Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat menyebarkan Azure Files dengan dua cara utama: dengan langsung memasang berbagi file Azure tanpa server atau dengan menyimpan berbagi file secara lokal menggunakan Azure File Sync. Pertimbangan penyebaran berbeda berdasarkan opsi mana yang Anda pilih.
Pemasangan langsung dari berbagi file Azure: Karena Azure Files menyediakan akses Server Message Block (SMB) atau Network File System (NFS), Anda dapat memasang berbagi file Azure di tempat atau di cloud menggunakan klien SMB atau NFS standar yang tersedia di OS Anda. Karena berbagi file Azure tanpa server, penyebaran untuk skenario produksi tidak memerlukan pengelolaan server file atau perangkat NAS. Ini berarti Anda tidak perlu menerapkan patch perangkat lunak atau menukar disk fisik. Anda dapat memilih untuk menggunakan berbagi file klasik Azure atau Microsoft.FileShares (pratinjau) sebagai model manajemen Anda.
Cache berbagi file Azure di lokasi dengan Azure File Sync (hanya SMB): Azure File Sync memungkinkan Anda untuk mengonsolidasikan berbagi file organisasi Anda di Azure Files, sambil menjaga fleksibilitas, performa, dan kompatibilitas server file di lokasi. Azure File Sync mengubah Server Windows lokal (atau cloud) menjadi cache cepat dari berbagi file Azure SMB Anda.
Artikel ini terutama membahas pertimbangan dalam penerapan untuk mengatur berbagi file Azure agar dapat dipasang secara langsung oleh klien lokal atau cloud. Untuk merencanakan penyebaran Azure File Syn, lihat Merencanakan penyebaran Azure File Sync.
Konsep pengelolaan
Di Azure, sumber daya adalah item yang dapat dikelola yang Anda buat dan konfigurasi dalam langganan Azure dan grup sumber daya Anda. Sumber daya ditawarkan oleh penyedia sumber daya, yang merupakan layanan manajemen yang memberikan jenis sumber daya tertentu. Meskipun Anda mungkin bekerja dengan banyak sumber daya untuk menyebarkan beban kerja di Azure, Azure Files berpusat pada dua sumber daya utama:
Akun penyimpanan, ditawarkan oleh
Microsoft.Storagepenyedia sumber daya. Akun penyimpanan adalah sumber daya tingkat atas yang mewakili kumpulan penyimpanan bersama, IOPS, dan throughput tempat Anda dapat menyebarkan berbagi file klasik atau sumber daya penyimpanan lainnya, tergantung pada jenis akun penyimpanan. Semua sumber daya penyimpanan yang disebarkan ke akun penyimpanan berbagi batas yang berlaku untuk akun penyimpanan tersebut. Berbagi file klasik mendukung protokol berbagi file SMB dan NFS.Berbagi file (pratinjau), ditawarkan oleh
Microsoft.FileSharespenyedia sumber daya. Berbagi file adalah sumber daya tingkat atas baru yang menyederhanakan penyebaran Azure Files dengan menghilangkan kebutuhan akan akun penyimpanan. Tidak seperti berbagi file klasik, yang harus disebarkan ke akun penyimpanan, berbagi file disebarkan langsung ke grup sumber daya seperti akun penyimpanan itu sendiri, atau sumber daya Azure lainnya seperti komputer virtual, disk, atau jaringan virtual. Saat ini,Microsoft.FileShareshanya mendukung protokol berbagi file NFS. Jika Anda memerlukan SMB, pilih berbagi file klasik.
Video ini memberikan gambaran umum komprehensif tentang perbedaan antara akun penyimpanan dan model manajemen berbagi file:
Berbagi file klasik (Microsoft.Storage)
Berbagi file klasik, atau berbagi file yang disebarkan di akun penyimpanan, adalah cara tradisional untuk menyebarkan berbagi file untuk Azure Files. Mereka mendukung semua fitur utama yang didukung Azure Files termasuk tingkat media SMB dan NFS, SSD dan HDD, setiap jenis redundansi, dan di setiap wilayah. Meskipun berbagi file klasik mendukung seluruh luasnya fitur Azure Files, mereka memiliki batasan kunci penting:
Perencanaan kapasitas: Berbagi file klasik, serta objek anak seperti kontainer blob yang hidup dalam akun penyimpanan yang sama, berbagi kumpulan penyimpanan umum, IOPS, dan throughput. Ini berarti menempatkan beberapa berbagi file klasik di akun penyimpanan memerlukan perencanaan untuk menghindari hambatan kapasitas. Saat merencanakan berbagi file klasik, Anda perlu mempertimbangkan kebutuhan saat ini dan di masa mendatang dari setiap berbagi file klasik yang ditempatkan di akun penyimpanan, karena pertumbuhan satu berbagi file klasik dapat memadati berbagi file lainnya.
Pengaturan bersama: Banyak pengaturan penting, seperti aturan jaringan dan keamanan, diterapkan di tingkat akun penyimpanan. Akibatnya, menempatkan berbagi file klasik di akun penyimpanan yang sama memerlukan pertimbangan yang cermat. Anda harus menganggap akun penyimpanan sebagai pembatas kepercayaan dan hanya menempatkan file share klasik di akun penyimpanan yang sama jika Anda tidak keberatan jika mereka memiliki pengaturan keamanan yang sama.
Kompleksitas penskalaan: Penyebaran Azure Files skala besar dapat memerlukan pengelolaan banyak langganan Azure karena batasan pada akun penyimpanan dari
Microsoft.Storagepenyedia sumber daya. Lihat batas akun penyimpanan untuk informasi selengkapnya.
Ada dua jenis utama akun penyimpanan yang digunakan untuk penyebaran berbagi file klasik:
-
Akun penyimpanan yang disediakan: Akun penyimpanan yang disediakan dibedakan menggunakan
FileStoragejenis akun penyimpanan. Akun penyimpanan yang disediakan memungkinkan Anda untuk menyebarkan berbagi file klasik yang disediakan pada perangkat keras berbasis SSD atau HDD. Akun penyimpanan yang disediakan hanya dapat digunakan untuk menyimpan berbagi file klasik dan tidak dapat digunakan penyimpanan sumber daya penyimpanan lain seperti kontainer blob, antrean, dan tabel. Sebaiknya gunakan akun penyimpanan yang disediakan untuk semua penyebaran berbagi file klasik baru. -
Akun penyimpanan prabayar: Akun penyimpanan prabayar dibedakan menggunakan
StorageV2jenis akun penyimpanan. Akun penyimpanan bayar sesuai penggunaan memungkinkan Anda menyediakan berbagi file pembayaran sesuai penggunaan pada perangkat keras berbasis HDD. Akun penyimpanan prabayar dapat digunakan untuk menyimpan berbagi file klasik dan sumber daya penyimpanan lainnya seperti kontainer blob, antrean, atau tabel.
Untuk mempelajari selengkapnya, lihat Membuat berbagi file klasik.
Berbagi file (Microsoft.FileShares)
Berbagi file (pratinjau) adalah sumber daya Azure tingkat atas baru yang disediakan oleh Microsoft.FileShares penyedia sumber daya. Berbagi file ini menawarkan keuntungan berikut daripada berbagi file klasik:
Manajemen yang disederhanakan: Berbagi file dibuat langsung sebagai sumber daya tingkat atas di portal Microsoft Azure atau melalui API manajemen. Ini menghapus persyaratan untuk mengelola akun penyimpanan dan menyederhanakan pengalaman penyebaran.
Kapasitas dan performa independen: Setiap berbagi file memiliki penyimpanan khusus, IOPS, dan throughputnya sendiri. Ini menghindari kebutuhan untuk melakukan perencanaan kapasitas terhadap sumber daya terbatas akun penyimpanan Anda dan memungkinkan berbagi file tumbuh bebas seiring dengan bertambahnya tuntutan beban kerja.
Konfigurasi terperinci: Pengaturan jaringan dan keamanan diterapkan pada tingkat berbagi file, memberi Anda kontrol batas akses dan isolasi yang tepat. Hal ini memudahkan penerapan kebijakan keamanan untuk aplikasi, tim, atau lingkungan tertentu.
Penagihan yang dapat diprediksi dan fleksibel: Berbagi file menggunakan model penagihan v2 yang disediakan, yang memungkinkan Anda menyediakan penyimpanan, IOPS, dan throughput per berbagi secara independen. Karena penagihan di Azure dilakukan per sumber daya Azure tingkat atas, ini memungkinkan Anda untuk dengan mudah melacak biaya setiap berbagi individu untuk atribusi biaya kembali ke proyek, tim, atau pelanggan yang menggunakan berbagi file.
Peningkatan skala dan performa: Berbagi file mendukung batas yang lebih tinggi dan waktu penyebaran yang lebih rendah daripada berbagi file klasik. Untuk informasi selengkapnya, lihat Target skalabilitas dan performa Azure Files.
Ketersediaan regional
Saat ini, membuat berbagi file dengan Microsoft.FileShares (pratinjau) tersedia di wilayah berikut. Dukungan endpoint privat untuk berbagi file dengan Microsoft.FileShares (pratinjau) tersedia di semua wilayah cloud publik Azure.
- Australia Timur
- Australia Tengah
- Australia Tenggara
- Asia Timur
- US Timur
- Jerman Utara
- Korea Selatan
- Asia Tenggara
- Eropa Utara
- Afrika Selatan Barat
- India Selatan
- UAE Tengah
Membandingkan penyedia sumber daya: Microsoft.Storage versus Microsoft.FileShares
| Fitur | Berbagi file klasik  |
Berbagi file (Microsoft.FileShares)  |
|---|---|---|
| Jaminan dukungan | Tersedia secara umum | Pratinjau umum |
| Sumber daya tingkat atas untuk layanan | Akun penyimpanan  |
File Shares |
| Protokol SMB |
|
|
| Protokol NFS |
|
|
| Dukungan Sinkronisasi File |
|
|
| Memerlukan akun penyimpanan |
|
|
| Model penagihan bayar sesuai penggunaan |
|
|
| Model penagihan v1 yang disediakan |
|
|
| Model penagihan v2 yang disediakan |
|
|
| Dukungan HDD |
|
|
| Dukungan SSD |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Penagihan tingkat per saham, konfigurasi jaringan, dan keamanan |
|
|
| Konfigurasi vnet tunggal untuk berbagi file |
|
|
| Konfigurasi vnet tunggal untuk beberapa berbagi file |
|
|
| Driver AKS CSI |
|
|
| REST API lapisan data |
|
|
Protokol yang tersedia
Azure Files menawarkan dua protokol sistem file standar industri untuk memasang berbagi file Azure: protokol Server Message Block (SMB) dan protokol Network File System (NFS), memungkinkan Anda memilih protokol yang paling sesuai untuk beban kerja Anda. Berbagi file Azure tidak mendukung protokol SMB dan NFS pada berbagi file yang sama, meskipun Anda dapat membuat berbagi file SMB dan NFS Azure dalam akun penyimpanan yang sama.
Dengan kedua berbagi file SMB dan NFS, Azure Files menawarkan berbagi file kelas perusahaan yang dapat diskalakan untuk memenuhi kebutuhan penyimpanan Anda dan dapat diakses secara bersamaan oleh ribuan klien.
| Fitur | SMB | Sistem Berkas Jaringan (NFS) |
|---|---|---|
| Versi protokol yang didukung | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| OS yang Disarankan |
|
Linux kernel versi 4.3+ |
| Kategori media yang tersedia | SSD dan HDD | Hanya SSD |
| Redundansi |
|
|
| Sistem berkas semantik | Win32 | POSIX |
| Autentikasi | Autentikasi berbasis identitas (Kerberos), autentikasi kunci bersama (NTLMv2) | Autentikasi berbasis host |
| Otorisasi | Daftar kontrol akses (ACL) bergaya Win32 | Izin ala UNIX |
| Sensitivitas huruf besar/kecil | Tidak memperhatikan penggunaan huruf kapital, mempertahankan penggunaan huruf kapital | Sensitif terhadap huruf besar/kecil |
| Menghapus atau mengubah file yang terbuka | Hanya dengan kunci | Ya |
| Berbagi file | Mode Berbagi di Windows | Pengelola penguncian rentang byte berbasis panduan jaringan |
| Dukungan tautan keras | Tidak didukung | Didukung |
| Dukungan link simbolik | Tidak didukung | Didukung |
| Dapat diakses internet secara opsional | Ya (hanya untuk SMB 3.0 ke atas) | Tidak |
| Dukungan untuk FileREST | Ya | Ya (hanya Microsoft.Storage) |
| Kunci wajib untuk rentang byte | Didukung | Tidak didukung |
| Kunci rentang byte bersifat penasihat | Tidak didukung | Didukung |
| Atribut yang sudah ditambahkan/dinamai | Tidak didukung | Tidak didukung |
| Jalur data alternatif | Tidak didukung | Tidak Berlaku |
| Pengidentifikasi objek | Tidak didukung | Tidak Berlaku |
| Titik reparse | Tidak didukung | Tidak Berlaku |
| File Jarang | Tidak didukung | Tidak Berlaku |
| Kompresi | Tidak didukung | Tidak Berlaku |
| Pipa bernama | Tidak didukung | Tidak Berlaku |
| SMB Direct | Tidak didukung | Tidak Berlaku |
| Sewa Direktori UMKM | Tidak didukung | Tidak Berlaku |
| Salinan Bayangan Volume | Tidak didukung | Tidak Berlaku |
| Nama file pendek (8.3 alias) | Tidak didukung | Tidak Berlaku |
| Transaksi pada sistem file (TxF) | Tidak didukung | Tidak Berlaku |
Identitas
Untuk mengakses berbagi file Azure, pengguna harus diautentikasi dan diotorisasi untuk mengakses berbagi. Dalam hampir semua kasus, sebaiknya gunakan autentikasi berbasis identitas alih-alih kunci akun penyimpanan untuk mengakses berbagi file SMB Azure.
Azure Files mendukung metode autentikasi berikut untuk berbagi SMB:
- Active Directory Domain Services Lokal (AD DS, atau AD DS lokal): Akun penyimpanan Azure dapat tergabung dalam domain Active Directory Domain Services milik pelanggan, seperti server file Windows Server atau perangkat NAS. Anda dapat menerapkan pengontrol domain secara lokal, di Azure VM, atau bahkan sebagai VM di penyedia cloud lain; Azure Files adalah agnostik tempat pengontrol domain Anda dihosting. Setelah akun penyimpanan bergabung dengan domain, pengguna akhir dapat memasang berbagi file dengan akun pengguna yang mereka gunakan untuk masuk ke PC. Autentikasi berbasis AD menggunakan protokol autentikasi Kerberos.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services menyediakan pengendali domain yang dikelola Microsoft yang dapat digunakan untuk sumber daya Azure. Domain yang bergabung dengan akun penyimpanan Anda ke Microsoft Entra Domain Services memberikan manfaat serupa dengan domain yang menggabungkannya ke AD DS milik pelanggan. Opsi penyebaran ini paling berguna untuk skenario lift-and-shift aplikasi yang memerlukan izin berbasis AD. Karena Microsoft Entra Domain Services menyediakan autentikasi berbasis AD, opsi ini juga menggunakan protokol autentikasi Kerberos.
- Microsoft Entra Kerberos: Microsoft Entra Kerberos memungkinkan Anda menggunakan ID Microsoft Entra untuk mengautentikasi identitas hibrid atau khusus cloud (pratinjau). Konfigurasi ini menggunakan ID Microsoft Entra untuk mengeluarkan tiket Kerberos untuk mengakses berbagi file dengan protokol SMB. Ini berarti pengguna akhir Anda dapat mengakses berbagi file Azure melalui internet dari Microsoft Entra hybrid joined dan Microsoft Entra joined VM.
- Autentikasi Direktori Aktif melalui SMB untuk klien Linux: Azure Files mendukung autentikasi berbasis identitas melalui SMB untuk klien Linux menggunakan protokol autentikasi Kerberos melalui AD DS atau Microsoft Entra Domain Services.
- Kunci akun penyimpanan Azure: Meskipun tidak disarankan karena alasan keamanan, Anda juga dapat memasang berbagi file Azure menggunakan kunci akun penyimpanan Azure alih-alih menggunakan identitas. Untuk memasang berbagi file menggunakan kunci akun penyimpanan, nama akun penyimpanan digunakan sebagai nama pengguna dan kunci akun penyimpanan digunakan sebagai kata sandi. Menggunakan kunci akun penyimpanan untuk menyambungkan file share Azure secara efektif merupakan operasi administrator, karena file share yang tersambung memiliki izin penuh ke semua file dan folder di file share, bahkan jika mereka memiliki ACL. Saat menggunakan kunci akun penyimpanan untuk mengakses melalui SMB, protokol autentikasi NTLMv2 digunakan. Jika Anda harus menggunakan kunci akun penyimpanan, sebaiknya gunakan titik akhir privat atau titik akhir layanan seperti yang dijelaskan di bagian Jaringan .
Untuk pelanggan yang bermigrasi dari server file lokal atau membuat berbagi file baru di Azure Files yang dimaksudkan untuk berperilaku seperti server file Windows atau appliance NAS, kami sarankan domain menggabungkan akun penyimpanan Anda ke AD DS milik pelanggan. Untuk mempelajari selengkapnya, lihat Gambaran Umum - autentikasi AD DS lokal melalui SMB untuk berbagi file Azure.
Jaringan
Memasang secara langsung Azure file share Anda sering kali memerlukan pemikiran tentang konfigurasi jaringan karena:
- Port yang digunakan berbagi file SMB untuk komunikasi, port 445, sering diblokir oleh banyak organisasi dan penyedia layanan internet (ISP) untuk lalu lintas keluar (internet).
- Berbagi file NFS mengandalkan autentikasi tingkat jaringan dan oleh karena itu hanya dapat diakses melalui jaringan terbatas. Menggunakan berbagi file NFS selalu memerlukan beberapa tingkat konfigurasi jaringan.
Untuk mengonfigurasi jaringan, Azure Files menyediakan titik akhir publik yang dapat diakses internet dan integrasi dengan fitur jaringan Azure seperti titik akhir layanan, yang membantu membatasi titik akhir publik ke jaringan virtual tertentu, dan titik akhir privat, yang memberi akun penyimpanan Anda alamat IP pribadi dari dalam ruang alamat IP jaringan virtual. Meskipun tidak ada biaya tambahan untuk menggunakan titik akhir publik atau titik akhir layanan, tarif pemrosesan data standar berlaku untuk titik akhir privat.
Ini berarti Anda harus mempertimbangkan konfigurasi jaringan berikut:
- Jika protokol yang diperlukan adalah SMB dan semua akses melalui SMB berasal dari klien di Azure, tidak diperlukan konfigurasi jaringan khusus.
- Jika protokol yang diperlukan adalah SMB dan aksesnya berasal dari klien lokal, maka koneksi VPN atau ExpressRoute dari lokal ke jaringan Azure Anda diperlukan, dengan Azure Files yang diekspos di jaringan internal Anda menggunakan titik akhir privat.
- Jika protokol yang diperlukan adalah NFS, Anda dapat menggunakan titik akhir layanan atau titik akhir privat untuk membatasi jaringan ke jaringan virtual yang ditentukan. Jika Anda memerlukan alamat IP statis dan/atau beban kerja Anda memerlukan ketersediaan tinggi, gunakan titik akhir privat. Dengan titik akhir layanan, peristiwa langka seperti gangguan zona dapat menyebabkan perubahan pada alamat IP dasar dari akun penyimpanan. Meskipun data masih tersedia di file share, klien akan memerlukan pemasangan ulang dari share tersebut.
Untuk mempelajari lebih lanjut tentang cara mengonfigurasi jaringan untuk Azure Files, lihat Pertimbangan jaringan Azure Files.
Selain menghubungkan langsung ke berbagi file menggunakan titik akhir publik atau menggunakan koneksi VPN/ExpressRoute dengan titik akhir privat, SMB menyediakan strategi akses klien tambahan: SMB melalui QUIC. SMB melalui QUIC menawarkan "SMB VPN" tanpa perlu konfigurasi untuk akses SMB melalui protokol transportasi QUIC. Meskipun Azure Files tidak secara langsung mendukung SMB melalui QUIC, Anda dapat membuat cache ringan dari berbagi file Azure Anda di Windows Server 2022 VM Edisi Azure menggunakan Azure File Sync. Untuk mempelajari opsi ini lebih lanjut, lihat SMB melalui QUIC dengan Azure File Sync.
Enkripsi
Azure Files mendukung dua jenis enkripsi yang berbeda:
- Enkripsi saat transit, yang berkaitan dengan enkripsi yang digunakan saat memasang/mengakses berbagi file Azure
- Enkripsi saat tidak aktif, yang berkaitan dengan bagaimana data dienkripsi saat disimpan di disk
Enkripsi saat transit
Secara default, semua akun penyimpanan Azure mengaktifkan enkripsi saat transit. Ini berarti bahwa ketika Anda memasang berbagi file melalui SMB atau mengaksesnya melalui protokol FileREST (seperti melalui portal Microsoft Azure, PowerShell/CLI, atau Azure SDK), Azure Files hanya mengizinkan koneksi jika dibuat dengan SMB 3.x dengan enkripsi atau HTTPS. Klien yang tidak mendukung SMB 3.x atau klien yang mendukung SMB 3.x tetapi tidak enkripsi SMB tidak akan dapat memasang berbagi file Azure jika enkripsi saat transit diaktifkan. Untuk informasi selengkapnya tentang sistem operasi mana yang mendukung SMB 3.x dengan enkripsi, lihat dokumentasi kami untuk Windows, macOS, dan Linux. Semua versi PowerShell, CLI, dan SDK saat ini mendukung HTTPS.
Anda dapat menonaktifkan enkripsi saat transit untuk akun penyimpanan Azure. Saat enkripsi dinonaktifkan, Azure Files juga mengizinkan SMB 2.1 dan SMB 3.x tanpa enkripsi, dan panggilan FileREST API yang tidak terenkripsi melalui HTTP. Alasan utama untuk menonaktifkan enkripsi saat transit adalah untuk mendukung aplikasi lama yang harus dijalankan di sistem operasi yang lebih lama, seperti Windows Server 2008 R2 atau distribusi Linux yang lebih lama. Azure Files hanya mengizinkan koneksi SMB 2.1 dalam wilayah Azure yang sama dengan berbagi file Azure; klien SMB 2.1 di luar wilayah Azure dari berbagi file Azure, seperti lokal atau di wilayah Azure yang berbeda, tidak akan dapat mengakses berbagi file.
Sebaiknya Anda memastikan bahwa enkripsi data saat transit diaktifkan.
Untuk informasi selengkapnya tentang enkripsi saat transit, lihat memerlukan transfer aman di penyimpanan Azure dan Enkripsi saat transit untuk berbagi file NFS Azure.
Enkripsi saat tidak aktif
Semua data yang disimpan di Azure Files dienkripsi saat tidak aktif melalui enkripsi sisi layanan Azure Storage (SSE). SSE berfungsi mirip dengan BitLocker di Windows: data dienkripsi di bawah tingkat sistem file.
Karena data dienkripsi dalam sistem berbagi file Azure saat dikodekan ke disk, Anda tidak memerlukan akses ke kunci dasar pada klien untuk membaca atau menulis ke share file Azure. Enkripsi saat penyimpanan berlaku untuk protokol SMB dan NFS.
Secara default, data yang disimpan di Azure Files dienkripsi dengan kunci yang dikelola Microsoft. Dengan kunci yang dikelola Microsoft, Microsoft menyimpan kunci untuk mengenkripsi dan mendekripsi data. Microsoft bertanggung jawab untuk memutar kunci ini secara teratur.
Anda juga dapat memilih untuk mengelola kunci Anda sendiri, yang memberi Anda kontrol atas proses rotasi. Apabila Anda memilih untuk mengenkripsi berbagi file dengan kunci yang dikelola pelanggan, Azure Files berhak untuk mengakses kunci Anda untuk memenuhi permintaan baca dan tulis dari klien Anda. Dengan kunci yang dikelola pelanggan, Anda dapat mencabut otorisasi ini kapan saja. Tetapi tanpa otorisasi ini, berbagi file Azure Anda tidak lagi dapat diakses melalui SMB atau FileREST API.
Azure Files menggunakan skema enkripsi yang sama dengan layanan Azure Storage lainnya, seperti Azure Blob Storage. Untuk mempelajari selengkapnya tentang Azure Storage SSE, lihat Enkripsi Azure Storage untuk data tidak aktif.
Perlindungan data
Azure Files memiliki pendekatan berlapis untuk memastikan data Anda dicadangkan, dipulihkan, dan dilindungi dari ancaman keamanan. Lihat Gambaran umum perlindungan data Azure Files.
Penghapusan lunak
"Soft delete adalah pengaturan pada tingkat akun penyimpanan yang memungkinkan Anda memulihkan berbagi file ketika dihapus secara tidak sengaja." Ketika berbagi file dihapus, ini dialihkan ke status dihapus sementara, bukan dihapus permanen. Anda dapat mengonfigurasi jumlah waktu bagi berbagi yang dihapus sementara untuk dapat dipulihkan sebelum dihapus secara permanen, dan mengembalikan berbagi kapan saja selama periode penyimpanan ini.
Penghapusan sementara diaktifkan secara default untuk akun penyimpanan baru. Jika Anda memiliki alur kerja di mana penghapusan saham sering terjadi dan diharapkan, Anda mungkin memutuskan untuk memiliki periode retensi yang singkat atau tidak mengaktifkan fitur penghapusan sementara sama sekali.
Untuk informasi selengkapnya tentang penghapusan sementara, lihat Mencegah penghapusan data yang tidak disengaja.
Backup
Anda dapat mencadangkan berbagi file Azure melalui cuplikan berbagi, yang merupakan salinan baca-saja dari berbagi Anda pada titik waktu tertentu. Rekam jepret bersifat bertahap, artinya hanya berisi data sebanyak yang telah berubah sejak rekam jepret sebelumnya. Anda dapat memiliki hingga 200 cuplikan per pembagian file dan menyimpannya hingga 10 tahun. Anda dapat mengambil rekam jepret secara manual di portal Azure, melalui PowerShell, atau antarmuka baris perintah (CLI), atau Anda dapat menggunakan Azure Backup.
Azure Backup untuk berbagi file Azure menangani penjadwalan dan penyimpanan rekam jepret. Kemampuan Grandfather-Father-Son (GFS) berarti Anda dapat mengambil rekam jepret harian, mingguan, bulanan, dan tahunan, masing-masing dengan periode retensinya sendiri. Azure Backup juga mengatur pengaktifan penghapusan sementara dan mengambil kunci penghapusan pada akun penyimpanan segera setelah file share apa pun di dalamnya disiapkan untuk dicadangkan. Terakhir, Azure Backup menyediakan kemampuan pemantauan dan pemberitahuan utama tertentu yang memungkinkan pelanggan memiliki tampilan konsolidasi dari keadaan cadangan mereka.
Anda dapat melakukan pemulihan tingkat item dan tingkat berbagi di portal Azure menggunakan Azure Backup. Yang perlu Anda lakukan adalah memilih titik pemulihan (rekam jepret tertentu), file atau direktori tertentu jika relevan, dan kemudian lokasi (awal atau alternatif) tempat tujuan Anda memulihkan file atau direktori. Layanan cadangan menangani penyalinan data rekam jepret dan menunjukkan kemajuan pemulihan Anda di portal.
Lindungi Azure Files dengan Microsoft Defender untuk Storage
Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini memberikan keamanan komprehensif dengan menganalisis telemetri bidang data dan bidang kontrol yang dihasilkan oleh Azure Files. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut yang didukung oleh Microsoft Threat Intelligence untuk memberikan pemberitahuan keamanan kontekstual, termasuk langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.
Defender for Storage terus menganalisis aliran telemetri yang dihasilkan oleh Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Pemberitahuan ini ditampilkan dalam Microsoft Defender untuk Cloud, bersama dengan detail aktivitas mencurigakan, langkah investigasi, tindakan remediasi, dan rekomendasi keamanan.
Defender for Storage mendeteksi malware yang diketahui, seperti ransomware, virus, spyware, dan malware lainnya yang diunggah ke akun penyimpanan berdasarkan hash file lengkap (hanya didukung untuk REST API). Ini membantu mencegah malware memasuki organisasi dan menyebar ke lebih banyak pengguna dan sumber daya. Lihat Memahami perbedaan antara Pemindaian Malware dan analisis reputasi hash.
Defender for Storage tidak mengakses data akun penyimpanan dan tidak memengaruhi performanya. Anda dapat mengaktifkan Pertahanan Microsoft untuk Penyimpanan di tingkat langganan (disarankan) atau tingkat sumber daya.
Lapisan penyimpanan
Azure Files menawarkan dua tingkat penyimpanan media: solid-state disk (SSD) dan hard disk drive (HDD). Tingkatan ini memungkinkan Anda menyesuaikan saham Anda dengan persyaratan performa dan harga skenario Anda:
SSD (premium): Berbagi file SSD memberikan performa tinggi yang konsisten dan latensi rendah, dalam milidetik satu digit untuk sebagian besar operasi I/O, untuk beban kerja intensif I/O. Berbagi file SSD cocok untuk berbagai beban kerja, seperti database, hosting situs web, dan lingkungan pengembangan.
Anda dapat menggunakan berbagi file SSD dengan protokol SMB dan NFS. Berbagi file SSD tersedia dalam model penagihan yang telah disediakan v2 dan v1. Berbagi file SSD menawarkan ketersediaan SLA yang lebih tinggi daripada berbagi file HDD.
HDD (standar): Berbagi file HDD menyediakan opsi penyimpanan hemat biaya untuk berbagi file tujuan umum. Berbagi file HDD tersedia dengan model penagihan provisioned v2 dan bayar sesuai penggunaan, meskipun kami merekomendasikan model provisioned v2 untuk penyebaran berbagi file HDD baru. Untuk informasi tentang SLA, lihat halaman Azure SLA untuk layanan online.
Saat Anda memilih tingkat media untuk beban kerja Anda, pertimbangkan persyaratan performa dan penggunaan Anda. Jika beban kerja Anda memerlukan latensi satu digit, atau Anda menggunakan media penyimpanan SSD lokal, berbagi file SSD mungkin paling cocok. Jika latensi rendah tidak terlalu menjadi perhatian, berbagi file HDD mungkin lebih cocok dari perspektif biaya. Misalnya, latensi rendah mungkin kurang menjadi perhatian dengan berbagi tim yang dipasang secara lokal dari Azure atau cache lokal melalui Azure File Sync.
Setelah membuat berbagi file di akun penyimpanan, Anda tidak dapat langsung memindahkannya ke tingkat media yang berbeda. Misalnya, untuk memindahkan berbagi file HDD ke tingkat media SSD, Anda harus membuat berbagi file SSD baru dan menyalin data dari berbagi asli Anda ke berbagi file baru.
Anda dapat menemukan informasi selengkapnya tentang tingkat media SSD dan HDD di Memahami model penagihan Azure Files dan Memahami dan mengoptimalkan performa berbagi file Azure.
Redundansi
Untuk membantu melindungi data dalam berbagi file Azure Anda dari kehilangan atau kerusakan data, Azure Files menyimpan beberapa salinan setiap file saat ditulis. Tergantung pada kebutuhan Anda, Anda dapat memilih tingkat redundansi. Azure Files saat ini mendukung opsi berikut untuk redundansi data:
Penyimpanan redundan lokal (LRS): Dengan redundansi lokal, setiap file disimpan tiga kali dalam kluster penyimpanan Azure. Pendekatan ini membantu melindungi dari kehilangan data karena kesalahan perangkat keras, seperti drive disk yang buruk. Namun, jika bencana seperti kebakaran atau banjir terjadi di pusat data, semua replika akun penyimpanan yang menggunakan LRS mungkin hilang atau tidak dapat dipulihkan.
Penyimpanan zona redundan (ZRS): Dengan redundansi zona, tiga salinan setiap file disimpan. Namun, salinan ini secara fisik diisolasi dalam tiga kluster penyimpanan yang berbeda di zona ketersediaan Azure. Zona ketersediaan adalah lokasi fisik unik di wilayah Azure. Setiap zona terdiri dari satu atau lebih pusat data yang dilengkapi dengan sumber daya listrik, pendinginan, dan jaringan yang independen. Penulisan ke penyimpanan tidak akan diterima hingga data tersebut berhasil ditulis ke kluster penyimpanan di ketiga zona ketersediaan.
Penyimpanan geo-redundan (GRS): Dengan redundansi geografis, Anda memiliki wilayah utama dan wilayah sekunder. File disimpan tiga kali di kluster penyimpanan Azure di wilayah utama. Penulisan akan direplikasi secara asinkron ke wilayah sekunder yang ditentukan oleh Microsoft.
Redundansi geografis menyediakan enam salinan data Anda yang tersebar di antara dua wilayah Azure. Jika bencana besar terjadi, seperti hilangnya wilayah Azure secara permanen karena bencana alam atau peristiwa serupa lainnya, Microsoft melakukan failover. Dalam hal ini, sekunder menjadi utama dan menangani semua operasi.
Karena replikasi antara wilayah primer dan sekunder tidak sinkron, jika bencana besar terjadi, data yang belum direplikasi ke wilayah sekunder hilang. Anda juga dapat melakukan failover manual pada akun penyimpanan geo-redundant.
Penyimpanan geo-zona-redundan (GZRS): Dengan redundansi zona geografis, file disimpan tiga kali di tiga kluster penyimpanan yang berbeda di wilayah utama. Semua penulisan kemudian direplikasi secara asinkron ke wilayah sekunder yang ditentukan Microsoft. Proses failover untuk redundansi zona geografis berfungsi sama seperti yang dilakukan untuk redundansi geografis.
Berbagi file HDD mendukung keempat jenis redundansi. Berbagi file SSD hanya mendukung LRS dan ZRS.
Akun penyimpanan bayar sesuai penggunaan menyediakan dua opsi redundansi lain yang tidak didukung Azure Files: penyimpanan geo-redundan akses baca (RA-GRS) dan penyimpanan geo-zona-redundan akses baca (RA-GZRS). Anda dapat memprovisikan berbagi file Azure di akun penyimpanan dengan kumpulan opsi ini, tetapi Azure Files tidak mendukung pembacaan dari wilayah sekunder. Berkas saham Azure yang dikerahkan ke akun penyimpanan RA-GRS atau RA-GZRS akan ditagih sebagai redundan geografis atau redundan zona geografis.
Untuk informasi selengkapnya tentang redundansi, lihat bagian Redundansi Data Azure Files.
Ketersediaan berbagi file SSD dengan zona redundansi
Berbagi file SSD dengan redundansi zona tersedia untuk subset wilayah Azure.
Pemulihan bencana dan alih fungsional
Dalam kasus pemadaman layanan regional yang tidak diencana, Anda harus memiliki rencana pemulihan bencana (DR) untuk berbagi file Azure Anda. Untuk memahami konsep dan proses yang terlibat dengan DR dan failover akun penyimpanan, lihat Pemulihan bencana dan failover untuk Azure Files.
Migrasi
Dalam banyak kasus, Anda tidak akan membuat berbagi file sepenuhnya baru untuk organisasi Anda, tetapi sebaliknya memigrasi berbagi file yang ada dari server file lokal atau perangkat NAS ke Azure Files. Memilih strategi dan alat migrasi yang tepat penting untuk keberhasilan migrasi Anda.
Untuk migrasi SMB, lihat Gambaran umum migrasi SMB yang berisi tabel yang mengarahkan Anda ke panduan migrasi yang kemungkinan mencakup skenario Anda.
Untuk migrasi NFS, lihat Migrasi ke berbagi file NFS Azure.