Azure Files diakses secara lokal dan diamankan oleh AD DS

Arsitektur ini menunjukkan cara untuk menyediakan berbagi file di cloud kepada pengguna dan aplikasi lokal yang juga mengakses file di Windows Server.

Sistem

Unduh file Visio arsitektur ini.

Alur kerja

1. Solusi ini menyinkronkan AD DS lokal dan ID Microsoft Entra berbasis cloud. Sinkronisasi membuat pengguna lebih produktif dengan menyediakan identitas umum untuk mengakses sumber daya cloud dan lokal.

   Microsoft Entra Koneksi adalah aplikasi Microsoft lokal yang melakukan sinkronisasi. Untuk informasi selengkapnya tentang Microsoft Entra Koneksi, lihat Apa itu Microsoft Entra Koneksi? dan Microsoft Entra Koneksi Sync: Memahami dan menyesuaikan sinkronisasi.

2. Azure Virtual Network menyediakan jaringan virtual di cloud. Untuk solusi ini, ia memiliki setidaknya dua subnet, satu untuk Azure DNS, dan satu untuk titik akhir privat untuk mengakses berbagi file.

3. Baik VPN atau Azure ExpressRoute menyediakan koneksi aman antara jaringan lokal dan jaringan virtual di cloud. Jika Anda menggunakan VPN, buat gateway dengan menggunakan Azure VPN Gateway. Jika Anda menggunakan ExpressRoute, buat gateway jaringan virtual ExpressRoute. Untuk informasi selengkapnya, lihat Apa itu VPN Gateway? dan Tentang gateway jaringan virtual ExpressRoute.

4. Azure Files menyediakan berbagi file di cloud. Ini memerlukan akun Azure Storage. Untuk informasi selengkapnya tentang berbagi file, lihat Apa itu Azure Files?.

5. Titik akhir privat menyediakan akses ke berbagi file. Titik akhir privat seperti kartu antarmuka jaringan (NIC) di dalam subnet yang terpasang pada layanan Azure. Dalam hal ini, layanan adalah berbagi file. Untuk informasi selengkapnya tentang titik akhir privat, lihat Menggunakan titik akhir privat untuk Azure Storage.

6. Server DNS lokal menyelesaikan alamat IP. Namun, Azure DNS menyelesaikan berbagi file Azure Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN). Semua kueri DNS ke Azure DNS berasal dari jaringan virtual. Ada proksi DNS di dalam jaringan virtual untuk merutekan kueri ini ke Azure DNS. Untuk informasi selengkapnya, lihat Beban kerja lokal menggunakan penerus DNS.

   Anda dapat menyediakan proksi DNS di server Windows atau Linux, atau Anda bisa menggunakan Azure Firewall. Untuk informasi tentang opsi Azure Firewall, yang memiliki keuntungan bahwa Anda tidak perlu mengelola komputer virtual, lihat Pengaturan DNS Azure Firewall.

7. DNS kustom lokal dikonfigurasi untuk meneruskan lalu lintas DNS ke Azure DNS melalui penerus kondisional. Informasi tentang penerusan kondisional juga ditemukan di Beban kerja lokal menggunakan penerus DNS.

8. AD DS lokal mengautentikasi akses ke berbagi file. Ini adalah proses empat langkah, seperti yang dijelaskan di Bagian satu: mengaktifkan autentikasi AD DS untuk berbagi file Azure Anda

Komponen

• Penyimpanan Azure adalah satu set layanan cloud yang aman dan dapat diskalakan secara besar-besaran untuk data, aplikasi, dan beban kerja. Ini mencakup Azure Files, Azure Table Storage, dan Azure Queue Storage.
• Azure Files menawarkan berbagi file yang dikelola sepenuhnya di akun Azure Storage. File dapat diakses dari cloud atau lokal. Penyebaran Windows, Linux, dan macOS dapat memasang berbagi file Azure secara bersamaan. Akses file menggunakan protokol Blok Pesan Server (SMB) standar industri.
• Azure Virtual Network adalah blok bangunan dasar untuk jaringan privat di Azure. Ini menyediakan lingkungan untuk sumber daya Azure, seperti komputer virtual, untuk berkomunikasi dengan aman satu sama lain, dengan internet, dan dengan jaringan lokal.
• Azure ExpressRoute memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat.
• Azure VPN Gateway menyambungkan jaringan lokal ke Azure melalui VPN situs-ke-situs, dengan cara yang sama seperti Anda terhubung ke kantor cabang jarak jauh. Konektivitas ini aman dan menggunakan protokol standar industri Internet Protocol Security (IPsec) dan Internet Key Exchange (IKE).
• Azure Private Link menyediakan konektivitas privat dari jaringan virtual ke platform Azure sebagai layanan (PaaS), milik pelanggan, atau layanan mitra Microsoft. Layanan ini menyederhanakan arsitektur jaringan dan mengamankan koneksi antara titik akhir di Azure dengan menghilangkan paparan data ke internet publik.
• Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual Anda. Anda dapat menggunakan titik akhir privat untuk akun Azure Storage Anda untuk memungkinkan klien di jaringan virtual mengakses data melalui tautan privat.
• Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Microsoft Azure Virtual Network Anda. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Anda dapat mengonfigurasi Azure Firewall untuk bertindak sebagai proksi DNS. Proksi DNS adalah perantara untuk permintaan DNS dari mesin virtual klien ke server DNS.

Detail skenario

Pertimbangkan situasi umum berikut. Windows Server lokal menyediakan file kepada pengguna dan aplikasi. Windows Server Active Directory Domain Services (AD DS) mengamankan file, dan ada server DNS lokal. Semuanya berada di jaringan privat yang sama.

Sekarang misalkan kebutuhan muncul untuk memiliki berbagi file di cloud.

Arsitektur yang dijelaskan di sini menunjukkan cara menggunakan Azure untuk memenuhi kebutuhan ini, dan cara melakukannya dengan biaya rendah, dan dengan terus menggunakan jaringan lokal, AD DS, dan DNS.

Dalam arsitektur ini, Azure Files menyediakan berbagi file. VPN situs-ke-situs atau Azure ExpressRoute menyediakan koneksi aman antara jaringan lokal dan jaringan virtual Azure. Pengguna dan aplikasi menggunakan koneksi untuk mengakses file. Microsoft Entra ID dan Azure DNS bekerja sama dengan AD DS dan DNS lokal untuk mengamankan akses.

Singkatnya, jika Anda berada dalam situasi yang dijelaskan, Anda dapat menyediakan file cloud kepada pengguna lokal Anda dengan biaya rendah, dan terus menyediakan akses file yang aman dengan AD DS dan DNS lokal Anda.

Kemungkinan kasus penggunaan

• Server file berpindah ke cloud, tetapi pengguna harus tetap lokal.
• Aplikasi yang dimigrasikan ke cloud perlu mengakses file lokal, dan juga file yang dimigrasikan ke cloud.
• Anda perlu mengurangi biaya dengan memindahkan penyimpanan file ke cloud.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Keandalan memastikan bahwa aplikasi Anda dapat memenuhi komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keandalan.

• Azure Storage selalu menyimpan beberapa salinan data Anda di zona yang sama, sehingga terlindungi dari pemadaman yang direncanakan dan tidak direncanakan. Ada opsi untuk membuat salinan tambahan di zona atau wilayah lain. Untuk informasi lebih lanjut, lihat Redundansi Azure Storage.
• Azure Firewall memiliki ketersediaan tinggi bawaan. Untuk informasi selengkapnya, lihat Fitur Azure Firewall Standard.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Artikel ini memiliki informasi keamanan untuk komponen Azure:

• Garis besar keamanan Azure untuk Azure Storage
• Garis besar keamanan Azure untuk Azure Private Link
• Garis besar keamanan Azure untuk Virtual Network
• Garis besar keamanan Azure untuk Azure Firewall

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Untuk memperkirakan biaya produk dan konfigurasi Azure, gunakan kalkulator Harga Azure.

Artikel ini memiliki informasi harga untuk komponen Azure:

• Harga Azure Files
• Harga Azure Private Link
• Harga Microsoft Azure Virtual Network
• Harga Azure Firewall

Efisiensi kinerja

Efisiensi performa adalah kemampuan beban kerja Anda untuk diskalakan agar memenuhi permintaan yang diberikan oleh pengguna dengan cara yang efisien. Untuk informasi selengkapnya, lihat Gambaran umum pilar efisiensi performa.

• Akun Azure Storage Anda berisi semua objek data Azure Storage Anda, termasuk berbagi file. Akun penyimpanan menyediakan namespace unik untuk datanya, namespace layanan yang dapat diakses dari mana saja di seluruh dunia melalui HTTP atau HTTPS. Untuk arsitektur ini, akun penyimpanan Anda berisi berbagi file yang disediakan oleh Azure Files. Untuk performa terbaik, kami merekomendasikan hal berikut:
  • Jangan menempatkan database, blob, dan sebagainya, di akun penyimpanan yang berisi berbagi file.
  • Memiliki tidak lebih dari satu berbagi file yang sangat aktif per akun penyimpanan. Anda dapat mengelompokkan berbagi file yang kurang aktif ke akun penyimpanan yang sama.
  • Jika beban kerja Anda membutuhkan IOPS dalam jumlah besar, kecepatan transfer data yang sangat cepat, atau latensi yang sangat rendah, maka Anda harus memilih akun penyimpanan premium (FileStorage). Akun v2 tujuan umum standar sesuai untuk sebagian besar beban kerja berbagi file SMB. Untuk informasi selengkapnya tentang skalabilitas dan performa berbagi file, lihat Skalabilitas Azure Files dan target performa.
  • Jangan gunakan akun penyimpanan v1 tujuan umum, karena tidak memiliki fitur penting. Sebagai gantinya, tingkatkan ke akun penyimpanan v2 tujuan umum. Jenis akun penyimpanan dijelaskan dalam Gambaran umum akun Penyimpanan.
  • Perhatikan ukuran, kecepatan, dan batasan lainnya. Lihat Batas, kuota, dan batasan layanan dan langganan Azure.
• Hanya sedikit yang dapat Anda lakukan untuk meningkatkan performa komponen non-penyimpanan, kecuali untuk memastikan bahwa penyebaran Anda mematuhi batas, kuota, dan batasan yang dijelaskan dalam batas, kuota, dan batasan langganan dan layanan Azure.
• Untuk informasi skalabilitas untuk komponen Azure, lihat Batas, kuota, dan batasan langganan dan layanan Azure.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Rudnei Oliveira | Insinyur Pelanggan Senior

Langkah berikutnya

• Mulai cepat: Membuat jaringan virtual menggunakan portal Azure
• Apa itu VPN Gateway?
• Tutorial: Membuat dan mengelola gateway VPN menggunakan portal Azure
• Berbagi file cloud perusahaan Azure
• Konsep dan praktik terbaik Azure Virtual Network
• Merencanakan penyebaran Azure File Sync
• Menggunakan titik akhir privat untuk Azure Storage
• Konfigurasi DNS Azure Private Endpoint
• Pengaturan DNS Azure Firewall
• Membandingkan Active Directory Domain Services yang dikelola sendiri, ID Microsoft Entra, dan Microsoft Entra Domain Services terkelola

Sumber daya terkait

• Berbagi file hibrid dengan pemulihan bencana untuk pekerja cabang jarak jauh dan lokal
• Berbagi file cloud perusahaan Azure
• Menggunakan berbagi file Azure di lingkungan hibrid
• Layanan file hibrid