Delen via

Azure File Sync-resources verplaatsen naar een andere resourcegroep, abonnement of Microsoft Entra-tenant

In dit artikel wordt beschreven hoe u wijzigingen aanbrengt in de resourcegroep, het abonnement of de Microsoft Entra-tenant voor uw Azure File Sync-cloudresources en Azure-opslagaccounts.

Wanneer u van plan bent om wijzigingen aan te brengen in de Azure File Sync-cloudresources, is het belangrijk om tegelijkertijd rekening te houden met de opslagresources. De volgende resources bestaan:

Azure File Sync-resources (in hiërarchische volgorde)

  • Opslagsynchronisatieservice
    • Geregistreerde server
    • Synchronisatiegroep
      • Cloudeindpunt
      • Servereindpunt

In Azure File Sync is de enige resource die kan worden verplaatst de opslagsynchronisatieserviceresource. Alle subresources zijn gebonden aan hun bovenliggende bron en kunnen niet worden verplaatst naar een andere opslagsynchronisatieservice.

Azure Storage-resources (in hiërarchische volgorde)

  • Opslagaccount
    • Bestandsdeling

De enige resource die kan worden verplaatst, is het opslagaccount. Een Azure-bestandsshare, als subresource, kan niet worden verplaatst naar een ander opslagaccount.

Ondersteunde combinaties

Wanneer u een resourceverplaatsing plant, moeten opslagaccounts en de Azure File Sync-resource op het hoogste niveau, de opslagsynchronisatieservice, samen worden overwogen.

Als best practice moeten de opslagsynchronisatieservice en de opslagaccounts die bestandsshares synchroniseren, zich altijd in hetzelfde abonnement bevinden. Deze combinaties worden ondersteund:

  • Opslagsynchronisatieservice en opslagaccounts bevinden zich in verschillende resourcegroepen (dezelfde Azure-tenant)
  • Opslagsynchronisatieservice en opslagaccounts bevinden zich in verschillende abonnementen (dezelfde Azure-tenant)

Belangrijk

Door verschillende combinaties van verplaatsingen kunnen een opslagsynchronisatieservice en opslagaccounts terechtkomen in verschillende abonnementen, die worden beheerd door verschillende Microsoft Entra-tenants. Synchronisatie lijkt zelfs te werken, maar dit is geen ondersteunde configuratie. Synchroniseren kan in de toekomst stoppen zonder dat u weer in een werkende situatie kunt komen.

Bij het plannen van de verplaatsing van resources zijn er verschillende overwegingen voor het verplaatsen binnen dezelfde Microsoft Entra-tenant en overstappen naar een andere Microsoft Entra-tenant. Wanneer u Microsoft Entra-tenants verplaatst, verplaatst u altijd synchronisatie- en opslagbronnen samen.

Verplaatsen binnen dezelfde Microsoft Entra-tenant

Een afbeelding van Azure Portal voor een opslagsynchronisatieserviceresource, met de opdracht Verplaatsen uitgevouwen. Hier ziet u de opties voor verplaatsen van de resourcegroep en het verplaatsen van abonnementen.

Een handige manier om een opslagsynchronisatieserviceresource te verplaatsen, is door azure Portal te gebruiken. Navigeer naar de opslagsynchronisatieservice die u wilt verplaatsen en selecteer Verplaatsen op de opdrachtbalk. Dezelfde stappen gelden voor het verplaatsen van een opslagaccount. U kunt ook alle resources in een resourcegroep op deze manier verplaatsen. Het verplaatsen van een hele resourcegroep wordt aanbevolen wanneer u de opslagsynchronisatieservice en alle gebruikte opslagaccounts in deze resourcegroep hebt.

Waarschuwing

Wanneer u een opslagaccountresource verplaatst, wordt de synchronisatie onmiddellijk gestopt. U moet synchronisatie handmatig autoriseren voor toegang tot de relevante opslagaccounts in het nieuwe abonnement. De sectie Autorisatie voor toegang tot Azure File Sync-opslag biedt de benodigde stappen.

Overstappen op een nieuwe Microsoft Entra-tenant

Afzonderlijke resources, zoals een opslagsynchronisatieservice of opslagaccount, kunnen niet zelf worden verplaatst naar een andere Microsoft Entra-tenant. Alleen Azure-abonnementen kunnen worden verplaatst tussen Microsoft Entra-tenants. Denk na over uw abonnementsstructuur in de nieuwe Microsoft Entra-tenant. U kunt een speciaal abonnement voor Azure File Sync gebruiken.

  1. Maak een Azure-abonnement (of bepaal een bestaand abonnement in de oude tenant die moet worden verplaatst).
  2. Voer een abonnement uit binnen dezelfde Microsoft Entra-tenant van uw opslagsynchronisatieservice en alle bijbehorende opslagaccounts.
  3. Synchronisatie wordt gestopt. Voltooi de verplaatsing van uw tenant onmiddellijk of herstel de mogelijkheid van synchronisatie om toegang te krijgen tot de opslagaccounts die zijn verplaatst. U kunt later naar de nieuwe Microsoft Entra-tenant gaan.

Zodra alle gerelateerde Azure File Sync-resources zijn gesequentieerd in hun eigen abonnement, kunt u het hele abonnement verplaatsen naar de Microsoft Entra-doeltenant. Met de handleiding voor het overdragen van abonnementen kunt u een dergelijke overdracht plannen en uitvoeren.

Waarschuwing

Wanneer u een abonnement van de ene tenant naar de andere overdraagt, wordt de synchronisatie onmiddellijk gestopt. U moet synchronisatie handmatig autoriseren voor toegang tot de relevante opslagaccounts in het nieuwe abonnement. De sectie Autorisatie voor toegang tot Azure File Sync-opslag biedt de benodigde stappen.

Een afbeelding met de Azure-portal, tabblad Abonnementsoverzicht, met de opdracht Directory wijzigen in het midden, boven aan de pagina.

U bent klaar om de migratie te starten zodra u een plan en de vereiste machtigingen hebt:

  1. Navigeer in de Azure portal naar de blade Overzicht van uw abonnement.
  2. Selecteer Map wijzigen.
  3. Volg de stappen van de wizard om de nieuwe Microsoft Entra-tenant toe te wijzen.

Toegang herstellen voor managed identity-topologie

Als beheerde identiteiten is ingeschakeld en opslagbronnen naar een andere tenant worden verplaatst, wordt de synchronisatie gestopt. Beheerde identiteiten en RBAC-rollen worden niet overgedragen. Zodra de resourceoverdracht is voltooid, kunt u beheerde identiteiten opnieuw inschakelen en vervolgens de RBAC-rollen opnieuw toewijzen.

Belangrijk

Zelfs wanneer u resources binnen dezelfde Microsoft Entra-tenant verplaatst, worden RBAC-roltoewijzingen niet automatisch meegenomen met de resources. U moet ze handmatig opnieuw maken na de verplaatsing om de synchronisatietoegang te herstellen. Hoewel het systeem de zwevende roltoewijzingen automatisch verwijdert, raden we u aan deze te verwijderen voordat u de overgang maakt, om een schone configuratie te behouden.

Nadat u uw opslagsynchronisatieservice hebt verplaatst, kunt u het volgende uitvoeren met PowerShell om nieuwe beheerde identiteiten toe te wijzen.

Set-AzStorageSyncService -ResourceGroupName <ResourceGroupName> -Name <ManagedIdentityName> -IdentityType <IdentityType>

Wanneer u de nieuwe SPN ziet, kunt u naar het portaal navigeren om roltoewijzingen te maken voor opslagaccounts en bestandsdeling van opslagaccounts.

Zie Azure-roltoewijzingen vermelden en Azure-rollen toewijzen voor meer informatie over het beheren van roltoewijzingen.

Toegangsautorisatie voor Azure File Sync-opslag

Wanneer opslagaccounts worden verplaatst naar een nieuw abonnement of worden verplaatst binnen een abonnement naar een nieuwe Microsoft Entra-tenant, wordt de synchronisatie gestopt. Op rollen gebaseerd toegangsbeheer (RBAC) wordt gebruikt om Azure File Sync toegang te geven tot een opslagaccount en deze roltoewijzingen worden niet gemigreerd met de resources.

Azure File Sync-service-principal

Een afbeelding van Azure Portal, abonnementsbeheer, geregistreerde resourceproviders.

De Azure File Sync-service-principal moet aanwezig zijn in uw Microsoft Entra-tenant voordat u synchronisatietoegang tot een opslagaccount kunt autoriseren.

Wanneer u vandaag een nieuw Azure-abonnement maakt, wordt de Azure File Sync-resourceprovider Microsoft.StorageSync automatisch geregistreerd bij uw abonnement. Registratie van resourceproviders maakt een service-principal beschikbaar voor synchronisatie in de Microsoft Entra-tenant die het abonnement beheert. Een service-principal is vergelijkbaar met een gebruikersaccount in uw Microsoft Entra-id. U kunt de Azure File Sync-service-principal gebruiken om toegang tot resources te autoriseren via op rollen gebaseerd toegangsbeheer (RBAC). De enige resources waartoe synchronisatie toegang nodig heeft, zijn uw opslagaccounts die de bestandsdeelmappen bevatten die moeten worden gesynchroniseerd. Microsoft.StorageSync moet toegewezen worden aan de ingebouwde rol Lezer en Gegevenstoegang voor het opslagaccount.

Deze toewijzing wordt automatisch uitgevoerd via de gebruikerscontext van de aangemelde gebruiker wanneer u een bestandsshare toevoegt aan een synchronisatiegroep, of met andere woorden, u maakt een cloudeindpunt. Wanneer een opslagaccount naar een nieuw abonnement of Microsoft Entra-tenant wordt verplaatst, gaat deze roltoewijzing verloren en moet deze handmatig opnieuw worden hersteld.

Belangrijk

Als het Azure-doelabonnement niet onlangs is gemaakt, controleert u of de Resourceprovider Microsoft.StorageSync is geregistreerd bij het abonnement. Als dit niet het is, voegt u deze handmatig toe op dezelfde portalblade.

Synchronisatietoegang tot een opslagaccount tot stand brengen

De Azure File Sync-service-principal moet worden gebruikt om toegang tot een opslagaccount te autoriseren via op rollen gebaseerd toegangsbeheer (RBAC). Microsoft.StorageSync moet worden toegewezen aan de ingebouwde rol Lezer en Gegevenstoegang voor het opslagaccount.

Deze toewijzing wordt doorgaans automatisch uitgevoerd via de gebruikerscontext van de aangemelde gebruiker wanneer u een bestandsshare toevoegt aan een synchronisatiegroep, of met andere woorden, u maakt een cloudeindpunt. Wanneer een opslagaccount echter wordt verplaatst naar een nieuw abonnement of Microsoft Entra-tenant, gaat deze roltoewijzing verloren en moet deze handmatig opnieuw worden hersteld.

Een afbeelding van de service principal Microsoft.StorageSync die is toegewezen aan de rol 'Lezer en Gegevenstoegang' op een opslagaccount.

  1. Meld u aan bij Azure Portal en navigeer naar het opslagaccount waarnaar u de synchronisatietoegang opnieuw moet controleren.
  2. Selecteer Toegangsbeheer (IAM) in de inhoudsopgave aan de linkerkant.
  3. Selecteer het tabblad Roltoewijzingen om de gebruikers en toepassingen (service-principals) weer te geven die toegang hebben tot uw opslagaccount.
  4. Selecteer Toevoegen.
  5. Zoek en selecteer op het tabblad Rol de rol Lezer en Gegevenstoegang .
  6. Op het tabblad Leden moet Toegewezen toegang tot zijn ingesteld als Gebruiker, groep of service-principal, klik op Selecteer leden en typ in het Selecteer veldMicrosoft.StorageSync. Selecteer de rol en selecteer Opslaan. Als de service-principal Microsoft.StorageSync niet wordt gevonden, typt u hybrid File Sync Service (oude service-principalnaam), selecteert u de rol en selecteert u Opslaan.

Naar een andere Azure-regio gaan

De Opslagsynchronisatieservice voor Azure File Sync-resources en de opslagaccounts die bestandsshares bevatten die worden gesynchroniseerd, hebben een Azure-regio waarin ze zijn geïmplementeerd. U bepaalt die regio wanneer u een resource maakt. De regio van de opslagsynchronisatieservice en opslagaccountbronnen moeten overeenkomen. Deze regio's kunnen na het maken niet worden gewijzigd voor beide resourcetypen.

Het toewijzen van een andere regio aan een resource verschilt van een regio-failover, die kan worden ondersteund, afhankelijk van de redundantie-instelling van uw opslagaccount.

Regio-uitwijk

Azure Files biedt opties voor georedundantie voor opslagaccounts. Deze redundantieopties kunnen problemen opleveren voor opslagaccounts die worden gebruikt met Azure File Sync. De belangrijkste reden is dat replicatie tussen geografisch verre regio's niet wordt uitgevoerd door Azure File Sync, maar door een ingebouwde opslagreplicatietechnologie voor het opslagsubsysteem in Azure. Het kan geen inzicht hebben in de toepassingsstatus en Azure File Sync is een toepassing met bestanden die op elk gewenst moment worden gesynchroniseerd met en van Azure-bestandsshares. Als u kiest voor een van deze geografisch uitbetaalde opslagredundantieopties, verliest u niet al uw gegevens in een grootschalige noodgeval. U moet echter rekening houden met mogelijk gegevensverlies en inconsistenties.

Waarschuwing

Failover is nooit een geschikt alternatief voor het provisioneren van uw resources in de juiste Azure-regio. Als uw resources zich in de verkeerde regio bevinden, moet u overwegen om de synchronisatie te stoppen en de synchronisatie opnieuw in te stellen voor nieuwe Azure-bestandsshares die zijn geïmplementeerd in de gewenste regio.

Een regionale failover kan door Microsoft worden gestart in een catastrofale gebeurtenis die datacenters in een Azure-regio gedurende langere tijd onvermogen geeft. De definitie van downtime die uw bedrijf kan verdragen, kan minder zijn dan de tijd die Microsoft bereid is te laten verstrijken voordat een regionale failover wordt gestart. Voor een dergelijke situatie kunnen failovers ook worden gestart door klanten.

Belangrijk

In het geval van een failover moet u een ondersteuningsticket indienen voor uw betrokken Opslagsynchronisatieservices voor synchronisatie om opnieuw te kunnen werken.

Zie ook