Pertimbangan jaringan Azure File Sync
Anda dapat tersambung ke berbagi file Azure dengan dua cara:
- Mengakses berbagi secara langsung melalui protokol FileREST atau SMB. Pola akses ini terutama digunakan saat harus menghilangkan server lokal sebanyak mungkin.
- Membuat cache berbagi file Azure di server lokal (atau Azure VM) dengan Azure File Sync, dan mengakses data berbagi file dari server lokal dengan protokol pilihan Anda (SMB, NFS, FTPS, dll.) untuk kasus penggunaan Anda. Pola akses ini berguna karena menggabungkan yang terbaik dari performa lokal dan skala cloud serta layanan yang dapat dilampirkan tanpa server, seperti Azure Backup.
Artikel ini berfokus pada cara mengonfigurasi jaringan saat kasus penggunaan Anda memanggil untuk menggunakan Azure File Sync untuk menyimpan cache file secara lokal, bukan secara langsung memasang berbagi file Azure melalui SMB. Untuk informasi selengkapnya tentang pertimbangan jaringan untuk penyebaran Azure Files, lihat Pertimbangan jaringan Azure Files.
Konfigurasi jaringan untuk Azure File Sync mencakup dua objek Azure yang berbeda: Storage Sync Service dan akun penyimpanan Azure. Akun penyimpanan adalah konstruksi manajemen yang mewakili kumpulan penyimpanan bersama tempat Anda dapat menyebarkan beberapa berbagi, serta sumber daya penyimpanan lainnya, seperti kontainer blob atau antrean. Storage Sync Service adalah konstruksi pengelolaan yang mewakili server terdaftar, yang merupakan server file Windows dengan hubungan kepercayaan yang mapan dengan Azure File Sync, dan grup sinkronisasi, yang menentukan topologi hubungan sinkronisasi.
Penting
Azure File Sync tidak mendukung perutean internet. Opsi perutean jaringan default, perutean Microsoft, didukung oleh Azure File Sync.
Menyambungkan server file Windows ke Azure dengan Azure File Sync
Untuk menyiapkan dan menggunakan Azure Files dan Azure File Sync dengan server file Windows lokal, tidak ada jaringan khusus ke Azure yang diperlukan di luar koneksi internet dasar. Untuk menerapkan Azure File Sync, Anda dapat memasang agen Azure File Sync di server file Windows yang ingin disinkronkan dengan Azure. Agen Azure File Sync memperoleh sinkronisasi dengan berbagi file Azure melalui dua saluran:
- Protokol FileREST, yang merupakan protokol berbasis HTTPS untuk mengakses berbagi file Azure Anda. Karena protokol FileREST menggunakan HTTPS standar untuk transfer data, hanya port 443 yang harus dapat diakses keluar. Azure File Sync tidak menggunakan protokol SMB untuk mentransfer data antara Windows Server lokal dan berbagi file Azure Anda.
- Protokol sinkronisasi Azure File Sync, yang merupakan protokol berbasis HTTPS untuk pertukaran pengetahuan sinkronisasi, yakni informasi versi tentang file dan folder di lingkungan Anda, antar titik akhir di lingkungan Anda. Protokol ini juga digunakan untuk pertukaran metadata tentang file dan folder di lingkungan Anda, seperti tanda waktu dan daftar kontrol akses (ACL).
Karena Azure Files menawarkan akses protokol SMB langsung di berbagi file Azure, pelanggan sering kali bertanya-tanya apakah mereka harus mengonfigurasi jaringan khusus untuk memasang berbagi file Azure dengan SMB agar agen Azure File Sync dapat diakses. Tindakan ini tidak diperlukan dan direkomendasikan, kecuali untuk skenario administrator, karena kurangnya deteksi perubahan cepat pada perubahan yang dibuat secara langsung pada berbagi file Azure (perubahan mungkin tidak ditemukan selama lebih dari 24 jam bergantung pada ukuran dan jumlah item dalam berbagi file Azure). Jika Anda ingin menggunakan berbagi file Azure secara langsung, yaitu tidak menggunakan Azure File Sync untuk cache lokal, lihat ringkasan jaringan Azure Files.
Meskipun Azure File Sync tidak mewajibkan konfigurasi jaringan khusus, beberapa pelanggan dapat mengonfigurasi pengaturan jaringan tingkat lanjut untuk mengaktifkan skenario berikut:
- Interoperasi dengan konfigurasi server proksi organisasi Anda.
- Buka firewall lokal organisasi Anda ke layanan Azure Files dan Azure File Sync.
- Buat tunnel Azure Files dan lalu lintas Azure File Sync melalui ExpressRoute atau koneksi VPN.
Mengonfigurasi server proksi
Banyak organisasi yang menggunakan server proksi sebagai perantara antara sumber daya di dalam jaringan lokal dan sumber daya di luar jaringan mereka, seperti di Azure. Server proksi berguna untuk berbagai aplikasi seperti isolasi dan keamanan jaringan, serta pemantauan dan pengelogan. Azure File Sync dapat beroperasi sepenuhnya dengan server proksi, namun Anda harus mengonfigurasi pengaturan titik akhir proksi secara manual untuk lingkungan Anda dengan Azure File Sync. Hal ini harus dilakukan melalui PowerShell menggunakan cmdlet server Azure File Sync Set-StorageSyncProxyConfiguration.
Untuk informasi selengkapnya tentang cara mengonfigurasi Azure File Sync dengan server proksi, baca Mengonfigurasi Azure File Sync dengan server proksi.
Mengonfigurasi firewall dan tag layanan
Banyak organisasi mengisolasi server file mereka dari sebagian besar lokasi internet untuk tujuan keamanan. Untuk menggunakan Azure File Sync di lingkungan tersebut, konfigurasikan firewall Anda agar bisa akses keluar untuk memilih layanan Azure. Anda dapat melakukan ini dengan mengizinkan port 443 akses keluar ke titik akhir cloud yang diperlukan yang menghosting layanan Azure tertentu jika firewall Anda mendukung url/domain. Jika tidak, Anda dapat mengambil rentang alamat IP untuk layanan Azure ini melalui tag layanan.
Azure File Sync memerlukan rentang alamat IP untuk layanan berikut, seperti yang diidentifikasi oleh tag layanannya:
| Layanan | Deskripsi | Tag layanan |
|---|---|---|
| Azure File Sync | Layanan Azure File Sync, yang ditunjukkan oleh objek Storage Sync Service, bertanggung jawab atas aktivitas inti sinkronisasi data antara berbagi file Azure dan server file Windows. | StorageSyncService |
| File Azure | Semua data yang disinkronkan melalui Azure File Sync disimpan di berbagi file Azure. File yang diubah di server file Windows direplikasi ke berbagi file Azure, dan file yang dijenjangkan di server file lokal, yang diunduh dengan mudah saat pengguna memintanya. | Storage |
| Azure Resource Manager | Azure Resource Manager adalah antarmuka pengelolaan untuk Azure. Semua panggilan pengelolaan, termasuk pendaftaran server Azure File Sync dan tugas server sinkronisasi yang sedang berlangsung, dilakukan melalui Azure Resource Manager. | AzureResourceManager |
| Microsoft Entra ID | ID Microsoft Entra (sebelumnya Azure AD) berisi prinsipal pengguna yang diperlukan untuk mengotorisasi pendaftaran server terhadap Layanan Sinkronisasi Penyimpanan, dan perwakilan layanan yang diperlukan agar Azure File Sync diizinkan untuk mengakses sumber daya cloud Anda. | AzureActiveDirectory |
Jika Anda menggunakan Azure File Sync di Azure, meskipun di wilayah yang berbeda, Anda bisa menggunakan nama tag layanan langsung dalam kelompok keamanan jaringan Anda untuk mengizinkan lalu lintas ke layanan tersebut. Pelajari selengkapnya tentang Kelompok keamanan jaringan.
Jika menggunakan Azure File Sync lokal, Anda dapat menggunakan API tag layanan untuk mendapatkan rentang alamat IP tertentu untuk daftar firewall yang diizinkan. Ada dua metode untuk mendapatkan informasi ini:
- Daftar rentang alamat IP saat ini untuk semua tag layanan pendukung layanan Azure diterbitkan setiap minggu di Microsoft Download Center dalam bentuk dokumen JSON. Setiap cloud Azure memiliki dokumen JSON sendiri dengan rentang alamat IP yang relevan untuk cloud tersebut:
- API penemuan tag layanan (pratinjau) memungkinkan pengambilan daftar tag layanan saat ini secara terprogram. Dalam pratinjau, API penemuan tag layanan dapat menampilkan informasi yang kurang terkini daripada informasi yang ditampilkan dari dokumen JSON yang diterbitkan di Microsoft Download Center. Anda dapat menggunakan permukaan API berdasarkan preferensi otomatisasi Anda:
Untuk mempelajari selengkapnya tentang cara menggunakan API tag layanan untuk mengambil alamat layanan Anda, lihat Mengizinkan daftar untuk alamat IP Azure File Sync.
Lalu lintas terowongan melalui jaringan pribadi virtual atau ExpressRoute
Beberapa organisasi memerlukan komunikasi dengan Azure untuk melewati tunnel jaringan, seperti jaringan privat maya (VPN) atau ExpressRoute, untuk lapisan keamanan tambahan atau untuk memastikan komunikasi dengan Azure mengikuti rute deterministik.
Saat Anda membuat terowongan jaringan antara jaringan lokal dan Azure, Anda peering jaringan lokal Anda dengan satu atau beberapa jaringan virtual di Azure. Jaringan virtual, atau VNet, sama dengan jaringan tradisional yang Anda operasikan secara lokal. Seperti akun penyimpanan Azure atau Azure VM, VNet adalah sumber daya Azure yang disebarkan di grup sumber daya.
Azure Files dan Azure File Sync mendukung mekanisme berikut untuk membuat tunnel lalu lintas antara server lokal dan Azure:
Azure VPN Gateway: Gateway VPN adalah jenis gateway jaringan virtual tertentu yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi alternatif (seperti di lokasi) melalui internet. Azure VPN Gateway adalah sumber daya Azure yang dapat disebarkan di grup sumber daya di sepanjang sisi akun penyimpanan atau sumber daya Azure lainnya. Karena Azure File Sync dimaksudkan untuk digunakan dengan server file Windows lokal, Anda biasanya akan menggunakan VPN Situs-ke-Situs (S2S), meskipun secara teknis VPN Titik-ke-Situs (P2S) dapat digunakan.
Koneksi VPN Situs-ke-Situs (S2S) menyambungkan jaringan virtual Azure dan jaringan lokal organisasi Anda. Koneksi VPN S2S memungkinkan Anda mengonfigurasi sambungan VPN sekali, untuk server VPN atau perangkat yang di-hosting di jaringan organisasi Anda, bukan melakukannya untuk setiap perangkat klien yang perlu mengakses berbagi file Azure. Untuk memudahkan penyebaran koneksi VPN S2S, lihat Mengonfigurasi VPN Situs-ke-Situs (S2S) untuk digunakan dengan Azure Files.
ExpressRoute, yang memungkinkan Anda membuat rute yang ditentukan (koneksi privat) antara Azure dan jaringan lokal yang tidak melintasi internet. Karena ExpressRoute menyediakan jalur khusus antara pusat data lokal dan Azure, ExpressRoute mungkin berguna saat performa jaringan menjadi pertimbangan utama. ExpressRoute juga merupakan opsi yang baik jika kebijakan atau persyaratan peraturan organisasi Anda memerlukan jalur deterministik ke sumber daya Anda di cloud.
Titik Akhir Privat
Selain titik akhir publik default yang Azure Files dan Azure File Sync sediakan melalui akun penyimpanan dan Storage Sync Service, mereka menyediakan opsi untuk memiliki satu atau beberapa titik akhir privat per sumber daya untuk tersambung secara privat dan aman ke berbagi file Azure secara lokal menggunakan VPN atau ExpressRoute dan dari dalam Azure VNet. Saat Anda membuat titik akhir privat untuk sumber daya Azure, alamat IP privat diperoleh dari dalam ruang alamat jaringan virtual Anda, sama seperti server file Windows lokal memiliki alamat IP dalam ruang alamat khusus dari jaringan lokal Anda.
Penting
Untuk menggunakan titik akhir privat pada sumber daya Storage Sync Service, Anda harus menggunakan agen Azure File Sync versi 10.1 atau yang lebih baru. Agen versi sebelum 10.1 tidak mendukung titik akhir privat di Storage Sync Service. Semua versi agen sebelumnya mendukung titik akhir privat di pada sumber daya akun penyimpanan.
Titik akhir privat individual dikaitkan dengan subnet jaringan virtual Azure tertentu. Akun penyimpanan dan Storage Sync Service mungkin memiliki titik akhir privat di lebih dari satu jaringan virtual.
Menggunakan titik akhir privat memungkinkan Anda:
- Tersambung secara aman ke sumber daya Azure dari jaringan lokal menggunakan VPN atau koneksi ExpressRoute dengan peering privat.
- Mengamankan sumber daya Azure dengan menonaktifkan titik akhir publik untuk Azure Files dan File Sync. Secara default, membuat titik akhir privat tidak akan memblokir koneksi ke titik akhir publik.
- Meningkatkan keamanan untuk jaringan virtual dengan memungkinkan Anda memblokir eksfiltrasi data dari jaringan virtual (dan batas peering).
Untuk membuat titik akhir privat, lihat Mengonfigurasi titik akhir privat untuk Azure File Sync.
Titik akhir privat dan DNS
Saat Anda membuat titik akhir privat, secara default kami juga membuat (atau memperbarui yang sudah ada) zona DNS privat yang terkait dengan subdomain privatelink. Untuk wilayah awan publik, zona DNS ini adalah privatelink.file.core.windows.net untuk Azure Files dan privatelink.afs.azure.net untuk Azure File Sync.
Catatan
Artikel ini menggunakan akhiran DNS akun penyimpanan untuk wilayah Publik Azure, core.windows.net. Komentar ini juga berlaku untuk cloud Azure Sovereign seperti cloud Azure US Government dan Microsoft Azure yang dioperasikan oleh cloud 21Vianet - cukup ganti akhiran yang sesuai untuk lingkungan Anda.
Saat Anda membuat titik akhir privat untuk akun penyimpanan dan Storage Sync Service, kami membuat data A untuk titik akhir tersebut dalam zona DNS privat masing-masing. Kami juga memperbarui entri DNS publik sedemikian rupa sehingga nama domain reguler yang sepenuhnya memenuhi syarat adalah CNAME untuk nama privatelink yang relevan. Ini memungkinkan nama domain yang sepenuhnya memenuhi syarat, untuk mengarah ke alamat IP titik akhir private ketika pemohon berada di dalam jaringan virtual, dan mengarah ke alamat IP titik akhir publik saat pemohon berada di luar jaringan virtual.
Untuk Azure Files, setiap titik akhir privat memiliki satu nama domain yang sepenuhnya memenuhi syarat, mengikuti pola storageaccount.privatelink.file.core.windows.net, yang dipetakan ke satu alamat IP pribadi untuk titik akhir privat. Untuk Azure File Sync, setiap titik akhir privat memiliki empat nama domain yang sepenuhnya memenuhi syarat, untuk empat titik akhir yang berbeda yang diekspose Azure File Sync: pengelolaan, sinkronisasi (utama), sinkronisasi (sekunder), dan pemantauan. Nama domain yang sepenuhnya memenuhi syarat untuk titik akhir ini biasanya akan mengikuti nama Storage Sync Service kecuali jika namanya berisi karakter non-ASCII. Misalnya, jika nama Storage Sync Service adalah mysyncservice berada di wilayah Barat AS 2, titik akhir yang setara adalah mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net, dan mysyncservicemonitoring.westus2.afs.azure.net. Setiap titik akhir privat untuk Storage Sync Service akan berisi 4 alamat IP yang berbeda.
Karena zona DNS privat Azure Anda terhubung ke jaringan virtual yang berisi titik akhir privat, Anda dapat mengamati konfigurasi DNS saat memanggil cmdlet Resolve-DnsName dari PowerShell di Azure VM (secara bergantian nslookup di Windows dan Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Untuk contoh ini, akun penyimpanan storageaccount.file.core.windows.net menyelesaikan alamat IP privat titik akhir privat, secara kebetulan adalah 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Jika menjalankan perintah yang sama dari lokal, Anda akan melihat bahwa nama akun penyimpanan yang sama menetapkan alamat IP publik dari akun penyimpanan; storageaccount.file.core.windows.net adalah data CNAME untuk storageaccount.privatelink.file.core.windows.net, yang selanjutnya berupa data CNAME untuk kluster penyimpanan Azure yang meng-hosting akun penyimpanan:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Hal ini membuktikan bahwa Azure Files dan Azure File Sync dapat mengekspos titik akhir publik dan satu atau beberapa titik akhir privat per sumber daya. Untuk memastikan bahwa nama domain yang sepenuhnya memenuhi syarat untuk sumber daya Anda diselesaikan ke alamat IP privat titik akhir, Anda harus mengubah konfigurasi di server DNS lokal Anda. Ini dapat dilakukan dengan beberapa cara:
- Memodifikasi file host di klien untuk membuat nama domain yang sepenuhnya memenuhi syarat untuk akun penyimpanan dan Storage Sync Service diselesaikan ke alamat IP privat yang diinginkan. Ini sangat tidak dianjurkan untuk lingkungan produksi, karena Anda perlu membuat perubahan pada setiap klien yang perlu mengakses titik akhir privat Anda. Perubahan pada titik akhir privat/sumber daya Anda (penghapusan, modifikasi, dll.) tidak akan ditangani secara otomatis.
- Membuat zona DNS di server lokal Anda untuk
privatelink.file.core.windows.netdanprivatelink.afs.azure.netdengan data A untuk sumber daya Azure. Ini memiliki keuntungan bahwa klien di lingkungan lokal Anda akan dapat secara otomatis menyelesaikan sumber daya Azure tanpa perlu mengonfigurasi setiap klien, tapi solusi ini juga rapuh untuk memodifikasi file host karena perubahan tidak terlihat. Meskipun solusi ini rapuh, ini mungkin pilihan terbaik untuk beberapa lingkungan. - Teruskan zona
core.windows.netdanafs.azure.netdari server DNS lokal Anda ke zona DNS privat Azure. Host DNS privat Azure dapat dicapai melalui alamat IP khusus (168.63.129.16) yang hanya dapat diakses di dalam jaringan virtual yang ditautkan ke zona DNS privat Azure. Untuk mengatasi batasan ini, Anda dapat menjalankan server DNS tambahan dalam jaringan virtual Anda yang akan meneruskancore.windows.netdanafs.azure.netke zona DNS privat Azure yang setara. Untuk menyederhanakan persiapan ini, kami telah menyediakan cmdlet PowerShell yang akan menyebarkan server DNS secara otomatis di jaringan virtual Azure Anda dan mengonfigurasinya sesuai keinginan. Untuk mempelajari cara menyiapkan penerusan DNS, lihat Mengonfigurasi DNS dengan Azure Files.
Enkripsi saat transit
Koneksi yang dibuat dari agen Azure File Sync ke berbagi file Azure atau Storage Sync Service selalu dienkripsi. Meskipun akun penyimpanan Azure memiliki pengaturan untuk menonaktifkan diwajibkannya enkripsi saat transit untuk komunikasi ke Azure Files (dan layanan penyimpanan Azure lainnya yang dikelola di luar akun penyimpanan), menonaktifkan pengaturan ini tidak akan memengaruhi enkripsi Azure File Sync saat berkomunikasi dengan Azure Files. Secara default, semua akun penyimpanan Azure mengaktifkan enkripsi saat transit.
Untuk informasi selengkapnya tentang enkripsi saat transit, lihat mewajibkan transfer aman di penyimpanan Azure.