Az Azure Files üzembe helyezésének megtervezve
Az Azure Files üzembe helyezésének két fő módja van: a kiszolgáló nélküli Azure-fájlmegosztások közvetlen csatlakoztatásával vagy az Azure File Sync használatával a helyszíni Azure-fájlmegosztások gyorsítótárazásával. Az üzembe helyezés szempontjai a választott beállítástól függően eltérőek lesznek.
Azure-fájlmegosztás közvetlen csatlakoztatása: Mivel az Azure Files kiszolgálói üzenetblokk (SMB) vagy hálózati fájlrendszer (NFS) hozzáférést biztosít, azure-fájlmegosztásokat csatlakoztathat a helyszínen vagy a felhőben az operációs rendszerben elérhető standard SMB- vagy NFS-ügyfelek használatával. Mivel az Azure-fájlmegosztások kiszolgáló nélküliek, az éles környezetekben való üzembe helyezéshez nincs szükség fájlkiszolgáló vagy NAS-eszköz kezelésére. Ez azt jelenti, hogy nem kell szoftverjavításokat alkalmaznia vagy fizikai lemezeket felcserélnie.
Helyszíni Azure-fájlmegosztás gyorsítótárazása az Azure File Synctel: Az Azure File Sync lehetővé teszi a szervezet fájlmegosztásainak központosítását az Azure Filesban, miközben megtartja a helyszíni fájlkiszolgálók rugalmasságát, teljesítményét és kompatibilitását. Az Azure File Sync átalakítja a helyszíni (vagy felhőbeli) Windows Servert az SMB Azure-fájlmegosztás gyors gyorsítótárává.
Ez a cikk elsősorban a helyszíni vagy felhőügyfél által közvetlenül csatlakoztatandó Azure-fájlmegosztás üzembe helyezésének üzembe helyezésével kapcsolatos szempontokat ismerteti. Az Azure File Sync üzembe helyezésének megtervezéséhez tekintse meg az Azure File Sync üzembe helyezésének tervezésével kapcsolatos témakört.
Elérhető protokollok
Az Azure Files két iparági szabvány fájlrendszerprotokollt kínál az Azure-fájlmegosztások csatlakoztatásához: a Server Message Block (SMB) protokollt és a hálózati fájlrendszer (NFS) protokollt, így kiválaszthatja a számítási feladathoz leginkább illő protokollt. Az Azure-fájlmegosztások nem támogatják az SMB és az NFS protokollt ugyanazon a fájlmegosztáson, bár SMB- és NFS Azure-fájlmegosztásokat is létrehozhat ugyanazon a tárfiókon belül. Az NFS 4.1 jelenleg csak az új FileStorage tárfióktípuson belül támogatott (csak prémium szintű fájlmegosztások esetén).
SMB- és NFS-fájlmegosztások esetén az Azure Files olyan nagyvállalati szintű fájlmegosztásokat kínál, amelyek a tárolási igényeknek megfelelően méretezhetők, és több ezer ügyfél egyidejűleg is elérhetők.
Szolgáltatás | SMB | NFS |
---|---|---|
Támogatott protokollverziók | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
Ajánlott operációs rendszer |
|
Linux kernel 4.3+ verzió |
Elérhető szintek | Prémium, tranzakcióoptimalizált, gyakori és ritka elérésű | Prémium |
Számlázási modell | Kiépített kapacitás | |
Azure DNS-zónavégpontok (előzetes verzió) | Támogatott | Támogatott |
Terjengősség | LRS, ZRS, GRS, GZRS | LRS, ZRS |
Fájlrendszer szemantikája | Win32 | POSIX |
Hitelesítés | Identitásalapú hitelesítés (Kerberos), megosztott kulcsos hitelesítés (NTLMv2) | Gazdagépalapú hitelesítés |
Engedélyezés | Win32 stílusú hozzáférés-vezérlési listák (ACL-ek) | UNIX-stílusú engedélyek |
Kis- és nagybetűk érzékenysége | Kis- és nagybetűk érzéketlenek, kis- és nagybetűk megőrzése | Kis- és nagybetűk megkülönböztetése |
Megnyitott fájlok törlése vagy módosítása | Csak zárolással | Igen |
Fájlmegosztás | Windows megosztó mód | Byte-range advisory network lock manager |
Kemény hivatkozás támogatása | Nem támogatott | Támogatott |
Szimbolikus hivatkozás támogatása | Nem támogatott | Támogatott |
Opcionálisan elérhető internet | Igen (csak SMB 3.0+) | Nem |
Támogatja a FileREST-et | Igen | Részhalmaz: |
Kötelező bájttartomány-zárolások | Támogatott | Nem támogatott |
Tanácsadó bájttartomány-zárolások | Nem támogatott | Támogatott |
Bővített/elnevezett attribútumok | Nem támogatott | Nem támogatott |
Alternatív adatstreamek | Nem támogatott | n/a |
Objektumazonosítók | Nem támogatott | n/a |
Újraelemzési pontok | Nem támogatott | n/a |
Ritka fájlok | Nem támogatott | n/a |
Tömörítés | Nem támogatott | n/a |
Elnevezett csövek | Nem támogatott | n/a |
SMB Direct | Nem támogatott | n/a |
SMB-mappabérlés | Nem támogatott | n/a |
Kötet árnyékmásolata | Nem támogatott | n/a |
Rövid fájlnevek (8.3 alias ) | Nem támogatott | n/a |
Kiszolgálói szolgáltatás | Nem támogatott | n/a |
Fájlrendszertranzakciók (TxF) | Nem támogatott | n/a |
Felügyeleti fogalmak
Az Azure-fájlmegosztások a tárfiókokban vannak üzembe helyezve, amelyek olyan legfelső szintű objektumok, amelyek megosztott tárkészletet képviselnek. Ez a tárolókészlet több fájlmegosztás, valamint más tárolási erőforrások, például blobtárolók, üzenetsorok vagy táblák üzembe helyezésére használható. A tárfiókban üzembe helyezett összes tárolási erőforrás megosztja az adott tárfiókra vonatkozó korlátozásokat. A tárfiókok jelenlegi korlátaiért tekintse meg az Azure Files méretezhetőségét és teljesítménycéljait.
Az Azure Files üzemelő példányaihoz két fő típusú tárfiókot fog használni:
- Általános célú 2. verzió (GPv2) tárfiókok: A GPv2-tárfiókok lehetővé teszik az Azure-fájlmegosztások központi telepítését standard/merevlemez-alapú (HDD-alapú) hardvereken. Az Azure-fájlmegosztások tárolása mellett a GPv2-tárfiókok más tárolási erőforrásokat is tárolhatnak, például blobtárolókat, üzenetsorokat vagy táblákat.
- FileStorage storage-fiókok: A FileStorage storage-fiókok lehetővé teszik az Azure-fájlmegosztások telepítését prémium/SSD-alapú (SSD-alapú) hardvereken. A FileStorage-fiókok csak Azure-fájlmegosztások tárolására használhatók; Más tárolási erőforrások (blobtárolók, üzenetsorok, táblák stb.) nem helyezhetők üzembe a FileStorage-fiókban. Csak a FileStorage-fiókok helyezhetnek üzembe SMB- és NFS-fájlmegosztásokat is.
Számos más tárfióktípussal is találkozhat az Azure Portalon, a PowerShellben vagy a parancssori felületen. Két tárfióktípus, a BlockBlobStorage és a BlobStorage tárfiók nem tartalmazhat Azure-fájlmegosztásokat. A másik két tárfióktípus az általános célú 1. verzió (GPv1) és a klasszikus tárfiókok, amelyek mindkettő tartalmazhatnak Azure-fájlmegosztásokat. Bár a GPv1 és a klasszikus tárfiókok Azure-fájlmegosztásokat tartalmazhatnak, az Azure Files legtöbb új funkciója csak GPv2- és FileStorage-tárfiókokban érhető el. Ezért javasoljuk, hogy csak GPv2- és FileStorage-tárfiókokat használjon az új üzemelő példányokhoz, és frissítse a GPv1 és a klasszikus tárfiókokat, ha már léteznek a környezetben.
Az Azure-fájlmegosztások tárfiókokban való üzembe helyezésekor a következőket javasoljuk:
Csak Azure-fájlmegosztások üzembe helyezése más Azure-fájlmegosztásokkal rendelkező tárfiókokban. Bár a GPv2-tárfiókok lehetővé teszik a vegyes célú tárfiókok használatát, mivel az olyan tárolási erőforrások, mint az Azure-fájlmegosztások és a blobtárolók, megosztják a tárfiók korlátait, az erőforrások egyesítése megnehezítheti a teljesítményproblémák későbbi elhárítását.
A tárfiók IOPS-korlátainak figyelembe vétele az Azure-fájlmegosztások telepítésekor. Ideális esetben az 1:1 fájlmegosztásokat tárfiókokkal képezné le. Ez azonban nem mindig lehetséges a szervezet és az Azure különböző korlátai és korlátozásai miatt. Ha nem lehet egyetlen fájlmegosztást üzembe helyezni egy tárfiókban, fontolja meg, hogy mely megosztások lesznek rendkívül aktívak, és mely megosztások lesznek kevésbé aktívak annak biztosítása érdekében, hogy a legforróbb fájlmegosztások ne legyenek ugyanabban a tárfiókban együtt.
Csak GPv2- és FileStorage-fiókok üzembe helyezése, valamint A GPv1 és a klasszikus tárfiókok frissítése, amikor a környezetében találja őket.
Identitás
Az Azure-fájlmegosztás eléréséhez hitelesíteni kell a fájlmegosztás felhasználóját, és engedélyezni kell a megosztás elérését. Ez a fájlmegosztáshoz hozzáférő felhasználó identitása alapján történik. Az Azure Files a következő hitelesítési módszereket támogatja:
- Helyszíni Active Directory tartományi szolgáltatások (AD DS vagy helyszíni AD DS): Az Azure Storage-fiókok tartományhoz csatlakoztathatók egy ügyfél tulajdonában lévő Active Directory tartományi szolgáltatások, akárcsak egy Windows Server-fájlkiszolgáló vagy NAS-eszköz. Üzembe helyezhet egy tartományvezérlőt a helyszínen, egy Azure-beli virtuális gépen, vagy akár virtuális gépként is egy másik felhőszolgáltatóban; Az Azure Files a tartományvezérlő üzemeltetett helye. A tárfiók tartományhoz való csatlakoztatása után a végfelhasználó csatlakoztathat egy fájlmegosztást azzal a felhasználói fiókkal, amellyel bejelentkezett a számítógépére. Az AD-alapú hitelesítés a Kerberos hitelesítési protokollt használja.
- Microsoft Entra Domain Services: A Microsoft Entra Domain Services egy Microsoft által felügyelt tartományvezérlőt biztosít, amely azure-erőforrásokhoz használható. A tárfiókhoz a Microsoft Entra Domain Serviceshez csatlakozó tartomány hasonló előnyökkel jár, ha a tartomány egy ügyfél tulajdonában lévő AD DS-hez csatlakozik. Ez az üzembe helyezési lehetőség leginkább az AD-alapú engedélyeket igénylő alkalmazásemelési és -váltási forgatókönyvekben hasznos. Mivel a Microsoft Entra Domain Services AD-alapú hitelesítést biztosít, ez a beállítás a Kerberos hitelesítési protokollt is használja.
- Microsoft Entra Kerberos hibrid identitásokhoz: A Microsoft Entra Kerberos lehetővé teszi, hogy a Microsoft Entra ID használatával hitelesítse a hibrid felhasználói identitásokat, amelyek a felhőbe szinkronizált helyszíni AD-identitások. Ez a konfiguráció a Microsoft Entra ID-val állít ki Kerberos-jegyeket a fájlmegosztás SMB protokollal való eléréséhez. Ez azt jelenti, hogy a végfelhasználók anélkül férhetnek hozzá az Azure-fájlmegosztásokhoz az interneten keresztül, hogy hálózati kapcsolatot kellene létesítenie a Hibrid Microsoft Entra és a Microsoft Entra csatlakoztatott virtuális gépek tartományvezérlőivel.
- Active Directory-hitelesítés SMB-n keresztül Linux-ügyfelek számára: Az Azure Files támogatja az identitásalapú hitelesítést AD DS-n vagy Microsoft Entra Domain Servicesen keresztül a Kerberos hitelesítési protokollt használó Linux-ügyfelek SMB-n keresztül.
- Azure Storage-fiókkulcs: Az Azure-fájlmegosztások azure-tárfiók-kulccsal is csatlakoztathatók. Ha így szeretne csatlakoztatni egy fájlmegosztást, a rendszer a tárfiók nevét használja felhasználónévként, a tárfiók kulcsát pedig jelszóként. Az Azure-fájlmegosztás csatlakoztatásához használt tárfiókkulcs tulajdonképpen rendszergazdai művelet, mivel a csatlakoztatott fájlmegosztás teljes engedélyekkel rendelkezik a megosztás összes fájljához és mappájához, még akkor is, ha ACL-ekkel rendelkeznek. Ha a tárfiókkulcsot használja az SMB-n keresztüli csatlakoztatáshoz, a rendszer az NTLMv2 hitelesítési protokollt használja. Ha a tárfiókkulcsot szeretné használni az Azure-fájlmegosztások eléréséhez, javasoljuk, hogy privát végpontokat vagy szolgáltatásvégpontokat használjon a Hálózatkezelés szakaszban leírtak szerint.
A helyszíni fájlkiszolgálókról migrált ügyfelek számára, vagy új fájlmegosztások létrehozása az Azure Filesban a Windows-fájlkiszolgálókhoz vagy NAS-berendezésekhez hasonlóan, a tárfiók ügyfél tulajdonában lévő AD DS-hez való csatlakoztatása javasolt. Ha többet szeretne megtudni arról, hogy a tartomány hogyan csatlakozik a tárfiókhoz egy ügyfél tulajdonában lévő AD DS-hez, olvassa el az Áttekintés – helyi Active Directory Tartományi szolgáltatások hitelesítése SMB-n keresztül Azure-fájlmegosztásokhoz.
Hálózat
Az Azure-fájlmegosztás közvetlen csatlakoztatása gyakran igényel némi megfontolást a hálózatkezelés konfigurálásával kapcsolatban, mert:
- Az SMB-fájlmegosztások kommunikációhoz használt portját, a 445-ös portot gyakran blokkolja számos szervezet és internetszolgáltató a kimenő (internetes) forgalom számára.
- Az NFS-fájlmegosztások hálózati szintű hitelesítésre támaszkodnak, ezért csak korlátozott hálózatokon keresztül érhetők el. Az NFS-fájlmegosztások használatához mindig szükség van bizonyos szintű hálózati konfigurációra.
A hálózatkezelés konfigurálásához az Azure Files egy internetkapcsolattal rendelkező nyilvános végpontot biztosít, és integrációt biztosít az Azure hálózatkezelési funkcióival, például a szolgáltatásvégpontokkal, amelyek segítenek a nyilvános végpont meghatározott virtuális hálózatokra és privát végpontokra való korlátozásában, így a tárfiók privát IP-címet kap egy virtuális hálózati IP-címtéren belülről. Bár a nyilvános végpontok és a szolgáltatásvégpontok használata nem jár külön díjjal, a privát végpontok esetében a standard adatfeldolgozási díjak érvényesek.
Ez azt jelenti, hogy a következő hálózati konfigurációkat kell figyelembe vennie:
- Ha a szükséges protokoll SMB, és az SMB-n keresztüli összes hozzáférés az Azure-beli ügyfelektől származik, nincs szükség speciális hálózati konfigurációra.
- Ha a szükséges protokoll SMB, és a hozzáférés a helyszíni ügyfelektől származik, akkor vpn- vagy ExpressRoute-kapcsolat szükséges a helyszíni és az Azure-hálózat között, és az Azure Files privát végpontok használatával van közzétéve a belső hálózaton.
- Ha a szükséges protokoll NFS, akkor szolgáltatásvégpontok vagy privát végpontok használatával korlátozhatja a hálózatot a megadott virtuális hálózatokra. Ha statikus IP-címre van szüksége, és/vagy a számítási feladat magas rendelkezésre állást igényel, használjon privát végpontot. Szolgáltatásvégpontok esetén egy ritka esemény, például egy zónakimaradás okozhatja a tárfiók mögöttes IP-címét. Bár az adatok továbbra is elérhetők lesznek a fájlmegosztáson, az ügyfélnek újra kell választania a megosztást.
Ha többet szeretne megtudni az Azure Files hálózatkezelésének konfigurálásáról, tekintse meg az Azure Files hálózatkezelési szempontjait.
Az SMB amellett, hogy közvetlenül csatlakozik a fájlmegosztáshoz a nyilvános végponttal, vagy VPN-/ExpressRoute-kapcsolattal privát végponttal, további ügyfélhozzáférési stratégiát is biztosít: SMB a QUIC-n keresztül. Az SMB a QUIC-en keresztül nulla konfigurációs "SMB VPN"-t kínál az SMB-hozzáféréshez a QUIC átviteli protokollon keresztül. Bár az Azure Files közvetlenül nem támogatja az SMB-t a QUIC-n keresztül, az Azure File Sync használatával létrehozhat egy egyszerűsített gyorsítótárat az Azure-fájlmegosztásokról Egy Windows Server 2022 Azure Edition rendszerű virtuális gépen. Ha többet szeretne megtudni erről a lehetőségről, tekintse meg az SMB-t a QUIC-en keresztül az Azure File Sync használatával.
Titkosítás
Az Azure Files kétféle titkosítást támogat:
- Átvitel közbeni titkosítás, amely az Azure-fájlmegosztás csatlakoztatásakor/elérésekor használt titkosításra vonatkozik
- Inaktív titkosítás, amely a lemezen tárolt adatok titkosításának módjára vonatkozik
Titkosítás az átvitel során
Fontos
Ez a szakasz az SMB-megosztások átviteli adatainak titkosítását ismerteti. Az NFS-megosztásokkal való átvitel közbeni titkosítással kapcsolatos részletekért lásd: Biztonság és hálózatkezelés.
Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással. Ez azt jelenti, hogy ha egy fájlmegosztást SMB-n keresztül csatlakoztat, vagy a FileREST protokollon keresztül (például az Azure Portalon, a PowerShell/CLI-n vagy az Azure SDK-n keresztül) éri el, az Azure Files csak akkor engedélyezi a kapcsolatot, ha az SMB 3.x titkosítással vagy HTTPS-lel készült. Azok az ügyfelek, amelyek nem támogatják az SMB 3.x-et, vagy az SMB 3.x titkosítást támogató, de nem SMB-titkosítást támogató ügyfelek nem fogják tudni csatlakoztatni az Azure-fájlmegosztást, ha az átvitel közbeni titkosítás engedélyezve van. További információ arról, hogy mely operációs rendszerek támogatják az SMB 3.x titkosítással való használatát, tekintse meg a Windows, macOS és Linux rendszerhez készült dokumentációt. A PowerShell, a CLI és az SDK összes jelenlegi verziója támogatja a HTTPS-t.
Az Azure Storage-fiók átvitel közbeni titkosítását letilthatja. Ha a titkosítás le van tiltva, az Azure Files az SMB 2.1 és az SMB 3.x protokollt is engedélyezi titkosítás nélkül, valamint a titkosítatlan FileREST API-hívásokat HTTP-en keresztül. Az átvitel közbeni titkosítás letiltásának elsődleges oka egy régebbi operációs rendszeren , például Windows Server 2008 R2 vagy régebbi Linux-disztribúción futtatandó régi alkalmazások támogatása. Az Azure Files csak az Azure-fájlmegosztással azonos Azure-régióban engedélyezi az SMB 2.1-kapcsolatokat; Egy SMB 2.1-ügyfél nem fér hozzá a fájlmegosztáshoz az Azure-fájlmegosztás Azure-régióján kívül, például a helyszínen vagy egy másik Azure-régióban.
Határozottan javasoljuk, hogy az átvitel közbeni adatok titkosítása engedélyezve legyen.
Az átvitel közbeni titkosítással kapcsolatos további információkért lásd : biztonságos átvitel megkövetelése az Azure Storage-ban.
Titkosítás inaktív állapotban
Az Azure Filesban tárolt összes adat inaktív állapotban van titkosítva az Azure Storage Service-titkosítás (SSE) használatával. A tárolási szolgáltatás titkosítása a Windows BitLockeréhez hasonlóan működik: az adatok titkosítása a fájlrendszer szintje alatt történik. Mivel az adatok az Azure-fájlmegosztás fájlrendszere alatt vannak titkosítva, ezért mivel lemezre vannak kódolva, nem kell hozzáférnie az ügyfél mögöttes kulcsához az Azure-fájlmegosztás olvasásához vagy írásához. A inaktív titkosítás az SMB és az NFS protokollokra is vonatkozik.
Az Azure Filesban tárolt adatok alapértelmezés szerint Microsoft által felügyelt kulcsokkal lesznek titkosítva. A Microsoft által felügyelt kulcsokkal a Microsoft tárolja az adatok titkosításához/visszafejtéséhez szükséges kulcsokat, és felelős az adatok rendszeres rotálásáért. Saját kulcsokat is kezelhet, így szabályozhatja a forgatási folyamatot. Ha úgy dönt, hogy ügyfél által felügyelt kulcsokkal titkosítja a fájlmegosztásokat, az Azure Files jogosult hozzáférni a kulcsokhoz az ügyfelektől érkező olvasási és írási kérések teljesítéséhez. Az ügyfél által kezelt kulcsokkal bármikor visszavonhatja ezt az engedélyt, de ez azt jelenti, hogy az Azure-fájlmegosztás nem lesz elérhető az SMB-n vagy a FileREST API-n keresztül.
Az Azure Files ugyanazt a titkosítási sémát használja, mint a többi Azure Storage-szolgáltatás, például az Azure Blob Storage. Az Azure Storage-szolgáltatás titkosításával (SSE) kapcsolatos további információkért lásd az inaktív adatok Azure Storage-titkosítását.
Adatvédelem
Az Azure Files többrétegű megközelítéssel biztosítja az adatok biztonsági mentését, helyreállítását és védelmét a biztonsági fenyegetések ellen. Tekintse meg az Azure Files adatvédelmi áttekintését.
Helyreállítható törlés
A helyreállítható törlés egy tárfiókszintű beállítás, amellyel helyreállíthatja a fájlmegosztást, amikor véletlenül törölték. A fájlmegosztások törlésekor a törlés helyett helyreállíthatóan törölt állapotba kerül. Beállíthatja, hogy a helyreállíthatóan törölt megosztások mennyi ideig állíthatók helyre a végleges törlésük előtt, és a megosztást bármikor törölje a megőrzési időszak alatt.
Az új tárfiókok esetében alapértelmezés szerint engedélyezve van a helyreállítható törlés. Ha olyan munkafolyamata van, amelyben gyakori és elvárt a megosztás törlése, előfordulhat, hogy rövid megőrzési időszak mellett dönt, vagy egyáltalán nem engedélyezi a helyreállítható törlést.
További információ a helyreállítható törlésről: Véletlen adattörlés megakadályozása.
Backup
Az Azure-fájlmegosztásról megosztási pillanatképeken keresztül készíthet biztonsági másolatot, amelyek a megosztás írásvédett, időponthoz kötött másolatai. A pillanatképek növekményesek, ami azt jelenti, hogy csak annyi adatot tartalmaznak, amennyit az előző pillanatkép óta módosítottak. Fájlmegosztásonként legfeljebb 200 pillanatképe lehet, és legfeljebb 10 évig őrizheti meg őket. Manuálisan is készíthet pillanatképeket az Azure Portalon a PowerShell vagy parancssori felületen keresztül, vagy használhatja az Azure Backupot.
Az Azure Backup for Azure-fájlmegosztások kezelik a pillanatképek ütemezését és megőrzését. A nagyapja-apa-fia (GFS) képességei azt jelentik, hogy napi, heti, havi és éves pillanatképeket készíthet, amelyek mindegyike külön megőrzési idővel rendelkezik. Az Azure Backup emellett a helyreállítható törlés engedélyezését is összehangolja, és amint a benne lévő fájlmegosztások biztonsági mentésre vannak konfigurálva, törlési zárolást kell használnia egy tárfiókon. Végül az Azure Backup bizonyos kulcsfontosságú figyelési és riasztási képességeket biztosít, amelyek lehetővé teszik az ügyfelek számára, hogy összevont nézetet készítsenek a biztonsági mentési tulajdonukról.
Az Azure Portalon az Azure Backup használatával elemszintű és megosztási szintű visszaállításokat is végrehajthat. Mindössze annyit kell tennie, hogy kiválasztja a visszaállítási pontot (egy adott pillanatképet), az adott fájlt vagy könyvtárat, ha szükséges, majd azt a helyet (eredeti vagy másodlagos), ahová vissza szeretne állítani. A biztonsági mentési szolgáltatás kezeli a pillanatképadatok átmásolását, és megjeleníti a visszaállítási folyamatot a portálon.
Az Azure Files védelme a Microsoft Defender for Storage használatával
A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Átfogó biztonságot nyújt az Azure Files által létrehozott adatsík és vezérlősík telemetriájának elemzésével. A Microsoft Threat Intelligence által nyújtott fejlett fenyegetésészlelési képességeket használja a környezetfüggő biztonsági riasztások biztosítására, beleértve az észlelt fenyegetések enyhítésére és a jövőbeli támadások megelőzésére szolgáló lépéseket.
A Defender for Storage folyamatosan elemzi az Azure Files által létrehozott telemetriai adatfolyamot. Potenciálisan rosszindulatú tevékenységek észlelésekor biztonsági riasztások jönnek létre. Ezek a riasztások Felhőhöz készült Microsoft Defender jelennek meg, valamint a gyanús tevékenységek, a vizsgálati lépések, a szervizelési műveletek és a biztonsági javaslatok részletei.
A Defender for Storage észleli az ismert kártevőket, például a zsarolóprogramokat, a vírusokat, a kémprogramokat és a tárfiókba feltöltött egyéb kártevőket a teljes fájlkivonat alapján (csak a REST API-hoz támogatott). Ez segít megakadályozni, hogy a kártevők belépjenek a szervezetbe, és több felhasználóra és erőforrásra terjedjenek. Tekintse meg a kártevő-vizsgálat és a kivonatok jó hírnevének elemzése közötti különbségeket.
A Defender for Storage nem fér hozzá a tárfiók adataihoz, és nem befolyásolja annak teljesítményét. A Microsoft Defender for Storage-t az előfizetés szintjén (ajánlott) vagy az erőforrás szintjén engedélyezheti.
Tárolási rétegek
Az Azure Files két különböző médiaréteget kínál: az SSD-t (szilárd állapotú lemezeket) és a HDD-t (merevlemez-meghajtókat), amelyek lehetővé teszik a megosztások testreszabását a forgatókönyv teljesítmény- és árkövetelményeihez:
SSD (prémium): Az SSD-fájlmegosztások konzisztens nagy teljesítményt és alacsony késést biztosítanak a legtöbb IO-művelethez egyjegyű ezredmásodpercben az IO-igényes számítási feladatokhoz. Az SSD-fájlmegosztások számos számítási feladathoz, például adatbázisokhoz, webhelyek üzemeltetéséhez és fejlesztési környezetekhez alkalmasak. Az SSD-fájlmegosztások a Kiszolgálói üzenetblokk (SMB) és a hálózati fájlrendszer (NFS) protokollokkal egyaránt használhatók. Az SSD-fájlmegosztások a kiosztott 1 . verziós számlázási modellben érhetők el. Az SSD-fájlmegosztások magasabb rendelkezésre állási SLA-t kínálnak, mint a HDD-fájlmegosztások (lásd: "Prémium szintű Azure Files").
HDD (standard): A HDD-fájlmegosztások költséghatékony tárolási lehetőséget biztosítanak az általános célú fájlmegosztásokhoz. A kiosztott v2-vel és használatalapú fizetéses számlázási modellel elérhető HDD-fájlmegosztások, bár az új fájlmegosztások üzembe helyezéséhez ajánlott a kiépített v2-modell. Az SLA-val kapcsolatos információkért tekintse meg az Azure szolgáltatásszintű szerződések oldalát (lásd: "Tárfiókok").
A számítási feladathoz tartozó médiaszint kiválasztásakor vegye figyelembe a teljesítmény- és használati követelményeket. Ha a számítási feladat egyjegyű késést igényel, vagy helyszíni SSD-tároló adathordozót használ, az SSD-fájlmegosztások szintje valószínűleg a legjobb választás. Ha az alacsony késés nem annyira aggasztó, például a helyszíni Azure-ból csatlakoztatott csapatmegosztások vagy az Azure File Sync használatával gyorsítótárazott helyszíni megosztások esetében, a HDD-fájlmegosztások költség szempontjából jobbak lehetnek.
Miután létrehozott egy fájlmegosztást egy tárfiókban, nem helyezheti át közvetlenül egy másik médiarétegbe. Ha például át szeretne helyezni egy HDD-fájlmegosztást az SSD médiaszintre, létre kell hoznia egy új SSD-fájlmegosztást, és át kell másolnia az adatokat az eredeti megosztásból egy új fájlmegosztásba a FileStorage-fiókban. Javasoljuk, hogy az AzCopy használatával másoljon adatokat az Azure-fájlmegosztások között, de használhat olyan eszközöket is, mint a robocopy
Windows vagy rsync
macOS és Linux rendszereken.
További információ: Az Azure Files számlázásának ismertetése.
Redundancia
Az Azure-fájlmegosztásokban lévő adatok adatvesztéssel vagy sérüléssel szembeni védelme érdekében az Azure Files az egyes fájlok több másolatát tárolja írásuk során. A követelményektől függően különböző mértékű redundanciát választhat. Az Azure Files jelenleg a következő adatredundancia-beállításokat támogatja:
- Helyileg redundáns tárolás (LRS): Az LRS-ben minden fájl háromszor van tárolva egy Azure Storage-fürtben. Ez védelmet nyújt a hardverhibák, például a hibás lemezmeghajtók miatti adatvesztés ellen. Ha azonban katasztrófa, például tűz vagy áradás történik az adatközpontban, előfordulhat, hogy egy LRS-t használó tárfiók összes replikája elveszik vagy helyreállíthatatlan lesz.
- Zónaredundáns tárolás (ZRS): A ZRS-ben minden fájl három példánya van tárolva. Ezek a másolatok azonban fizikailag el vannak különítve három különböző tárolófürtben, különböző Azure rendelkezésre állási zónákban. A rendelkezésre állási zónák egyedi fizikai helyek egy Azure-régión belül. Minden zóna egy vagy több, független energiaellátással, hűtéssel és hálózatkezeléssel felszerelt adatközpontból áll. A tárolóba történő írás csak akkor fogadható el, ha mind a három rendelkezésre állási zónában a tárolófürtökre van írva.
- Georedundáns tárolás (GRS): A GRS-ben két régióval rendelkezik, egy elsődleges és egy másodlagos régióval. A fájlok háromszor vannak tárolva egy Azure Storage-fürtben az elsődleges régióban. Az írások aszinkron módon replikálódnak egy Microsoft által definiált másodlagos régióba. A GRS hat másolatot biztosít az adatok két Azure-régió közötti eloszlásáról. Olyan súlyos katasztrófa esetén, mint például egy Azure-régió természeti katasztrófa vagy más hasonló esemény miatti végleges elvesztése, a Microsoft feladatátvételt hajt végre. Ebben az esetben a másodlagos lesz az elsődleges, amely minden műveletet kiszolgál. Mivel az elsődleges és a másodlagos régiók közötti replikáció aszinkron, súlyos katasztrófa esetén a másodlagos régióba még nem replikált adatok elvesznek. A georedundáns tárfiókok manuális feladatátvételét is elvégezheti.
- Geo-zónaredundáns tárolás (GZRS):: A GZRS-t ZRS-ként, de georedundánsként is felfoghatja. A GZRS használatával a fájlok háromszor vannak tárolva az elsődleges régió három különböző tárolófürtjén. Ezután a rendszer az összes írást aszinkron módon replikálja egy Microsoft által definiált másodlagos régióba. A GZRS feladatátvételi folyamata ugyanúgy működik, mint a GRS.
Az akár 5 TiB-os standard Azure-fájlmegosztások mind a négy redundanciatípust támogatják. Az 5 TiB-nál nagyobb standard fájlmegosztások csak az LRS-t és a ZRS-t támogatják. A prémium Szintű Azure-fájlmegosztások csak az LRS-t és a ZRS-t támogatják.
Az általános célú 2. verziójú (GPv2) tárfiókok két másik redundancialehetőséget biztosítanak, amelyeket az Azure Files nem támogat: az akadálymentes georedundáns tárolás (RA-GRS) olvasása és az akadálymentes geo-zónaredundáns tárolás (RA-GZRS) olvasása. Ezekkel a beállításokkal azure-fájlmegosztásokat hozhat létre a tárfiókokban, de az Azure Files nem támogatja a másodlagos régióból való olvasást. Az RA-GRS- vagy RA-GZRS-tárfiókokban üzembe helyezett Azure-fájlmegosztások számlázása GRS-ként vagy GZRS-ként van kiszámlázva.
A redundanciáról további információt az Azure Files adatredundancia című témakörben talál.
Standard ZRS rendelkezésre állás
A standard általános célú v2-tárfiókokhoz készült ZRS az Azure-régiók egy részhalmazához érhető el.
Prémium szintű ZRS-rendelkezésre állás
A prémium szintű fájlmegosztásokhoz készült ZRS az Azure-régiók egy részhalmazához érhető el.
Standard GZRS-rendelkezésre állás
A GZRS az Azure-régiók egy részhalmazához érhető el.
Vészhelyreállítás és feladatátvétel
Nem tervezett regionális szolgáltatáskimaradás esetén rendelkeznie kell egy vészhelyreállítási (DR) tervvel az Azure-fájlmegosztásokhoz. A DR és a tárfiók feladatátvételével kapcsolatos fogalmak és folyamatok megismeréséhez tekintse meg az Azure Files vészhelyreállítását és feladatátvételét.
Migrálás
Sok esetben nem hoz létre nettó új fájlmegosztást a szervezet számára, hanem egy meglévő fájlmegosztást migrál egy helyszíni fájlkiszolgálóról vagy NAS-eszközről az Azure Filesba. A megfelelő migrálási stratégia és eszköz kiválasztása fontos a migrálás sikeressége szempontjából.
A migrálás áttekintéséről szóló cikk röviden ismerteti az alapokat, és tartalmaz egy táblázatot, amely a forgatókönyvet valószínűleg lefedő migrálási útmutatókhoz vezet.