Bewerken

Delen via


Hybride bestandsservices

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Deze referentiearchitectuur illustreert hoe u Azure File Sync en Azure Files kunt gebruiken om de mogelijkheden voor het hosten van bestandsservices uit te breiden voor cloud- en on-premises bestandsshareresources.

Architectuur

Een azure hybrid file services-topologiediagram.

Een Visio-bestand van deze architectuur downloaden.

Workflow

De architectuur bestaat uit de volgende onderdelen:

  • Azure-opslagaccount. Een opslagaccount dat wordt gebruikt voor het hosten van bestandsshares.
  • Azure Files. Een serverloze cloudbestandsshare die het cloudeindpunt van een synchronisatierelatie biedt met behulp van Azure File Sync. Bestanden in een Azure-bestandsshare kunnen rechtstreeks worden geopend met serverberichtblok (SMB) of fileREST-protocol.
  • Synchronisatiegroepen. Logische groeperingen van Azure-bestandsshares en -servers waarop Windows Server wordt uitgevoerd. Synchronisatiegroepen worden geïmplementeerd in de Opslagsynchronisatieservice, die servers registreert voor gebruik met Azure File Sync en de synchronisatiegroeprelaties bevat.
  • Azure File Sync-agent. Dit is geïnstalleerd op Windows Server-computers om synchronisatie met cloudeindpunten in te schakelen en te configureren.
  • Windows-servers. On-premises of in de cloud gebaseerde Windows Server-machines waarop een bestandsshare wordt gehost die wordt gesynchroniseerd met een Azure-bestandsshare.
  • Microsoft Entra-id. De Microsoft Entra-tenant die wordt gebruikt voor identiteitssynchronisatie in Azure en on-premises omgevingen.

Onderdelen

Scenariodetails

Deze architectuur wordt doorgaans gebruikt voor:

  • Bestandsshares hosten die toegankelijk moeten zijn vanuit cloud- en on-premises omgevingen.
  • Gegevens synchroniseren tussen meerdere on-premises gegevensarchieven met één cloudbron.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen, tenzij u een vereiste hebt die deze overschrijft.

Gebruik en implementatie van Azure Files

U slaat uw bestanden op in de cloud in serverloze Azure-bestandsshares. U kunt ze op twee manieren gebruiken: door ze rechtstreeks te koppelen (SMB) of door ze on-premises in de cache op te slaan met behulp van Azure File Sync. Wat u moet overwegen bij het plannen van uw implementatie, is afhankelijk van welke van de twee manieren u kiest.

  • Directe koppeling van een Azure-bestandsshare. Omdat Azure Files SMB-toegang biedt, kunt u Azure-bestandsshares on-premises of in de cloud koppelen met behulp van de standaard-SMB-client die beschikbaar is in de Windows-, macOS- en Linux-besturingssystemen. Azure-bestandsshares zijn serverloos, dus voor het implementeren ervan voor productiescenario's is het beheer van een bestandsserver of NAS-apparaat (network-attached storage) niet vereist. Dit betekent dat u geen softwarepatches hoeft toe te passen of fysieke schijven te wisselen.
  • Cache Azure-bestandsshare on-premises met Azure File Sync. Met Azure File Sync kunt u de bestandsshares van uw organisatie centraliseren in Azure Files en tegelijkertijd de flexibiliteit, prestaties en compatibiliteit van een on-premises bestandsserver behouden. Azure File Sync transformeert een on-premises (of cloud) Windows Server in een snelle cache van uw Azure-bestandsshare.

Opslagsynchronisatieservice implementeren

Begin de implementatie van Azure File Sync door een Storage Sync Service-resource te implementeren in een resourcegroep van uw geselecteerde abonnement. We raden u aan zo weinig mogelijk opslagsynchronisatieserviceobjecten in te richten. U maakt een vertrouwensrelatie tussen uw servers en deze resource. Een server kan maar bij één opslagsynchronisatieservice worden geregistreerd. Daarom raden we u aan zoveel opslagsynchronisatieservices te implementeren als u groepen servers moet scheiden. Houd er rekening mee dat servers van verschillende Opslagsynchronisatieservices niet met elkaar kunnen synchroniseren.

Windows Server-machines registreren bij de Azure File Sync-agent

Als u de synchronisatiemogelijkheid op Windows Server wilt inschakelen, moet u de downloadbare agent voor Azure File Sync installeren. De Azure File Sync-agent biedt twee hoofdonderdelen:

  • FileSyncSvc.exe. De windows-achtergrondservice die verantwoordelijk is voor het controleren van wijzigingen op de servereindpunten en voor het initiëren van synchronisatiesessies.
  • StorageSync.sys. Een bestandssysteemfilter dat cloudlagen en sneller herstel na noodgevallen mogelijk maakt.

U kunt de agent downloaden via de downloadpagina van de Azure File Sync-agent in het Microsoft Downloadcentrum.

Besturingssysteemvereisten

Azure File Sync wordt ondersteund door de Windows Server-versies die worden vermeld in de volgende tabel.

Versie Ondersteunde SKU's Ondersteunde implementatieopties
Windows Server 2022 Azure, Datacenter, Essentials, Standard en IoT Volledig en kerngeheugen
Windows Server 2019 Datacenter, Standard en IoT Volledig en kerngeheugen
Windows Server 2016 Datacenter, Standard en Storage Server Volledig en kerngeheugen
Windows Server 2012 R2 Datacenter, Standard en Storage Server Volledig en kerngeheugen

Zie overwegingen voor Windows-bestandsservers voor meer informatie.

Synchronisatiegroepen en cloudeindpunten configureren

Een synchronisatiegroep definieert de synchronisatietopologie voor een set bestanden. Eindpunten binnen een synchronisatiegroep worden onderling synchroon gehouden. Een synchronisatiegroep moet één cloudeindpunt bevatten, dat een Azure-bestandsshare vertegenwoordigt en een of meer servereindpunten. Een servereindpunt vertegenwoordigt een pad op een geregistreerde server. Een server kan servereindpunten in meerdere synchronisatiegroepen hebben. U kunt zoveel synchronisatiegroepen maken als u nodig hebt om de gewenste synchronisatietopologie op de juiste manier te beschrijven.

Een cloudeindpunt is een aanwijzer naar een Azure-bestandsshare. Alle servereindpunten worden gesynchroniseerd met een cloudeindpunt, waardoor het cloudeindpunt de hub wordt. Het opslagaccount voor de Azure-bestandsshare moet zich in dezelfde regio bevinden als de opslagsynchronisatieservice. De volledige Azure-bestandsshare wordt gesynchroniseerd, met één uitzondering: een speciale map, vergelijkbaar met de verborgen map System Volume Information op een NT-bestandssysteemvolume (NTFS) wordt ingericht. Deze map wordt aangeroepen . SystemShareInformation en het bevat belangrijke synchronisatiemetagegevens die niet met andere eindpunten worden gesynchroniseerd.

Servereindpunten configureren

Een servereindpunt representeert een bepaalde locatie op een geregistreerde server, bijvoorbeeld een map op een servervolume. Een servereindpunt moet een pad zijn op een geregistreerde server (in plaats van een gekoppelde share) en moet cloudlagen gebruiken. Het pad naar het servereindpunt moet zich op een niet-systeemvolume bevinden. NAS wordt niet ondersteund.

Azure-bestandsshare met Relaties tussen Windows-bestandsshares

U moet Azure-bestandsshares waar mogelijk implementeren met Windows-bestandsshares. Het servereindpuntobject biedt u een grote mate van flexibiliteit bij het instellen van de synchronisatietopologie aan de serverzijde van de synchronisatierelatie. Ter vereenvoudiging van het beheer moet het pad van het servereindpunt overeenkomen met het pad van de Windows-bestandsshare.

Gebruik zo weinig mogelijk opslagsynchronisatieservices. Dit vereenvoudigt het beheer wanneer u synchronisatiegroepen hebt die meerdere servereindpunten bevatten, omdat een Windows Server slechts kan worden geregistreerd bij één opslagsynchronisatieservice tegelijk.

Let op I/O-bewerkingen per seconde (IOPS) beperkingen voor een opslagaccount wanneer u Azure-bestandsshares implementeert. Het ideale is om bestandsshares een-op-een toe te wijzen met opslagaccounts. Het is niet altijd mogelijk om dit te doen vanwege verschillende limieten en beperkingen van uw organisatie en van Azure. Als het niet mogelijk is om slechts één bestandsshare in een opslagaccount te implementeren, moet u ervoor zorgen dat uw meest actieve bestandsshares zich niet in hetzelfde opslagaccount bevinden.

Aanbevelingen voor topologie: firewalls, edge-netwerken en proxyconnectiviteit

Bekijk de volgende aanbevelingen voor de oplossingstopologie.

Firewall en verkeer filteren

Op basis van het beleid van uw organisatie of op unieke wettelijke vereisten moet u mogelijk de communicatie met Azure beperken. Daarom biedt Azure File Sync verschillende mechanismen voor het configureren van netwerken. Op basis van uw vereisten kunt u het volgende doen:

  • Tunnel de synchronisatie en het uploaden en downloaden van verkeer via uw Azure ExpressRoute of virtueel particulier netwerk van Azure (VPN).
  • Maak gebruik van Azure Files- en Azure-netwerkfuncties, zoals service-eindpunten en privé-eindpunten.
  • Configureer Azure File Sync om uw proxy in uw omgeving te ondersteunen.
  • Netwerkactiviteit beperken vanuit Azure File Sync.

Zie Azure File Sync-netwerkoverwegingen voor meer informatie over Azure File Sync en netwerken.

Proxyservers configureren

Veel organisaties gebruiken een proxyserver als intermediair tussen resources in hun on-premises netwerk en resources buiten hun netwerk, zoals in Azure. Proxyservers zijn handig voor veel toepassingen, zoals netwerkisolatie en beveiliging, en bewaking en logboekregistratie. Azure File Sync kan volledig samenwerken met een proxyserver; U moet de proxy-eindpuntinstellingen voor uw omgeving echter handmatig configureren met Azure File Sync. U doet dit met behulp van de Azure File Sync-server-cmdlets in Azure PowerShell.

Zie azure File Sync-proxy- en firewallinstellingen voor meer informatie over het configureren van Azure File Sync met een proxyserver.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

  • U moet rekening houden met het type en de prestaties van het opslagaccount dat u gebruikt om Azure-bestandsshares te hosten. Alle opslagresources die in een opslagaccount worden geïmplementeerd, delen de limieten die van toepassing zijn op dat opslagaccount. Zie De schaalbaarheids- en prestatiedoelen van Azure Files voor meer informatie over het bepalen van de huidige limieten voor een opslagaccount.
  • Er zijn twee hoofdtypen opslagaccounts voor Azure Files-implementaties:
    • Opslagaccounts voor algemeen gebruik versie 2 (GPv2). Met GPv2-opslagaccounts kunt u Azure-bestandsshares implementeren op standaardhardware op basis van harde schijven (HDD). Naast het opslaan van Azure-bestandsshares kunnen GPv2-opslagaccounts andere opslagbronnen opslaan, zoals blobcontainers, wachtrijen en tabellen.
    • FileStorage-opslagaccounts: Met FileStorage-opslagaccounts kunt u Azure-bestandsshares implementeren op premium ssd-hardware (solid-state disk-based). FileStorage-accounts kunnen alleen worden gebruikt voor het opslaan van Azure-bestandsshares. U kunt geen andere opslagbronnen implementeren, zoals blobcontainers, wachtrijen en tabellen in een FileStorage-account.
  • Zorg ervoor dat Azure File Sync wordt ondersteund in de regio's waar u uw oplossing implementeert. Zie de beschikbaarheid van azure File Sync-regio's voor meer informatie.
  • Zorg ervoor dat de services waarnaar wordt verwezen in de sectie Architectuur , worden ondersteund in de regio waar u de architectuur voor hybride bestandsservices implementeert.
  • Als u de gegevens in uw Azure-bestandsshares wilt beveiligen tegen gegevensverlies of beschadiging, worden in alle Azure-bestandsshares meerdere kopieën van elk bestand opgeslagen terwijl het wordt geschreven. Afhankelijk van de vereisten van uw workload kunt u meer mate van redundantie selecteren.
  • Vorige versies is een Windows-functie waarmee u vsS-momentopnamen (Volume Shadow Copy Service) op de server kunt gebruiken om restorable versies van een bestand te presenteren aan een SMB-client. VSS-momentopnamen en vorige versies werken onafhankelijk van Azure File Sync. Cloudlagen moeten echter worden ingesteld op een compatibele modus. Veel Azure File Sync-servereindpunten kunnen op hetzelfde volume bestaan. U moet de volgende PowerShell-aanroep uitvoeren per volume met zelfs één servereindpunt, waar u van plan bent of cloudlagen gebruikt. Zie selfserviceherstel via vorige versies en VSS (Volume Shadow Copy Service) voor meer informatie over eerdere versies en VSS.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

  • Azure File Sync werkt met uw standaardidentiteit Active Directory-domein Services (AD DS) zonder speciale instellingen, behalve het instellen van Azure File Sync. Wanneer u Azure File Sync gebruikt, gaat bestandstoegang doorgaans via de cacheservers van Azure File Sync in plaats van via de Azure-bestandsshare. Omdat de servereindpunten zich op Windows Server-computers bevinden, is de enige vereiste voor identiteitsintegratie het gebruik van windows-bestandsservers die lid zijn van een domein om zich te registreren bij de opslagsynchronisatieservice. Azure File Sync slaat toegangsbeheerlijsten (ACL's) op voor de bestanden in de Azure-bestandsshare en repliceert deze naar alle servereindpunten.
  • Hoewel wijzigingen die rechtstreeks zijn aangebracht in de Azure-bestandsshare langer duren om te synchroniseren met de servereindpunten in de synchronisatiegroep, wilt u er misschien voor zorgen dat u uw AD DS-machtigingen voor uw bestandsshare ook rechtstreeks in de cloud kunt afdwingen. Hiervoor moet u uw opslagaccount toevoegen aan uw on-premises AD DS-domein, net zoals uw Windows-bestandsservers lid zijn van een domein. Voor meer informatie over domeindeelname van uw opslagaccount aan een AD DS-exemplaar dat eigendom is van de klant, raadpleegt u Overzicht van verificatieopties op basis van azure Files voor SMB-toegang.
  • Wanneer u Azure File Sync gebruikt, zijn er drie verschillende versleutelingslagen om rekening mee te houden:
    • Versleuteling-at-rest voor gegevens die zijn opgeslagen in Windows Server. Er zijn twee strategieën voor het versleutelen van gegevens op Windows Server die in het algemeen werken met Azure File Sync: versleuteling onder het bestandssysteem, zodat het bestandssysteem en alle gegevens die ernaar worden geschreven, worden versleuteld en versleuteling binnen de bestandsindeling zelf. Deze methoden kunnen desgewenst samen worden gebruikt, omdat hun doeleinden verschillen.
    • Versleuteling tijdens overdracht tussen de Azure File Sync-agent en Azure. De Azure File Sync-agent communiceert met uw Opslagsynchronisatieservice en Azure-bestandsshare met behulp van het Azure File Sync REST-protocol en het FileREST-protocol, die beide altijd HTTPS via poort 443 gebruiken. Azure File Sync verzendt geen niet-versleutelde aanvragen via HTTP.
    • Versleuteling-at-rest voor gegevens die zijn opgeslagen in de Azure-bestandsshare. Alle gegevens die zijn opgeslagen in Azure Files worden in rust versleuteld met behulp van Azure Storage Service Encryption (SSE). Versleuteling van opslagservice werkt net als BitLocker in Windows: gegevens worden versleuteld onder het bestandssysteemniveau. Omdat gegevens worden versleuteld onder het bestandssysteem van de Azure-bestandsshare omdat de gegevens naar de schijf worden gecodeerd, hebt u geen toegang nodig tot de onderliggende sleutel op de client om naar de Azure-bestandsshare te lezen of schrijven.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Operationele topprestaties

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

  • De Azure File Sync-agent wordt regelmatig bijgewerkt om nieuwe functionaliteit toe te voegen en problemen op te lossen. Microsoft raadt u aan Microsoft Update te configureren om updates voor de Azure File Sync-agent te bieden zodra deze beschikbaar komen. Zie updatebeleid voor Azure File Sync-agent voor meer informatie.
  • Azure Storage biedt voorlopig verwijderen voor bestandsshares, zodat u uw gegevens kunt herstellen wanneer deze per ongeluk worden verwijderd door een toepassing of door een andere gebruiker van het opslagaccount. Zie Voorlopig verwijderen inschakelen voor Azure-bestandsshares voor meer informatie over voorlopig verwijderen.
  • Opslag in cloudlagen is een optionele functie van Azure File Sync waarmee regelmatig gebruikte bestanden lokaal op de server worden opgeslagen en de andere bestanden worden gelaagd naar Azure Files op basis van beleidsinstellingen. Wanneer een bestand gelaagd is, vervangt het Azure File Sync-bestandssysteemfilter (StorageSync.sys) het bestand lokaal door een aanwijzer naar het bestand in Azure Files. Een gelaagd bestand heeft zowel het offlinekenmerk als het FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS kenmerk ingesteld in NTFS, zodat toepassingen van derden gelaagde bestanden veilig kunnen identificeren. Zie Overzicht van cloudlagen voor meer informatie.

Volgende stappen

Verwante hybride richtlijnen:

Gerelateerde architecturen: