Megosztás a következőn keresztül:


Az Azure File Sync hálózatkezelési szempontjai

Az Azure-fájlmegosztásokhoz kétféleképpen csatlakozhat:

  1. Közvetlenül az SMB vagy a FileREST protokollon keresztül érheti el a megosztást. Ez a hozzáférési minta elsősorban a lehető legtöbb helyszíni kiszolgáló eltávolítására szolgál.
  2. Hozzon létre egy azure-fájlmegosztás gyorsítótárát egy helyszíni kiszolgálón (vagy Azure-beli virtuális gépen) az Azure File Sync használatával, és a választott protokollal (SMB, NFS, FTPS stb.) férhessen hozzá a fájlmegosztás adataihoz a helyszíni kiszolgálóról. Ez a hozzáférési minta hasznos, mert a helyszíni teljesítmény és a felhőbeli skálázás legjobbjait ötvözi az olyan hozzáadott értékű szolgáltatásokkal, mint az Azure Backup.

Ez a cikk a második forgatókönyvre összpontosít: hogyan konfigurálhatja a hálózatkezelést, amikor a használati eset az Azure File Sync használatával kéri a helyszíni fájlok gyorsítótárazását ahelyett, hogy közvetlenül csatlakoztatja az Azure-fájlmegosztást az SMB-n keresztül. Az Azure Files üzembe helyezésével kapcsolatos hálózati szempontokról az Azure Files hálózatkezelési szempontjait ismertető cikkben talál további információt.

Az Azure File Sync hálózati konfigurációja két különböző Azure-objektumra terjed ki: a Storage Sync Szolgáltatásra és egy Azure Storage-fiókra. A tárfiókok olyan felügyeleti szerkezetek, amelyek egy megosztott tárkészletet jelölnek, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobokat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, és szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.

Fontos

Az Azure File Sync nem támogatja az internetes útválasztást. Az Azure File Sync az alapértelmezett útválasztási beállítást, a Microsoft-útválasztás támogatja.

Windows-fájlkiszolgáló csatlakoztatása az Azure-hoz az Azure File Sync használatával

Az Azure Files és az Azure File Sync helyszíni Windows-fájlkiszolgálóval való beállításához és használatához nincs szükség az Azure-ba irányuló speciális hálózatkezelésre az alapszintű internetkapcsolaton túl. Az Azure File Sync üzembe helyezéséhez telepítse az Azure File Sync-ügynököt az Azure-ral szinkronizálni kívánt Windows-fájlkiszolgálóra. Az Azure File Sync-ügynök két csatornán keresztül éri el a szinkronizálást egy Azure-fájlmegosztással:

  • Az Azure-fájlmegosztás eléréséhez használt HTTPS-alapú FileREST protokoll. Mivel a FileREST protokoll szabványos HTTPS protokollt használ az adatátvitelhez, a 443-as portnak elérhetőnek kell lennie kimenőben. Az Azure File Sync nem használja az SMB protokollt az adatok átvitelére a helyszíni Windows-kiszolgálók és az Azure-fájlmegosztás között.
  • Az Azure File Sync szinkronizálási protokollja, amely egy HTTPS-alapú protokoll, amely a szinkronizálási ismeretek cseréjére szolgál, nevezetesen a környezet végpontjai közötti fájlokra és mappákra vonatkozó verzióinformációkra. Ez a protokoll a fájlok és mappák metaadatainak cseréjére is használható, például időbélyegek és hozzáférés-vezérlési listák (ACL-ek).

Mivel az Azure Files közvetlen SMB-protokoll-hozzáférést biztosít az Azure-fájlmegosztásokhoz, az ügyfelek gyakran felmerülnek a kérdésben, hogy speciális hálózatkezelést kell-e konfigurálniuk az Azure-fájlmegosztások csatlakoztatásához az Azure File Sync-ügynök SMB-jét használva a hozzáféréshez. Ez nem kötelező, és valójában elriasztja a rendszergazdai forgatókönyvek kivételével, mivel a közvetlenül az Azure-fájlmegosztáson végrehajtott módosítások gyors változásészlelése nem történik meg. Az Azure-fájlmegosztásban lévő elemek méretétől és számától függően előfordulhat, hogy a módosítások 24 óránál hosszabb ideig nem észlelhetők. Ha az Azure-fájlmegosztást közvetlenül szeretné használni az Azure File Sync helyett a helyszíni gyorsítótárazáshoz, tekintse meg az Azure Files hálózatkezelési áttekintését.

Bár az Azure File Sync nem igényel speciális hálózati konfigurációt, egyes ügyfelek speciális hálózati beállításokat is konfigurálhatnak a következő forgatókönyvek engedélyezéséhez:

  • Együttműködik a szervezet proxykiszolgálójának konfigurációjával.
  • Nyissa meg a szervezet helyszíni tűzfalát az Azure Files és az Azure File Sync szolgáltatásban.
  • Azure Files és Azure File Sync-forgalom bújtatása ExpressRoute-on vagy virtuális magánhálózati (VPN-) kapcsolaton keresztül.

Proxykiszolgálók konfigurálása

Számos szervezet proxykiszolgálót használ közvetítőként a helyszíni hálózatán belüli erőforrások és a hálózaton kívüli erőforrások között, például az Azure-ban. A proxykiszolgálók számos alkalmazáshoz hasznosak, például a hálózatelkülönítéshez és a biztonsághoz, a monitorozáshoz és a naplózáshoz. Az Azure File Sync teljes mértékben együttműködhet egy proxykiszolgálóval, azonban manuálisan kell konfigurálnia a környezet proxyvégpont-beállításait az Azure File Sync használatával. Ezt a PowerShell-lel kell elvégezni az Azure File Sync-kiszolgáló parancsmagjának Set-StorageSyncProxyConfigurationhasználatával.

További információ az Azure File Sync proxykiszolgálóval való konfigurálásáról: Az Azure File Sync konfigurálása proxykiszolgálóval.

Tűzfalak és szolgáltatáscímkék konfigurálása

Számos szervezet biztonsági okokból elkülöníti a fájlkiszolgálókat a legtöbb internetes helyről. Az Azure File Sync ilyen környezetben való használatához konfigurálnia kell a tűzfalat, hogy engedélyezze a kimenő hozzáférést az Azure-szolgáltatások kiválasztásához. Ezt úgy teheti meg, hogy engedélyezi a 443-os port kimenő elérését az adott Azure-szolgáltatásokat üzemeltető szükséges felhővégpontokhoz, ha a tűzfal támogatja az URL-címeket/tartományokat. Ha nem, a szolgáltatáscímkéken keresztül lekérheti ezeknek az Azure-szolgáltatásoknak az IP-címtartományait.

Az Azure File Synchez a következő szolgáltatások IP-címtartományai szükségesek, amelyeket a szolgáltatáscímkék azonosítanak:

Szolgáltatás Leírás Szolgáltatáscímke
Azure File Sync A Storage Sync Service objektum által képviselt Azure File Sync szolgáltatás felelős az adatok Azure-fájlmegosztások és Windows-fájlkiszolgálók közötti szinkronizálásának alapvető tevékenységéért. StorageSyncService
Azure Files Az Azure File Sync használatával szinkronizált összes adat az Azure-fájlmegosztásban van tárolva. A Windows-fájlkiszolgálókon módosított fájlok replikálódnak az Azure-fájlmegosztásba, a helyszíni fájlkiszolgálón rétegzett fájlok pedig zökkenőmentesen letöltődnek, amikor egy felhasználó kéri őket. Storage
Azure Resource Manager Az Azure Resource Manager az Azure felügyeleti felülete. Minden felügyeleti hívás, beleértve az Azure File Sync-kiszolgáló regisztrációt és a szinkronizálási kiszolgáló folyamatban lévő feladatait, az Azure Resource Manageren keresztül történik. AzureResourceManager
Microsoft Entra ID A Microsoft Entra ID (korábbi nevén Azure AD) tartalmazza azokat a felhasználói tagokat, amelyek szükségesek ahhoz, hogy a kiszolgálóregisztráció engedélyezhető legyen a Storage Sync szolgáltatáson, valamint azOkat a szolgáltatásneveket, amelyek szükségesek ahhoz, hogy az Azure File Sync hozzáférhessen a felhőbeli erőforrásokhoz. AzureActiveDirectory

Ha az Azure File Syncet használja az Azure-ban, még akkor is, ha az egy másik régióban található, a szolgáltatáscímke nevét közvetlenül a hálózati biztonsági csoportban is használhatja a szolgáltatás felé történő forgalom engedélyezéséhez. További tudnivalókért lásd: Hálózati biztonsági csoportok.

Ha helyszíni Azure File Syncet használ, a szolgáltatáscímke API-val konkrét IP-címtartományokat kérhet le a tűzfal engedélyezési listájához. Ez az információ két módon szerezhető be:

  • A szolgáltatáscímkéket támogató összes Azure-szolgáltatás IP-címtartományainak aktuális listája hetente van közzétéve a Microsoft Letöltőközpontban, JSON-dokumentum formájában. Minden Azure-felhő saját JSON-dokumentummal rendelkezik, amely az adott felhőhöz kapcsolódó IP-címtartományokkal rendelkezik:
  • A szolgáltatáscímke-felderítési API (előzetes verzió) segítségével programozottan lekérhető az szolgáltatáscímkék aktuális listája. Az előzetes verziójú szolgáltatáscímke-felderítési API által visszaadott információk esetenként kevésbé aktuálisak, mint a Microsoft Letöltőközpontban közzétett JSON-dokumentumokból származók. Az API-felületet az automatizálási beállítások alapján használhatja:

Ha többet szeretne megtudni arról, hogyan használhatja a szolgáltatáscímke API-t a szolgáltatások címeinek lekérésére, tekintse meg az Azure File Sync IP-címeinek engedélyezési listáját.

Forgalom bújtatása virtuális magánhálózaton vagy ExpressRoute-on keresztül

Egyes szervezetek megkövetelik az Azure-ral való kommunikációt, hogy egy hálózati alagúton , például VPN-en vagy ExpressRoute-on haladjanak át egy további biztonsági réteg érdekében, vagy hogy az Azure-ral folytatott kommunikáció determinisztikus útvonalat kövessen.

Amikor hálózati alagutat hoz létre a helyszíni hálózat és az Azure között, a helyszíni hálózatot egy vagy több Azure-beli virtuális hálózattal társviszonyba hozza. A virtuális hálózatok vagy virtuális hálózatok hasonlóak a helyszínen üzemeltetett hagyományos hálózatokhoz. Az Azure Storage-fiókhoz vagy egy Azure-beli virtuális géphez hasonlóan a VNET egy Azure-erőforrás, amely egy erőforráscsoportban van üzembe helyezve.

Az Azure Files és az Azure File Sync a következő mechanizmusokat támogatja a helyszíni kiszolgálók és az Azure közötti forgalom bújtatásához:

  • Azure VPN Gateway: A VPN-átjáró egy adott típusú virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy másik hely (például helyszíni) között az interneten keresztül. Az Azure VPN Gateway egy Azure-erőforrás, amely egy tárfiók vagy más Azure-erőforrás mellett üzembe helyezhető egy erőforráscsoportban. Mivel az Azure File Sync helyszíni Windows-fájlkiszolgálóval használható, általában helyek közötti (S2S) VPN-t használna, bár technikailag lehetséges pont–hely (P2S) VPN használata.

    A helyek közötti (S2S) VPN-kapcsolatok összekapcsolják az Azure-beli virtuális hálózatot és a szervezet helyszíni hálózatát. Az S2S VPN-kapcsolat lehetővé teszi a VPN-kapcsolat egyszeri konfigurálását a szervezet hálózatán üzemeltetett VPN-kiszolgálóhoz vagy eszközhöz, ahelyett, hogy minden olyan ügyféleszközt használ, amelyhez hozzá kell férnie az Azure-fájlmegosztáshoz. Az S2S VPN-kapcsolat üzembe helyezésének egyszerűsítése érdekében lásd : Helyek közötti (S2S) VPN konfigurálása az Azure Fileshoz való használatra.

  • ExpressRoute, amely lehetővé teszi egy meghatározott útvonal (privát kapcsolat) létrehozását az Azure és a helyszíni hálózat között, amely nem lépi át az internetet. Mivel az ExpressRoute dedikált útvonalat biztosít a helyszíni adatközpont és az Azure között, az ExpressRoute akkor lehet hasznos, ha a hálózati teljesítmény kulcsfontosságú szempont. Az ExpressRoute akkor is jó választás, ha a szervezet szabályzata vagy szabályozási követelményei determinisztikus elérési utat igényelnek a felhőbeli erőforrásokhoz.

Privát végpontok

Az Azure Files és az Azure File Sync által a tárfiókon és a Storage Sync szolgáltatáson keresztül biztosított alapértelmezett nyilvános végpontok mellett egy vagy több privát végpontot is biztosítanak erőforrásonként. Ez lehetővé teszi, hogy privátan és biztonságosan csatlakozzon az Azure-fájlmegosztásokhoz a helyszínen VPN vagy ExpressRoute használatával, valamint egy Azure-beli virtuális hálózaton belülről. Amikor privát végpontot hoz létre egy Azure-erőforráshoz, az a virtuális hálózat címteréből kap egy privát IP-címet, hasonlóan ahhoz, ahogyan a helyszíni Windows-fájlkiszolgáló rendelkezik IP-címmel a helyszíni hálózat dedikált címterében.

Fontos

Ahhoz, hogy privát végpontokat használhasson a Storage Sync Service-erőforráson, az Azure File Sync-ügynök 10.1-es vagy újabb verzióját kell használnia. A 10.1-et megelőző ügynökverziók nem támogatják a privát végpontokat a Társzinkronizálási szolgáltatásban. Minden korábbi ügynökverzió támogatja a tárfiók-erőforrás privát végpontjait.

Egy egyéni privát végpont egy adott Azure-beli virtuális hálózati alhálózathoz van társítva. A tárfiókok és a Társzinkronizálási szolgáltatások több virtuális hálózaton is lehetnek privát végpontokkal.

A privát végpontok használata lehetővé teszi a következőket:

  • Biztonságosan csatlakozhat azure-erőforrásaihoz helyszíni hálózatokról VPN- vagy ExpressRoute-kapcsolattal privát társviszony-létesítéssel.
  • Az Azure-erőforrások védelme az Azure Files és a Fájlszinkronizálás nyilvános végpontjainak letiltásával. A privát végpontok létrehozása alapértelmezés szerint nem blokkolja a nyilvános végponttal létesített kapcsolatokat.
  • A virtuális hálózat biztonságának növelése a virtuális hálózat (és a társhálózati határok) adatszivárgásának letiltásával.

Privát végpont létrehozásához lásd : Privát végpontok konfigurálása az Azure File Synchez.

Privát végpontok és DNS

Privát végpont létrehozásakor alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk (vagy frissítünk). A nyilvános felhőrégiók esetében ezek a DNS-zónák az Azure Fileshoz és privatelink.afs.azure.net az Azure File Synchez tartoznakprivatelink.file.core.windows.net.

Feljegyzés

Ez a cikk a tárfiók DNS-utótagját használja az Azure nyilvános régióihoz. core.windows.net Ez az Azure Szuverén felhőkre is vonatkozik, például az Azure US Government felhőre és a 21Vianet-felhő által üzemeltetett Microsoft Azure-ra – csak cserélje le a környezetének megfelelő utótagokat.

Amikor privát végpontokat hoz létre egy tárfiókhoz és egy társzinkronizálási szolgáltatáshoz, létrehozunk számukra egy rekordot a saját privát DNS-zónáikban. A nyilvános DNS-bejegyzést úgy is frissítjük, hogy a normál teljes tartománynevek CNAME-k legyenek a megfelelő privatelink névhez. Ez lehetővé teszi, hogy a teljes tartománynevek a privát végpont IP-címére (ip-címére) mutasson, amikor a kérelmező a virtuális hálózaton belül van, és a nyilvános végpont IP-címére(ek) mutasson, amikor a kérelmező a virtuális hálózaton kívül van.

Az Azure Files esetében minden privát végpont egyetlen teljes tartománynévvel rendelkezik, a minta storageaccount.privatelink.file.core.windows.netalapján, amely a privát végpont egyetlen privát IP-címére van leképezve. Az Azure File Sync esetében minden privát végpont négy teljes tartománynévvel rendelkezik a négy különböző végponthoz, amelyeket az Azure File Sync elérhetővé tesz: felügyelet, szinkronizálás (elsődleges), szinkronizálás (másodlagos) és figyelés. A végpontok teljes tartománynevei általában a Storage Sync Service nevét követik, kivéve, ha a név nem ASCII-karaktereket tartalmaz. Ha például a Társzinkronizálási szolgáltatás neve az USA 2. nyugati régiójában találhatómysyncservice, az egyenértékű végpontok mysyncservicemanagement.westus2.afs.azure.neta , mysyncservicesyncp.westus2.afs.azure.netés mysyncservicesyncs.westus2.afs.azure.netmysyncservicemonitoring.westus2.afs.azure.net. A Társzinkronizálási szolgáltatás minden privát végpontja négy különböző IP-címet tartalmaz.

Mivel az Azure privát DNS-zónája a privát végpontot tartalmazó virtuális hálózathoz csatlakozik, a DNS-konfigurációt akkor figyelheti meg, ha meghívja a Resolve-DnsName parancsmagot a PowerShellből egy Azure-beli virtuális gépen (alternatív megoldásként nslookup Windows és Linux rendszeren):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Ebben a példában a tárfiók storageaccount.file.core.windows.net a privát végpont privát IP-címére kerül, amely történetesen az .192.168.0.4

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Ha ugyanazt a parancsot futtatja a helyszínen, látni fogja, hogy ugyanaz a tárfióknév a tárfiók nyilvános IP-címére lesz feloldva; storageaccount.file.core.windows.net egy CNAME rekord storageaccount.privatelink.file.core.windows.net, amely viszont a tárfiókot üzemeltető Azure Storage-fürt CNAME rekordja:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Ez azt a tényt tükrözi, hogy az Azure Files és az Azure File Sync közzéteheti a nyilvános végpontokat és az erőforrásonkénti egy vagy több privát végpontot is. Annak érdekében, hogy az erőforrások teljes tartománynevei feloldódjanak a privát végpontok privát IP-címeire, módosítania kell a konfigurációt a helyszíni DNS-kiszolgálókon. Ez többféleképpen is elvégezhető:

  • Az ügyfelek gazdagépfájljának módosítása, hogy a tárfiókok és a Storage Sync Services teljes tartományneveit feloldja a kívánt magánhálózati IP-címekre. Ez erősen elriasztja az éles környezeteket, mivel ezeket a módosításokat minden olyan ügyfélen el kell végeznie, amelynek hozzá kell férnie a privát végpontokhoz. A rendszer nem kezeli automatikusan a privát végpontok/erőforrások módosításait (törléseket, módosításokat stb.).
  • DNS-zónák létrehozása a helyszíni kiszolgálókon privatelink.file.core.windows.net az Azure-erőforrások A rekordjaihoz és privatelink.afs.azure.net rekordjaihoz. Ennek az az előnye, hogy a helyszíni környezetben lévő ügyfelek automatikusan fel tudják oldani az Azure-erőforrásokat anélkül, hogy minden ügyfelet konfigurálnia kellene. Ez a megoldás azonban hasonlóan törékeny a gazdagépfájl módosításához, mert a módosítások nem jelennek meg. Bár ez a megoldás törékeny, egyes környezetekhez ez lehet a legjobb választás.
  • Továbbítsa a core.windows.net helyszíni DNS-kiszolgálókról a afs.azure.net zónákat az Azure privát DNS-zónájára. Az Azure privát DNS-gazdagépe egy speciális IP-címen (168.63.129.16) keresztül érhető el, amely csak az Azure privát DNS-zónához csatolt virtuális hálózatokon belül érhető el. A korlátozás megkerüléséhez további DNS-kiszolgálókat is futtathat a virtuális hálózaton belül, amelyek továbbítják core.windows.net és afs.azure.net továbbítják az azure-beli privát DNS-zónákat. A konfiguráció egyszerűsítése érdekében olyan PowerShell-parancsmagokat biztosítunk, amelyek automatikusan üzembe helyezik a DNS-kiszolgálókat az Azure-beli virtuális hálózaton, és igény szerint konfigurálják őket. A DNS-továbbítás beállításának megismeréséhez tekintse meg a DNS konfigurálása az Azure Files használatával című témakört.

Titkosítás az átvitel során

Az Azure File Sync-ügynökből az Azure-fájlmegosztáshoz vagy a Storage Sync Service-hez létrehozott kapcsolatok mindig titkosítva vannak. Bár az Azure Storage-fiókok rendelkeznek olyan beállítással, amely letiltja a titkosítást az Azure Files felé irányuló kommunikációhoz (és a tárfiókon kívül felügyelt többi Azure Storage-szolgáltatáshoz), a beállítás letiltása nem befolyásolja az Azure File Sync titkosítását az Azure Filesszal való kommunikáció során. Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással.

Az átvitel közbeni titkosítással kapcsolatos további információkért lásd : biztonságos átvitel megkövetelése az Azure Storage-ban.

Lásd még