Edit

Bagikan melalui

Berbagi cloud enterprise Azure

Azure DNS
Azure Files
Azure Private Link
Azure Storage
Azure Virtual Network

Arsitektur referensi ini mengilustrasikan solusi berbagi file cloud tingkat perusahaan yang menggunakan layanan Azure termasuk Azure Files, Azure File Sync, DNS Privat Azure, dan Titik Akhir Privat Azure. Solusi ini dapat menghemat biaya dengan mengalihdayakan pengelolaan server file dan infrastruktur sambil mempertahankan kontrol data.

Sistem

Diagram berikut menunjukkan cara klien dapat mengakses berbagi file Azure:

  • Secara lokal melalui server file tingkatan cloud.
  • Dari jarak jauh melalui peering privat ExpressRoute atau terowongan VPN di lingkungan jaringan privat.

Diagram berbagi file cloud tingkat perusahaan yang menunjukkan cara klien dapat mengakses berbagi file Azure secara lokal melalui server file tingkat cloud atau dari jarak jauh melalui peering privat ExpressRoute atau terowongan VPN di lingkungan jaringan privat.

Unduh file Visio arsitektur ini.

Alur kerja

Solusi berbagi file cloud tingkat perusahaan menggunakan metode berikut untuk memberikan pengalaman pengguna yang sama seperti berbagi file tradisional tetapi dengan berbagi file Azure:

  • Memanfaatkan Azure File Sync untuk menyinkronkan file dan folder Daftar Kontrol Akses (ACL) antara server file lokal dan berbagi file Azure.
  • Menggunakan fitur tingkatan cloud dari agen Azure File Sync untuk menembolokan file yang sering diakses secara lokal.
  • Memberlakukan autentikasi AD DS pada berbagi file Azure.
  • Mengakses berbagi file dan layanan sinkronisasi file melalui IP privat dari Private Link dan Titik Akhir Privat pada peering privat ExpressRoute atau terowongan VPN.

Dengan menerapkan Titik Akhir Privat Azure pada Azure Files dan Azure File Sync, akses titik akhir publik dinonaktifkan sehingga akses ke Azure Files dan Azure File Sync dibatasi dari jaringan virtual Azure.

Terowongan situs-ke-situs VPN peering privat ExpressRoute memperluas jaringan lokal ke jaringan virtual Azure. Lalu lintas Azure File Sync dan Server Message Block (SMB) dari lokal ke Azure Files dan titik akhir privat Azure File Sync dibatasi hanya untuk koneksi privat. Selama transisi, Azure Files hanya akan mengizinkan koneksi jika dibuat dengan SMB 3.0+. Koneksi yang dibuat dari agen Azure File Sync ke Berbagi file Azure atau Storage Sync Service selalu dienkripsi. Saat tidak aktif, Azure Storage secara otomatis mengenkripsi data Anda saat disimpan ke cloud, seperti halnya Azure Files.

Pemecah masalah Sistem Nama Domain (DNS) adalah komponen penting dari solusi. Setiap layanan Azure, dalam hal ini Azure Files dan Azure File Sync, memiliki nama domain yang sepenuhnya memenuhi syarat (FQDN). FQDN dari layanan tersebut ditentukan ke alamat IP publiknya dalam kasus berikut:

  • Saat klien mengakses berbagi Azure Files.
  • Saat agen Azure File Sync, yang disebarkan di server file lokal, mengakses layanan Azure File Sync.

Setelah mengaktifkan titik akhir privat, alamat IP privat dialokasikan di jaringan virtual Azure. Alamat-alamat ini memungkinkan akses ke layanan tersebut melalui koneksi privat, dan FQDN yang sama sekarang harus ditentukan ke alamat IP privat. Untuk mencapainya, Azure Files dan Azure File Sync membuat catatan DNS nama kanonik (CNAME) untuk mengalihkan resolusi ke nama domain privat:

  • Nama domain publik Azure File Sync *.afs.azure.net mendapatkan pengalihan CNAME ke nama domain privat *.<region>.privatelink.afs.azure.net.
  • Nama domain publik Azure Files <name>.file.core.windows.net mendapatkan pengalihan CNAME ke nama domain privat <name>.privatelink.file.core.windows.net.

Solusi yang ditunjukkan dalam arsitektur ini mengonfigurasi pengaturan DNS lokal dengan benar sehingga nama domain privat dapat ditentukan ke alamat IP privat, dengan menggunakan metode berikut:

  • Zona DNS privat (komponen 11 dan 12) dibuat dari Azure untuk menyediakan resolusi nama privat untuk Azure File Sync dan Azure Files.
  • Zona DNS privat ditautkan ke jaringan virtual Azure sehingga server DNS yang disebarkan di jaringan virtual atau pemecah masalah DNS privat Azure (komponen 8) dapat menyelesaikan nama domain privat.
  • Catatan DNS A dibuat untuk Azure Files dan Azure File Sync di zona DNS privat. Untuk langkah konfigurasi titik akhir, lihat Mengonfigurasi titik akhir jaringan Azure Files dan Mengonfigurasi titik akhir jaringan Azure File Sync.
  • Server DNS lokal (komponen 3) menyiapkan penerusan bersyarat untuk meneruskan kueri DNS domain afs.azure.net dan file.core.windows.net ke server DNS di jaringan virtual Azure (komponen 8).
  • Setelah menerima kueri DNS yang diteruskan dari server DNS lokal, server DNS (komponen 8) di jaringan virtual Azure menggunakan resolver rekursif Azure DNS untuk menentukan nama domain privat dan menampilkan alamat IP privat ke klien.

Komponen

Solusi yang digambarkan dalam diagram arsitektur menggunakan komponen-komponen berikut:

  • Klien (komponen 1 atau 2) - Biasanya, klien adalah desktop Windows, Linux, atau Mac OSX yang dapat menghubungi server file atau Azure Files dari protokol SMB.

  • Server DC dan DNS (komponen 3) - Pengendali domain (DC) adalah server yang merespons permintaan autentikasi dan memverifikasi pengguna di jaringan komputer. Server DNS menyediakan resolusi nama pemetaan name-ke-alamat IP komputer dan pengguna. Server DC dan DNS dapat digabungkan menjadi satu server atau dapat dipisahkan menjadi server yang berbeda.

  • Server file (komponen 4) - Server yang menghosting berbagi file dan menyediakan layanan berbagi file.

  • PERANGKAT CE/VPN (komponen 5) - Router tepi pelanggan (CE) atau perangkat VPN digunakan untuk membuat koneksi ExpressRoute atau VPN ke jaringan virtual Azure.

  • Azure ExpressRoute atau Azure VPN Gateway (komponen 6) – Azure ExpressRoute adalah layanan yang memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat yang difasilitasi oleh penyedia konektivitas. Azure VPN Gateway adalah jenis gateway jaringan virtual tertentu yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik. ExpressRoute atau VPN Gateway membuat koneksi ExpressRoute atau VPN ke jaringan lokal Anda.

  • Titik akhir privat Azure (komponen 7) - Antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Dalam solusi ini, titik akhir privat Azure File Sync tersambung ke Azure File Sync (9), dan titik akhir privat Azure Files tersambung ke Azure Files (10).

  • Server DNS/Pemecah masalah DNS privat Azure (komponen 8) dalam instans Azure Virtual Network menggunakan pemecah masalah rekursif Azure DNS untuk menyelesaikan nama domain privat dan mengembalikan alamat IP privat ke klien, setelah menerima kueri DNS yang diteruskan dari server DNS lokal.

  • Azure File Sync dan cloud tiering (komponen 9) – Azure File Sync memungkinkan Anda untuk mempusatkan berbagi file organisasi Anda di Azure, sambil menjaga fleksibilitas, performa, dan kompatibilitas server file lokal. Tingkatan Cloud adalah fitur opsional Sinkronisasi File Azure. Fitur ini memungkinkan file yang sering diakses di-cache secara lokal di server sementara semua file lainnya dikelompokkan berdasarkan tingkat pada Azure Files, sesuai dengan pengaturan kebijakan.

  • Azure Files (komponen 10) - Layanan terkelola penuh yang menawarkan berbagi file di cloud yang dapat diakses melalui protokol Server Message Block (SMB) standar industri. Azure Files menerapkan protokol SMB v3 dan mendukung autentikasi melalui Active Directory lokal Domain Services (AD DS) dan Microsoft Entra Domain Services. Berbagi file dari Azure Files dapat dipasang secara bersamaan dengan penyebaran Windows, Linux, dan macOS di cloud atau lokal. Selain itu, berbagi file SMB Azure dapat di-cache lebih dekat ke tempat data digunakan, di Windows Server dengan Azure File Sync untuk akses cepat.

  • Azure Private DNS (komponen 11 dan 12) - Layanan DNS yang ditawarkan oleh Azure, DNS Privat mengelola dan menyelesaikan nama domain dalam jaringan virtual, tanpa perlu menambahkan solusi DNS kustom.

  • Azure Backup (komponen 13) - Azure Backup adalah layanan cadangan berbagi file Azure yang menggunakan rekam jepret berbagi file untuk menyediakan solusi pencadangan berbasis cloud. Sebagai pertimbangan, lihat Kehilangan data dan pencadangan.

Detail skenario

Solusi ini memungkinkan Anda mengakses berbagi file Azure di lingkungan kerja hibrid melalui jaringan pribadi virtual antara jaringan virtual lokal dan Azure tanpa melintasi internet. Ini juga memungkinkan Anda mengontrol dan membatasi akses file melalui autentikasi berbasis identitas.

Kemungkinan kasus penggunaan

Solusi berbagi file cloud mendukung kasus penggunaan potensial berikut:

  • Server file atau berbagi file angkat dan geser. Dengan mengangkat dan menggeser, Anda tidak perlu menyusun ulang atau memformat ulang data. Anda juga menyimpan aplikasi warisan secara lokal sambil memanfaatkan penyimpanan cloud.
  • Percepat inovasi cloud dengan efisiensi operasional yang ditingkatkan. Mengurangi biaya pemeliharaan perangkat keras dan ruang fisik, melindungi kerusakan data dan kehilangan data.
  • Akses privat ke berbagi file Azure. Melindungi terhadap penyelundupan data.

Arus lalu lintas

Setelah mengaktifkan Azure File Sync dan Azure Files, berbagi file Azure dapat diakses dalam dua mode, mode cache lokal atau mode jarak jauh. Dalam kedua mode, klien menggunakan informasi masuk AD DS yang ada untuk mengautentikasi dirinya sendiri.

  • Mode cache lokal - Klien mengakses file dan berbagi file melalui server file lokal dengan tingkatan cloud diaktifkan. Saat pengguna membuka file dari server file lokal, data file disajikan dari cache lokal server file, atau agen Azure File Sync mengenali data file dari Azure Files dengan lancar. Dalam diagram arsitektur untuk solusi ini, hal tersebut terjadi di antara komponen 1 dan 4.

  • Mode jarak jauh - Klien mengakses file dan berbagi file langsung dari berbagi file Azure jarak jauh. Dalam diagram arsitektur untuk solusi ini, arus lalu lintas bergerak melalui komponen 2, 5, 6, 7 dan 10.

Lalu lintas Azure File Sync bergerak di antara komponen 4, 5, 6, dan 7, menggunakan sirkuit ExpressRoute untuk mendapatkan koneksi yang andal.

Kueri resolusi nama domain privat melalui komponen 3, 5, 6, 8, 11 dan 12 menggunakan urutan berikut:

  1. Klien mengirimkan kueri ke server DNS lokal untuk menentukan nama DNS Azure Files atau Azure File Sync.
  2. Server DNS lokal memiliki penerus bersyarat yang mengarahkan resolusi nama DNS Azure File dan Azure File Sync ke server DNS di jaringan virtual Azure.
  3. Kueri dialihkan ke Server DNS atau pemecah masalah DNS privat Azure di jaringan virtual Azure.
  4. Bergantung pada konfigurasi DNS jaringan virtual:
    • Jika server DNS kustom dikonfigurasi, Server DNS di jaringan virtual Azure mengirimkan kueri nama ke resolver rekursif DNS yang disediakan Azure (168.63.129.16).
    • Jika pemecah masalah DNS privat Azure dikonfigurasi, dan kueri cocok dengan zona DNS privat yang ditautkan ke jaringan virtual, zona tersebut akan dikonsultasikan.
  5. Server DNS/Pemecah masalah DNS privat Azure mengembalikan IP privat, setelah menyelesaikan nama domain privat ke zona DNS privat masing-masing. Ini menggunakan tautan jaringan virtual Azure ke zona DNS Azure Files dan zona DNS privat Azure File Sync.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Pertimbangkan poin-poin berikut saat menerapkan solusi ini.

Perencanaan

Jaringan

DNS

Saat mengelola resolusi nama untuk titik akhir privat, nama domain privat Azure Files dan Azure File Sync diselesaikan dengan cara berikut:

Dari sisi Azure:

  • Jika resolusi nama yang ditentukan Azure digunakan, jaringan virtual Azure harus menautkan ke zona DNS privat yang ditentukan.
  • Jika "bawa server DNS Anda sendiri" digunakan, jaringan virtual tempat server DNS Anda disebarkan harus menautkan ke zona DNS privat yang ditentukan.

Dari sisi lokal, nama domain privat dipetakan ke alamat IP privat dengan salah satu cara berikut:

  • Melalui penerusan DNS ke server DNS yang disebarkan di jaringan virtual Azure atau pemecah masalah DNS privat Azure, seperti yang ditunjukkan oleh diagram.
  • Melalui server DNS lokal yang menyiapkan zona untuk domain privat <region>.privatelink.afs.azure.net dan privatelink.file.core.windows.net. Server mendaftarkan alamat IP Azure Files dan titik akhir privat Azure File Sync sebagai catatan DNS A ke zona DNS masing-masing. Klien lokal menentukan nama domain privat langsung dari server DNS lokal.

Sistem File Terdistribusi (DFS)

Untuk solusi berbagi file lokal, banyak administrator memilih menggunakan DFS daripada server file mandiri tradisional. DFS memungkinkan administrator untuk mengonsolidasikan berbagi file yang mungkin ada di beberapa server sehingga mereka muncul seolah-olah mereka semua tinggal di lokasi yang sama, memungkinkan pengguna untuk mengaksesnya dari satu titik di jaringan. Saat beralih ke solusi berbagi file cloud, penyebaran DFS-R tradisional dapat diganti dengan penyebaran Azure File Sync. Untuk informasi selengkapnya, lihat Melakukan migrasi penyebaran DFS Replication (DFS-R) ke Azure File Sync.

Kehilangan dan pencadangan data

Kehilangan data adalah masalah serius bagi bisnis besar maupun kecil. Pencadangan berbagi file Azure menggunakan snapshot berbagi file untuk menyediakan solusi pencadangan berbasis cloud yang melindungi data Anda di cloud dan menghilangkan overhead pemeliharaan tambahan yang terlibat dalam solusi pencadangan lokal. Keuntungan utama pencadangan berbagi file Azure meliputi:

  • Infrastruktur nol
  • Retensi yang disesuaikan
  • Kemampuan manajemen bawaan
  • Pemulihan instan
  • Pemberitahuan dan pelaporan
  • Perlindungan terhadap penghapusan berbagi file yang tidak disengaja

Untuk informasi selengkapnya, lihat Tentang pencadangan berbagi file Azure

Dukungan untuk identitas hibrid di Azure Files

Meskipun artikel ini menjelaskan Direktori Aktif untuk mengautentikasi di Azure Files, dimungkinkan untuk menggunakan ID Microsoft Entra untuk mengautentikasi identitas pengguna hibrid. Azure Files mendukung autentikasi berbasis identitas melalui Server Message Block (SMB), dengan menggunakan protokol autentikasi Kerberos melalui metode berikut:

  • Active Directory Domain Services (AD DS) lokal
  • Microsoft Entra Domain Services
  • Microsoft Entra Kerberos (hanya untuk identitas pengguna hibrid)
  • Autentikasi AD untuk klien Linux

Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi Microsoft Entra Kerberos untuk identitas hibrid di Azure Files.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk memberikan lebih banyak pertahanan terhadap serangan DDoS. Anda harus mengaktifkan Azure DDOS Protection di jaringan virtual perimeter apa pun.

Audit keamanan adalah persyaratan yang diperlukan untuk membantu menjaga keamanan suatu perusahaan. Standar industri mengharuskan perusahaan untuk mengikuti seperangkat aturan ketat seputar keamanan data dan privasi.

Audit akses file

Audit akses file dapat diaktifkan secara lokal dan jarak jauh:

  • Secara lokal, dengan menggunakan Access Control Dinamis. Untuk informasi selengkapnya, lihat Merencanakan Audit Akses File.
  • Dari jarak jauh, dengan menggunakan log Azure Storage di Azure Monitor pada Azure Files. Log Azure Storage berisi log StorageRead, StorageWrite, StorageDelete, dan Transaksi. Akses file Azure dapat dicatat ke akun penyimpanan, ruang kerja analitik log, atau dialirkan ke hub peristiwa secara terpisah. Untuk informasi selengkapnya, lihat Memantau Azure Files.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya