Pertimbangan jaringan Azure Files

Anda dapat mengakses berbagi file Azure melalui titik akhir yang dapat diakses internet publik atau melalui satu atau beberapa titik akhir privat di jaringan Anda. Selain itu, akses dapat diperoleh dengan menyimpan berbagi file Azure secara lokal dalam cache dengan Azure File Sync (hanya berbagi file SMB). Artikel ini berfokus pada cara mengonfigurasi Azure Files untuk akses langsung melalui titik akhir privat dan/atau publik. Untuk mempelajari cara menyimpan berbagi file Azure secara lokal dalam cache dengan Azure File Sync, lihat Pengantar Azure File Sync.

Kami merekomendasikan membacaPerencanaan penyebaran Azure Files sebelum membaca panduan konseptual ini.

Mengakses berbagi file Azure secara langsung perlu mempertimbangkan lebih lanjut aspek jaringan:

  • Berbagi file SMB berkomunikasi melalui port 445, yang diblokir oleh banyak organisasi dan penyedia layanan internet (ISP) untuk lalu lintas keluar (internet). Praktik ini berasal dari panduan keamanan tentang warisan dan protokol SMB versi yang tidak digunakan lagi. Meskipun SMB 3.x adalah protokol yang aman untuk internet, kebijakan organisasi atau ISP mungkin tidak dapat diubah. Oleh karena itu, memasang berbagi file SMB sering kali memerlukan konfigurasi jaringan tambahan untuk digunakan di luar Azure.

  • Berbagi file NFS mengandalkan autentikasi tingkat jaringan dan oleh karena itu hanya dapat diakses melalui jaringan terbatas. Menggunakan berbagi file NFS selalu memerlukan beberapa tingkat konfigurasi jaringan.

Mengonfigurasi titik akhir privat dan publik untuk Azure Files dilakukan pada objek manajemen tingkat atas untuk Azure Files, akun penyimpanan Azure. Akun penyimpanan adalah konstruksi manajemen yang mewakili kumpulan penyimpanan bersama di mana Anda dapat menyebarkan beberapa file bersama Azure, serta sumber daya penyimpanan untuk layanan penyimpanan Azure lainnya, seperti kontainer blob atau antrean.

Video ini adalah panduan dan demo tentang cara mengekspos dengan aman berbagi file Azure secara langsung ke pekerja informasi dan aplikasi dalam lima langkah sederhana. Bagian di bawah ini menyediakan tautan dan konteks tambahan ke dokumentasi yang direferensikan dalam video.

Berlaku untuk

Jenis berbagi File SMB NFS
Berbagi file standar (GPv2), LRS/ZRS Ya Tidak
Berbagi file standar (GPv2), GRS/GZRS Ya Tidak
Berbagi file premium (FileStorage), LRS/ZRS Ya Ya

Transfer aman

Secara default, akun penyimpanan Azure memerlukan transfer aman, terlepas dari apakah data diakses melalui titik akhir privat atau publik. Untuk Azure Files, pengaturan memerlukan transfer aman diterapkan untuk semua akses protokol ke data yang disimpan di file bersama Azure, termasuk SMB, NFS, dan FileREST. Anda dapat menonaktifkan pengaturan transfer aman yang diperlukan untuk memungkinkan lalu lintas yang tidak terenkripsi. Dalam portal Azure, Anda mungkin juga melihat pengaturan ini berlabel memerlukan transfer aman untuk operasi REST API.

Protokol SMB, NFS, dan FileREST memiliki perilaku yang sedikit berbeda sehubungan dengan pengaturan memerlukan transfer aman:

  • Ketika memerlukan transfer aman diaktifkan pada akun penyimpanan, semua berbagi file SMB di akun penyimpanan tersebut akan memerlukan protokol SMB 3.x dengan AES-128-CCM, AES-128-GCM, atau algoritma enkripsi AES-256-GCM, tergantung pada negosiasi enkripsi yang tersedia/diperlukan antara klien SMB dan Azure Files. Anda dapat beralih algoritma enkripsi SMB mana yang diizinkan melalui pengaturan keamanan SMB. Menonaktifkan pengaturan memerlukan transfer aman memungkinkan pemasangan SMB 2.1 dan SMB 3.x tanpa enkripsi.

  • Berbagi file NFS tidak mendukung mekanisme enkripsi, jadi untuk menggunakan protokol NFS untuk mengakses berbagi file Azure, Anda harus menonaktifkan memerlukan transfer aman untuk akun penyimpanan.

  • Ketika transfer aman diperlukan, protokol FileREST hanya dapat digunakan dengan HTTPS. FileREST hanya didukung pada berbagi file SMB hari ini.

Titik akhir publik

Titik akhir publik untuk berbagi file Azure dalam akun penyimpanan adalah titik akhir yang diekspos internet. Titik akhir publik adalah titik akhir default untuk akun penyimpanan. Namun, titik akhir tersebut dapat dinonaktifkan jika diinginkan.

Protokol SMB, NFS, dan FileREST semuanya dapat menggunakan titik akhir publik. Namun, masing-masing memiliki aturan yang sedikit berbeda untuk akses:

  • Berbagi file SMB dapat diakses dari mana saja secara global melalui titik akhir publik akun penyimpanan dengan SMB 3.x dengan enkripsi. Artinya, permintaan yang diautentikasi, seperti permintaan yang disahkan oleh identitas masuk pengguna, dapat berasal dengan aman dari dalam atau luar wilayah Azure. Jika SMB 2.1 atau SMB 3.x tanpa enkripsi diinginkan, dua syarat harus dipenuhi:

    1. Pengaturan memerlukan transfer aman akun penyimpanan harus dinonaktifkan.
    2. Permintaan harus berasal dari dalam wilayah Azure. Seperti disebutkan sebelumnya, permintaan SMB terenkripsi diizinkan dari mana saja, di dalam atau di luar wilayah Azure.
  • Berbagi file NFS dapat diakses dari titik akhir publik akun penyimpanan jika dan hanya jika titik akhir publik akun penyimpanan dibatasi untuk jaringan virtual tertentu menggunakan titik akhir layanan. Lihat pengaturan firewall titik akhir publik untuk informasi tambahan tentang titik akhir layanan.

  • FileREST dapat diakses melalui titik akhir publik. Jika transfer aman diperlukan, hanya permintaan HTTPS yang diterima. Jika transfer aman dinonaktifkan, permintaan HTTP diterima oleh titik akhir publik terlepas dari asalnya.

Pengaturan firewall titik akhir publik

Firewall akun penyimpanan membatasi akses ke titik akhir publik untuk akun penyimpanan. Dengan menggunakan firewall akun penyimpanan, Anda dapat membatasi akses ke alamat IP/rentang alamat IP tertentu, ke jaringan virtual tertentu, atau menonaktifkan titik akhir publik sepenuhnya.

Saat Anda membatasi lalu lintas titik akhir publik ke satu atau beberapa jaringan virtual, Anda menggunakan kemampuan jaringan virtual yang disebut titik akhir layanan. Permintaan yang diarahkan ke titik akhir layanan Azure Files masih masuk ke alamat IP publik akun penyimpanan; namun, lapisan jaringan melakukan verifikasi tambahan atas permintaan untuk memvalidasi bahwa permintaan tersebut berasal dari jaringan virtual yang sah. Protokol SMB, NFS, dan FileREST semuanya mendukung titik akhir layanan. Namun, tidak seperti SMB dan FileREST, berbagi file NFS hanya dapat diakses dengan titik akhir publik melalui penggunaan titik akhir layanan.

Untuk mempelajari lebih lanjut tentang cara mengonfigurasi firewall akun penyimpanan, lihat konfigurasi firewall penyimpanan Azure dan jaringan virtual.

Perutean jaringan titik akhir publik

Azure Files mendukung beberapa opsi perutean jaringan. Opsi default, perutean Microsoft, berfungsi dengan semua konfigurasi Azure Files. Opsi perutean internet tidak mendukung skenario gabungan domain AD atau Azure File Sync.

Titik Akhir Privat

Selain titik akhir publik default untuk akun penyimpanan, Azure Files menyediakan opsi untuk memiliki satu atau beberapa titik akhir privat. Titik akhir privat adalah titik akhir yang hanya dapat diakses dalam jaringan virtual Azure. Saat Anda membuat titik akhir privat untuk akun penyimpanan Anda, akun penyimpanan Anda mendapatkan alamat IP privat dari dalam ruang alamat jaringan virtual Anda, seperti bagaimana server file lokal atau perangkat NAS menerima alamat IP dalam ruang alamat khusus dari jaringan lokal Anda.

Titik akhir privat individual dikaitkan dengan subnet jaringan virtual Azure tertentu. Akun penyimpanan mungkin memiliki titik akhir privat di lebih dari satu jaringan virtual.

Menggunakan titik akhir privat dengan Azure Files memungkinkan Anda untuk:

  • Menyambungkan secara aman ke berbagi file Azure Anda dari jaringan lokal menggunakan VPN atau sambungan ExpressRoute dengan peering privat.
  • Mengamankan berbagi file Azure Anda dengan mengonfigurasi firewall akun penyimpanan untuk memblokir semua sambungan di titik akhir publik. Secara default, membuat titik akhir privat tidak memblokir sambungan ke titik akhir publik.
  • Meningkatkan keamanan untuk jaringan virtual dengan memungkinkan Anda memblokir eksfiltrasi data dari jaringan virtual (dan batas peering).

Untuk membuat titik akhir privat, lihat Mengonfigurasi titik akhir privat untuk Azure Files.

Lalu lintas terowongan melalui jaringan pribadi virtual atau ExpressRoute

Untuk menggunakan titik akhir privat untuk mengakses berbagi file SMB atau NFS dari lokal, Anda harus membuat terowongan jaringan antara jaringan lokal Anda dan Azure. Jaringan virtual, atau VNet, sama dengan jaringan tradisional lokal. Seperti akun penyimpanan Azure atau Azure VM, VNet adalah sumber daya Azure yang disebarkan di grup sumber daya.

Azure Files mendukung mekanisme berikut ini untuk membuat lalu lintas terowongan antara server dan workstation lokal Anda dan berbagi file Azure SMB/NFS:

  • Azure VPN Gateway: Gateway VPN adalah jenis gateway jaringan virtual tertentu yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi alternatif (seperti di lokasi) melalui internet. VPN Gateway Azure adalah sumber daya Azure yang dapat disebarkan dalam grup sumber daya beserta akun penyimpanan atau sumber daya Azure lainnya. Gateway VPN mengekspos dua jenis sambungan yang berbeda:
  • ExpressRoute, yang memungkinkan Anda membuat rute yang ditentukan antara Azure dan jaringan lokal yang tidak melintasi internet. Karena ExpressRoute menyediakan jalur khusus antara pusat data lokal dan Azure, ExpressRoute mungkin berguna saat performa jaringan menjadi pertimbangan. ExpressRoute juga merupakan opsi yang baik jika kebijakan atau persyaratan peraturan organisasi Anda memerlukan jalur deterministik ke sumber daya Anda di cloud.

Catatan

Meskipun sebaiknya gunakan titik akhir privat untuk membantu memperluas jaringan lokal Anda ke Azure, secara teknis dimungkinkan untuk merutekan ke titik akhir publik melalui koneksi VPN. Namun, ini memerlukan hard-coding alamat IP untuk titik akhir publik untuk kluster penyimpanan Azure yang melayani akun penyimpanan Anda. Karena akun penyimpanan dapat dipindahkan antara kluster penyimpanan kapan saja dan kluster baru sering ditambahkan dan dihapus, ini membutuhkan hard-coding secara teratur semua alamat IP penyimpanan Azure yang mungkin ke dalam aturan perutean Anda.

Konfigurasi DNS

Saat Anda membuat titik akhir privat, secara default kami juga membuat (atau memperbarui yang sudah ada) zona DNS privat yang terkait dengan privatelink subdomain. Secara ketat, membuat zona DNS privat tidak diperlukan untuk menggunakan titik akhir privat untuk akun penyimpanan Anda. Namun, sangat disarankan secara umum dan secara eksplisit diperlukan saat memasang berbagi file Azure Anda dengan prinsipal pengguna Active Directory atau mengaksesnya dari FileREST API.

Catatan

Artikel ini menggunakan akhiran DNS akun penyimpanan untuk wilayah Publik Azure, core.windows.net. Komentar ini juga berlaku untuk cloud Azure Sovereign seperti cloud Azure US Government dan Microsoft Azure yang dioperasikan oleh cloud 21Vianet - cukup ganti akhiran yang sesuai untuk lingkungan Anda.

Di zona DNS privat Anda, kami membuat rekaman A storageaccount.privatelink.file.core.windows.net dan data CNAME untuk nama reguler akun penyimpanan, yang mengikuti polanya storageaccount.file.core.windows.net. Karena zona DNS privat Azure Anda terhubung ke jaringan virtual yang berisi titik akhir privat, Anda dapat mengamati konfigurasi DNS dengan memanggil cmdlet Resolve-DnsName dari PowerShell di Azure VM (atau nslookup di Windows dan Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Untuk contoh ini, akun penyimpanan storageaccount.file.core.windows.net menyelesaikan alamat IP privat titik akhir privat, secara kebetulan adalah 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Jika Anda menjalankan perintah yang sama dari lokal, Anda akan melihat bahwa nama akun penyimpanan yang sama menetapkan alamat IP publik dari akun penyimpanan sebagai gantinya; storageaccount.file.core.windows.net adalah data CNAMEstorageaccount.privatelink.file.core.windows.net, yang selanjutnya adalah data CNAME untuk kluster penyimpanan Azure yang meng-hosting akun penyimpanan:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Ini mencerminkan fakta bahwa akun penyimpanan dapat mengekspos titik akhir publik dan satu atau lebih titik akhir privat. Untuk memastikan bahwa nama akun penyimpanan menetapkan alamat IP privat titik akhir privat, Anda harus mengubah konfigurasi di server DNS lokal Anda. Ini dapat dilakukan dengan beberapa cara:

  • Memodifikasi file host pada klien Anda untuk membuat storageaccount.file.core.windows.net menyelesaikan ke alamat IP privat titik akhir privat yang diinginkan. Tindakan ini sangat tidak disarankan untuk lingkungan produksi, karena Anda harus membuat perubahan ini ke setiap klien yang ingin memasang berbagi file Azure Anda. Selain itu, perubahan pada akun penyimpanan atau titik akhir privat tidak akan ditangani secara otomatis.
  • Membuat rekaman A untuk storageaccount.file.core.windows.net di server DNS lokal Anda. Tindakan ini memiliki keuntungan, yakni klien di lingkungan lokal Anda akan dapat secara otomatis menyelesaikan akun penyimpanan tanpa perlu mengonfigurasi setiap klien. Namun, solusi ini sama tidak andalnya dengan memodifikasi file host karena perubahan tidak tercermin. Meskipun solusi ini rapuh, ini mungkin pilihan terbaik untuk beberapa lingkungan.
  • Teruskan core.windows.net zona dari server DNS lokal Anda ke zona DNS privat Azure Anda. Host DNS privat Azure dapat dicapai melalui alamat IP khusus (168.63.129.16) yang hanya dapat diakses di dalam jaringan virtual yang ditautkan ke zona DNS privat Azure. Untuk mengatasi batasan ini, Anda dapat menjalankan server DNS tambahan dalam jaringan virtual Anda yang akan meneruskan core.windows.net ke zona DNS privat Azure. Untuk menyederhanakan persiapan ini, kami telah menyediakan cmdlet PowerShell yang akan menyebarkan server DNS secara otomatis di jaringan virtual Azure Anda dan mengonfigurasinya sesuai keinginan. Untuk mempelajari cara menyiapkan penerusan DNS, lihat Mengonfigurasi DNS dengan Azure Files.

SMB melalui QUIC

Server Windows 2022 Edisi Azure mendukung protokol transportasi baru yang disebut QUIC untuk server SMB yang disediakan oleh peran Server File. QUIC adalah pengganti TCP yang dibangun di UDP, memberikan banyak keunggulan dibandingkan TCP sambil tetap menyediakan mekanisme transportasi yang andal. Salah satu keuntungan utama untuk protokol SMB adalah bahwa alih-alih menggunakan port 445, semua transportasi dilakukan melalui port 443, yang terbuka lebar untuk mendukung HTTPS. Ini secara efektif berarti bahwa SMB over QUIC menawarkan "SMB VPN" untuk berbagi file melalui internet publik. Windows 11 dikirimkan dengan klien berkemampuan SMB melalui QUIC.

Saat ini, Azure Files tidak secara langsung mendukung SMB melalui QUIC. Namun, Anda bisa mendapatkan akses ke berbagi file Azure melalui Azure File Sync yang berjalan di Windows Server seperti pada diagram di bawah ini. Ini juga memberi Anda opsi untuk memiliki cache Azure File Sync baik lokal maupun di pusat data Azure yang berbeda untuk menyediakan cache lokal untuk tenaga kerja terdistribusi. Untuk mempelajari lebih lanjut tentang opsi ini, lihat Menyebarkan Azure File Sync dan SMB melalui QUIC.

Diagram untuk membuat cache ringan dari berbagi file Azure Anda di Windows Server 2022 Azure Edition V M menggunakan Azure File Sync.

Lihat juga