Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Files üzembe helyezésének két fő módja van: a kiszolgáló nélküli Azure-fájlmegosztások közvetlen csatlakoztatásával vagy a helyszíni fájlmegosztások gyorsítótárazásával az Azure File Sync használatával. Az üzembe helyezés szempontjai attól függően különböznek, hogy melyik beállítást választja.
Azure-fájlmegosztás közvetlen csatlakoztatása: Mivel az Azure Files kiszolgálói üzenetblokk (SMB) vagy hálózati fájlrendszer (NFS) hozzáférést biztosít, azure-fájlmegosztásokat csatlakoztathat a helyszínen vagy a felhőben az operációs rendszerben elérhető standard SMB- vagy NFS-ügyfelek használatával. Mivel az Azure-fájlmegosztások kiszolgáló nélküliek, az éles környezetekben való üzembe helyezéshez nincs szükség fájlkiszolgáló vagy NAS-eszköz kezelésére. Ez azt jelenti, hogy nem kell szoftverjavításokat alkalmaznia vagy fizikai lemezeket felcserélnie. Választhat, hogy a klasszikus Azure-fájlmegosztásokat vagy a Microsoft.FileShares (előzetes verzió) szolgáltatást használja felügyeleti modellként.
Azure-fájlmegosztások gyorsítótárazása a helyszínen az Azure File Sync használatával: Az Azure File Sync lehetővé teszi a szervezet fájlmegosztásainak központosítását az Azure Filesban, miközben megtartja a helyszíni fájlkiszolgálók rugalmasságát, teljesítményét és kompatibilitását. Az Azure File Sync átalakítja a helyszíni (vagy felhőbeli) Windows Servert az SMB Azure-fájlmegosztás gyors gyorsítótárává.
Ez a cikk elsősorban a helyszíni vagy felhőügyfél által közvetlenül csatlakoztatandó Azure-fájlmegosztás üzembe helyezésének üzembe helyezésével kapcsolatos szempontokat ismerteti. Az Azure File Sync üzembe helyezésének megtervezéséhez tekintse meg az Azure File Sync üzembe helyezésének tervezésével kapcsolatos témakört.
Felügyeleti fogalmak
Az Azure-ban az erőforrás egy kezelhető elem, amelyet az Azure-előfizetéseken és -erőforráscsoportokon belül hoz létre és konfigurál. Az erőforrásokat az erőforrás-szolgáltatók kínálják, amelyek olyan felügyeleti szolgáltatások, amelyek meghatározott típusú erőforrásokat biztosítanak. Bár számos erőforrással együtt üzembe helyezhet egy számítási feladatot az Azure-ban, az Azure Files két fő erőforráson központosul:
Az erőforrás-szolgáltató által kínált
Microsoft.Storage. A tárfiókok olyan legfelső szintű erőforrások, amelyek megosztott tárolókészletet, IOPS-t és átviteli sebességet képviselnek, amelyekben a tárfiók típusától függően klasszikus fájlmegosztásokat vagy más tárolási erőforrásokat helyezhet üzembe. A tárfiókban üzembe helyezett összes tárolási erőforrás megosztja az adott tárfiókra vonatkozó korlátozásokat. A klasszikus fájlmegosztások támogatják az SMB és az NFS fájlmegosztási protokollokat is.Az erőforrás-szolgáltató által kínált
Microsoft.FileShares(előzetes verzió). A fájlmegosztások egy új legfelső szintű erőforrás, amely leegyszerűsíti az Azure Files üzembe helyezését a tárfiók megszüntetésével. Ellentétben a klasszikus fájlmegosztásokkal, amelyeket egy tárfiókban kell üzembe helyezni, a fájlmegosztások közvetlenül az erőforráscsoportba vannak üzembe helyezve, például maguk a tárfiókok, vagy más, ön által ismert Azure-erőforrások, például virtuális gépek, lemezek vagy virtuális hálózatok. A fájlmegosztások támogatják az NFS fájlmegosztási protokollt – ha SMB-t igényel, válassza ki a klasszikus fájlmegosztásokat az üzembe helyezéshez.
Ez a videó átfogó áttekintést nyújt a tárfiók és a fájlmegosztás-felügyeleti modellek közötti különbségekről:
Klasszikus fájlmegosztások (Microsoft.Storage)
A klasszikus fájlmegosztások vagy a tárfiókokban üzembe helyezett fájlmegosztások a hagyományos módszer az Azure Files fájlmegosztásainak üzembe helyezésére. Az Azure Files által támogatott összes fő funkciót támogatják, beleértve az SMB- és NFS-, SSD- és HDD-médiaszinteket, minden redundanciatípust és minden régiót. Bár a klasszikus fájlmegosztások támogatják az Azure Files funkcióinak teljes egészét, fontos kulcskorlátokkal rendelkeznek:
Kapacitástervezés: A klasszikus fájlmegosztások és az azonos tárfiókban élő más tárolási szolgáltatások gyermekobjektumai közös tárolókészletet, IOPS-t és átviteli sebességet biztosítanak. Ez azt jelenti, hogy a kapacitás szűk keresztmetszeteinek elkerülése érdekében több klasszikus fájlmegosztást kell elhelyezni egy tárfiókban. A klasszikus fájlmegosztások kapacitástervezése során figyelembe kell vennie a tárfiókba helyezett klasszikus fájlmegosztások jelenlegi és jövőbeli igényeit is, mivel egy klasszikus fájlmegosztás növekedése kiszorhatja a többi fájlmegosztást.
Megosztott beállítások: Számos fontos beállítás, például a hálózati és biztonsági szabályok alkalmazása a tárfiók szintjén történik, ezért a klasszikus fájlmegosztások ugyanabban a tárfiókban való elhelyezése gondos megfontolást igényel. A tárfiókot megbízhatósági határnak kell tekintenie, és csak akkor helyezzen el klasszikus fájlmegosztásokat ugyanabban a tárfiókban, ha nincs rendben azzal, hogy ugyanazokkal a biztonsági beállításokkal rendelkezik.
Skálázási összetettség: Az Azure Files nagy léptékű üzembe helyezése számos Azure-előfizetés kezelését igényelheti az erőforrás-szolgáltató tárfiókjaira
Microsoft.Storagevonatkozó korlátozások miatt. További információkért tekintse meg a tárfiókok korlátait .
A klasszikus fájlmegosztások központi telepítéséhez két fő típusú tárfiókot használnak:
-
Kiépített tárfiókok: A kiépített tárfiókok a tárfiók típusával
FileStoragevannak megkülönböztetve. A kiépített tárfiókok lehetővé teszik a kiépített klasszikus fájlmegosztások üzembe helyezését SSD- vagy HDD-alapú hardvereken. A kiépített tárfiókok csak a klasszikus fájlmegosztások tárolására használhatók, és nem használhatók más tárolási erőforrások, például blobtárolók, üzenetsorok és táblák tárolására. Javasoljuk, hogy az összes új klasszikus fájlmegosztás-telepítéshez használjunk kiépített tárfiókokat. -
Használatalapú fizetéses tárfiókok: A használatalapú fizetéses tárfiókok a tárfiók típusával
StorageV2vannak megkülönböztetve. A használatalapú tárfiókok lehetővé teszik használatalapú fizetéses fájlmegosztások üzembe helyezését a HDD-alapú hardvereken. Használatalapú fizetéses tárfiókok használhatók klasszikus fájlmegosztások és más tárolási erőforrások, például blobtárolók, üzenetsorok vagy táblák tárolására.
További információ: Klasszikus fájlmegosztás létrehozása.
Fájlmegosztások (Microsoft.FileShares)
A fájlmegosztások (előzetes verzió) egy új legfelső szintű Azure-erőforrás, amelyet az Microsoft.FileShares erőforrás-szolgáltató biztosít. A fájlmegosztások a következő előnyöket kínálják a klasszikus fájlmegosztásokkal szemben:
Egyszerűsített felügyelet: A fájlmegosztások közvetlenül legfelső szintű erőforrásként jönnek létre a portálon vagy felügyeleti API-kon keresztül. Ez eltávolítja a tárfiókok kezelésének követelményét, és leegyszerűsíti az üzembe helyezést.
Független kapacitás és teljesítmény: Minden fájlmegosztás saját dedikált tárhellyel, IOPS-jal és átviteli sebességgel rendelkezik. Így nem kell kapacitástervezést végeznie a tárfiókok korlátozott erőforrásaival szemben, és lehetővé teszi a fájlmegosztások számára, hogy szabadon növekedjenek a számítási feladatok igényeinek növekedésével.
Részletes konfiguráció: A rendszer a fájlmegosztás szintjén alkalmazza a hálózati és biztonsági beállításokat, így pontosan szabályozhatja a hozzáférés határait és az elkülönítést. Ez megkönnyíti a biztonsági szabályzatok kikényszerítését adott alkalmazásokra, csapatokra vagy környezetekre vonatkozóan.
Kiszámítható, rugalmas számlázás: A fájlmegosztások a kiosztott v2 számlázási modellt használják, amely lehetővé teszi a tárterület, az IOPS és a megosztásonkénti átviteli sebesség egymástól független kiépítését. Mivel az Azure-ban a számlázás legfelső szintű Azure-erőforrásonként történik, a fájlmegosztások használatával egyszerűen nyomon követheti az egyes megosztások költségeit a fájlmegosztást használó projektnek, csapatnak vagy ügyfélnek való visszahelyezéshez.
Továbbfejlesztett méretezés és teljesítmény: A fájlmegosztások magasabb korlátokat és alacsonyabb üzembe helyezési időket támogatnak, mint a klasszikus fájlmegosztások. További információ: Azure Files skálázhatósági és teljesítménycélok.
Regionális rendelkezésre állás
Jelenleg a Következő régiókban érhető el fájlmegosztás létrehozása a Microsoft.FileShares szolgáltatással (előzetes verzió):
- Ausztrália keleti régiója
- Ausztrália középső régiója
- Délkelet-Ausztrália
- Kelet-Ázsia
- USA keleti régiója
- Észak-Németország
- Korea déli régiója
- Délkelet-Ázsia
- Észak-Európa
- Dél-Afrika nyugati régiója
- Dél-India
- Egyesült Arab Emírségek középső régiója
Jelenleg a Microsoft.FileShares (előzetes verzió) fájlmegosztásának privát végponttámogatása a régiók korlátozott részhalmazában érhető el:
- Minden nyilvános Azure-felhőrégió.
Erőforrás-szolgáltatók összehasonlítása: Microsoft.Storage és Microsoft.FileShares
| Funkció | Klasszikus fájlmegosztások  |
Fájlmegosztások (Microsoft.FileShares)  |
|---|---|---|
| Támogatási garancia | Általánosan elérhető | Nyilvános előzetes verzió |
| A szolgáltatás legfelső szintű erőforrása | Tárfiók  |
Fájlmegosztások |
| SMB protokoll |
|
|
| NFS-protokoll |
|
|
| Fájlszinkronizálás támogatása |
|
|
| Tárfiók megkövetelése |
|
|
| Fizetés használat közben számlázási modell |
|
|
| Kiépített v1 számlázási modell |
|
|
| Kiépített v2 számlázási modell |
|
|
| HDD-támogatás |
|
|
| SSD-támogatás |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Megosztási szintű számlázás, hálózatkezelés és biztonsági konfigurációk szerint |
|
|
| Egyetlen virtuális hálózat konfigurációja fájlmegosztáshoz |
|
|
| Egyetlen virtuális hálózat konfigurációja több fájlmegosztáshoz |
|
|
| AKS CSI-illesztőprogram |
|
|
| Adatsík – REST API-k |
|
|
Elérhető protokollok
Az Azure Files két iparági szabvány fájlrendszerprotokollt kínál az Azure-fájlmegosztások csatlakoztatásához: a Server Message Block (SMB) protokollt és a hálózati fájlrendszer (NFS) protokollt, így kiválaszthatja a számítási feladathoz leginkább illő protokollt. Az Azure-fájlmegosztások nem támogatják az SMB és az NFS protokollt ugyanazon a fájlmegosztáson, bár SMB- és NFS Azure-fájlmegosztásokat is létrehozhat ugyanazon a tárfiókon belül.
SMB- és NFS-fájlmegosztások esetén az Azure Files olyan nagyvállalati szintű fájlmegosztásokat kínál, amelyek a tárolási igényeknek megfelelően méretezhetők, és több ezer ügyfél egyidejűleg is elérhetők.
| Funkció | SMB | NFS |
|---|---|---|
| Támogatott protokollverziók | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Ajánlott operációs rendszer |
|
Linux kernel 4.3+ verzió |
| Elérhető szintek | SSD és HDD | Csak SSD |
| Redundancia |
|
|
| Fájlrendszer szemantikája | Win32 | POSIX |
| Hitelesítés | Identitásalapú hitelesítés (Kerberos), megosztott kulcsos hitelesítés (NTLMv2) | Gazdagép-alapú hitelesítés |
| Engedélyezés | Win32 stílusú hozzáférés-vezérlési listák (ACL-ek) | UNIX-stílusú engedélyek |
| Betűérzékenység | Nem megkülönböztető az eredeti kis- és nagybetűk megőrzésével. | Kis- és nagybetűk megkülönböztetése |
| Megnyitott fájlok törlése vagy módosítása | Csak zárolással | Igen |
| Fájlmegosztás | Windows megosztó mód | Bájt-tartomány tanácsadó hálózati zárkezelő |
| Kemény hivatkozás támogatása | Nem támogatott | Támogatott |
| Szimbolikus hivatkozás támogatása | Nem támogatott | Támogatott |
| Opcionálisan elérhető internet | Igen (csak SMB 3.0+) | Nem |
| Támogatja a FileREST-et | Igen | Igen (csak Microsoft.Storage esetén) |
| Kötelező bájttartomány-zárolások | Támogatott | Nem támogatott |
| Tájékoztató jellegű bájttartomány-zárolások | Nem támogatott | Támogatott |
| Bővített/elnevezett attribútumok | Nem támogatott | Nem támogatott |
| Alternatív adatstreamek | Nem támogatott | n/a |
| Objektumazonosítók | Nem támogatott | n/a |
| Újraelemzési pontok | Nem támogatott | n/a |
| Ritka fájlok | Nem támogatott | n/a |
| Tömörítés | Nem támogatott | n/a |
| Nevesített csövek | Nem támogatott | n/a |
| Közvetlen SMB | Nem támogatott | n/a |
| SMB-könyvtárbérlés | Nem támogatott | n/a |
| Kötet árnyékmásolata | Nem támogatott | n/a |
| Rövid fájlnevek (8.3 alias) | Nem támogatott | n/a |
| Fájlrendszertranzakciók (TxF) | Nem támogatott | n/a |
Identitás
Az Azure-fájlmegosztás eléréséhez hitelesíteni kell a fájlmegosztás felhasználóját, és engedélyezni kell a megosztás elérését. Ez a fájlmegosztáshoz hozzáférő felhasználó identitása alapján történik. Az Azure Files a következő hitelesítési módszereket támogatja:
- Helyszíni Active Directory tartományi szolgáltatások (AD DS vagy helyszíni AD DS): Az Azure Storage-fiókok csatlakoztathatók egy ügyfél tulajdonában lévő Active Directory tartományi szolgáltatásokhoz, akárcsak egy Windows Server-fájlkiszolgáló vagy NAS-eszköz. Helyezhet üzembe tartományvezérlőt a helyszínen, egy Azure-beli virtuális gépen, vagy akár virtuális gépként is egy másik felhőszolgáltatónál; az Azure Files független attól, hogy hol van üzemeltetve a tartományvezérlő. A tárfiók tartományhoz való csatlakoztatása után a végfelhasználó csatlakoztathat egy fájlmegosztást azzal a felhasználói fiókkal, amellyel bejelentkezett a számítógépére. Az AD-alapú hitelesítés a Kerberos hitelesítési protokollt használja.
- Microsoft Entra Domain Services: A Microsoft Entra Domain Services egy Microsoft által felügyelt tartományvezérlőt biztosít, amely azure-erőforrásokhoz használható. A tárfiók csatlakoztatása a Microsoft Entra Domain Services tartományához hasonló előnyökkel jár, mint amikor egy ügyfél tulajdonában lévő AD DS-hez van csatlakoztatva. Ez az üzembe helyezési lehetőség leginkább az AD-alapú engedélyeket igénylő alkalmazásemelési és -váltási forgatókönyvekben hasznos. Mivel a Microsoft Entra Domain Services AD-alapú hitelesítést biztosít, ez a beállítás a Kerberos hitelesítési protokollt is használja.
- Microsoft Entra Kerberos: A Microsoft Entra Kerberos lehetővé teszi a Microsoft Entra ID használatát a hibrid vagy csak felhőalapú identitások hitelesítéséhez (előzetes verzió). Ez a konfiguráció a Microsoft Entra ID-val állít ki Kerberos-jegyeket a fájlmegosztás SMB protokollal való eléréséhez. Ez azt jelenti, hogy a végfelhasználók az interneten keresztül férhetnek hozzá az Azure-fájlmegosztásokhoz a Microsoft Entra hibrid és a Microsoft Entra-hoz csatlakoztatott virtuális gépekről.
- Active Directory-hitelesítés SMB-n keresztül Linux-ügyfelek számára: Az Azure Files támogatja az identitásalapú hitelesítést AD DS-n vagy Microsoft Entra Domain Servicesen keresztül a Kerberos hitelesítési protokollt használó Linux-ügyfelek SMB-n keresztül.
- Azure Storage-fiókkulcs: Bár biztonsági okokból nem ajánlott, az Azure-fájlmegosztásokat azure-tárfiókkulcs használatával is csatlakoztathatja identitás használata helyett. Ha a tárfiókkulcs használatával szeretne fájlmegosztást csatlakoztatni, a rendszer a tárfiók nevét használja felhasználónévként, a tárfiókkulcsot pedig jelszóként. Az Azure-fájlmegosztás csatlakoztatásához a tárfiókkulcs használata gyakorlatilag rendszergazdai művelet, mivel a csatlakoztatott fájlmegosztás teljes engedélyekkel rendelkezik a megosztás összes fájljához és mappájához, még akkor is, ha ACL-ekkel rendelkeznek. Ha a tárfiókkulcsot használja az SMB-n keresztüli csatlakoztatáshoz, a rendszer az NTLMv2 hitelesítési protokollt használja. Szinte minden esetben azt javasoljuk, hogy a tárfiókkulcs helyett identitásalapú hitelesítést használjon az SMB Azure-fájlmegosztások eléréséhez. Ha azonban a tárfiókkulcsot kell használnia, javasoljuk, hogy privát végpontokat vagy szolgáltatásvégpontokat használjon a Hálózatkezelés szakaszban leírtak szerint.
A helyszíni fájlkiszolgálókról migrált vagy új fájlmegosztásokat létrehozó ügyfelek számára az Azure Filesban a Windows-fájlkiszolgálókhoz vagy NAS-berendezésekhez hasonlóan működő új fájlmegosztások létrehozása esetén ajánlott a tárfiókot az ügyfél tulajdonában lévő AD DS-hez csatlakozó tartomány. Ha többet szeretne megtudni arról, hogy a tárfiók hogyan csatlakoztatható egy ügyfél által birtokolt AD DS tartományhoz, olvassa el az Áttekintést – helyi Active Directory Domain Services hitelesítése SMB-n keresztül Azure-fájlmegosztásokhoz.
hálózat
Az Azure-fájlmegosztás közvetlen csatlakoztatása gyakran igényel némi megfontolást a hálózatkezelés konfigurálásával kapcsolatban, mert:
- Az SMB-fájlmegosztások kommunikációhoz használt portját, a 445-ös portot gyakran blokkolja számos szervezet és internetszolgáltató a kimenő (internetes) forgalom számára.
- Az NFS-fájlmegosztások hálózati szintű hitelesítésre támaszkodnak, ezért csak korlátozott hálózatokon keresztül érhetők el. Az NFS-fájlmegosztások használatához mindig szükség van bizonyos szintű hálózati konfigurációra.
A hálózatkezelés konfigurálásához az Azure Files egy internetkapcsolattal rendelkező nyilvános végpontot biztosít, és integrációt biztosít az Azure hálózatkezelési funkcióival, például a szolgáltatásvégpontokkal, amelyek segítenek a nyilvános végpont meghatározott virtuális hálózatokra és privát végpontokra való korlátozásában, így a tárfiók privát IP-címet kap egy virtuális hálózati IP-címtéren belülről. Bár a nyilvános végpontok és a szolgáltatásvégpontok használata nem jár külön díjjal, a privát végpontok esetében a standard adatfeldolgozási díjak érvényesek.
Ez azt jelenti, hogy a következő hálózati konfigurációkat kell figyelembe vennie:
- Ha a szükséges protokoll SMB, és az SMB-n keresztüli összes hozzáférés az Azure-beli ügyfelektől származik, nincs szükség speciális hálózati konfigurációra.
- Ha a szükséges protokoll SMB, és a hozzáférés a helyszíni ügyfelektől származik, akkor vpn- vagy ExpressRoute-kapcsolat szükséges a helyszíni és az Azure-hálózat között, és az Azure Files privát végpontok használatával van közzétéve a belső hálózaton.
- Ha a szükséges protokoll NFS, akkor szolgáltatásvégpontok vagy privát végpontok használatával korlátozhatja a hálózatot a megadott virtuális hálózatokra. Ha statikus IP-címre van szüksége, és/vagy a számítási feladat magas rendelkezésre állást igényel, használjon privát végpontot. Szolgáltatásvégpontok esetén egy ritka esemény, például egy zónakimaradás, azt okozhatja, hogy a tárfiók mögöttes IP-címe megváltozik. Bár az adatok továbbra is elérhetők a fájlmegosztáson, az ügyfélnek újra kell csatlakoztatnia a megosztást.
Ha többet szeretne megtudni az Azure Files hálózatkezelésének konfigurálásáról, tekintse meg az Azure Files hálózatkezelési szempontjait.
Az SMB amellett, hogy közvetlenül csatlakozik a fájlmegosztáshoz a nyilvános végponttal, vagy VPN-/ExpressRoute-kapcsolattal privát végponttal, további ügyfélhozzáférési stratégiát is biztosít: SMB a QUIC-n keresztül. Az SMB a QUIC-en keresztül nulla konfigurációs "SMB VPN"-t kínál az SMB-hozzáféréshez a QUIC átviteli protokollon keresztül. Bár az Azure Files közvetlenül nem támogatja az SMB-t a QUIC-n keresztül, az Azure File Sync használatával létrehozhat egy egyszerűsített gyorsítótárat az Azure-fájlmegosztásokról Egy Windows Server 2022 Azure Edition rendszerű virtuális gépen. Ha többet szeretne megtudni erről a lehetőségről, tekintse meg az SMB-t a QUIC-en keresztül az Azure File Sync használatával.
Titkosítás
Az Azure Files kétféle titkosítást támogat:
- Az átvitel során használt titkosítás, amely az Azure-fájlmegosztás csatlakoztatásakor vagy elérésekor alkalmazott titkosításra vonatkozik.
- Nyugalmi állapotban történő titkosítás, amely a lemezen tárolt adatok titkosításának módjára vonatkozik
Titkosítás az átvitel során
Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással. Ez azt jelenti, hogy amikor SMB-n keresztül csatlakoztat egy fájlmegosztást, vagy a FileREST protokollon keresztül éri el (például az Azure Portalon, a PowerShell/CLI-n vagy az Azure SDK-n keresztül), az Azure Files csak akkor engedélyezi a kapcsolatot, ha az SMB 3.x titkosítással vagy HTTPS-vel készült. Azok az ügyfelek, amelyek nem támogatják az SMB 3.x-et, vagy az SMB 3.x titkosítást támogató, de nem SMB-titkosítást támogató ügyfelek nem fogják tudni csatlakoztatni az Azure-fájlmegosztást, ha az átvitel közbeni titkosítás engedélyezve van. További információ arról, hogy mely operációs rendszerek támogatják az SMB 3.x titkosítással való használatát, tekintse meg a Windows, macOS és Linux rendszerhez készült dokumentációt. A PowerShell, a CLI és az SDK összes jelenlegi verziója támogatja a HTTPS-t.
Az Azure Storage-fiók átvitel közbeni titkosítását letilthatja. Ha a titkosítás le van tiltva, az Azure Files lehetővé teszi az SMB 2.1 és az SMB 3.x titkosítás nélküli használatát, valamint a titkosítatlan FileREST API-hívásokat HTTP-en keresztül. Az átvitel közbeni titkosítás letiltásának elsődleges oka egy régebbi operációs rendszeren , például Windows Server 2008 R2 vagy régebbi Linux-disztribúción futtatandó régi alkalmazások támogatása. Az Azure Files csak az Azure-fájlmegosztással azonos Azure-régióban engedélyezi az SMB 2.1-kapcsolatokat; Egy SMB 2.1-ügyfél nem fér hozzá a fájlmegosztáshoz az Azure-fájlmegosztás Azure-régióján kívül, például a helyszínen vagy egy másik Azure-régióban.
Határozottan javasoljuk, hogy az átvitel közbeni adatok titkosítása engedélyezve legyen.
Az átvitel közbeni titkosításról további információt az Azure Storage biztonságos átvitelének és az NFS Azure-fájlmegosztások átvitel közbeni titkosításának megkövetelése című témakörben talál.
Titkosítás inaktív állapotban
Az Azure Filesban tárolt összes adat az Azure Storage szolgáltatásoldali titkosításával (SSE) van titkosítva. Az SSE a Windows BitLockerhez hasonlóan működik: az adatok titkosítása a fájlrendszer szintje alatt történik.
Mivel az adatok titkosítása az Azure-fájlmegosztás fájlrendszere alatt történik, ezért mivel lemezre van kódolva, nem kell hozzáférnie az ügyfél mögöttes kulcsához az Azure-fájlmegosztás olvasásához vagy írásához. A inaktív titkosítás az SMB és az NFS protokollokra is vonatkozik.
Az Azure Filesban tárolt adatok alapértelmezés szerint Microsoft által felügyelt kulcsokkal lesznek titkosítva. A Microsoft által felügyelt kulcsokkal a Microsoft tárolja az adatok titkosításához és visszafejtéséhez szükséges kulcsokat. A Microsoft felelős a kulcsok rendszeres elforgatásáért.
Saját kulcsokat is kezelhet, így szabályozhatja a forgatási folyamatot. Ha úgy dönt, hogy ügyfél által felügyelt kulcsokkal titkosítja a fájlmegosztásokat, az Azure Files jogosult hozzáférni a kulcsokhoz az ügyfelektől érkező olvasási és írási kérések teljesítéséhez. Az ügyfél által kezelt kulcsokkal bármikor visszavonhatja ezt az engedélyt. Az engedélyezés nélkül azonban az Azure-fájlmegosztás már nem érhető el az SMB-n vagy a FileREST API-n keresztül.
Az Azure Files ugyanazt a titkosítási sémát használja, mint a többi Azure Storage-szolgáltatás, például az Azure Blob Storage. Az Azure Storage SSE-ről további információt az Inaktív adatok Azure Storage-titkosítása című témakörben talál.
Adatvédelem
Az Azure Files többrétegű megközelítéssel biztosítja az adatok biztonsági mentését, helyreállítását és védelmét a biztonsági fenyegetések ellen. Tekintse meg az Azure Files adatvédelmi áttekintését.
Visszaállítható törlés
A helyreállítható törlés egy tárfiókszintű beállítás, amellyel helyreállíthatja a fájlmegosztást, amikor véletlenül törölték. Amikor egy fájlmegosztást törölnek, az nem véglegesen törlődik, hanem helyreállítható állapotba kerül. Beállíthatja, hogy a helyreállíthatóan törölt megosztások mennyi ideig állíthatók helyre a végleges törlésük előtt, és a megosztást bármikor törölje a megőrzési időszak alatt.
Az új tárfiókok esetében alapértelmezés szerint engedélyezve van a helyreállítható törlés. Ha olyan munkafolyamata van, amelyben gyakori és elvárt a megosztás törlése, előfordulhat, hogy rövid megőrzési időszak mellett dönt, vagy egyáltalán nem engedélyezi a helyreállítható törlést.
További információ a helyreállítható törlésről: Véletlen adattörlés megakadályozása.
Backup
Az Azure-fájlmegosztásról a megosztási pillanatképek segítségével készíthet biztonsági másolatot, amelyek írásvédett, időponthoz kötött másolatai a megosztásnak. A pillanatképek növekményesek, ami azt jelenti, hogy csak annyi adatot tartalmaznak, amennyit az előző pillanatkép óta módosítottak. Fájlmegosztásonként legfeljebb 200 pillanatképe lehet, és legfeljebb 10 évig őrizheti meg őket. Manuálisan is készíthet pillanatképeket az Azure Portalon a PowerShell vagy parancssori felületen keresztül, vagy használhatja az Azure Backupot.
Az Azure Backup az Azure fájlmegosztások számára a pillanatképek ütemezését és megőrzését látja el. A nagyapja-apa-fia (GFS) képességei azt jelentik, hogy napi, heti, havi és éves pillanatképeket készíthet, amelyek mindegyike külön megőrzési idővel rendelkezik. Az Azure Backup összehangolja a puha törlés engedélyezését is, és törlési zárolást alkalmaz egy tárfiókon, amint bármelyik fájlmegosztás benne biztonsági mentésre van konfigurálva. Végül az Azure Backup bizonyos kulcsfontosságú figyelési és riasztási képességeket biztosít, amelyek lehetővé teszik az ügyfelek számára, hogy összevont nézetet készítsenek a biztonsági mentési tulajdonukról.
Az Azure Portalon az Azure Backup használatával elemszintű és megosztási szintű visszaállításokat is végrehajthat. Mindössze annyit kell tennie, hogy kiválasztja a visszaállítási pontot (egy adott pillanatképet), az adott fájlt vagy könyvtárat, ha szükséges, majd azt a helyet (eredeti vagy másodlagos), ahová vissza szeretne állítani. A biztonsági mentési szolgáltatás kezeli a pillanatképadatok átmásolását, és megjeleníti a visszaállítási folyamatot a portálon.
Az Azure Files védelme a Microsoft Defender for Storage használatával
A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Átfogó biztonságot nyújt az Azure Files által létrehozott adatsík és vezérlősík telemetriájának elemzésével. A Microsoft Threat Intelligence által nyújtott fejlett fenyegetésészlelési képességeket használja a környezetfüggő biztonsági riasztások biztosítására, beleértve az észlelt fenyegetések enyhítésére és a jövőbeli támadások megelőzésére szolgáló lépéseket.
A Defender for Storage folyamatosan elemzi az Azure Files által létrehozott telemetriai adatfolyamot. Potenciálisan rosszindulatú tevékenységek észlelésekor biztonsági riasztások jönnek létre. Ezek a riasztások a Microsoft Defender for Cloud-ban jelennek meg, valamint a gyanús tevékenységek, a vizsgálati lépések, a javítási műveletek és a biztonsági javaslatok részletei.
A Defender for Storage észleli az ismert kártevőket, például a zsarolóprogramokat, a vírusokat, a kémprogramokat és a tárfiókba feltöltött egyéb kártevőket a teljes fájlkivonat alapján (csak a REST API-hoz támogatott). Ez segít megakadályozni, hogy a kártevők belépjenek a szervezetbe, és több felhasználóra és erőforrásra terjedjenek. Tekintse meg a kártevővizsgálat és a hash-reputáció elemzés közötti különbségeket.
A Defender for Storage nem fér hozzá a tárfiók adataihoz, és nem befolyásolja annak teljesítményét. A Microsoft Defender for Storage-t az előfizetés szintjén (ajánlott) vagy az erőforrás szintjén engedélyezheti.
Tárolási rétegek
Az Azure Files két tárolási réteget kínál: egyszínű állapotú lemezt (SSD) és merevlemez-meghajtót (HDD). Ezek a szintek lehetővé teszik a megosztások testreszabását a forgatókönyv teljesítmény- és árkövetelményeihez:
SSD (prémium): Az SSD-fájlmegosztások konzisztens nagy teljesítményt és alacsony késést biztosítanak a legtöbb I/O-művelethez egyjegyű ezredmásodpercben az I/O-igényes számítási feladatokhoz. Az SSD-fájlmegosztások számos számítási feladathoz, például adatbázisokhoz, webhely-üzemeltetéshez és fejlesztési környezetekhez alkalmasak.
Az SSD-fájlmegosztásokat az SMB és az NFS protokollokkal is használhatja. Az SSD-fájlmegosztások a kiépített v2-ben és a kiépített v1 számlázási modellekben érhetők el. Az SSD-fájlmegosztások magasabb rendelkezésre állási SLA-t kínálnak, mint a HDD-fájlmegosztások.
HDD (standard): A HDD-fájlmegosztások költséghatékony tárolási lehetőséget biztosítanak az általános célú fájlmegosztásokhoz. A HDD-fájlmegosztások a kiosztott v2-vel és használatalapú fizetéses számlázási modellekkel érhetők el, bár a kiépített v2-modellt javasoljuk a fájlmegosztások új üzembe helyezéséhez. Az SLA-val kapcsolatos információkért tekintse meg az Azure SLA online szolgáltatásokra vonatkozó oldalát.
Amikor médiaszintet választ ki a számítási feladathoz, vegye figyelembe a teljesítmény- és használati követelményeket. Ha a számítási feladathoz egyjegyű késésre van szükség, vagy helyszíni SSD-tároló adathordozót használ, az SSD-fájlmegosztások valószínűleg a legmegfelelőbbek. Ha az alacsony késés nem annyira aggasztó, a HDD-fájlmegosztások költség szempontjából jobbak lehetnek. Az alacsony késés például kevésbé lehet aggályos az Azure-ból a helyszínen csatlakoztatott vagy a helyszínen az Azure File Syncen keresztül gyorsítótárazott csapatmegosztásokkal kapcsolatban.
Miután létrehozott egy fájlmegosztást egy tárfiókban, nem helyezheti át közvetlenül egy másik médiarétegbe. Ha például át szeretne helyezni egy HDD-fájlmegosztást az SSD médiaszintre, létre kell hoznia egy új SSD-fájlmegosztást, és át kell másolnia az adatokat az eredeti megosztásból az új fájlmegosztásba.
Az Azure Files számlázási modelljeinek megismerésében és az Azure-fájlmegosztás teljesítményének megértésében és optimalizálásában további információt talál az SSD- és HDD-médiaszintekről.
Redundancia
Az Azure-fájlmegosztásokban lévő adatok adatvesztéssel vagy sérüléssel szembeni védelmének érdekében az Azure Files az egyes fájlok több példányát tárolja írás közben. A követelményektől függően kiválaszthatja a redundancia fokát. Az Azure Files jelenleg a következő adatredundancia-beállításokat támogatja:
Helyileg redundáns tárolás (LRS): Helyi redundancia esetén minden fájlt háromszor tárol egy Azure Storage-fürt. Ez a megközelítés segít védelmet nyújtani a hardverhibák, például a hibás lemezmeghajtók miatti adatvesztés ellen. Ha azonban olyan katasztrófa történik, mint a tűz vagy az áradás az adatközpontban, előfordulhat, hogy egy LRS-t használó tárfiók összes replikája elveszik vagy helyreállíthatatlan lesz.
Zónaredundáns tárolás (ZRS):A zónaredundáns tárolás esetén minden fájl három példánya van tárolva. Ezek a másolatok azonban fizikailag el vannak különítve az Azure rendelkezésre állási zónák három különböző tárolófürtjében. A rendelkezésre állási zónák egyedi fizikai helyek egy Azure-régióban. Minden zóna egy vagy több, független energiaellátással, hűtéssel és hálózatkezeléssel felszerelt adatközpontból áll. A tárolókba történő írás csak akkor fogadható el, ha mindhárom rendelkezésre állási zónában a tárolófürtökre van írva.
Georedundáns tárolás (GRS):A georedundáns tárolással elsődleges és másodlagos régióval rendelkezik. A fájlok háromszor vannak tárolva egy Azure Storage-fürtben az elsődleges régióban. Az írások aszinkron módon replikálódnak egy Microsoft által definiált másodlagos régióba.
A georedundancia a két Azure-régió közötti adatterjedés hat példányát biztosítja. Ha jelentős katasztrófa történik, például egy Azure-régió természeti katasztrófa vagy más hasonló esemény miatti végleges elvesztése, a Microsoft feladatátvételt hajt végre. Ebben az esetben a másodlagos lesz az elsődleges, és minden műveletet kiszolgál.
Mivel az elsődleges és a másodlagos régiók közötti replikáció aszinkron, súlyos katasztrófa esetén a másodlagos régióba még nem replikált adatok elvesznek. Georedundáns tárfiók esetén a manuális átváltást is végrehajthatja.
Geozónaredundáns tárolás (GZRS):: A geozóna-redundancia esetén a fájlok háromszor vannak tárolva az elsődleges régió három különböző tárolófürtjén. Ezután a rendszer az összes írást aszinkron módon replikálja egy Microsoft által definiált másodlagos régióba. A geozóna-redundancia feladatátvételi folyamata ugyanúgy működik, mint a georedundancia esetében.
A HDD-fájlmegosztások mind a négy redundanciatípust támogatják. Az SSD-fájlmegosztások csak az LRS-t és a ZRS-t támogatják.
A használatalapú fizetéses tárfiókok két további redundancialehetőséget biztosítanak, amelyeket az Azure Files nem támogat: az olvasási hozzáférésű georedundáns tárolást (RA-GRS) és az olvasási hozzáférésű georedundáns tárolást (RA-GZRS). Ezekkel a beállításokkal Azure-fájlmegosztásokat hozhat létre tárfiókokban, de az Azure Files nem támogatja a másodlagos régióból történő olvasást. A RA-GRS vagy RA-GZRS tárfiókokban üzembe helyezett Azure-fájlmegosztások számlázása georedundáns vagy geozónára redundáns.
A redundanciáról további információt az Azure Files adatredundancia című témakörben talál.
Zónaredundáns SSD-fájlmegosztások rendelkezésre állása
A zónaredundáns SSD-fájlmegosztások az Azure-régiók egy részhalmazához érhetők el.
Vészhelyreállítás és feladatátvétel
Nem tervezett regionális szolgáltatáskimaradás esetén rendelkeznie kell egy vészhelyreállítási (DR) tervvel az Azure-fájlmegosztásokhoz. A DR és a tárfiók feladatátvételével kapcsolatos fogalmak és folyamatok megismeréséhez tekintse meg az Azure Files vészhelyreállítását és feladatátvételét.
Migrálás
Sok esetben nem hoz létre nettó új fájlmegosztást a szervezet számára, hanem egy meglévő fájlmegosztást migrál egy helyszíni fájlkiszolgálóról vagy NAS-eszközről az Azure Filesba. A megfelelő migrálási stratégia és eszköz kiválasztása fontos a migrálás sikeressége szempontjából.
A migrálás áttekintéséről szóló cikk röviden ismerteti az alapokat, és tartalmaz egy táblázatot, amely a forgatókönyvet valószínűleg lefedő migrálási útmutatókhoz vezet.