Configurare la connettività ai File di Azure

  • 8 minuti

Gli utenti di Contoso probabilmente si connetteranno a File di Azure tramite il protocollo SMB, sebbene sia supportato anche NFS. SMB usa la porta TCP 445 per stabilire le connessioni. Molte aziende e provider di servizi Internet bloccano questa porta, motivo per cui gli utenti non possono accedere a File di Azure. Se non è disponibile un'opzione per sbloccare la porta 445, è comunque possibile accedere a File di Azure stabilendo prima una rete privata virtuale (VPN) da punto a sito, una VPN da sito a sito o usando una connessione Azure ExpressRoute ad Azure. In alternativa, l'azienda può usare Sincronizzazione file di Azure per sincronizzare una condivisione file di Azure con un file server locale, a cui gli utenti possono accedere sempre.

Firewall e reti virtuali di Archiviazione di Azure

L'archiviazione di Azure, che include Azure Files, offre un modello di sicurezza a più livelli. che consente di proteggere e controllare il livello di accesso agli account di archiviazione in base al tipo e al subset di reti da cui hanno origine le richieste. Per impostazione predefinita, un firewall dell'account di archiviazione consente l'accesso da tutte le reti, ma è possibile modificarne la configurazione in modo da consentire l'accesso solo da indirizzi IP o intervalli IP specificati o da un elenco di subnet in una rete virtuale di Azure. La configurazione del firewall consente inoltre di selezionare servizi della piattaforma Azure attendibili per accedere in modo sicuro a un account di archiviazione.

Oltre all'endpoint pubblico predefinito, gli account di archiviazione, che includono File di Azure, offrono la possibilità di avere uno o più endpoint privati. Un endpoint privato è accessibile solo all'interno di una rete virtuale di Azure. Quando si crea un endpoint privato per un account di archiviazione, quest'ultimo ottiene un indirizzo IP privato dallo spazio di indirizzi della rete virtuale, in modo simile a un file server o un dispositivo NAS locale che riceve un indirizzo IP dallo spazio di indirizzi dedicato di una rete locale. In questo modo si protegge tutto il traffico tra la rete virtuale e l'account di archiviazione su un collegamento privato.

Suggerimento

Si può usare il firewall dell'account di archiviazione anche per bloccare tutti gli accessi tramite un endpoint pubblico quando si usano endpoint privati.

Connessione a una condivisione file di Azure

Per usare una condivisione file di Azure con il sistema operativo Windows è necessario montarla, ossia assegnarle una lettera di unità o il percorso di un punto di montaggio, oppure accedervi tramite il relativo percorso UNC (Universal Naming Convention). Il percorso UNC include il nome dell'account di archiviazione di Azure, il suffisso di dominio file.core.windows.net e il nome condivisione. Ad esempio, se l'account di archiviazione di Azure è denominato archiviazione1 e il nome della condivisione è condivisione1, il percorso UNC sarà \\storage1.file.core.windows.net\share1.

Se l'autenticazione basata su identità è abilitata per l'account di archiviazione e si sta eseguendo la connessione a una condivisione file di Azure da un dispositivo Windows aggiunto a un dominio, non occorre specificare manualmente le credenziali. In caso contrario, è necessario specificare le credenziali. È possibile usare (AZURE\*<storage account name>*) come nome utente e la chiave di accesso alle risorse di archiviazione come password. Le stesse credenziali vengono usate se ci si connette a una condivisione file di Azure usando lo script fornito dal portale di Azure.

Attenzione

Una chiave di accesso alle risorse di archiviazione fornisce accesso senza restrizioni a una condivisione file di Azure. Quando possibile, usare invece l'autenticazione basata su identità.

Screenshot dello script fornito dal portale di Azure per la connessione a una condivisione file di Azure, con l'opzione Connetti selezionata.

Snapshot condivisioni file di Azure

In Windows Server è possibile creare una copia shadow di un volume, che acquisisce lo stato del volume in quel determinato momento. È poi possibile accedere alla copia shadow in una rete usando la funzionalità Versioni precedenti di Esplora file. Una funzionalità simile è disponibile con gli snapshot di condivisioni file di Azure. Uno snapshot di condivisione è una copia di sola lettura temporizzata dei dati della condivisione file di Azure.

Lo snapshot di condivisione viene creato a livello della condivisione file. È quindi possibile ripristinare singoli file dal portale di Azure o da Esplora file, in cui si può anche ripristinare un'intera condivisione. È possibile creare fino a 200 snapshot per condivisione, in modo da poter ripristinare i file in diverse versioni temporizzate. Se si elimina una condivisione, vengono eliminati anche tutti gli snapshot corrispondenti.

Gli snapshot di condivisione sono incrementali. Vengono salvati solo i dati modificati dopo il salvataggio più recente dello snapshot di condivisione. Questo riduce al minimo il tempo necessario per creare lo snapshot di condivisione e consente di risparmiare sullo spazio di archiviazione e sui costi di archiviazione.

Screenshot degli snapshot di condivisione file con tre snapshot. Nella scheda Versioni precedenti della condivisione file di Azure sono elencati gli stessi tre snapshot.

Usare gli snapshot nelle situazioni seguenti:

  • Come misura di protezione da eliminazioni accidentali o modifiche indesiderate. Uno snapshot di condivisione contiene copie temporizzate dei file della condivisione. Se i file della condivisione vengono modificati accidentalmente, è possibile usare gli snapshot di condivisione per rivedere e ripristinare le versioni precedenti dei file.
  • Per scopi di backup generali. Dopo aver creato una condivisione file, è possibile creare periodicamente uno snapshot della condivisione. Questo consente di mantenere versioni precedenti dei dati che possono essere usate per esigenze di controllo future o per il ripristino di emergenza.