Az Azure File Sync hálózatkezelési szempontjai
Az Azure-fájlmegosztásokhoz kétféleképpen csatlakozhat:
- Közvetlenül az SMB vagy a FileREST protokollon keresztül érheti el a megosztást. Ez a hozzáférési minta elsősorban a lehető legtöbb helyszíni kiszolgáló eltávolítására szolgál.
- Hozzon létre egy azure-fájlmegosztás gyorsítótárát egy helyszíni kiszolgálón (vagy Azure-beli virtuális gépen) az Azure File Sync használatával, és a választott protokollal (SMB, NFS, FTPS stb.) férhessen hozzá a fájlmegosztás adataihoz a helyszíni kiszolgálóról. Ez a hozzáférési minta hasznos, mert a helyszíni teljesítmény és a felhőbeli skálázás legjobbjait ötvözi az olyan hozzáadott értékű szolgáltatásokkal, mint az Azure Backup.
Ez a cikk a második forgatókönyvre összpontosít: hogyan konfigurálhatja a hálózatkezelést, amikor a használati eset az Azure File Sync használatával kéri a helyszíni fájlok gyorsítótárazását ahelyett, hogy közvetlenül csatlakoztatja az Azure-fájlmegosztást az SMB-n keresztül. Az Azure Files üzembe helyezésével kapcsolatos hálózati szempontokról az Azure Files hálózatkezelési szempontjait ismertető cikkben talál további információt.
Az Azure File Sync hálózati konfigurációja két különböző Azure-objektumra terjed ki: a Storage Sync Szolgáltatásra és egy Azure Storage-fiókra. A tárfiókok olyan felügyeleti szerkezetek, amelyek egy megosztott tárkészletet jelölnek, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobokat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, és szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.
Fontos
Az Azure File Sync nem támogatja az internetes útválasztást. Az Azure File Sync az alapértelmezett útválasztási beállítást, a Microsoft-útválasztás támogatja.
Windows-fájlkiszolgáló csatlakoztatása az Azure-hoz az Azure File Sync használatával
Az Azure Files és az Azure File Sync helyszíni Windows-fájlkiszolgálóval való beállításához és használatához nincs szükség az Azure-ba irányuló speciális hálózatkezelésre az alapszintű internetkapcsolaton túl. Az Azure File Sync üzembe helyezéséhez telepítse az Azure File Sync-ügynököt az Azure-ral szinkronizálni kívánt Windows-fájlkiszolgálóra. Az Azure File Sync-ügynök két csatornán keresztül éri el a szinkronizálást egy Azure-fájlmegosztással:
- Az Azure-fájlmegosztás eléréséhez használt HTTPS-alapú FileREST protokoll. Mivel a FileREST protokoll szabványos HTTPS protokollt használ az adatátvitelhez, a 443-as portnak elérhetőnek kell lennie kimenőben. Az Azure File Sync nem használja az SMB protokollt az adatok átvitelére a helyszíni Windows-kiszolgálók és az Azure-fájlmegosztás között.
- Az Azure File Sync szinkronizálási protokollja, amely egy HTTPS-alapú protokoll, amely a szinkronizálási ismeretek cseréjére szolgál, nevezetesen a környezet végpontjai közötti fájlokra és mappákra vonatkozó verzióinformációkra. Ez a protokoll a fájlok és mappák metaadatainak cseréjére is használható, például időbélyegek és hozzáférés-vezérlési listák (ACL-ek).
Mivel az Azure Files közvetlen SMB-protokoll-hozzáférést biztosít az Azure-fájlmegosztásokhoz, az ügyfelek gyakran felmerülnek a kérdésben, hogy speciális hálózatkezelést kell-e konfigurálniuk az Azure-fájlmegosztások csatlakoztatásához az Azure File Sync-ügynök SMB-jét használva a hozzáféréshez. Ez nem kötelező, és valójában elriasztja a rendszergazdai forgatókönyvek kivételével, mivel a közvetlenül az Azure-fájlmegosztáson végrehajtott módosítások gyors változásészlelése nem történik meg. Az Azure-fájlmegosztásban lévő elemek méretétől és számától függően előfordulhat, hogy a módosítások 24 óránál hosszabb ideig nem észlelhetők. Ha az Azure-fájlmegosztást közvetlenül szeretné használni az Azure File Sync helyett a helyszíni gyorsítótárazáshoz, tekintse meg az Azure Files hálózatkezelési áttekintését.
Bár az Azure File Sync nem igényel speciális hálózati konfigurációt, egyes ügyfelek speciális hálózati beállításokat is konfigurálhatnak a következő forgatókönyvek engedélyezéséhez:
- Együttműködik a szervezet proxykiszolgálójának konfigurációjával.
- Nyissa meg a szervezet helyszíni tűzfalát az Azure Files és az Azure File Sync szolgáltatásban.
- Azure Files és Azure File Sync-forgalom bújtatása ExpressRoute-on vagy virtuális magánhálózati (VPN-) kapcsolaton keresztül.
Proxykiszolgálók konfigurálása
Számos szervezet proxykiszolgálót használ közvetítőként a helyszíni hálózatán belüli erőforrások és a hálózaton kívüli erőforrások között, például az Azure-ban. A proxykiszolgálók számos alkalmazáshoz hasznosak, például a hálózatelkülönítéshez és a biztonsághoz, a monitorozáshoz és a naplózáshoz. Az Azure File Sync teljes mértékben együttműködhet egy proxykiszolgálóval, azonban manuálisan kell konfigurálnia a környezet proxyvégpont-beállításait az Azure File Sync használatával. Ezt a PowerShell-lel kell elvégezni az Azure File Sync-kiszolgáló parancsmagjának Set-StorageSyncProxyConfiguration
használatával.
További információ az Azure File Sync proxykiszolgálóval való konfigurálásáról: Az Azure File Sync konfigurálása proxykiszolgálóval.
Tűzfalak és szolgáltatáscímkék konfigurálása
Számos szervezet biztonsági okokból elkülöníti a fájlkiszolgálókat a legtöbb internetes helyről. Az Azure File Sync ilyen környezetben való használatához konfigurálnia kell a tűzfalat, hogy engedélyezze a kimenő hozzáférést az Azure-szolgáltatások kiválasztásához. Ezt úgy teheti meg, hogy engedélyezi a 443-os port kimenő elérését az adott Azure-szolgáltatásokat üzemeltető szükséges felhővégpontokhoz, ha a tűzfal támogatja az URL-címeket/tartományokat. Ha nem, a szolgáltatáscímkéken keresztül lekérheti ezeknek az Azure-szolgáltatásoknak az IP-címtartományait.
Az Azure File Synchez a következő szolgáltatások IP-címtartományai szükségesek, amelyeket a szolgáltatáscímkék azonosítanak:
Szolgáltatás | Leírás | Szolgáltatáscímke |
---|---|---|
Azure File Sync | A Storage Sync Service objektum által képviselt Azure File Sync szolgáltatás felelős az adatok Azure-fájlmegosztások és Windows-fájlkiszolgálók közötti szinkronizálásának alapvető tevékenységéért. | StorageSyncService |
Azure Files | Az Azure File Sync használatával szinkronizált összes adat az Azure-fájlmegosztásban van tárolva. A Windows-fájlkiszolgálókon módosított fájlok replikálódnak az Azure-fájlmegosztásba, a helyszíni fájlkiszolgálón rétegzett fájlok pedig zökkenőmentesen letöltődnek, amikor egy felhasználó kéri őket. | Storage |
Azure Resource Manager | Az Azure Resource Manager az Azure felügyeleti felülete. Minden felügyeleti hívás, beleértve az Azure File Sync-kiszolgáló regisztrációt és a szinkronizálási kiszolgáló folyamatban lévő feladatait, az Azure Resource Manageren keresztül történik. | AzureResourceManager |
Microsoft Entra ID | A Microsoft Entra ID (korábbi nevén Azure AD) tartalmazza azokat a felhasználói tagokat, amelyek szükségesek ahhoz, hogy a kiszolgálóregisztráció engedélyezhető legyen a Storage Sync szolgáltatáson, valamint azOkat a szolgáltatásneveket, amelyek szükségesek ahhoz, hogy az Azure File Sync hozzáférhessen a felhőbeli erőforrásokhoz. | AzureActiveDirectory |
Ha az Azure File Syncet használja az Azure-ban, még akkor is, ha az egy másik régióban található, a szolgáltatáscímke nevét közvetlenül a hálózati biztonsági csoportban is használhatja a szolgáltatás felé történő forgalom engedélyezéséhez. További tudnivalókért lásd: Hálózati biztonsági csoportok.
Ha helyszíni Azure File Syncet használ, a szolgáltatáscímke API-val konkrét IP-címtartományokat kérhet le a tűzfal engedélyezési listájához. Ez az információ két módon szerezhető be:
- A szolgáltatáscímkéket támogató összes Azure-szolgáltatás IP-címtartományainak aktuális listája hetente van közzétéve a Microsoft Letöltőközpontban, JSON-dokumentum formájában. Minden Azure-felhő saját JSON-dokumentummal rendelkezik, amely az adott felhőhöz kapcsolódó IP-címtartományokkal rendelkezik:
- A szolgáltatáscímke-felderítési API (előzetes verzió) segítségével programozottan lekérhető az szolgáltatáscímkék aktuális listája. Az előzetes verziójú szolgáltatáscímke-felderítési API által visszaadott információk esetenként kevésbé aktuálisak, mint a Microsoft Letöltőközpontban közzétett JSON-dokumentumokból származók. Az API-felületet az automatizálási beállítások alapján használhatja:
Ha többet szeretne megtudni arról, hogyan használhatja a szolgáltatáscímke API-t a szolgáltatások címeinek lekérésére, tekintse meg az Azure File Sync IP-címeinek engedélyezési listáját.
Forgalom bújtatása virtuális magánhálózaton vagy ExpressRoute-on keresztül
Egyes szervezetek megkövetelik az Azure-ral való kommunikációt, hogy egy hálózati alagúton , például VPN-en vagy ExpressRoute-on haladjanak át egy további biztonsági réteg érdekében, vagy hogy az Azure-ral folytatott kommunikáció determinisztikus útvonalat kövessen.
Amikor hálózati alagutat hoz létre a helyszíni hálózat és az Azure között, a helyszíni hálózatot egy vagy több Azure-beli virtuális hálózattal társviszonyba hozza. A virtuális hálózatok vagy virtuális hálózatok hasonlóak a helyszínen üzemeltetett hagyományos hálózatokhoz. Az Azure Storage-fiókhoz vagy egy Azure-beli virtuális géphez hasonlóan a VNET egy Azure-erőforrás, amely egy erőforráscsoportban van üzembe helyezve.
Az Azure Files és az Azure File Sync a következő mechanizmusokat támogatja a helyszíni kiszolgálók és az Azure közötti forgalom bújtatásához:
Azure VPN Gateway: A VPN-átjáró egy adott típusú virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy másik hely (például helyszíni) között az interneten keresztül. Az Azure VPN Gateway egy Azure-erőforrás, amely egy tárfiók vagy más Azure-erőforrás mellett üzembe helyezhető egy erőforráscsoportban. Mivel az Azure File Sync helyszíni Windows-fájlkiszolgálóval használható, általában helyek közötti (S2S) VPN-t használna, bár technikailag lehetséges pont–hely (P2S) VPN használata.
A helyek közötti (S2S) VPN-kapcsolatok összekapcsolják az Azure-beli virtuális hálózatot és a szervezet helyszíni hálózatát. Az S2S VPN-kapcsolat lehetővé teszi a VPN-kapcsolat egyszeri konfigurálását a szervezet hálózatán üzemeltetett VPN-kiszolgálóhoz vagy eszközhöz, ahelyett, hogy minden olyan ügyféleszközt használ, amelyhez hozzá kell férnie az Azure-fájlmegosztáshoz. Az S2S VPN-kapcsolat üzembe helyezésének egyszerűsítése érdekében lásd : Helyek közötti (S2S) VPN konfigurálása az Azure Fileshoz való használatra.
ExpressRoute, amely lehetővé teszi egy meghatározott útvonal (privát kapcsolat) létrehozását az Azure és a helyszíni hálózat között, amely nem lépi át az internetet. Mivel az ExpressRoute dedikált útvonalat biztosít a helyszíni adatközpont és az Azure között, az ExpressRoute akkor lehet hasznos, ha a hálózati teljesítmény kulcsfontosságú szempont. Az ExpressRoute akkor is jó választás, ha a szervezet szabályzata vagy szabályozási követelményei determinisztikus elérési utat igényelnek a felhőbeli erőforrásokhoz.
Privát végpontok
Az Azure Files és az Azure File Sync által a tárfiókon és a Storage Sync szolgáltatáson keresztül biztosított alapértelmezett nyilvános végpontok mellett egy vagy több privát végpontot is biztosítanak erőforrásonként. Ez lehetővé teszi, hogy privátan és biztonságosan csatlakozzon az Azure-fájlmegosztásokhoz a helyszínen VPN vagy ExpressRoute használatával, valamint egy Azure-beli virtuális hálózaton belülről. Amikor privát végpontot hoz létre egy Azure-erőforráshoz, az a virtuális hálózat címteréből kap egy privát IP-címet, hasonlóan ahhoz, ahogyan a helyszíni Windows-fájlkiszolgáló rendelkezik IP-címmel a helyszíni hálózat dedikált címterében.
Fontos
Ahhoz, hogy privát végpontokat használhasson a Storage Sync Service-erőforráson, az Azure File Sync-ügynök 10.1-es vagy újabb verzióját kell használnia. A 10.1-et megelőző ügynökverziók nem támogatják a privát végpontokat a Társzinkronizálási szolgáltatásban. Minden korábbi ügynökverzió támogatja a tárfiók-erőforrás privát végpontjait.
Egy egyéni privát végpont egy adott Azure-beli virtuális hálózati alhálózathoz van társítva. A tárfiókok és a Társzinkronizálási szolgáltatások több virtuális hálózaton is lehetnek privát végpontokkal.
A privát végpontok használata lehetővé teszi a következőket:
- Biztonságosan csatlakozhat azure-erőforrásaihoz helyszíni hálózatokról VPN- vagy ExpressRoute-kapcsolattal privát társviszony-létesítéssel.
- Az Azure-erőforrások védelme az Azure Files és a Fájlszinkronizálás nyilvános végpontjainak letiltásával. A privát végpontok létrehozása alapértelmezés szerint nem blokkolja a nyilvános végponttal létesített kapcsolatokat.
- A virtuális hálózat biztonságának növelése a virtuális hálózat (és a társhálózati határok) adatszivárgásának letiltásával.
Privát végpont létrehozásához lásd : Privát végpontok konfigurálása az Azure File Synchez.
Privát végpontok és DNS
Privát végpont létrehozásakor alapértelmezés szerint az altartománynak privatelink
megfelelő privát DNS-zónát is létrehozunk (vagy frissítünk). A nyilvános felhőrégiók esetében ezek a DNS-zónák az Azure Fileshoz és privatelink.afs.azure.net
az Azure File Synchez tartoznakprivatelink.file.core.windows.net
.
Feljegyzés
Ez a cikk a tárfiók DNS-utótagját használja az Azure nyilvános régióihoz. core.windows.net
Ez az Azure Szuverén felhőkre is vonatkozik, például az Azure US Government felhőre és a 21Vianet-felhő által üzemeltetett Microsoft Azure-ra – csak cserélje le a környezetének megfelelő utótagokat.
Amikor privát végpontokat hoz létre egy tárfiókhoz és egy társzinkronizálási szolgáltatáshoz, létrehozunk számukra egy rekordot a saját privát DNS-zónáikban. A nyilvános DNS-bejegyzést úgy is frissítjük, hogy a normál teljes tartománynevek CNAME-k legyenek a megfelelő privatelink
névhez. Ez lehetővé teszi, hogy a teljes tartománynevek a privát végpont IP-címére (ip-címére) mutasson, amikor a kérelmező a virtuális hálózaton belül van, és a nyilvános végpont IP-címére(ek) mutasson, amikor a kérelmező a virtuális hálózaton kívül van.
Az Azure Files esetében minden privát végpont egyetlen teljes tartománynévvel rendelkezik, a minta storageaccount.privatelink.file.core.windows.net
alapján, amely a privát végpont egyetlen privát IP-címére van leképezve. Az Azure File Sync esetében minden privát végpont négy teljes tartománynévvel rendelkezik a négy különböző végponthoz, amelyeket az Azure File Sync elérhetővé tesz: felügyelet, szinkronizálás (elsődleges), szinkronizálás (másodlagos) és figyelés. A végpontok teljes tartománynevei általában a Storage Sync Service nevét követik, kivéve, ha a név nem ASCII-karaktereket tartalmaz. Ha például a Társzinkronizálási szolgáltatás neve az USA 2. nyugati régiójában találhatómysyncservice
, az egyenértékű végpontok mysyncservicemanagement.westus2.afs.azure.net
a , mysyncservicesyncp.westus2.afs.azure.net
és mysyncservicesyncs.westus2.afs.azure.net
mysyncservicemonitoring.westus2.afs.azure.net
. A Társzinkronizálási szolgáltatás minden privát végpontja négy különböző IP-címet tartalmaz.
