Dostęp do usługi Azure Files w środowisku lokalnym i zabezpieczony przez usługi AD DS

Ta architektura przedstawia sposób udostępniania udziałów plików w chmurze użytkownikom lokalnym i aplikacjom, które również uzyskują dostęp do plików w systemie Windows Server.

Architektura

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

1. To rozwiązanie synchronizuje lokalne usługi AD DS i identyfikator entra firmy Microsoft oparte na chmurze. Synchronizacja sprawia, że użytkownicy są wydajniejsi, zapewniając wspólną tożsamość na potrzeby uzyskiwania dostępu do zasobów w chmurze i lokalnych.

   Microsoft Entra Połączenie to lokalna aplikacja firmy Microsoft, która wykonuje synchronizację. Aby uzyskać więcej informacji na temat usługi Microsoft Entra Połączenie, zobacz Co to jest microsoft Entra Połączenie? i Microsoft Entra Połączenie Sync: Omówienie i dostosowywanie synchronizacji.

2. Usługa Azure Virtual Network udostępnia sieć wirtualną w chmurze. W przypadku tego rozwiązania ma co najmniej dwie podsieci, jedną dla usługi Azure DNS i jeden dla prywatnego punktu końcowego w celu uzyskania dostępu do udziału plików.

3. Sieć VPN lub usługa Azure ExpressRoute zapewnia bezpieczne połączenia między siecią lokalną a siecią wirtualną w chmurze. Jeśli używasz sieci VPN, utwórz bramę przy użyciu usługi Azure VPN Gateway. Jeśli używasz usługi ExpressRoute, utwórz bramę sieci wirtualnej usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Co to jest usługa VPN Gateway? i Informacje o bramach sieci wirtualnej usługi ExpressRoute.

4. Usługa Azure Files udostępnia udział plików w chmurze. Wymaga to konta usługi Azure Storage. Aby uzyskać więcej informacji na temat udziałów plików, zobacz Co to jest usługa Azure Files?.

5. Prywatny punkt końcowy zapewnia dostęp do udziału plików. Prywatny punkt końcowy jest podobny do karty sieciowej (NIC) wewnątrz podsieci dołączanej do usługi platformy Azure. W takim przypadku usługa jest udziałem plików. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych, zobacz Używanie prywatnych punktów końcowych dla usługi Azure Storage.

6. Lokalny serwer DNS rozpoznaje adresy IP. Jednak usługa Azure DNS rozpoznaje w pełni kwalifikowaną nazwę domeny (FQDN) udziału plików platformy Azure. Wszystkie zapytania DNS do usługi Azure DNS pochodzą z sieci wirtualnej. W sieci wirtualnej istnieje serwer proxy DNS do kierowania tych zapytań do usługi Azure DNS. Aby uzyskać więcej informacji, zobacz Obciążenia lokalne przy użyciu usługi przesyłania dalej DNS.

   Serwer proxy DNS można podać na serwerze z systemem Windows lub Linux albo użyć usługi Azure Firewall. Aby uzyskać informacje na temat opcji usługi Azure Firewall, która ma zaletę, że nie trzeba zarządzać maszyną wirtualną, zobacz Ustawienia usługi Azure Firewall DNS.

7. Lokalny niestandardowy system DNS jest skonfigurowany do przekazywania ruchu DNS do usługi Azure DNS za pośrednictwem warunkowego usługi przesyłania dalej. Informacje na temat przekazywania warunkowego znajdują się również w obciążeniach lokalnych przy użyciu usługi przesyłania dalej DNS.

8. Lokalne usługi AD DS uwierzytelniają dostęp do udziału plików. Jest to proces czteroetapowy, zgodnie z opisem w części 1: włączanie uwierzytelniania usług AD DS dla udziałów plików platformy Azure

Składniki

• Azure Storage to zestaw wysoce skalowalnych i bezpiecznych usług w chmurze dla danych, aplikacji i obciążeń. Obejmuje ona usługi Azure Files, Azure Table Storage i Azure Queue Storage.
• Usługa Azure Files oferuje w pełni zarządzane udziały plików na koncie usługi Azure Storage. Pliki są dostępne z chmury lub środowiska lokalnego. Wdrożenia systemów Windows, Linux i macOS mogą instalować współbieżnie udziały plików platformy Azure. Dostęp do plików używa standardowego protokołu SMB (Server Message Block).
• Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Zapewnia środowisko dla zasobów platformy Azure, takich jak maszyny wirtualne, w celu bezpiecznego komunikowania się ze sobą, z Internetem i z sieciami lokalnymi.
• Usługa Azure ExpressRoute rozszerza sieci lokalne na chmurę firmy Microsoft za pośrednictwem połączenia prywatnego.
• Usługa Azure VPN Gateway łączy sieci lokalne z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja w taki sam sposób, jak w przypadku łączenia się ze zdalnym oddziałem. Stosowane połączenia są bezpieczne i korzystają ze standardowych protokołów: IPsec (Internet Protocol Security) oraz IKE (Internet Key Exchange).
• Usługa Azure Private Link zapewnia prywatną łączność z sieci wirtualnej do platformy Azure jako usługi (PaaS), należących do klienta lub usług partnerskich firmy Microsoft. Upraszcza ona architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure, eliminując ekspozycję na publiczny Internet.
• Prywatny punkt końcowy to interfejs sieciowy, który używa prywatnego adresu IP z Twojej sieci wirtualnej. Możesz użyć prywatnych punktów końcowych dla kont usługi Azure Storage, aby umożliwić klientom w sieci wirtualnej dostęp do danych za pośrednictwem łącza prywatnego.
• Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby usługi Azure Virtual Network. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Usługę Azure Firewall można skonfigurować tak, aby działała jako serwer proxy DNS. Serwer proxy DNS jest pośrednikiem dla żądań DNS z maszyn wirtualnych klienta do serwera DNS.

Szczegóły scenariusza

Rozważmy następującą typową sytuację. Lokalny system Windows Server udostępnia pliki użytkownikom i aplikacjom. System Windows Server domena usługi Active Directory Services (AD DS) zabezpiecza pliki i istnieje lokalny serwer DNS. Wszystko znajduje się w tej samej sieci prywatnej.

Teraz załóżmy, że zachodzi potrzeba posiadania udziałów plików w chmurze.

W opisanej tutaj architekturze pokazano, jak za pomocą platformy Azure zaspokoić tę potrzebę i jak to zrobić przy niskich kosztach, a także kontynuując korzystanie z sieci lokalnej, usług AD DS i DNS.

W tej architekturze usługa Azure Files udostępnia udział plików. Sieć VPN typu lokacja-lokacja lub usługa Azure ExpressRoute zapewnia bezpieczne połączenia między siecią lokalną a siecią wirtualną platformy Azure. Użytkownicy i aplikacje używają połączeń w celu uzyskania dostępu do plików. Microsoft Entra ID i Azure DNS współpracują z lokalnymi usługami AD DS i DNS w celu zabezpieczenia dostępu.

Krótko mówiąc, jeśli jesteś w opisanej sytuacji, możesz udostępnić pliki w chmurze użytkownikom lokalnym przy niskich kosztach i nadal zapewnić bezpieczny dostęp do plików za pomocą lokalnych usług AD DS i DNS.

Potencjalne przypadki użycia

• Serwer plików przechodzi do chmury, ale użytkownicy muszą pozostać lokalnie.
• Aplikacje migrowane do chmury muszą uzyskiwać dostęp do plików lokalnych, a także pliki migrowane do chmury.
• Należy obniżyć koszty, przenosząc magazyn plików do chmury.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność gwarantuje, że aplikacja może spełnić zobowiązania, które należy wykonać dla klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

• Usługa Azure Storage zawsze przechowuje wiele kopii danych w tej samej strefie, dzięki czemu jest ona chroniona przed zaplanowanymi i nieplanowanymi awariami. Istnieją opcje tworzenia dodatkowych kopii w innych strefach lub regionach. Aby uzyskać więcej informacji, zobacz Nadmiarowość usługi Azure Storage.
• Usługa Azure Firewall ma wbudowaną wysoką dostępność. Aby uzyskać więcej informacji, zobacz Funkcje usługi Azure Firewall w warstwie Standardowa.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Te artykuły zawierają informacje o zabezpieczeniach składników platformy Azure:

• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Storage
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Private Link
• Punkt odniesienia zabezpieczeń platformy Azure dla sieci wirtualnej
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Firewall

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Aby oszacować koszt produktów i konfiguracji platformy Azure, skorzystaj z kalkulatora cen platformy Azure.

Te artykuły zawierają informacje o cenach składników platformy Azure:

• Cennik usługi Azure Files
• Cennik usługi Azure Private Link
• Ceny sieci wirtualnych
• Cennik usługi Azure Firewall

Efektywność wydajności

Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności.

• Konta usługi Azure Storage zawierają wszystkie obiekty danych usługi Azure Storage, w tym udziały plików. Konto magazynu zapewnia unikatową przestrzeń nazw dla swoich danych, przestrzeń nazw dostępną z dowolnego miejsca na świecie za pośrednictwem protokołu HTTP lub HTTPS. W przypadku tej architektury konto magazynu zawiera udziały plików udostępniane przez usługę Azure Files. Aby uzyskać najlepszą wydajność, zalecamy wykonanie następujących czynności:
  • Nie umieszczaj baz danych, obiektów blob itd. na kontach magazynu zawierających udziały plików.
  • Na konto magazynu nie ma więcej niż jednego wysoce aktywnego udziału plików. Udziały plików, które są mniej aktywne na tym samym koncie magazynu, można grupować.
  • Użyj magazynu opartego na dyskach SSD, a nie hdd. Aby uzyskać więcej informacji na temat skalowalności i wydajności udziałów plików, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.
  • Nie wybieraj konta magazynu ogólnego przeznaczenia w wersji 1, ponieważ nie ma ważnych funkcji. Typy kont magazynu są opisane w temacie Omówienie konta magazynu.
  • Zwróć uwagę na rozmiar, szybkość i inne ograniczenia. Aby uzyskać te informacje, zapoznaj się z tematem Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure).
• Niewiele można zrobić, aby poprawić wydajność składników niezwiązanych z magazynem, z wyjątkiem tego, że wdrożenie przestrzega limitów, przydziałów i ograniczeń opisanych w temacie Azure subscription and service limits, quotas, and constraints (Limity, przydziały i ograniczenia usługi platformy Azure).
• Aby uzyskać informacje o skalowalności składników platformy Azure, zobacz Limity, przydziały i ograniczenia subskrypcji i usług platformy Azure.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Rudnei Oliveira | Starszy inżynier klienta

Następne kroki

• Szybki start: tworzenie sieci wirtualnej przy użyciu witryny Azure Portal
• Co to jest usługa VPN Gateway?
• Samouczek: tworzenie bramy sieci VPN i zarządzanie nią przy użyciu witryny Azure Portal
• Udział plików w chmurze platformy Azure dla przedsiębiorstw
• Pojęcia i najlepsze rozwiązania dotyczące usługi Azure Virtual Network
• Planowanie wdrożenia usługi Azure Files
• Używanie prywatnych punktów końcowych dla usługi Azure Storage
• Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure
• Ustawienia dns usługi Azure Firewall
• Porównanie zarządzanych samodzielnie usług domena usługi Active Directory Services, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services

Powiązane zasoby

• Hybrydowy udział plików z odzyskiwaniem po awarii dla zdalnych i lokalnych pracowników oddziałów
• Udział plików w chmurze platformy Azure dla przedsiębiorstw
• Używanie udziałów plików platformy Azure w środowisku hybrydowym
• Hybrydowe usługi plików