.

Architektúra

Az alábbi ábra bemutatja, hogyan férhetnek hozzá az ügyfelek az Azure-fájlmegosztásokhoz:

  • Helyileg egy felhőalapú rétegzési fájlkiszolgálón keresztül.
  • Távolról expressRoute-beli privát társviszony-létesítésen vagy VPN-alagutakon keresztül magánhálózati környezetben.

Nagyvállalati szintű felhőbeli fájlmegosztási diagram, amely bemutatja, hogyan férhetnek hozzá az ügyfelek helyileg az Azure-fájlmegosztásokhoz egy felhőalapú rétegző fájlkiszolgálón keresztül, illetve távolról az ExpressRoute privát társviszony-létesítésen vagy VPN-alagúton keresztül egy privát hálózati környezetben.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

A nagyvállalati szintű felhőalapú fájlmegosztási megoldás a következő módszerekkel biztosítja a hagyományos fájlmegosztással, de az Azure-fájlmegosztásokkal megegyező felhasználói élményt:

  • Az Azure File Sync használatával szinkronizálja a fájl- és mappahozzáférés-vezérlési listákat (ACL) a helyszíni fájlkiszolgálók és az Azure-fájlmegosztások között.
  • Az Azure File Sync-ügynök felhőbeli rétegzési funkciójával helyileg gyorsítótárazza a gyakran használt fájlokat.
  • Az AD DS-hitelesítés kényszerítése Azure-fájlmegosztásokon keresztül.
  • A fájlmegosztási és fájlszinkronizálási szolgáltatásokat privát IP-címen keresztül, privát kapcsolaton és privát végponton keresztül éri el egy ExpressRoute-beli privát társviszony-létesítésen vagy VPN-alagúton keresztül.

Az Azure-beli privát végpont Azure Fileson és Azure File Syncen való implementálásával a nyilvános végpontok hozzáférése le van tiltva, így az Azure Files és az Azure File Sync hozzáférése az Azure virtuális hálózatról korlátozva van.

Az ExpressRoute privát társviszony-létesítési VPN helyek közötti alagútja kiterjeszti a helyszíni hálózatot az Azure-beli virtuális hálózatra. Az Azure File Sync és a Server Message Block (SMB) helyszíni és Azure Files közötti adatforgalma és az Azure File Sync privát végpontjai csak privát kapcsolatra korlátozódnak. Az áttérés során az Azure Files csak akkor engedélyezi a kapcsolatot, ha az SMB 3.0+-val készült. Csatlakozás Azure File Sync-ügynökből azure-fájlmegosztásba vagy storage sync szolgáltatásba készült fájlok mindig titkosítva lesznek. Inaktív állapotban az Azure Storage automatikusan titkosítja az adatokat, amikor azok megmaradnak a felhőben, akárcsak az Azure Files.

A dns-feloldó a megoldás kritikus összetevője. Minden Azure-szolgáltatás, ebben az esetben az Azure Files és az Azure File Sync teljes tartománynévvel (FQDN) rendelkezik. Az ilyen szolgáltatások teljes tartományneveit a rendszer az alábbi esetekben oldja fel a nyilvános IP-címére:

  • Amikor egy ügyfél hozzáfér egy Azure Files-megosztáshoz.
  • Amikor egy helyszíni fájlkiszolgálón üzembe helyezett Azure File Sync-ügynök hozzáfér az Azure File Sync szolgáltatáshoz.

A privát végpont engedélyezése után a privát IP-címek az Azure-beli virtuális hálózaton lesznek lefoglalva. Ezek a címek privát kapcsolaton keresztül teszik lehetővé a hozzáférést ezekhez a szolgáltatásokhoz, és ugyanezeket a teljes tartományneveket most magánhálózati IP-címekre kell feloldani. Ennek érdekében az Azure Files és az Azure File Sync létrehoz egy canonical name DNS-rekordot (CNAME), amely átirányítja a feloldást egy privát tartománynévre:

  • Az Azure File Sync nyilvános tartományneve *.afs.azure.net CNAME-átirányítást kap a privát tartománynévhez *.<region>.privatelink.afs.azure.net.
  • Az Azure Files nyilvános tartományneve <name>.file.core.windows.net CNAME-átirányítást kap a privát tartománynévhez <name>.privatelink.file.core.windows.net.

Az architektúrában bemutatott megoldás megfelelően konfigurálja a helyszíni DNS-beállításokat, hogy a magántartománynevek magánhálózati IP-címekre legyenek feloldva az alábbi módszerekkel:

  • saját DNS zónák (11. és 12. összetevők) az Azure-ból jönnek létre, hogy privát névfeloldás legyen az Azure File Synchez és az Azure Fileshoz.
  • saját DNS zónák az Azure-beli virtuális hálózathoz vannak csatolva, hogy a virtuális hálózaton üzembe helyezett DNS-kiszolgáló vagy az Azure privát DNS-feloldó (8. összetevő) fel tudja oldani a privát tartományneveket.
  • A DNS A-rekordok az Azure Fileshoz és az Azure File Synchez jönnek létre privát DNS-zónákban. A végpontkonfiguráció lépéseit az Azure Files hálózati végpontjainak konfigurálása és az Azure File Sync hálózati végpontjainak konfigurálása című témakörben találja.
  • A helyszíni DNS-kiszolgáló (3. összetevő) feltételes továbbítást állít be az Azure-beli virtuális hálózat DNS-lekérdezésének domain afs.azure.net és file.core.windows.net DNS-kiszolgálójának (8. összetevő) továbbításához.
  • Miután megkapta a továbbított DNS-lekérdezést a helyszíni DNS-kiszolgálóról, az Azure-beli virtuális hálózat DNS-kiszolgálója (8. összetevő) az Azure DNS rekurzív feloldóval oldja fel a magántartományneveket, és visszaadja a privát IP-címeket az ügyfélnek.

Összetevők

Az architektúradiagramon ábrázolt megoldás a következő összetevőket használja:

  • Ügyfél (1. vagy 2. összetevő) – Az ügyfél általában windowsos, Linux vagy Mac OSX rendszerű asztal, amely az SMB protokollon keresztül tud beszélni egy fájlkiszolgálóval vagy az Azure Filesszal.

  • DC- és DNS-kiszolgálók (3. összetevő) – A tartományvezérlő (DC) olyan kiszolgáló, amely válaszol a hitelesítési kérelmekre, és ellenőrzi a számítógép-hálózatok felhasználóit. A DNS-kiszolgáló számítógépnév-IP-címleképezési névfeloldási szolgáltatásokat biztosít a számítógépeknek és a felhasználóknak. A tartományvezérlő- és DNS-kiszolgálók egyetlen kiszolgálóra kombinálhatók, vagy különböző kiszolgálókra bonthatók.

  • Fájlkiszolgáló (4. összetevő) – Fájlmegosztásokat üzemeltető és fájlmegosztási szolgáltatásokat nyújtó kiszolgáló.

  • CE/VPN-eszköz (5. összetevő) – Az ügyfél peremhálózati útválasztója (CE) vagy VPN-eszköze expressRoute- vagy VPN-kapcsolat létesítésére szolgál az Azure-beli virtuális hálózathoz.

  • Azure ExpressRoute vagy Azure VPN Gateway (6. összetevő) – Az Azure ExpressRoute egy olyan szolgáltatás, amely lehetővé teszi a helyszíni hálózat kiterjesztését a Microsoft-felhőbe egy kapcsolatszolgáltató által megkönnyített privát kapcsolaton keresztül. Az Azure VPN Gateway egy adott típusú virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül. Az ExpressRoute vagy a VPN Gateway ExpressRoute- vagy VPN-kapcsolatot létesít a helyszíni hálózattal.

  • Azure privát végpont (7. összetevő) – Olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. Ebben a megoldásban egy Azure File Sync privát végpont csatlakozik az Azure File Synchez (9), és egy Privát Azure Files-végpont csatlakozik az Azure Fileshoz (10).

  • A DNS-kiszolgáló/Azure privát DNS-feloldó (8. összetevő) az Azure-beli virtuális hálózati példányban az Azure DNS rekurzív feloldóval oldja fel a privát tartománynevet, és egy privát IP-címet ad vissza az ügyfélnek, miután egy továbbított DNS-lekérdezést kapott egy helyszíni DNS-kiszolgálótól.

  • Azure File Sync és felhőbeli rétegzés (9. összetevő) – Az Azure File Sync lehetővé teszi a szervezet fájlmegosztásainak központosítását az Azure-ban, miközben megtartja a helyszíni fájlkiszolgálók rugalmasságát, teljesítményét és kompatibilitását. A felhőalapú rétegzés az Azure File Sync opcionális funkciója, amelyben a gyakran használt fájlok helyileg gyorsítótárazva lesznek a kiszolgálón, míg az összes többi fájl az Azure Filesba van rétegzve a szabályzatbeállítások alapján.

  • Azure Files (10. összetevő) – Teljes mértékben felügyelt szolgáltatás, amely fájlmegosztásokat kínál a felhőben, amelyek az iparági szabvány kiszolgálói üzenetblokk (SMB) protokollon keresztül érhetők el. Az Azure Files implementálja az SMB v3 protokollt, és támogatja a hitelesítést helyi Active Directory Domain Services (AD DS) és a Microsoft Entra Domain Services használatával. Az Azure Filesból származó fájlmegosztások egyidejűleg csatlakoztathatók a Windows, Linux és macOS felhőbeli vagy helyszíni üzemelő példányaihoz. Emellett az SMB Azure-fájlmegosztások gyorsítótárazhatók az adatok felhasználási helye közelében, a Windows Serveren és az Azure File Syncben a gyors hozzáférés érdekében.

  • Azure saját DNS (11. és 12. összetevő) – Az Azure által kínált DNS-szolgáltatás, saját DNS felügyeli és feloldja a tartományneveket egy virtuális hálózaton anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia.

  • Azure Backup (13. összetevő) – Az Azure Backup egy Azure-fájlmegosztási biztonsági mentési szolgáltatás, amely fájlmegosztási pillanatképeket használ egy felhőalapú biztonsági mentési megoldás biztosításához. További szempontok: Adatvesztés és biztonsági mentés.

Forgatókönyv részletei

Ez a megoldás lehetővé teszi az Azure-fájlmegosztások elérését hibrid munkahelyi környezetben egy virtuális magánhálózaton keresztül a helyszíni és az Azure-beli virtuális hálózatok között anélkül, hogy bejárja az internetet. Emellett lehetővé teszi a fájlhozzáférés szabályozását és korlátozását identitásalapú hitelesítéssel.

Lehetséges használati esetek

A felhőalapú fájlmegosztási megoldás a következő lehetséges használati eseteket támogatja:

  • A fájlkiszolgáló vagy a fájlmegosztás emelése és váltása. Az adatok átstrukturálásának vagy újraformázásának szükségességét az emeléssel és az áthelyezéssel kiküszöbölheti. A régi alkalmazásokat a helyszínen is megtarthatja, miközben kihasználja a felhőbeli tárolás előnyeit.
  • Felgyorsíthatja a felhőinnovációt a nagyobb működési hatékonysággal. Csökkenti a hardver és a fizikai terület fenntartásának költségeit, védelmet nyújt az adatsérülés és az adatvesztés ellen.
  • Privát hozzáférés az Azure-fájlmegosztásokhoz. Védelmet nyújt az adatok kiszivárgása ellen.

Forgalmi folyamatok

Az Azure File Sync és az Azure Files engedélyezése után az Azure-fájlmegosztások két módban, helyi gyorsítótár módban vagy távoli módban érhetők el. Mindkét módban az ügyfél meglévő AD DS-hitelesítő adatokkal hitelesíti magát.

  • Helyi gyorsítótár mód – Az ügyfél egy helyi fájlkiszolgálón keresztül fér hozzá a fájlokhoz és fájlmegosztásokhoz, és engedélyezve van a felhőbeli rétegzés. Amikor egy felhasználó megnyit egy fájlt a helyi fájlkiszolgálóról, a fájladatok a fájlkiszolgáló helyi gyorsítótárából lesznek kézbesítve, vagy az Azure File Sync-ügynök zökkenőmentesen visszahívja a fájladatokat az Azure Filesból. A megoldás architektúradiagramjában ez az 1. és a 4. összetevő között történik.

  • Távoli mód – Az ügyfél közvetlenül egy távoli Azure-fájlmegosztásból fér hozzá a fájlokhoz és fájlmegosztásokhoz. A megoldás architektúradiagramjában a forgalom a 2., 5., 6., 7. és 10. összetevőn halad át.

Az Azure File Sync-forgalom a 4., 5., 6. és 7. összetevő között halad, egy ExpressRoute-kapcsolatcsoport használatával megbízható kapcsolatot biztosít.

A privát tartománynévfeloldási lekérdezések a 3., 5., 6., 8., 11. és 12. összetevőn haladnak végig az alábbi sorrendben:

  1. Az ügyfél egy lekérdezést küld egy helyszíni DNS-kiszolgálónak az Azure Files vagy az Azure File Sync DNS-név feloldásához.
  2. A helyszíni DNS-kiszolgáló rendelkezik egy feltételes továbbítóval, amely az Azure File és az Azure File Sync DNS-névfeloldását az Azure-beli virtuális hálózat dns-kiszolgálójára továbbítja.
  3. A rendszer átirányítja a lekérdezést egy DNS-kiszolgálóra vagy az Azure-beli privát DNS-feloldóra az Azure-beli virtuális hálózaton.
  4. A virtuális hálózat DNS-konfigurációjától függően:
    • Ha egyéni DNS-kiszolgáló van konfigurálva, az Azure-beli virtuális hálózat DNS-kiszolgálója név lekérdezést küld az Azure által biztosított DNS-nek (168.63.129.16) rekurzív feloldónak.
    • Ha az Azure-beli privát DNS-feloldó konfigurálva van, és a lekérdezés megfelel a virtuális hálózathoz csatolt privát DNS-zónáknak, a rendszer ezeket a zónákat is megtekinti.
  5. A DNS-kiszolgáló/Azure privát DNS-feloldó egy privát IP-címet ad vissza, miután feloldotta a privát tartománynevet a megfelelő privát DNS-zónában. Az Azure-beli virtuális hálózat Azure Files DNS-zónához és az Azure File Sync privát DNS-zónához mutató hivatkozásait használja.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

A megoldás megvalósításakor vegye figyelembe az alábbi szempontokat.

Tervezés

Hálózat

DNS

A privát végpontok névfeloldásának kezelésekor az Azure Files és az Azure File Sync privát tartományneveit a következő módon oldjuk fel:

Az Azure-oldalról:

  • Az Azure által biztosított névfeloldás használata esetén az Azure-beli virtuális hálózatnak csatlakoznia kell a kiépített privát DNS-zónákhoz.
  • Ha a "saját DNS-kiszolgáló használata" lehetőség van használatban, a saját DNS-kiszolgálót üzembe helyező virtuális hálózatnak kapcsolódnia kell a kiépített privát DNS-zónákhoz.

A helyszíni oldalról a privát tartománynév egy privát IP-címre van leképezve az alábbi módok egyikével:

  • Az Azure-beli virtuális hálózaton vagy az Azure privát DNS-feloldójában üzembe helyezett DNS-kiszolgálóra történő DNS-továbbításon keresztül, ahogyan az a diagramon látható.
  • A helyszíni DNS-kiszolgálón keresztül, amely zónákat állít be a magántartományhoz <region>.privatelink.afs.azure.net és privatelink.file.core.windows.neta . A kiszolgáló DNS A rekordként regisztrálja az Azure Files és az Azure File Sync privát végpontjainak IP-címét a megfelelő DNS-zónákba. A helyszíni ügyfél közvetlenül a helyi helyszíni DNS-kiszolgálóról oldja fel a privát tartománynevet.

Elosztott fájlrendszer (DFS)

Helyszíni fájlmegosztási megoldás esetén sok rendszergazda úgy dönt, hogy a hagyományos különálló fájlkiszolgáló helyett elosztott fájlrendszert használ. Az elosztott fájlrendszer lehetővé teszi a rendszergazdák számára, hogy egyesítsék a több kiszolgálón is létező fájlmegosztásokat, hogy úgy jelenjenek meg, mintha mind ugyanabban a helyen lennének, így a felhasználók a hálózat egyetlen pontjáról érhetik el őket. A felhőbeli fájlmegosztási megoldásra való áttérés során a hagyományos DFS-R üzembe helyezést lecserélheti az Azure File Sync üzembe helyezése. További információ: Elosztott fájlrendszerbeli replikációs (DFS-R) üzembe helyezés migrálása az Azure File Syncbe.

Adatvesztés és biztonsági mentés

Az adatvesztés komoly problémát jelent minden méretű vállalkozás számára. Az Azure-fájlmegosztás biztonsági mentése fájlmegosztási pillanatképekkel biztosít egy felhőalapú biztonsági mentési megoldást, amely védi a felhőben tárolt adatokat, és kiküszöböli a helyszíni biztonsági mentési megoldásokban felmerülő további karbantartási többletterhelést. Az Azure-fájlmegosztások biztonsági mentésének fő előnyei a következők:

  • Nulla infrastruktúra
  • Testre szabott megőrzés
  • Beépített felügyeleti képességek
  • Azonnali visszaállítások
  • Riasztás és jelentéskészítés
  • Védelem a fájlmegosztások véletlen törlésével szemben

További információ: Tudnivalók az Azure-fájlmegosztás biztonsági mentéséről

Hibrid identitások támogatása az Azure Filesban

Bár ez a cikk az Active Directoryt ismerteti az Azure Fileson való hitelesítéshez, a Microsoft Entra ID-t használhatja a hibrid felhasználói identitások hitelesítéséhez. Az Azure Files a Kerberos hitelesítési protokoll használatával támogatja az identitásalapú hitelesítést a Kiszolgálói üzenetblokk (SMB) használatával az alábbi módszerekkel:

  • Helyszíni Active Directory tartományi szolgáltatások (AD DS)
  • Microsoft Entra tartományi szolgáltatások
  • Microsoft Entra Kerberos (csak hibrid felhasználói identitásokhoz)
  • AD-hitelesítés Linux-ügyfelekhez

További információ: A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid identitásokhoz az Azure Filesban.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.

A biztonsági naplózás szükséges követelmény a vállalat biztonságának fenntartásához. Az iparági szabványok megkövetelik, hogy a vállalatok szigorúan betartják az adatbiztonságra és az adatvédelemre vonatkozó szabályokat.

Fájlhozzáférés naplózása

A fájlhozzáférés naplózása helyileg és távolról is engedélyezhető:

  • Helyileg, dinamikus hozzáférés-vezérléssel. További információ: A fájlhozzáférés naplózásának megtervezése.
  • Távolról, az Azure Storage-naplók Azure Monitorban való használatával az Azure Filesban. Az Azure Storage-naplók a StorageRead, a StorageWrite, a StorageDelete és a Transaction naplókat tartalmazzák. Az Azure-fájlhozzáférés naplózható tárfiókba, log analytics-munkaterületre, vagy külön streamelhető egy eseményközpontba. További információt az Azure Files monitorozása című témakörben talál.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések