Edit

Bagikan melalui

Menggunakan berbagi file Azure dalam lingkungan hibrid

Microsoft Entra ID
Azure Files

Arsitektur ini menunjukkan cara menyertakan pembagian file Azure di lingkungan hibrid Anda. Berbagi file Azure digunakan sebagai upaya berbagi file tanpa server. Dengan mengintegrasikannya dengan Layanan Direktori Direktori Aktif (AD DS), Anda dapat mengontrol dan membatasi akses ke pengguna AD DS. Berbagi file Azure kemudian dapat menggantikan server file tradisional.

Sistem

Diagram arsitektur berbagi file Azure yang menampilkan cara klien dapat mengakses berbagi file Azure secara langsung melalui port TCP 445 (SMB 3.0) atau dengan membuat koneksi VPN terlebih dahulu.

Unduh file Visio arsitektur ini.

Alur kerja

Arsitektur terdiri dari komponen-komponen berikut:

  • Penyewa Microsoft Entra. Komponen ini adalah instans Microsoft Entra yang dibuat oleh organisasi Anda. Ini bertindak sebagai layanan direktori untuk aplikasi cloud, dengan menyimpan obyek yang disalin dari Active Directory lokal. Tindakan ini juga menyediakan layanan identitas saat mengakses berbagi file Azure.
  • Server AD DS. Komponen ini adalah direktori lokal dan layanan identitas. Direktori AD DS disinkronkan dengan MICROSOFT Entra ID untuk mengaktifkannya untuk mengautentikasi pengguna lokal.
  • Server Sinkronisasi Microsoft Entra Connect. Komponen ini adalah server lokal yang menjalankan layanan Sinkronisasi Microsoft Entra Connect. Layanan ini menyinkronkan informasi yang disimpan dalam Active Directory lokal ke ID Microsoft Entra.
  • Gateway jaringan virtual. Komponen opsional ini digunakan untuk mengirim lalu lintas terenkripsi antara Azure Virtual Network dan lokasi lokal melalui internet.
  • Berbagi file Azure. Berbagi file Azure menyediakan penyimpanan untuk file dan folder yang dapat Anda akses melalui protokol Blok Pesan Server (SMB), Sistem File Jaringan (NFS), dan Protokol Transfer Hiperteks (HTTP). Berbagi file disebarkan ke akun penyimpanan Azure.
  • Brankas Layanan Pemulihan. Komponen opsional ini menyediakan cadangan berbagi file Azure.
  • Klien. Komponen ini adalah komputer anggota AD DS, tempat pengguna dapat mengakses berbagi file Azure.

Komponen

Teknologi utama yang digunakan untuk mengimplementasikan arsitektur ini:

  • MICROSOFT Entra ID adalah layanan identitas perusahaan yang menyediakan akses menyeluruh, autentikasi multifaktor, dan akses bersyarat.
  • Azure Files menawarkan berbagi file yang dikelola sepenuhnya di cloud yang dapat diakses dengan menggunakan protokol standar industri.
  • VPN Gateway VPN Gateway mengirimkan lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui Internet publik.

Detail skenario

Kemungkinan kasus penggunaan

Penggunaan umum untuk arsitektur ini meliputi:

  • Ganti atau lengkapi server file lokal. Azure Files dapat sepenuhnya menggantikan atau melengkapi server file lokal tradisional atau perangkat penyimpanan yang terhubung ke jaringan. Dengan berbagi file Azure dan autentikasi AD DS, Anda dapat memigrasikan data ke Azure Files. Migrasi ini dapat memanfaatkan ketersediaan dan skalabilitas tinggi sambil meminimalkan perubahan klien.
  • Angkat dan geser. Azure Files memudahkan untuk "mengangkat dan menggeser" aplikasi yang mengharapkan berbagi file untuk menyimpan aplikasi atau data pengguna ke cloud.
  • Pencadangan dan pemulihan dari bencana. Anda dapat menggunakan Azure Files sebagai penyimpanan untuk cadangan atau pemulihan bencana untuk meningkatkan kelangsungan bisnis. Anda dapat menggunakan Azure Files untuk mencadangkan data Anda dari server file yang ada sambil mempertahankan daftar kontrol akses kewenangan Windows yang dikonfigurasi. Data yang disimpan di berbagi file Azure tidak terpengaruh oleh bencana yang mungkin memengaruhi lokasi lokal.
  • Azure File Sync. Dengan Azure File Sync, berbagi file Azure dapat mereplikasi ke Windows Server, secara lokal atau di cloud. Replikasi ini meningkatkan performa dan mendistribusikan penembolokan data ke tempat yang digunakannya.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Gunakan akun penyimpanan FileStorage atau v2 (GPv2) serbaguna untuk berbagi file Azure

Anda dapat membuat berbagi file Azure di berbagai akun penyimpanan. Meskipun v1 (GPv1) serbaguna dan akun penyimpanan klasik dapat berisi berbagi file Azure, sebagian besar fitur baru Azure Files hanya tersedia di akun penyimpanan GPv2 dan FileStorage. Sementara berbagi file Azure menyimpan data akun penyimpanan GPv2 pada perangkat keras berbasis hard disk drive (berbasis HDD), opsi tersbeut menyimpan data akun penyimpanan FileStorage pada perangkat keras berbasis solid-state drive (berbasis SSD). Untuk informasi selengkapnya, lihat Membuat berbagi file Azure.

Buat berbagi file Azure di akun penyimpanan yang hanya berisi berbagi file Azure

Akun penyimpanan memungkinkan Anda untuk menggunakan layanan penyimpanan yang berbeda dalam akun penyimpanan yang sama. Layanan penyimpanan ini mencakup berbagi file Azure, penyimpanan blob, dan tabel. Semua layanan penyimpanan dalam satu akun penyimpanan berbagi batas akun penyimpanan yang sama. Mencampur layanan penyimpanan dalam akun penyimpanan yang sama mempersulit penyelesaian masalah performa.

Catatan

Terapkan masing-masing berbagi file Azure di akun penyimpanan terpisahnya sendiri, jika memungkinkan. Jika beberapa berbagi file Azure disebarkan ke akun penyimpanan yang sama, semua file tersebut berbagi batas akun penyimpanan yang sama.

Gunakan berbagi file premium untuk beban kerja yang membutuhkan throughput tinggi

Berbagi file premium disebarkan ke akun penyimpanan FileStorage dan disimpan di perangkat keras berbasis solid-state drive (berbasis SSD). Penyiapan ini memungkinkan untuk menyimpan dan mengakses data yang membutuhkan performa yang konsisten, throughput tinggi, dan latensi rendah. (Misalnya, berbagi file premium ini bekerja dengan baik dengan database.) Anda dapat menyimpan beban kerja lain yang kurang sensitif terhadap varian performa pada berbagi file standar. Jenis beban kerja ini mencakup berbagi file serbaguna dan lingkungan pengembangan/pengujian. Untuk informasi selengkapnya, baca Cara membuat berbagi file Azure.

Selalu memerlukan enkripsi saat mengakses berbagi file SMB Azure

Selalu gunakan enkripsi saat transit saat mengakses data di berbagi file Azure SMB. Enkripsi saat transit diaktifkan secara default. Azure Files hanya akan mengizinkan koneksi jika dibuat dengan protokol yang menggunakan enkripsi, seperti SMB 3.0. Klien yang tidak mendukung SMB 3.0 tidak akan dapat memasang berbagi file Azure jika perlu enkripsi dalam transit.

Gunakan VPN jika port yang digunakan SMB (port 445) diblokir

Banyak penyedia layanan internet memblokir Protokol Kendali Transmisi (TCP) port 445, yang digunakan untuk mengakses berbagi file Azure. Jika membuka blokir TCP port 445 tidak dapat dilakukan, Anda dapat mengakses berbagi file Azure melalui ExpressRoute atau koneksi jaringan pribadi virtual (VPN) (situs-ke-situs atau titik-ke-situs) untuk menghindari pemblokiran lalu lintas. Untuk informasi selengkapnya, baca Mengonfigurasi VPN Titik-ke-Situs (P2S) di Windows untuk digunakan dengan Azure Files dan Mengonfigurasi VPN Situs-ke-Situs untuk digunakan dengan Azure Files.

Pertimbangkan untuk menggunakan Azure File Sync dengan berbagi file Azure

Layanan Azure File Sync memungkinkan Anda untuk menyimpan cache berbagi file Azure di server file Windows Server lokal. Saat Anda mengaktifkan penjenjangan cloud, File Sync membantu memastikan server file selalu memiliki ruang kosong yang tersedia, meskipun membuat lebih banyak file menjadi tersedia daripada yang dapat disimpan oleh server file secara lokal. Jika Anda memiliki server file Windows Server lokal, pertimbangkan untuk mengintegrasikan server file dengan berbagi file Azure menggunakan Azure File Sync. Untuk informasi selengkapnya, baca Merencanakan penyebaran Azure File Sync.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Skalabilitas

  • Ukuran berbagi file Azure dibatasi hingga 100 tebibytes (TiB). Tidak ada ukuran berbagi file minimum dan tidak ada batasan jumlah berbagi file Azure.
  • Ukuran maksimum file dalam berbagi file adalah 1 TiB, dan tidak ada batasan jumlah file dalam berbagi file.
  • IOPS dan batas throughput adalah per akun penyimpanan Azure dan dibagikan di antara berbagi file Azure di akun penyimpanan yang sama.

Untuk informasi selengkapnya, lihat Target skalabilitas dan performa Azure Files.

Ketersediaan

Catatan

Akun penyimpanan Azure adalah sumber daya induk untuk berbagi file Azure. Berbagi file Azure memiliki tingkat redundansi yang disediakan oleh akun penyimpanan yang berisi berbagi.

  • Berbagi file Azure saat ini mendukung opsi redundansi data berikut:
    • Penyimpanan lokal yang redundan (LRS). Data disalin secara serempak tiga kali dalam satu lokasi fisik di wilayah utama. Praktik ini melindungi dari kehilangan data karena kesalahan perangkat keras, seperti drive disk yang rusak.
    • Penyimpanan yang berlebihan secara zona (ZRS). Data disalin secara serempak di tiga zona ketersediaan Azure di wilayah utama. Zona Ketersediaan adalah lokasi fisik yang unik dalam wilayah Azure. Setiap Zona Ketersediaan terdiri dari satu atau beberapa pusat data yang dilengkapi dengan daya, pendinginan, dan jaringan yang independen.
    • Penyimpanan geo-redundan (GRS). Data disalin secara serempak tiga kali dalam satu lokasi fisik di wilayah utama menggunakan LRS. Data Anda kemudian disalin secara asinkron ke satu lokasi fisik di wilayah sekunder. Penyimpanan yang redundan secara geografis menyediakan enam salinan data Anda yang tersebar di antara dua wilayah Azure.
    • Penyimpanan geo-zona-redundan (GZRS). Data disalin secara bersamaan di tiga zona ketersediaan Azure di wilayah utama menggunakan ZRS. Data Anda kemudian disalin secara asinkron ke satu lokasi fisik di wilayah sekunder.
  • Berbagi file premium hanya dapat disimpan di penyimpanan yang redundan secara lokal (LRS) dan penyimpanan yang berlebihan secara zona (ZRS). Berbagi file standar dapat disimpan di LRS, ZRS, penyimpanan yang berlebihan secara geografis (GRS), dan Penyimpanan geo-zona-redundan (GZRS). Untuk informasi selengkapnya, baca Merencanakan penyebaran Azure Files dan redundansi Azure Storage.
  • Azure Files adalah layanan cloud, dan seperti semua layanan cloud, Anda harus memiliki konektivitas internet untuk mengakses berbagi file Azure. Solusi koneksi internet yang berlebihan sangat disarankan untuk menghindari gangguan.

Keterkelolaan

  • Anda dapat mengelola berbagi file Azure dengan menggunakan alat yang sama seperti layanan Azure lainnya. Alat ini termasuk portal Microsoft Azure, Antarmuka Baris Perintah Azure, dan Azure PowerShell.
  • Berbagi file Azure menerapkan izin file Windows standar. Anda dapat mengonfigurasi izin tingkat direktori atau file dengan memasang berbagi file Azure dan mengonfigurasi izin menggunakan File Explorer, perintah Windows icacls.exe, atau cmdlet Set-Acl Windows PowerShell.
  • Anda dapat menggunakan rekam jepret berbagi file Azure untuk membuat salinan data berbagi file Azure titik waktu dan baca-saja. Anda membuat snapshot berbagi di tingkat berbagi file. Anda kemudian dapat memulihkan file individual di portal Microsoft Azure atau di File Explorer, tempat Anda juga dapat memulihkan seluruh bagian. Anda dapat memiliki hingga 200 snapshot per saham, yang memungkinkan Anda memulihkan file ke versi waktu point-in yang berbeda. Jika Anda menghapus berbagi, rekam jepretnya juga akan dihapus. Snapshot berbagi bersifat inkremental. Hanya data yang berubah setelah snapshot berbagi terbaru Anda disimpan. Praktik ini meminimalkan waktu yang diperlukan untuk membuat rekam jepret berbagi dan menghemat biaya penyimpanan. Rekam jepret berbagi file Azure juga digunakan saat Anda melindungi berbagi file Azure dengan Azure Backup. Untuk informasi selengkapnya, baca Ikhtisar rekam jepret berbagi untuk Azure Files.
  • Anda dapat mencegah penghapusan yang tidak disengaja dari berbagi file Azure dengan mengaktifkan penghapusan sementara untuk berbagi file. Jika Anda menghapus berbagi file saat penghapusan sementara diaktifkan, berbagi file bertransisi menjadi status dihapus sementara alih-alih dihapus secara permanen. Anda dapat mengonfigurasi jumlah waktu data yang dihapus sementara untuk dapat dipulihkan sebelum dihapus secara permanen dan memulihkan pembagian kapan saja selama periode retensi ini. Untuk informasi selengkapnya, baca Mengaktifkan penghapusan sementara pada berbagi file Azure.

Catatan

Azure Backup memungkinkan penghapusan sementara untuk semua pembagian file di akun penyimpanan saat Anda mengonfigurasi cadangan untuk pembagian file Azure pertama di akun penyimpanan masing-masing.

Catatan

Berbagi file standar dan premium ditagih berdasarkan kapasitas yang digunakan saat dihapus sementara, bukan kapasitas yang disediakan.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

  • Gunakan autentikasi AD DS melalui SMB untuk mengakses berbagi file Azure. Penyiapan ini memberikan pengalaman masuk tunggal (SSO) mulus yang sama saat mengakses berbagi file Azure seperti mengakses berbagi file lokal. Untuk informasi selengkapnya, baca Cara kerjanya dan fitur langkah pengaktifan. Klien Anda harus digabung secara domain ke AD DS, karena autentikasi masih dilakukan oleh pengontrol domain AD DS. Selain itu, Anda perlu menetapkan izin tingkat berbagi dan tingkat file/direktori untuk mendapatkan akses ke data. Penetapan izin tingkat berbagi melalui model Azure RBAC. Izin tingkat direktori/file dikelola sebagai Windows ACLs.

    Catatan

    Akses ke berbagi file Azure selalu diautentikasi. Berbagi file Azure tidak mendukung akses anonim. Selain autentikasi berbasis identitas melalui SMB, pengguna dapat mengautentikasi ke berbagi file Azure juga dengan menggunakan kunci akses penyimpanan dan Tanda Tangan Akses Bersama.

  • Semua data yang disimpan di berbagi file Azure dienkripsi saat tidak aktif menggunakan enkripsi layanan penyimpanan Azure (SSE). SSE bekerja mirip dengan Ekripsi Drive BitLocker di Windows, tempat data dienkripsi pada level sistem file. Secara default, data yang disimpan di Azure Files dienkripsi dengan kunci yang dikelola Microsoft. Dengan kunci yang dikelola Microsoft, Microsoft mempertahankan kunci untuk mengenkripsi/mendekripsi data dan mengelolanya untuk memutarnya secara teratur. Anda juga dapat memilih untuk mengelola kunci Anda sendiri, yang memberi Anda kontrol atas proses rotasi.

  • Semua akun penyimpanan Azure memiliki enkripsi dalam transit yang diaktifkan secara default. Penyiapan ini berarti semua komunikasi dengan berbagi file Azure dienkripsi. Klien yang tidak mendukung enkripsi tidak dapat terhubung ke berbagi file Azure. Jika Anda menonaktifkan enkripsi saat transit, klien yang menjalankan sistem operasi yang lebih lama, seperti Windows Server 2008 R2 atau Linux yang lebih lama juga dapat terhubung. Dalam kasus seperti itu, data tidak dienkripsi saat transit dari berbagi file Azure.

  • Secara default, klien dapat terhubung ke berbagi file Azure dari mana saja. Untuk membatasi jaringan asal tempat klien dapat terhubung ke berbagi file Azure, konfigurasikan Firewall, jaringan virtual, dan koneksi titik akhir privat. Untuk informasi selengkapnya, baca Mengonfigurasi firewall Azure Storage dan jaringan virtual dan Mengonfigurasi titik akhir jaringan Azure Files.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya dan Memahami penagihan Azure Files.

  • Azure Files memiliki dua tingkat penyimpanan dan dua model harga:
    • Penyimpanan standar: Menggunakan penyimpanan berbasis HDD. Tidak ada ukuran berbagi file minimum, dan Anda cukup membayar ruang penyimpanan yang digunakan. Selain itu, Anda membayar operasi file, seperti menghitung direktori atau membaca file.
    • Penyimpanan premium: Menggunakan penyimpanan berbasis SSD. Ukuran minimum untuk berbagi file premium adalah 100 gibibyte, dan Anda membayar per ruang penyimpanan yang disediakan. Saat menggunakan penyimpanan premium, semua operasi file gratis.
  • Biaya tambahan terkait dengan rekam jepret berbagi file dan transfer data keluar. (Saat Anda mentransfer data dari berbagi file Azure, transfer data masuk gratis.) Biaya transfer data bergantung pada jumlah data yang ditransfer dan unit penyimpanan stok (SKU) gateway jaringan virtual Anda, jika Anda menggunakannya. Untuk informasi selengkapnya tentang biaya, lihat Harga Azure Files dan Kalkulator Harga Azure. Biaya sebenarnya bervariasi menurut wilayah Azure dan kontrak individual Anda. Hubungi perwakilan penjualan Microsoft untuk informasi tambahan tentang harga.

Langkah berikutnya

Pelajari selengkapnya tentang teknologi komponen:

Jelajahi arsitektur terkait: