Azure Enterprise-cloudbestandsshare

Deze referentiearchitectuur illustreert een oplossing voor het delen van cloudbestanden op ondernemingsniveau die gebruikmaakt van Azure-services, waaronder Azure Files, Azure File Sync, Azure Privé-DNS en Azure Private Endpoint. De oplossing genereert kostenbesparingen door het beheer van bestandsservers en infrastructuur uit te besteden en tegelijkertijd de controle over de gegevens te behouden.

Architectuur

In het volgende diagram ziet u hoe clients toegang hebben tot Azure-bestandsshares:

• Lokaal via een bestandsserver in cloudlagen.
• Extern via persoonlijke ExpressRoute-peering of VPN-tunnels in een privénetwerkomgeving.

Een Visio-bestand van deze architectuur downloaden.

Workflow

De oplossing voor het delen van cloudbestanden op ondernemingsniveau gebruikt de volgende methoden om dezelfde gebruikerservaring te bieden als traditionele bestandsdeling, maar met Azure-bestandsshares:

• Maakt gebruik van Azure File Sync voor het synchroniseren van bestands- en maptoegangsbeheerlijsten (ACL's) tussen on-premises bestandsservers en Azure-bestandsshares.
• Maakt gebruik van de cloudlaagfunctie van de Azure File Sync-agent om regelmatig gebruikte bestanden lokaal in de cache op te slaan.
• Dwingt AD DS-verificatie af via Azure-bestandsshares.
• Toegang tot bestandsshares en bestandssynchronisatieservices via privé-IP via Private Link en Privé-eindpunt via een Persoonlijke ExpressRoute-peering of VPN-tunnel.

Door azure-privé-eindpunten te implementeren in Azure Files en Azure File Sync, wordt openbare eindpunttoegang uitgeschakeld, zodat de toegang tot Azure Files en Azure File Sync wordt beperkt vanuit het virtuele Azure-netwerk.

De vpn-site-naar-site-tunnel van ExpressRoute-privépeering breidt het on-premises netwerk uit naar het virtuele Azure-netwerk. SMB-verkeer (Azure File Sync en Server Message Block) van on-premises naar Azure Files en privé-eindpunten van Azure File Sync is alleen beperkt tot privéverbindingen. Tijdens de overgang staat Azure Files alleen de verbinding toe als deze is gemaakt met SMB 3.0+. Verbinding maken van de Azure File Sync-agent naar een Azure-bestandsshare of opslagsynchronisatieservice worden altijd versleuteld. In rust versleutelt Azure Storage uw gegevens automatisch wanneer deze worden bewaard in de cloud, net zoals Azure Files.

Een DNS-resolver (Domain Name System) is een essentieel onderdeel van de oplossing. Elke Azure-service heeft in dit geval Azure Files en Azure File Sync een FQDN (Fully Qualified Domain Name). De FQDN's van deze services worden in deze gevallen omgezet in hun openbare IP-adressen:

• Wanneer een client toegang heeft tot een Azure Files-share.
• Wanneer een Azure File Sync-agent, geïmplementeerd op een on-premises bestandsserver, toegang krijgt tot de Azure File Sync-service.

Nadat u een privé-eindpunt hebt ingeschakeld, worden privé-IP-adressen toegewezen in het virtuele Azure-netwerk. Deze adressen bieden toegang tot deze services via een privéverbinding en dezelfde FQDN's moeten nu worden omgezet in privé-IP-adressen. Hiervoor maken Azure Files en Azure File Sync een canonieke NAAM DNS-record (CNAME) om de omzetting om te leiden naar een privédomeinnaam:

• De openbare domeinnaam *.afs.azure.net van Azure File Sync krijgt een CNAME-omleiding naar de privédomeinnaam *.<region>.privatelink.afs.azure.net.
• De openbare Azure Files-domeinnaam <name>.file.core.windows.net krijgt een CNAME-omleiding naar de privédomeinnaam <name>.privatelink.file.core.windows.net.

De oplossing die in deze architectuur wordt weergegeven, configureert de on-premises DNS-instellingen correct, zodat ze privédomeinnamen omzetten in privé-IP-adressen, met behulp van de volgende methoden:

• Privé-DNS zones (onderdelen 11 en 12) worden gemaakt vanuit Azure om privénaamomzetting te bieden voor Azure File Sync en Azure Files.
• Privé-DNS zones zijn gekoppeld aan het virtuele Azure-netwerk, zodat een DNS-server die is geïmplementeerd in het virtuele netwerk of een privé-DNS-resolver (onderdeel 8) van Azure privédomeinnamen kan omzetten.
• DNS A-records worden gemaakt voor Azure Files en Azure File Sync in privé-DNS-zones. Zie Azure Files-netwerkeindpunten configureren en Azure File Sync-netwerkeindpunten configureren voor de configuratiestappen van het eindpunt.
• De on-premises DNS-server (onderdeel 3) stelt voorwaardelijk doorsturen in om de DNS-query van domain afs.azure.net en file.core.windows.net naar de DNS-server in het virtuele Azure-netwerk (onderdeel 8) door te sturen.
• Nadat de doorgestuurde DNS-query van de on-premises DNS-server is ontvangen, gebruikt de DNS-server (onderdeel 8) in het virtuele Azure-netwerk de Recursieve Resolver van Azure DNS om privédomeinnamen op te lossen en privé-IP-adressen naar de client te retourneren.

Onderdelen

De oplossing die in het architectuurdiagram wordt weergegeven, maakt gebruik van de volgende onderdelen:

• Client (onderdeel 1 of 2): meestal is de client een Windows-, Linux- of Mac OSX-bureaublad dat kan communiceren met een bestandsserver of Azure Files via het SMB-protocol.

• DC- en DNS-servers (onderdeel 3): een domeincontroller (DC) is een server die reageert op verificatieaanvragen en gebruikers verifieert op computernetwerken. Een DNS-server biedt computernaam-naar-IP-adresomzettingsservices voor computers en gebruikers. DC- en DNS-servers kunnen worden gecombineerd tot één server of kunnen worden gescheiden in verschillende servers.

• Bestandsserver (onderdeel 4): een server die bestandsshares host en services voor bestandsshares biedt.

• CE/VPN-apparaat (onderdeel 5): een edge-router (CE) of VPN-apparaat van de klant wordt gebruikt om ExpressRoute- of VPN-verbinding met het virtuele Azure-netwerk tot stand te brengen.

• Azure ExpressRoute of Azure VPN Gateway (onderdeel 6): Azure ExpressRoute is een service waarmee u uw on-premises netwerk kunt uitbreiden naar de Microsoft-cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. Azure VPN Gateway is een specifiek type virtuele netwerkgateway dat wordt gebruikt voor het verzenden van versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. ExpressRoute of VPN Gateway brengt ExpressRoute- of VPN-verbinding tot stand met uw on-premises netwerk.

• Privé-eindpunt van Azure (onderdeel 7): een netwerkinterface die u privé en veilig verbindt met een service die wordt mogelijk gemaakt door Azure Private Link. In deze oplossing maakt een privé-eindpunt van Azure File Sync verbinding met Azure File Sync (9) en maakt een privé-eindpunt van Azure Files verbinding met Azure Files (10).

• Dns-server/privé-DNS-resolver van Azure (onderdeel 8) in het azure Virtual Network-exemplaar maakt gebruik van de Azure DNS recursieve resolver om de privédomeinnaam op te lossen en een privé-IP-adres te retourneren aan de client, na ontvangst van een doorgestuurde DNS-query van een on-premises DNS-server.

• Azure File Sync en cloudlagen (onderdeel 9): Met Azure File Sync kunt u de bestandsshares van uw organisatie in Azure centraliseren, terwijl u de flexibiliteit, prestaties en compatibiliteit van een on-premises bestandsserver houdt. Cloudlagen zijn een optionele functie van Azure File Sync waarin vaak gebruikte bestanden lokaal op de server worden opgeslagen in de cache, terwijl alle andere bestanden worden gelaagd naar Azure Files op basis van beleidsinstellingen.

• Azure Files (onderdeel 10): een volledig beheerde service die bestandsshares in de cloud biedt die toegankelijk zijn via het SMB-protocol (Server Message Block) van de industriestandaard. Azure Files implementeert het SMB v3-protocol en ondersteunt verificatie via on-premises Active Directory-domein Services (AD DS) en Microsoft Entra Domain Services. Bestandsshares van Azure Files kunnen gelijktijdig worden gekoppeld door cloud- of on-premises implementaties van Windows, Linux en macOS. Daarnaast kunnen SMB Azure-bestandsshares in de cache worden opgeslagen in de cache waar de gegevens worden gebruikt, op Windows-servers met Azure File Sync voor snelle toegang.

• Azure Privé-DNS (onderdelen 11 en 12): een DNS-service die wordt aangeboden door Azure, Privé-DNS domeinnamen in een virtueel netwerk beheert en omgezet, zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen.

• Azure Backup (onderdeel 13): Azure Backup is een back-upservice voor Azure-bestandsshares die gebruikmaakt van momentopnamen van bestandsshares om een back-upoplossing in de cloud te bieden. Zie Gegevensverlies en back-up voor overwegingen.

Scenariodetails

Met deze oplossing hebt u toegang tot Azure-bestandsshares in een hybride werkomgeving via een virtueel particulier netwerk tussen on-premises en virtuele Azure-netwerken zonder dat u internet hoeft te doorlopen. Hiermee kunt u ook de toegang tot bestanden beheren en beperken via verificatie op basis van identiteiten.

Potentiële gebruikscases

De oplossing voor het delen van cloudbestanden ondersteunt de volgende mogelijke gebruiksscenario's:

• Bestandsserver of bestandsshare lift-and-shift. Door gegevens op te heffen en te verschuiven, hoeft u geen gegevens opnieuw te structureren of opnieuw op te maken. U behoudt ook verouderde toepassingen on-premises terwijl u profiteert van cloudopslag.
• Versnel cloudinnovatie met een verhoogde operationele efficiëntie. Vermindert de kosten voor het onderhouden van hardware en fysieke ruimte, beschermt tegen gegevensbeschadiging en gegevensverlies.
• Privétoegang tot Azure-bestandsshares. Beschermt tegen gegevensexfiltratie.

Verkeersstromen

Nadat u Azure File Sync en Azure Files hebt ingeschakeld, kunnen Azure-bestandsshares worden geopend in twee modi, de lokale cachemodus of de externe modus. In beide modi gebruikt de client bestaande AD DS-referenties om zichzelf te verifiëren.

• Lokale cachemodus: de client heeft toegang tot bestanden en bestandsshares via een lokale bestandsserver waarvoor opslaglagen in de cloud zijn ingeschakeld. Wanneer een gebruiker een bestand opent vanaf de lokale bestandsserver, worden bestandsgegevens geleverd vanuit de lokale cache van de bestandsserver of de Azure File Sync-agent worden de bestandsgegevens naadloos teruggeroepen uit Azure Files. In het architectuurdiagram voor deze oplossing vindt dit plaats tussen onderdeel 1 en 4.

• Externe modus: de client opent bestanden en bestandsshares rechtstreeks vanuit een externe Azure-bestandsshare. In het architectuurdiagram voor deze oplossing gaat de verkeersstroom door onderdelen 2, 5, 6, 7 en 10.

Azure File Sync-verkeer reist tussen onderdelen 4, 5, 6 en 7, met behulp van een ExpressRoute-circuit voor een betrouwbare verbinding.

Query's voor het omzetten van privédomeinnamen doorlopen onderdelen 3, 5, 6, 8, 11 en 12 met behulp van de volgende reeks:

1. De client verzendt een query naar een on-premises DNS-server om een Azure Files- of Azure File Sync DNS-naam op te lossen.
2. De on-premises DNS-server heeft een voorwaardelijke doorstuurserver die Azure File en Azure File Sync DNS-naamomzetting verwijst naar een DNS-server in het virtuele Azure-netwerk.
3. De query wordt omgeleid naar een DNS-server of een privé-DNS-resolver van Azure in het virtuele Azure-netwerk.
4. Afhankelijk van de DNS-configuratie van het virtuele netwerk:
   • Als een aangepaste DNS-server is geconfigureerd, verzendt de DNS-server in het virtuele Azure-netwerk een naamquery naar de door Azure geleverde DNS (168.63.129.16) recursieve resolver.
   • Als de privé-DNS-resolver van Azure is geconfigureerd en de query overeenkomt met de privé-DNS-zones die zijn gekoppeld aan het virtuele netwerk, worden deze zones geraadpleegd.
5. De DNS-server/privé-DNS-resolver van Azure retourneert een privé-IP-adres nadat de privédomeinnaam is omgezet in de respectieve privé-DNS-zone. Het maakt gebruik van de koppelingen van het virtuele Azure-netwerk naar de DNS-zone van Azure Files en de privé-DNS-zone van Azure File Sync.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Houd rekening met de volgende punten bij het implementeren van deze oplossing.

Planning

• Raadpleeg Planning voor een Azure File Sync-implementatie voor azure File Sync-planning.
• Raadpleeg Planning voor een Azure Files-implementatie voor azure Files-planning.

Netwerken

• Raadpleeg azure File Sync-netwerkoverwegingen voor overwegingen voor azure File Sync-netwerken.
• Raadpleeg azure Files-netwerkoverwegingen voor overwegingen met betrekking tot Azure Files-netwerken.

DNS

Wanneer u naamomzetting voor privé-eindpunten beheert, worden de privédomeinnamen van Azure Files en Azure File Sync op de volgende manier opgelost:

Vanuit de Azure-zijde:

• Als azure-opgegeven naamomzetting wordt gebruikt, moet het virtuele Azure-netwerk een koppeling maken naar ingerichte privé-DNS-zones.
• Als 'Bring Your Own DNS-server' wordt gebruikt, moet het virtuele netwerk waar uw eigen DNS-server wordt geïmplementeerd, een koppeling maken naar ingerichte privé-DNS-zones.

Aan de on-premises zijde wordt de privédomeinnaam op een van de volgende manieren toegewezen aan een privé-IP-adres:

• Door dns-doorsturen naar een DNS-server die is geïmplementeerd in het virtuele Azure-netwerk of de privé-DNS-resolver van Azure, zoals in het diagram wordt weergegeven.
• Via de on-premises DNS-server die zones instelt voor het privédomein <region>.privatelink.afs.azure.net en privatelink.file.core.windows.net. De server registreert de IP-adressen van Azure Files en privé-eindpunten van Azure File Sync als DNS A-records in hun respectieve DNS-zones. De on-premises client zet de privédomeinnaam rechtstreeks vanaf de lokale on-premises DNS-server om.

Distributed File System (DFS)

Als het gaat om een oplossing voor het delen van on-premises bestanden, kiezen veel beheerders ervoor om een DFS te gebruiken in plaats van een traditionele zelfstandige bestandsserver. MET DFS kunnen beheerders bestandsshares consolideren die op meerdere servers aanwezig kunnen zijn, zodat ze lijken alsof ze allemaal op dezelfde locatie wonen, zodat gebruikers ze vanaf één punt in het netwerk kunnen openen. Wanneer u overstapt op een cloudbestandsshareoplossing, kan de traditionele DFS-R-implementatie worden vervangen door azure File Sync-implementatie. Zie Een DFS-replicatieimplementatie (DFS-R) migreren naar Azure File Sync voor meer informatie.

Gegevensverlies en back-up

Gegevensverlies is een ernstig probleem voor bedrijven van alle omvang. Back-ups van Azure-bestandsshares maken gebruik van momentopnamen van bestandsshares om een back-upoplossing in de cloud te bieden die uw gegevens in de cloud beveiligt en extra onderhoudsoverhead voor on-premises back-upoplossingen elimineert. De belangrijkste voordelen van back-ups van Azure-bestandsshares zijn:

• Zero-infrastructuur
• Aangepaste retentie
• Ingebouwde beheermogelijkheden
• Directe herstelbewerkingen
• Waarschuwingen en rapportage
• Beveiliging tegen onbedoeld verwijderen van bestandsshares

Zie Back-up van Azure-bestandsshares voor meer informatie

Ondersteuning voor hybride identiteiten in Azure Files

Hoewel in dit artikel Active Directory wordt beschreven voor verificatie in Azure Files, is het mogelijk om Microsoft Entra-id te gebruiken voor het verifiëren van hybride gebruikersidentiteiten. Azure Files ondersteunt verificatie op basis van identiteit via Server Message Block (SMB), met behulp van het Kerberos-verificatieprotocol via de volgende methoden:

• On-premises Active Directory-domein Services (AD DS)
• Microsoft Entra Domain Services.
• Microsoft Entra Kerberos (alleen voor hybride gebruikersidentiteiten)
• AD-verificatie voor Linux-clients

Zie Microsoft Entra Kerberos-verificatie inschakelen voor hybride identiteiten in Azure Files voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om meer bescherming te bieden tegen DDoS-aanvallen. Schakel Azure DDOS Protection in voor elk virtueel perimeternetwerk.

Beveiligingscontrole is een vereiste om de beveiliging van een onderneming te waarborgen. Industriestandaarden vereisen dat ondernemingen een strikte set regels met betrekking tot gegevensbeveiliging en privacy volgen.

Controle van bestandstoegang

Controle van bestandstoegang kan lokaal en extern worden ingeschakeld:

• Lokaal, met dynamisch toegangsbeheer. Zie Controle van bestandstoegang plannen voor meer informatie.
• Extern, met behulp van Azure Storage-logboeken in Azure Monitor in Azure Files. Azure Storage-logboeken bevatten StorageRead-, StorageWrite-, StorageDelete- en transactielogboeken. Azure-bestandstoegang kan afzonderlijk worden vastgelegd in een opslagaccount, log analytics-werkruimte of naar een Event Hub worden gestreamd. Zie Azure Files bewaken voor meer informatie.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Yingting Huang | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Een Azure Files-implementatie plannen
• Azure Files implementeren
• Azure Files networking considerations (Aandachtspunten voor Azure Files-netwerken)
• Azure Files-netwerkeindpunten configureren
• Azure Files bewaken
• Controle van bestandstoegang plannen
• Een back-up maken van Azure-bestandsshares
• Overzicht : on-premises Active Directory-domein Services-verificatie via SMB voor Azure-bestandsshares
• Azure Files SYNC implementeren
• Azure File Sync-netwerkeindpunten configureren
• Overzicht van cloudlagen
• Een site-naar-site-verbinding maken in Azure Portal
• ExpressRoute-circuits en peering
• Peering voor een ExpressRoute-circuit maken en wijzigen
• Over back-ups van Azure-bestandsshares
• Wat is azure DNS Private Resolver?
• Microsoft Entra Kerberos-verificatie inschakelen voor hybride identiteiten in Azure Files

Verwante resources

• Azure Enterprise-cloudbestandsshare
• Azure-bestanden die on-premises worden geopend en beveiligd door AD DS
• Hybride bestandsservices
• Azure-bestandsshares gebruiken in een hybride omgeving
• Hybride bestandsshare met herstel na noodgevallen voor externe en lokale vertakkingsmedewerkers