Mivel az Azure privát DNS-zónája a privát végpontot tartalmazó virtuális hálózathoz csatlakozik, a DNS-konfigurációt akkor figyelheti meg, ha meghívja a Resolve-DnsName
parancsmagot a PowerShellből egy Azure-beli virtuális gépen (alternatív megoldásként nslookup
Windows és Linux rendszeren):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Ebben a példában a tárfiók storageaccount.file.core.windows.net
a privát végpont privát IP-címére kerül, amely történetesen az .192.168.0.4
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Ha ugyanazt a parancsot futtatja a helyszínen, látni fogja, hogy ugyanaz a tárfióknév a tárfiók nyilvános IP-címére lesz feloldva; storageaccount.file.core.windows.net
egy CNAME rekord storageaccount.privatelink.file.core.windows.net
, amely viszont a tárfiókot üzemeltető Azure Storage-fürt CNAME rekordja:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Ez azt a tényt tükrözi, hogy az Azure Files és az Azure File Sync közzéteheti a nyilvános végpontokat és az erőforrásonkénti egy vagy több privát végpontot is. Annak érdekében, hogy az erőforrások teljes tartománynevei feloldódjanak a privát végpontok privát IP-címeire, módosítania kell a konfigurációt a helyszíni DNS-kiszolgálókon. Ez többféleképpen is elvégezhető:
- Az ügyfelek gazdagépfájljának módosítása, hogy a tárfiókok és a Storage Sync Services teljes tartományneveit feloldja a kívánt magánhálózati IP-címekre. Ez erősen elriasztja az éles környezeteket, mivel ezeket a módosításokat minden olyan ügyfélen el kell végeznie, amelynek hozzá kell férnie a privát végpontokhoz. A rendszer nem kezeli automatikusan a privát végpontok/erőforrások módosításait (törléseket, módosításokat stb.).
- DNS-zónák létrehozása a helyszíni kiszolgálókon
privatelink.file.core.windows.net
az Azure-erőforrások A rekordjaihoz ésprivatelink.afs.azure.net
rekordjaihoz. Ennek az az előnye, hogy a helyszíni környezetben lévő ügyfelek automatikusan fel tudják oldani az Azure-erőforrásokat anélkül, hogy minden ügyfelet konfigurálnia kellene. Ez a megoldás azonban hasonlóan törékeny a gazdagépfájl módosításához, mert a módosítások nem jelennek meg. Bár ez a megoldás törékeny, egyes környezetekhez ez lehet a legjobb választás. - Továbbítsa a
core.windows.net
helyszíni DNS-kiszolgálókról aafs.azure.net
zónákat az Azure privát DNS-zónájára. Az Azure privát DNS-gazdagépe egy speciális IP-címen (168.63.129.16
) keresztül érhető el, amely csak az Azure privát DNS-zónához csatolt virtuális hálózatokon belül érhető el. A korlátozás megkerüléséhez további DNS-kiszolgálókat is futtathat a virtuális hálózaton belül, amelyek továbbítjákcore.windows.net
ésafs.azure.net
továbbítják az azure-beli privát DNS-zónákat. A konfiguráció egyszerűsítése érdekében olyan PowerShell-parancsmagokat biztosítunk, amelyek automatikusan üzembe helyezik a DNS-kiszolgálókat az Azure-beli virtuális hálózaton, és igény szerint konfigurálják őket. A DNS-továbbítás beállításának megismeréséhez tekintse meg a DNS konfigurálása az Azure Files használatával című témakört.
Titkosítás az átvitel során
Az Azure File Sync-ügynökből az Azure-fájlmegosztáshoz vagy a Storage Sync Service-hez létrehozott kapcsolatok mindig titkosítva vannak. Bár az Azure Storage-fiókok rendelkeznek olyan beállítással, amely letiltja a titkosítást az Azure Files felé irányuló kommunikációhoz (és a tárfiókon kívül felügyelt többi Azure Storage-szolgáltatáshoz), a beállítás letiltása nem befolyásolja az Azure File Sync titkosítását az Azure Filesszal való kommunikáció során. Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással.
Az átvitel közbeni titkosítással kapcsolatos további információkért lásd : biztonságos átvitel megkövetelése az Azure Storage-ban.
Lásd még
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: