Azure-bestandsshares gebruiken in een hybride omgeving

Deze architectuur laat zien hoe u Azure-bestandsshares kunt opnemen in uw hybride omgeving. Azure-bestandsshares worden gebruikt als serverloze bestandsshares. Door ze te integreren met Active Directory Directory Services (AD DS), kunt u de toegang tot AD DS-gebruikers beheren en beperken. Azure-bestandsshares kunnen vervolgens traditionele bestandsservers vervangen.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Workflow

De architectuur bestaat uit de volgende onderdelen:

• Microsoft Entra-tenant. Dit onderdeel is een exemplaar van Microsoft Entra dat is gemaakt door uw organisatie. Het fungeert als een adreslijstservice voor cloudtoepassingen door objecten op te slaan die zijn gekopieerd uit de on-premises Active Directory. Het biedt ook identiteitsservices bij het openen van Azure-bestandsshares.
• AD DS-server. Dit onderdeel is een on-premises adreslijst- en identiteitsservice. De AD DS-directory wordt gesynchroniseerd met Microsoft Entra ID om deze in te schakelen voor het verifiëren van on-premises gebruikers.
• Microsoft Entra Connect Sync-server. Dit onderdeel is een on-premises server waarop de Microsoft Entra Connect Sync-service wordt uitgevoerd. Deze service synchroniseert informatie in de on-premises Active Directory met Microsoft Entra-id.
• Gateway voor een virtueel netwerk. Dit optionele onderdeel wordt gebruikt voor het verzenden van versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via internet.
• Azure-bestandsshares. Azure-bestandsshares bieden opslag voor bestanden en mappen die u kunt openen via SMB-protocollen (Server Message Block), Network File System (NFS) en Hypertext Transfer Protocol (HTTP). Bestandsshares worden geïmplementeerd in Azure-opslagaccounts.
• Recovery Services-kluis. Dit optionele onderdeel biedt back-ups van Azure-bestandsshares.
• Clients. Deze onderdelen zijn AD DS-lidcomputers, van waaruit gebruikers toegang hebben tot Azure-bestandsshares.

Onderdelen

Belangrijke technologieën die worden gebruikt om deze architectuur te implementeren:

• Microsoft Entra ID is een service voor bedrijfsidentiteit die eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang biedt.
• Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn met behulp van de industriestandaardprotocollen.
• VPN Gateway VPN Gateway verzendt versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.

Scenariodetails

Potentiële gebruikscases

Deze architectuur wordt doorgaans gebruikt voor:

• On-premises bestandsservers vervangen of aanvullen. Azure Files kan traditionele on-premises bestandsservers of opslagapparaten die zijn gekoppeld aan het netwerk volledig vervangen of aanvullen. Met Azure-bestandsshares en AD DS-verificatie kunt u gegevens migreren naar Azure Files. Deze migratie kan profiteren van hoge beschikbaarheid en schaalbaarheid terwijl clientwijzigingen worden geminimaliseerd.
• Lift en shift. Met Azure Files kunt u eenvoudig 'lift-and-shift'-toepassingen gebruiken die verwachten dat een bestandsshare toepassings- of gebruikersgegevens opslaat in de cloud.
• Back-up en herstel na noodgevallen. U kunt Azure Files gebruiken als opslag voor back-ups of voor herstel na noodgevallen om de bedrijfscontinuïteit te verbeteren. U kunt Azure Files gebruiken om een back-up te maken van uw gegevens van bestaande bestandsservers, met behoud van geconfigureerde discretionaire toegangsbeheerlijsten van Windows. Gegevens die zijn opgeslagen op Azure-bestandsshares, worden niet beïnvloed door rampen die van invloed kunnen zijn op on-premises locaties.
• Azure File Sync. Met Azure File Sync kunnen Azure-bestandsshares repliceren naar Windows Server, on-premises of in de cloud. Deze replicatie verbetert de prestaties en distribueert caching van gegevens naar de locatie waar deze worden gebruikt.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Algemeen gebruik v2 (GPv2) of FileStorage-opslagaccounts gebruiken voor Azure-bestandsshares

U kunt een Azure-bestandsshare maken in verschillende opslagaccounts. Hoewel algemeen gebruik v1 (GPv1) en klassieke opslagaccounts Azure-bestandsshares kunnen bevatten, zijn de meeste nieuwe functies van Azure Files alleen beschikbaar in GPv2- en FileStorage-opslagaccounts. Hoewel in een Azure-bestandsshare GPv2-opslagaccountgegevens worden opgeslagen op hdd-hardware (harde schijf), worden gegevens van FileStorage-opslagaccounts opgeslagen op SSD-hardware (solid-state drive). Zie Een Azure-bestandsshare maken voor meer informatie.

Azure-bestandsshares maken in opslagaccounts die alleen Azure-bestandsshares bevatten

Met opslagaccounts kunt u verschillende opslagservices in hetzelfde opslagaccount gebruiken. Deze opslagservices omvatten Azure-bestandsshares, blobcontainers en tabellen. Alle opslagservices in één opslagaccount delen dezelfde limieten voor het opslagaccount. Door opslagservices in hetzelfde opslagaccount te combineren, is het moeilijker om prestatieproblemen op te lossen.

Premium-bestandsshares gebruiken voor workloads waarvoor hoge doorvoer is vereist

Premium-bestandsshares worden geïmplementeerd in FileStorage-opslagaccounts en worden opgeslagen op SSD-hardware (solid-state drive). Deze installatie maakt ze geschikt voor het opslaan en openen van gegevens die consistente prestaties, hoge doorvoer en lage latentie vereisen. (Deze Premium-bestandsshares werken bijvoorbeeld goed met databases.) U kunt andere workloads opslaan die minder gevoelig zijn voor prestatievariabiliteit op standaardbestandsshares. Deze workloadtypen omvatten bestandsshares voor algemeen gebruik en ontwikkel-/testomgevingen. Zie Een Azure-bestandsshare maken voor meer informatie.

Versleuteling altijd vereisen bij toegang tot SMB Azure-bestandsshares

Gebruik altijd versleuteling tijdens overdracht bij het openen van gegevens in SMB Azure-bestandsshares. Versleuteling in transit is standaard ingeschakeld. Azure Files staat alleen de verbinding toe als deze is gemaakt met een protocol dat gebruikmaakt van versleuteling, zoals SMB 3.0. Clients die geen ondersteuning bieden voor SMB 3.0, kunnen de Azure-bestandsshare niet koppelen als versleuteling onderweg is vereist.

VPN gebruiken als de poort die door SMB wordt gebruikt (poort 445) is geblokkeerd

Veel internetproviders blokkeren TCP-poort (Transmission Control Protocol) 445, die wordt gebruikt voor toegang tot Azure-bestandsshares. Als het deblokkeren van TCP-poort 445 geen optie is, hebt u toegang tot Azure-bestandsshares via een ExpressRoute- of VPN-verbinding (virtueel particulier netwerk) (site-naar-site of punt-naar-site) om te voorkomen dat verkeer wordt geblokkeerd. Zie Een punt-naar-site-VPN (P2S) configureren in Windows voor gebruik met Azure Files en een site-naar-site-VPN configureren voor gebruik met Azure Files.

Overweeg om Azure File Sync te gebruiken met Azure-bestandsshares

Met de Azure File Sync-service kunt u Azure-bestandsshares opslaan op een on-premises Windows Server-bestandsserver. Wanneer u opslag in cloudlagen inschakelt, zorgt File Sync ervoor dat een bestandsserver altijd beschikbare ruimte heeft, zelfs als er meer bestanden beschikbaar zijn dan een bestandsserver lokaal kan opslaan. Als u on-premises Windows Server-bestandsservers hebt, kunt u overwegen bestandsservers te integreren met Azure-bestandsshares met behulp van Azure File Sync. Zie Planning voor een Azure File Sync-implementatie voor meer informatie.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Schaalbaarheid

• De grootte van azure-bestandsshares is beperkt tot 100 tebibytes (TiB). Er is geen minimale bestandsgrootte en geen limiet voor het aantal Azure-bestandsshares.
• De maximale grootte van een bestand in een bestandsshare is 1 TiB en er is geen limiet voor het aantal bestanden in een bestandsshare.
• IOPS- en doorvoerlimieten worden per Azure-opslagaccount gedeeld tussen Azure-bestandsshares in hetzelfde opslagaccount.

Zie Azure Files-schaalbaarheids- en prestatiedoelen voor meer informatie.

Beschikbaarheid

• Azure-bestandsshares ondersteunen momenteel de volgende opties voor gegevensredundantie:
  • Lokaal redundante opslag (LRS). Gegevens worden drie keer synchroon gekopieerd binnen één fysieke locatie in de primaire regio. Deze procedure beschermt tegen gegevensverlies vanwege hardwarefouten, zoals een ongeldig schijfstation.
  • Zone-redundante opslag (ZRS). Gegevens worden synchroon gekopieerd naar drie Azure-beschikbaarheidszones in de primaire regio. Beschikbaarheidszones zijn unieke, fysieke locaties binnen een Azure-regio. Elke zone bestaat uit een of meer datacenters die zijn uitgerust met onafhankelijke voeding, koeling en netwerken.
  • Geografisch redundante opslag (GRS). Gegevens worden synchroon drie keer gekopieerd binnen één fysieke locatie in de primaire regio met behulp van LRS. Uw gegevens worden vervolgens asynchroon gekopieerd naar één fysieke locatie in de secundaire regio. Geografisch redundante opslag biedt zes kopieën van uw gegevens verspreid over twee Azure-regio's.
  • Geografisch zone-redundante opslag (GZRS). Gegevens worden synchroon gekopieerd in drie Azure-beschikbaarheidszones in de primaire regio met behulp van ZRS. Uw gegevens worden vervolgens asynchroon gekopieerd naar één fysieke locatie in de secundaire regio.
• Premium-bestandsshares kunnen alleen worden opgeslagen in lokaal redundante opslag (LRS) en zone-redundante opslag (ZRS). Standaardbestandsshares kunnen worden opgeslagen in LRS, ZRS, geografisch redundante opslag (GRS) en geografisch zone-redundante opslag (GZRS). Zie Planning voor een Azure Files-implementatie en Azure Storage-redundantie voor meer informatie.
• Azure Files is een cloudservice en net als bij alle cloudservices moet u een internetverbinding hebben voor toegang tot Azure-bestandsshares. Een redundante oplossing voor internetverbinding wordt ten zeerste aanbevolen om onderbrekingen te voorkomen.

Beheerbaarheid

• U kunt Azure-bestandsshares beheren met dezelfde hulpprogramma's als elke andere Azure-service. Deze hulpprogramma's omvatten Azure Portal, Azure-opdrachtregelinterface en Azure PowerShell.
• Azure-bestandsshares dwingen standaardmachtigingen voor Windows-bestanden af. U kunt machtigingen op map- of bestandsniveau configureren door een Azure-bestandsshare te koppelen en machtigingen te configureren met behulp van Bestandenverkenner, de opdracht Windows icacls.exe of de cmdlet Set-Acl Windows PowerShell.
• U kunt een momentopname van Azure-bestandsshares gebruiken voor het maken van een momentopname van een bepaald tijdstip, alleen-lezenkopie van de Azure-bestandssharegegevens. U maakt een momentopname van een share op bestandsshareniveau. U kunt vervolgens afzonderlijke bestanden herstellen in Azure Portal of in Bestandenverkenner, waar u ook een hele share kunt herstellen. U kunt maximaal 200 momentopnamen per share hebben, zodat u bestanden kunt herstellen naar verschillende versies van een bepaald tijdstip. Als u een share verwijdert, worden de momentopnamen ook verwijderd. Momentopnamen van shares zijn incrementeel. Alleen de gegevens die zijn gewijzigd nadat de meest recente momentopname van de share is opgeslagen. Deze procedure minimaliseert de tijd die nodig is om de momentopname van de share te maken en bespaart op opslagkosten. Momentopnamen van Azure-bestandsshares worden ook gebruikt wanneer u Azure-bestandsshares beveiligt met Azure Backup. Zie Overzicht van momentopnamen van shares voor Azure Files voor meer informatie.
• U kunt onbedoeld verwijderen van Azure-bestandsshares voorkomen door voorlopig verwijderen in te schakelen voor bestandsshares. Als u een bestandsshare verwijdert wanneer voorlopig verwijderen is ingeschakeld, wordt de bestandsshare overgezet naar een voorlopig verwijderde status in plaats van permanent te worden gewist. U kunt configureren hoe lang voorlopig verwijderde gegevens kunnen worden hersteld voordat ze permanent worden verwijderd en de share op elk gewenst moment tijdens deze bewaarperiode worden hersteld. Zie Voorlopig verwijderen inschakelen voor Azure-bestandsshares voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

• Gebruik AD DS-verificatie via SMB voor toegang tot Azure-bestandsshares. Deze installatie biedt dezelfde naadloze ervaring voor eenmalige aanmelding (SSO) bij het openen van Azure-bestandsshares als toegang tot on-premises bestandsshares. Zie Hoe het werkt en de stappen voor het inschakelen van functies voor meer informatie. Uw client moet lid zijn van een domein aan AD DS, omdat de verificatie nog steeds wordt uitgevoerd door de AD DS-domeincontroller. U moet ook machtigingen op shareniveau en bestands-/mapniveau toewijzen om toegang te krijgen tot de gegevens. Machtigingstoewijzing op shareniveau doorloopt het Azure RBAC-model. Machtiging op bestand/mapniveau wordt beheerd als Windows-ACL's.

  Notitie

  Toegang tot Azure-bestandsshares wordt altijd geverifieerd. Azure-bestandsshares bieden geen ondersteuning voor anonieme toegang. Naast verificatie op basis van identiteiten via SMB kunnen gebruikers zich ook verifiëren bij azure-bestandsshare met behulp van de toegangssleutel voor opslag en Shared Access Signature.

• Alle gegevens die zijn opgeslagen op een Azure-bestandsshare, worden in rust versleuteld met behulp van Azure Storage Service Encryption (SSE). SSE werkt op dezelfde manier als BitLocker-stationsversleuteling in Windows, waarbij gegevens worden versleuteld onder het bestandssysteemniveau. Standaard worden gegevens die zijn opgeslagen in Azure Files versleuteld met door Microsoft beheerde sleutels. Met door Microsoft beheerde sleutels onderhoudt Microsoft de sleutels voor het versleutelen/ontsleutelen van de gegevens en beheert het regelmatig draaien ervan. U kunt er ook voor kiezen om uw eigen sleutels te beheren. Dit geeft u controle over het roulatieproces.

• Voor alle Azure-opslagaccounts is standaard versleuteling ingeschakeld. Deze installatie betekent dat alle communicatie met Azure-bestandsshares is versleuteld. Clients die geen ondersteuning bieden voor versleuteling, kunnen geen verbinding maken met Azure-bestandsshares. Als u versleuteling tijdens overdracht uitschakelt, kunnen clients met oudere besturingssystemen, zoals Windows Server 2008 R2 of oudere Linux, ook verbinding maken. In dergelijke gevallen worden gegevens niet versleuteld tijdens overdracht van Azure-bestandsshares.

• Standaard kunnen clients vanaf elke locatie verbinding maken met de Azure-bestandsshare. Als u de netwerken wilt beperken van waaruit clients verbinding kunnen maken met Azure-bestandsshares, configureert u de firewall-, virtuele netwerken en privé-eindpuntverbindingen. Zie Azure Storage-firewalls en virtuele netwerken configureren en Azure Files-netwerkeindpunten configureren voor meer informatie.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie en Inzicht in Azure Files-facturering voor meer informatie.

• Azure Files heeft twee opslaglagen en twee prijsmodellen:
  • Standard-opslag: maakt gebruik van HDD-opslag. Er is geen minimale bestandsgrootte voor bestandsshares en u betaalt alleen voor gebruikte opslagruimte. U betaalt ook voor bestandsbewerkingen, zoals het inventariseren van een map of het lezen van een bestand.
  • Premium-opslag: maakt gebruik van SSD-opslag. De minimale grootte voor een Premium-bestandsshare is 100 gibibytes en u betaalt per ingerichte opslagruimte. Wanneer u Premium Storage gebruikt, zijn alle bestandsbewerkingen gratis.
• Extra kosten zijn gekoppeld aan momentopnamen van bestandsshares en uitgaande gegevensoverdracht. (Wanneer u gegevens overdraagt van Azure-bestandsshares, is binnenkomende gegevensoverdracht gratis.) Kosten voor gegevensoverdracht zijn afhankelijk van de hoeveelheid overgedragen gegevens en de SKU (Stock Keeping Unit) van uw virtuele netwerkgateway, als u er een gebruikt. Zie prijzen voor Azure Files en azure-prijscalculator voor meer informatie over kosten. De werkelijke kosten variëren per Azure-regio en uw afzonderlijke contract. Neem contact op met een verkoopmedewerker van Microsoft voor aanvullende informatie over prijzen.

Volgende stappen

Meer informatie over de onderdeeltechnologieën:

• Een Azure-bestandsshare maken voor instructies om aan de slag te gaan met een SMB-share.
• Een NFS-share maken voor instructies om aan de slag te gaan met een NFS-koppelingsshare.

Verwante resources

Gerelateerde architecturen verkennen:

• Azure Enterprise-cloudbestandsshare
• Hybride bestandsservices
• Back-ups maken van bestanden en toepassingen in Azure Stack Hub
• Meerdere forests met AD DS en Microsoft Entra-id
• Meerdere forests met AD DS, Microsoft Entra ID en Microsoft Entra Domain Services
• Azure Virtual Desktop voor de onderneming