Layanan file hibrida

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Arsitektur referensi ini mengilustrasikan cara menggunakan Azure File Sync dan Azure Files untuk memperluas kemampuan hosting layanan file di seluruh sumber daya berbagi file cloud dan lokal.

Sistem

Diagram topologi layanan file hibrid Azure.

Unduh file Visio arsitektur ini.

Alur kerja

Arsitektur terdiri dari komponen-komponen berikut:

  • Akun Microsoft Azure Storage. Akun penyimpanan yang digunakan untuk menghosting berbagi file.
  • Azure Files. Berbagi file cloud tanpa server yang menyediakan titik akhir cloud hubungan sinkronisasi dengan menggunakan Azure File Sync. File dalam berbagi file Azure dapat diakses langsung dengan protokol Server Message Block (SMB) atau FileREST.
  • Grup sinkronisasi. Pengelompokan logis berbagi file azure dan server yang menjalankan Windows Server. Grup sinkronisasi disebarkan ke Storage Sync Service, yang mendaftarkan server untuk digunakan dengan Azure File Sync dan berisi hubungan grup sinkronisasi.
  • Agen Sinkronisasi File Azure. Grup ini dipasang pada komputer Windows Server untuk mengaktifkan dan mengonfigurasi sinkronisasi dengan titik akhir cloud.
  • Windows Server. Komputer Windows Server lokal atau berbasis cloud yang menghosting berbagi file yang disinkronkan dengan berbagi file Azure.
  • ID Microsoft Entra. Penyewa Microsoft Entra yang digunakan untuk sinkronisasi identitas di seluruh lingkungan Azure dan lokal.

Komponen

Detail skenario

Penggunaan umum untuk arsitektur ini meliputi:

  • Hosting berbagi file yang harus dapat diakses dari cloud dan lingkungan lokal.
  • Menyinkronkan data antara beberapa penyimpanan data lokal dengan satu sumber berbasis cloud.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan yang menimpanya.

Penggunaan dan penyebaran Azure Files

Anda menyimpan file Anda di cloud di berbagi file Azure tanpa server. Anda dapat menggunakannya dengan dua cara: dengan langsung memasangnya (SMB) atau dengan men-cachenya secara lokal dengan menggunakan Azure File Sync. Apa yang perlu Anda pertimbangkan saat merencanakan penyebaran bergantung pada salah satu dari dua cara yang Anda pilih.

  • Pemasangan langsung berbagi file Azure. Karena Azure Files menyediakan akses SMB, Anda dapat memasang berbagi file Azure secara lokal atau di cloud menggunakan klien SMB standar yang tersedia di sistem operasi Windows, macOS, dan Linux. Berbagi file Azure tanpa server, jadi menyebarkannya untuk skenario produksi tidak memerlukan pengelolaan server file atau perangkat penyimpanan terpasang jaringan (NAS). Ini berarti Anda tidak perlu menerapkan patch perangkat lunak atau menukar disk fisik.
  • Cache berbagi file Azure lokal dengan Azure File Sync. Azure File Sync memungkinkan Anda untuk mempusatkan berbagi file organisasi Anda di Azure Files, sambil menjaga fleksibilitas, performa, dan kompatibilitas server file lokal. Azure File Sync mentransformasi Windows Server menjadi cache cepat dari berbagi file Azure Anda.

Menyebar Storage Sync Service

Mulai penyebaran Azure File Sync dengan menyebarkan sumber daya Storage Sync Service ke dalam grup sumber daya langganan yang Anda pilih. Sebaiknya provisikan objek Storage Sync Service sesedikit mungkin. Anda akan membuat hubungan kepercayaan antara server Anda dan sumber daya ini. Server hanya dapat didaftarkan ke satu Layanan Sinkronisasi Penyimpanan. Oleh karena itu, sebaiknya sebarkan Storage Sync Service sebanyak yang Anda perlukan untuk memisahkan grup server. Perlu diingat bahwa server dari Storage Sync Services yang berbeda tidak dapat disinkronkan satu sama lain.

Mendaftarkan komputer Windows Server dengan agen Azure File Sync

Untuk mengaktifkan kapabilitas sinkronisasi di Windows Server, Anda harus memasang agen yang dapat diunduh Azure File Sync. Agen Azure File Sync menyediakan dua komponen utama:

  • FileSyncSvc.exe. Layanan Windows latar belakang yang bertanggung jawab untuk memantau perubahan pada titik akhir server dan untuk memulai sesi sinkronisasi.
  • StorageSync.sys. Filter sistem file yang memungkinkan tiering cloud dan pemulihan bencana yang lebih cepat.

Anda dapat mengunduh agen dari halaman Unduhan Agen Azure File Sync di Microsoft Download Center.

Persyaratan sistem operasi

Azure File Sync didukung oleh versi Windows Server yang tercantum dalam tabel berikut.

Versi SKU yang didukung Opsi penyebaran yang didukung
Windows Server 2022 Azure, Datacenter, Essentials, Standard, dan IoT Lengkap dan Inti
Server Windows 2019 Pusat Data, Standar, dan IoT Lengkap dan Inti
Server Windows 2016 Pusat Data, Standar, dan Server Penyimpanan Lengkap dan Inti
Windows Server 2012 R2 Pusat Data, Standar, dan Server Penyimpanan Lengkap dan Inti

Untuk informasi selengkapnya, lihat Pertimbangan server file Windows.

Mengonfigurasi grup sinkronisasi dan titik akhir cloud

Grup sinkronisasi menentukan topologi sinkronisasi untuk sekumpulan file. Titik akhir dalam grup sinkronisasi tetap sinkron satu sama lain. Grup sinkronisasi harus berisi satu titik akhir cloud, yang mewakili berbagi file Azure, dan satu atau beberapa titik akhir server. Titik akhir server mewakili jalur pada server terdaftar. Peladen dapat memiliki titik akhir peladen di beberapa grup sinkronisasi. Anda dapat membuat grup sinkronisasi sebanyak yang Anda butuhkan, untuk menggambarkan topologi sinkronisasi yang Anda inginkan dengan tepat.

Titik akhir cloud adalah pointer ke berbagi file Azure. Semua titik akhir peladen akan disinkronkan dengan titik akhir cloud, menjadikan titik akhir cloud sebagai hub. Akun penyimpanan untuk berbagi berkas Azure harus berada di wilayah yang sama dengan Storage Sync Service. Keseluruhan berbagi file Azure disinkronkan, dengan satu pengecualian: folder khusus, sebanding dengan folder Informasi Volume Sistem tersembunyi pada volume sistem file NT (NTFS), disediakan. Direktori ini disebut . SystemShareInformation, dan berisi metadata sinkronisasi penting yang tidak disinkronkan ke titik akhir lainnya.

Mengonfigurasi titik akhir server

Titik akhir peladen mewakili lokasi tertentu di peladen yang terdaftar, seperti folder pada volume peladen. Titik akhir server harus menjadi jalur di server terdaftar (bukan berbagi yang dipasang), dan harus menggunakan tingkatan cloud. Jalur titik akhir server harus pada volume non-sistem. NAS tidak didukung.

Berbagi file Azure ke hubungan berbagi file Windows

Anda harus menyebarkan berbagi file Azure satu-ke-satu dengan berbagi file Windows sedapat mungkin. Objek titik akhir server memberi Anda tingkat fleksibilitas yang tinggi terkait cara menyiapkan topologi sinkronisasi di sisi server hubungan sinkronisasi. Untuk menyederhanakan manajemen, buat agar jalur titik akhir server cocok dengan jalur berbagi file Windows.

Gunakan Storage Sync Services sesedikit mungkin. Ini menyederhanakan manajemen ketika Anda memiliki grup sinkronisasi yang berisi beberapa titik akhir server, karena Windows Server hanya dapat didaftarkan ke satu Layanan Sinkronisasi Penyimpanan pada satu waktu.

Perhatikan batasan operasi I/O per detik (IOPS) pada akun penyimpanan saat Anda menyebarkan berbagi file Azure. Idealnya adalah memetakan berbagi file satu-ke-satu dengan akun penyimpanan. Tidak selalu mungkin untuk melakukan itu karena berbagai batasan dan batasan dari organisasi Anda dan dari Azure. Jika tidak mungkin hanya memiliki satu berbagi file yang disebarkan di akun penyimpanan, pastikan bahwa berbagi file Anda yang paling aktif tidak berada di akun penyimpanan yang sama.

Rekomendasi topologi: firewall, jaringan sekitar, dan konektivitas proksi

Pertimbangkan rekomendasi untuk topologi solusi berikut ini.

Pemfilteran firewall dan lalu lintas

Berdasarkan kebijakan organisasi Anda atau pada persyaratan peraturan unik, Anda mungkin perlu membatasi komunikasi dengan Azure. Oleh karena itu, Azure File Sync menyediakan beberapa mekanisme untuk mengonfigurasi jaringan. Berdasarkan kebutuhan, Anda dapat:

  • Terowongan sinkronisasi dan unggah file dan unduh lalu lintas melalui Azure ExpressRoute atau jaringan privat virtual (VPN) Azure Anda.
  • Manfaatkan Azure Files dan fitur jaringan Azure seperti titik akhir layanan dan titik akhir privat.
  • Mengonfigurasi Azure File Sync untuk mendukung proksi di lingkungan Anda.
  • Membatasi aktivitas jaringan dari Azure File Sync.

Untuk mempelajari Azure File Sync dan jaringan lebih lanjut, lihat Pertimbangan jaringan Azure File Sync.

Mengonfigurasi server proksi

Banyak organisasi yang menggunakan server proksi sebagai perantara antara sumber daya di dalam jaringan lokal dan sumber daya di luar jaringan mereka, seperti di Azure. Server proksi berguna untuk banyak aplikasi, seperti isolasi dan keamanan jaringan, serta pemantauan dan pengelogan. Azure File Sync dapat beroperasi sepenuhnya dengan server proksi; namun, Anda harus mengonfigurasi pengaturan titik akhir proksi secara manual untuk lingkungan Anda dengan Azure File Sync. Anda melakukan ini dengan menggunakan cmdlet server Azure File Sync di Azure PowerShell.

Untuk informasi selengkapnya tentang cara mengonfigurasi Azure File Sync dengan server proksi, lihat Proksi Azure File Sync dan pengaturan firewall.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Keandalan memastikan bahwa aplikasi Anda dapat memenuhi komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keandalan.

  • Anda harus mempertimbangkan jenis dan performa akun penyimpanan yang Anda gunakan untuk menghosting berbagi file Azure. Semua sumber daya penyimpanan yang disebarkan ke akun penyimpanan berbagi batas yang berlaku untuk akun penyimpanan tersebut. Untuk mengetahui selengkapnya tentang menentukan batas saat ini untuk akun penyimpanan, lihat Skalabilitas Azure Files dan target performa.
  • Ada dua jenis utama akun penyimpanan untuk penyebaran Azure Files:
    • Akun penyimpanan tujuan umum versi 2 (GPv2). Akun penyimpanan GPv2 memungkinkan Anda menyebarkan berbagi file Azure pada perangkat keras standar berbasis hard disk (berbasis HDD). Selain menyimpan berbagi file Azure, akun penyimpanan GPv2 dapat menyimpan sumber daya penyimpanan lain seperti kontainer blob, antrean, dan tabel.
    • Akun penyimpanan FileStorage: Akun penyimpanan FileStorage memungkinkan Anda untuk menyebarkan berbagi file Azure pada perangkat keras premium berbasis disk solid-state (berbasis SSD). Akun FileStorage hanya dapat digunakan untuk menyimpan berbagi file Azure. Anda tidak dapat menyebarkan sumber daya penyimpanan lain seperti kontainer blob, antrean, dan tabel di akun FileStorage.
  • Anda harus memastikan bahwa Azure File Sync didukung di wilayah tempat Anda menyebarkan solusi Anda. Untuk informasi selengkapnya, lihat Ketersediaan wilayah Azure File Sync.
  • Anda harus memastikan bahwa layanan yang dirujuk di bagian Arsitektur didukung di wilayah tempat Anda menyebarkan arsitektur layanan file hibrid.
  • Untuk melindungi data dalam berbagi file Azure Anda dari kehilangan atau kerusakan data, semua berbagi file Azure menyimpan beberapa salinan setiap file saat ditulis. Tergantung pada persyaratan beban kerja Anda, Anda dapat memilih lebih banyak derajat redundansi.
  • Versi Sebelumnya adalah fitur Windows yang memungkinkan Anda menggunakan rekam jepret Volume Shadow Copy Service (VSS) sisi server volume untuk menyajikan versi file yang dapat di-restorable ke klien SMB. Rekam jepret VSS dan Versi Sebelumnya bekerja secara independen dari Azure File Sync. Namun, tingkatan cloud harus diatur ke mode yang kompatibel. Banyak titik akhir peladen Azure File Sync dapat ada pada volume yang sama. Anda harus melakukan panggilan PowerShell berikut per volume yang bahkan memiliki satu titik akhir server, tempat Anda berencana atau menggunakan tiering cloud. Untuk informasi selengkapnya tentang Versi Sebelumnya dan VSS, lihat Pemulihan layanan mandiri melalui Versi Sebelumnya dan VSS (Layanan Salinan Bayangan Volume).

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

  • Azure File Sync berfungsi dengan identitas Active Directory Domain Services (AD DS) standar Anda tanpa penyiapan khusus selain menyiapkan Azure File Sync. Saat Anda menggunakan Azure File Sync, akses file biasanya melalui server penembolokan Azure File Sync daripada melalui berbagi file Azure. Karena titik akhir server terletak di komputer Windows Server, satu-satunya persyaratan untuk integrasi identitas adalah menggunakan server file Windows yang bergabung dengan domain untuk mendaftar dengan Storage Sync Service. Azure File Sync menyimpan daftar kontrol akses (ACL) untuk file di berbagi file Azure, dan mereplikasinya ke semua titik akhir server.
  • Meskipun perubahan yang dilakukan langsung ke berbagi file Azure membutuhkan waktu lebih lama untuk disinkronkan ke titik akhir server di grup sinkronisasi, Anda mungkin ingin memastikan bahwa Anda dapat menerapkan izin AD DS Anda pada berbagi file Anda secara langsung di cloud juga. Untuk melakukan ini, Anda harus menggabungkan domain akun penyimpanan Anda ke domain AD DS lokal Anda, sama seperti server file Windows Anda bergabung dengan domain. Untuk mempelajari selengkapnya tentang bergabungnya domain akun penyimpanan Anda ke instans AD DS milik pelanggan, lihat Gambaran Umum opsi autentikasi berbasis identitas Azure Files untuk akses SMB.
  • Saat Anda menggunakan Azure File Sync, ada tiga lapisan enkripsi yang berbeda untuk dipertimbangkan:
    • Enkripsi tidak aktif untuk data yang disimpan di Windows Server. Ada dua strategi untuk mengenkripsi data di Server Windows yang umumnya berfungsi dengan Azure File Sync: enkripsi di bawah sistem file sedemikian rupa sehingga sistem file dan semua data yang ditulis untuk sistem file akan dienkripsi, dan enkripsi dalam format file itu sendiri. Metode ini dapat digunakan bersama-sama jika diinginkan, karena tujuannya berbeda.
    • Enkripsi saat sedang transit antara agen Azure File Sync dan Azure. Agen Azure File Sync berkomunikasi dengan Storage Sync Service dan berbagi file Azure Anda dengan menggunakan protokol REST Azure File Sync dan protokol FileREST, yang keduanya selalu menggunakan HTTPS melalui port 443. Azure File Sync tidak mengirim permintaan yang tidak terenkripsi melalui HTTP.
    • Enkripsi tidak aktif untuk data yang disimpan di berbagi file Azure. Semua data yang disimpan di Azure Files dienkripsi saat tidak aktif menggunakan enkripsi layanan penyimpanan Azure (SSE). Enkripsi layanan penyimpanan berfungsi seperti BitLocker di Windows: data dienkripsi di bawah tingkat sistem file. Karena data dienkripsi di bawah sistem file berbagi file Azure saat data dikodekan ke disk, Anda tidak memerlukan akses ke kunci dasar pada klien untuk membaca atau menulis ke berbagi file Azure.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Keunggulan Operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

  • Agen Azure File Sync diperbarui secara berkala untuk menambahkan fungsionalitas baru dan mengatasi masalah. Microsoft menyarankan agar Anda mengonfigurasi Microsoft Update untuk menyediakan pembaruan untuk agen Azure File Sync saat tersedia. Untuk informasi selengkapnya, lihat Kebijakan pembaruan agen Azure File Sync.
  • Azure Storage menawarkan penghapusan sementara untuk berbagi file sehingga Anda dapat memulihkan data saat salah dihapus oleh aplikasi atau oleh pengguna akun penyimpanan lain. Untuk mempelajari selengkapnya tentang penghapusan sementara, lihat Mengaktifkan penghapusan sementara pada berbagi file Azure.
  • Penjenjangan cloud adalah fitur opsional Azure File Sync yang menyimpan file yang sering diakses secara lokal di server dan tingkat yang lain ke Azure Files berdasarkan pengaturan kebijakan. Saat file sedang ditingkatkan, filter sistem file Azure File Sync (StorageSync.sys) menggantikan file secara lokal dengan pointer ke file di Azure Files. File bertingkat memiliki atribut offline dan atribut FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS yang disetel dalam NTFS sehingga aplikasi pihak ketiga dapat mengidentifikasi file bertingkat dengan aman. Untuk informasi selengkapnya, lihat Gambaran Umum Penjenjangan Cloud.

Langkah berikutnya

Panduan hibrid terkait:

Arsitektur terkait: