Używanie udziałów plików platformy Azure w środowisku hybrydowym

Identyfikator Microsoft Entra
Azure Files

Ta architektura pokazuje, jak uwzględnić udziały plików platformy Azure w środowisku hybrydowym. Udziały plików platformy Azure są używane jako bezserwerowe udziały plików. Integrując je z usługami domena usługi Active Directory (AD DS), można kontrolować i ograniczać dostęp do użytkowników usług AD DS. Udziały plików platformy Azure mogą następnie zastąpić tradycyjne serwery plików.

Architektura

Diagram architektury udziałów plików platformy Azure pokazujący, jak klienci mogą uzyskiwać dostęp do udziału plików platformy Azure bezpośrednio za pośrednictwem portu TCP 445 (SMB 3.0) lub przez pierwsze nawiązanie połączenia sieci VPN.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Niniejsza architektura zawiera następujące składniki:

  • Dzierżawa firmy Microsoft Entra. Ten składnik jest wystąpieniem firmy Microsoft Entra, które zostało utworzone przez Twoją organizację. Działa jako usługa katalogowa dla aplikacji w chmurze, przechowując obiekty skopiowane z lokalna usługa Active Directory. Zapewnia również usługi tożsamości podczas uzyskiwania dostępu do udziałów plików platformy Azure.
  • Serwer usług AD DS. Ten składnik jest lokalną usługą katalogową i tożsamościową. Katalog usług AD DS jest synchronizowany z identyfikatorem Entra firmy Microsoft, aby umożliwić mu uwierzytelnianie użytkowników lokalnych.
  • Microsoft Entra Connect Sync Server. Ten składnik jest serwerem lokalnym z uruchomioną usługą Microsoft Entra Connect Sync. Ta usługa synchronizuje informacje przechowywane w lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft.
  • Brama sieci wirtualnej. Ten opcjonalny składnik służy do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną przez Internet.
  • Udziały plików platformy Azure. Udziały plików platformy Azure zapewniają magazyn plików i folderów, do których można uzyskać dostęp za pośrednictwem protokołów Bloku komunikatów serwera (SMB), sieciowego systemu plików (NFS) i protokołu HTTP (Hypertext Transfer Protocol). Udziały plików są wdrażane na kontach usługi Azure Storage.
  • Magazyn usługi Recovery Services. Ten opcjonalny składnik udostępnia kopię zapasową udziałów plików platformy Azure.
  • Klienci. Te składniki to komputery członkowskie usług AD DS, z których użytkownicy mogą uzyskiwać dostęp do udziałów plików platformy Azure.

Składniki

Kluczowe technologie używane do implementowania tej architektury:

  • Microsoft Entra ID to usługa tożsamości przedsiębiorstwa, która zapewnia logowanie jednokrotne, uwierzytelnianie wieloskładnikowe i dostęp warunkowy.
  • Usługa Azure Files oferuje w pełni zarządzane udziały plików w chmurze, które są dostępne przy użyciu standardowych protokołów branżowych.
  • Usługa VPN Gateway vpn Gateway wysyła zaszyfrowany ruch między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu.

Szczegóły scenariusza

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Zastąp lub uzupełnij lokalne serwery plików. Usługa Azure Files może całkowicie zastąpić lub uzupełnić tradycyjne lokalne serwery plików lub urządzenia magazynujące dołączone do sieci. Dzięki udziałom plików platformy Azure i uwierzytelnianiu usług AD DS można migrować dane do usługi Azure Files. Ta migracja może korzystać z wysokiej dostępności i skalowalności, jednocześnie minimalizując zmiany klienta.
  • Lift and shift. Usługa Azure Files ułatwia "lift and shift" aplikacjom, które oczekują, że udział plików będzie przechowywać dane aplikacji lub użytkowników w chmurze.
  • Tworzenie kopii zapasowych i odzyskiwanie po awarii. Usługi Azure Files można używać jako magazynu do tworzenia kopii zapasowych lub odzyskiwania po awarii w celu poprawy ciągłości działania. Usługa Azure Files umożliwia tworzenie kopii zapasowych danych z istniejących serwerów plików przy zachowaniu skonfigurowanych list kontroli dostępu według uznania systemu Windows. Dane przechowywane w udziałach plików platformy Azure nie mają wpływu na awarie, które mogą mieć wpływ na lokalizacje lokalne.
  • Azure File Sync. Dzięki usłudze Azure File Sync udziały plików platformy Azure mogą być replikowane do systemu Windows Server lokalnie lub w chmurze. Ta replikacja zwiększa wydajność i dystrybuuje buforowanie danych do miejsca ich użycia.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Używanie kont magazynu ogólnego przeznaczenia w wersji 2 (GPv2) lub FileStorage dla udziałów plików platformy Azure

Udział plików platformy Azure można utworzyć na różnych kontach magazynu. Mimo że konta ogólnego przeznaczenia w wersji 1 (GPv1) i klasyczne konta magazynu mogą zawierać udziały plików platformy Azure, większość nowych funkcji usługi Azure Files jest dostępna tylko na kontach magazynu GPv2 i FileStorage. Podczas gdy udział plików platformy Azure przechowuje dane kont magazynu GPv2 na sprzęcie opartym na dysku twardym (opartym na dyskach TWARDYCH), przechowuje dane kont magazynu FileStorage na sprzęcie opartym na dyskach półprzewodnikowych (ssd). Aby uzyskać więcej informacji, zobacz Tworzenie udziału plików platformy Azure.

Tworzenie udziałów plików platformy Azure na kontach magazynu zawierających tylko udziały plików platformy Azure

Konta magazynu umożliwiają korzystanie z różnych usług magazynu na tym samym koncie magazynu. Te usługi magazynu obejmują udziały plików platformy Azure, kontenery obiektów blob i tabele. Wszystkie usługi magazynu na jednym koncie magazynu mają te same limity kont magazynu. Mieszanie usług magazynu na tym samym koncie magazynu utrudnia rozwiązywanie problemów z wydajnością.

Uwaga

Wdróż każdy udział plików platformy Azure we własnym osobnym koncie magazynu, jeśli to możliwe. Jeśli wiele udziałów plików platformy Azure jest wdrażanych na tym samym koncie magazynu, wszystkie współużytkują limity konta magazynu.

Używanie udziałów plików w warstwie Premium dla obciążeń wymagających wysokiej przepływności

Udziały plików w warstwie Premium są wdrażane na kontach magazynu FileStorage i są przechowywane na sprzęcie opartym na dyskach półprzewodnikowych (ssd). Ta konfiguracja ułatwia przechowywanie i uzyskiwanie dostępu do danych, które wymagają spójnej wydajności, wysokiej przepływności i małych opóźnień. (Na przykład te udziały plików w warstwie Premium działają dobrze z bazami danych). Można przechowywać inne obciążenia, które są mniej wrażliwe na zmienność wydajności w standardowych udziałach plików. Te typy obciążeń obejmują udziały plików ogólnego przeznaczenia i środowiska deweloperskie/testowe. Aby uzyskać więcej informacji, zobacz Jak utworzyć udział plików platformy Azure.

Zawsze wymagaj szyfrowania podczas uzyskiwania dostępu do udziałów plików platformy Azure protokołu SMB

Zawsze używaj szyfrowania podczas przesyłania podczas uzyskiwania dostępu do danych w udziałach plików platformy Azure SMB. Szyfrowanie podczas przesyłania jest domyślnie włączone. Usługa Azure Files zezwoli na połączenie tylko wtedy, gdy zostanie nawiązana z protokołem korzystającym z szyfrowania, takiego jak SMB 3.0. Klienci, którzy nie obsługują protokołu SMB 3.0, nie będą mogli zainstalować udziału plików platformy Azure, jeśli wymagane jest szyfrowanie podczas przesyłania.

Użyj sieci VPN, jeśli port używany przez protokół SMB (port 445) jest zablokowany

Wielu dostawców usług internetowych blokuje port TCP (Transmission Control Protocol) 445, który jest używany do uzyskiwania dostępu do udziałów plików platformy Azure. Jeśli odblokowanie portu TCP 445 nie jest opcją, możesz uzyskać dostęp do udziałów plików platformy Azure za pośrednictwem połączenia usługi ExpressRoute lub wirtualnej sieci prywatnej (VPN) (lokacja-lokacja lub punkt-lokacja), aby uniknąć blokowania ruchu. Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci VPN typu punkt-lokacja (P2S) w systemie Windows do użycia z usługą Azure Files i Konfigurowanie sieci VPN typu lokacja-lokacja do użycia z usługą Azure Files.

Rozważ użycie usługi Azure File Sync z udziałami plików platformy Azure

Usługa Azure File Sync umożliwia buforowanie udziałów plików platformy Azure na lokalnym serwerze plików systemu Windows Server. Po włączeniu obsługi warstw w chmurze usługa File Sync pomaga zapewnić, że serwer plików zawsze ma wolne miejsce, nawet jeśli udostępnia więcej plików niż serwer plików może przechowywać lokalnie. Jeśli masz lokalne serwery plików systemu Windows Server, rozważ integrację serwerów plików z udziałami plików platformy Azure przy użyciu usługi Azure File Sync. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia usługi Azure File Sync.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Skalowalność

  • Rozmiar udziału plików platformy Azure jest ograniczony do 100 tebibajtów (TiB). Nie ma minimalnego rozmiaru udziału plików i nie ma limitu liczby udziałów plików platformy Azure.
  • Maksymalny rozmiar pliku w udziale plików wynosi 1 TiB i nie ma limitu liczby plików w udziale plików.
  • Liczba operacji we/wy na sekundę i limity przepływności są na konto usługi Azure Storage i współużytkowane między udziałami plików platformy Azure na tym samym koncie magazynu.

Aby uzyskać więcej informacji, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.

Dostępność

Uwaga

Konto usługi Azure Storage to zasób nadrzędny dla udziałów plików platformy Azure. Udział plików platformy Azure ma poziom nadmiarowości udostępniany przez konto magazynu zawierające udział.

  • Udziały plików platformy Azure obsługują obecnie następujące opcje nadmiarowości danych:
    • Magazyn lokalnie nadmiarowy (LRS). Dane są kopiowane synchronicznie trzy razy w jednej lokalizacji fizycznej w regionie podstawowym. Ta praktyka chroni przed utratą danych z powodu błędów sprzętowych, takich jak uszkodzony dysk.
    • Magazyn strefowo nadmiarowy (ZRS). Dane są kopiowane synchronicznie w trzech strefach dostępności platformy Azure w regionie podstawowym. Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć.
    • Magazyn geograficznie nadmiarowy (GRS). Dane są kopiowane synchronicznie trzy razy w jednej lokalizacji fizycznej w regionie podstawowym przy użyciu magazynu LRS. Dane są następnie kopiowane asynchronicznie do pojedynczej lokalizacji fizycznej w regionie pomocniczym. Magazyn geograficznie nadmiarowy zapewnia sześć kopii danych rozmieszczonych między dwoma regionami świadczenia usługi Azure.
    • Magazyn geograficznie nadmiarowy (GZRS) Dane są kopiowane synchronicznie w trzech strefach dostępności platformy Azure w regionie podstawowym przy użyciu magazynu ZRS. Dane są następnie kopiowane asynchronicznie do pojedynczej lokalizacji fizycznej w regionie pomocniczym.
  • Udziały plików w warstwie Premium mogą być przechowywane tylko w magazynie lokalnie nadmiarowym (LRS) i magazynie strefowo nadmiarowym (ZRS). Standardowe udziały plików mogą być przechowywane w magazynach LRS, ZRS, magazyn geograficznie nadmiarowy (GRS) i magazyn geograficznie nadmiarowy strefowo nadmiarowy (GZRS). Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia usługi Azure Files i nadmiarowości usługi Azure Storage.
  • Azure Files to usługa w chmurze, podobnie jak w przypadku wszystkich usług w chmurze, musisz mieć łączność z Internetem w celu uzyskania dostępu do udziałów plików platformy Azure. Nadmiarowe rozwiązanie połączenia internetowego jest zdecydowanie zalecane, aby uniknąć zakłóceń.

Możliwości zarządzania

  • Udziały plików platformy Azure można zarządzać przy użyciu tych samych narzędzi, co dowolna inna usługa platformy Azure. Te narzędzia obejmują witrynę Azure Portal, interfejs wiersza polecenia platformy Azure i program Azure PowerShell.
  • Udziały plików platformy Azure wymuszają standardowe uprawnienia do plików systemu Windows. Uprawnienia na poziomie katalogu lub pliku można skonfigurować, instalowania udziału plików platformy Azure i konfigurowania uprawnień przy użyciu Eksplorator plików, polecenia windows icacls.exe lub polecenia cmdlet Set-Acl środowiska Windows PowerShell.
  • Migawki udziału plików platformy Azure można używać do tworzenia kopii danych udziału plików platformy Azure tylko do odczytu do punktu w czasie. Migawkę udziału można utworzyć na poziomie udziału plików. Następnie można przywrócić poszczególne pliki w witrynie Azure Portal lub w Eksplorator plików, gdzie można również przywrócić cały udział. Do 200 migawek na udział można mieć maksymalnie 200 migawek, co umożliwia przywracanie plików do różnych wersji czasu. Jeśli usuniesz udział, jego migawki również zostaną usunięte. Migawki udziałów są przyrostowe. Tylko dane, które uległy zmianie po zapisaniu najnowszej migawki udziału. Dzięki temu można zminimalizować czas wymagany do utworzenia migawki udziału i zaoszczędzić na kosztach magazynowania. Migawki udziału plików platformy Azure są również używane podczas ochrony udziałów plików platformy Azure za pomocą usługi Azure Backup. Aby uzyskać więcej informacji, zobacz Omówienie migawek udziałów dla usługi Azure Files.
  • Można zapobiec przypadkowemu usunięciu udziałów plików platformy Azure, włączając usuwanie nietrwałe dla udziałów plików. Jeśli usuniesz udział plików po włączeniu usuwania nietrwałego, udział plików przechodzi do stanu usunięcia nietrwałego zamiast trwale wymazać. Można skonfigurować czas odzyskiwania nietrwale usuniętych danych przed ich trwałym usunięciem i przywróceniem udziału w dowolnym momencie w tym okresie przechowywania. Aby uzyskać więcej informacji, zobacz Włączanie usuwania nietrwałego w udziałach plików platformy Azure.

Uwaga

Usługa Azure Backup umożliwia usuwanie nietrwałe dla wszystkich udziałów plików na koncie magazynu podczas konfigurowania kopii zapasowej pierwszego udziału plików platformy Azure na odpowiednim koncie magazynu.

Uwaga

Udziały plików w warstwie Standardowa i Premium są rozliczane za używaną pojemność po usunięciu nietrwałym, a nie zaaprowizowanej pojemności.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

  • Użyj uwierzytelniania usług AD DS za pośrednictwem protokołu SMB do uzyskiwania dostępu do udziałów plików platformy Azure. Ta konfiguracja zapewnia to samo bezproblemowe środowisko logowania jednokrotnego podczas uzyskiwania dostępu do udziałów plików platformy Azure jako uzyskiwania dostępu do lokalnych udziałów plików. Aby uzyskać więcej informacji, zobacz Jak to działa i kroki włączania funkcji. Klient musi być przyłączony do usług AD DS, ponieważ uwierzytelnianie jest nadal wykonywane przez kontroler domeny usług AD DS. Ponadto należy przypisać uprawnienia zarówno na poziomie udziału, jak i na poziomie pliku/katalogu, aby uzyskać dostęp do danych. Przypisywanie uprawnień na poziomie udziału odbywa się za pośrednictwem modelu kontroli dostępu opartej na rolach platformy Azure. Uprawnienia na poziomie pliku/katalogu są zarządzane jako listy ACL systemu Windows.

    Uwaga

    Dostęp do udziałów plików platformy Azure jest zawsze uwierzytelniany. Udziały plików platformy Azure nie obsługują dostępu anonimowego. Oprócz uwierzytelniania opartego na tożsamościach za pośrednictwem protokołu SMB użytkownicy mogą również uwierzytelniać się w udziale plików platformy Azure przy użyciu klucza dostępu do magazynu i sygnatury dostępu współdzielonego.

  • Wszystkie dane przechowywane w udziale plików platformy Azure są szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage (SSE). Funkcja SSE działa podobnie do szyfrowania dysków funkcją BitLocker w systemie Windows, gdzie dane są szyfrowane poniżej poziomu systemu plików. Domyślnie dane przechowywane w usłudze Azure Files są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. W przypadku kluczy zarządzanych przez firmę Microsoft firma Microsoft utrzymuje klucze do szyfrowania/odszyfrowywania danych i regularnie zarządza ich rotacją. Możesz również zarządzać własnymi kluczami, co zapewnia kontrolę nad procesem rotacji.

  • Wszystkie konta usługi Azure Storage mają domyślnie włączone szyfrowanie podczas przesyłania. Ta konfiguracja oznacza, że cała komunikacja z udziałami plików platformy Azure jest szyfrowana. Klienci, którzy nie obsługują szyfrowania, nie mogą łączyć się z udziałami plików platformy Azure. Jeśli wyłączysz szyfrowanie podczas przesyłania, klienci z starszymi systemami operacyjnymi, takimi jak Windows Server 2008 R2 lub starszy system Linux, mogą również nawiązać połączenie. W takich przypadkach dane nie są szyfrowane podczas przesyłania z udziałów plików platformy Azure.

  • Domyślnie klienci mogą łączyć się z udziałem plików platformy Azure z dowolnego miejsca. Aby ograniczyć sieci, z których klienci mogą łączyć się z udziałami plików platformy Azure, skonfiguruj zaporę, sieci wirtualne i prywatne połączenia punktu końcowego. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage oraz Konfigurowanie punktów końcowych sieci usługi Azure Files.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów i Omówienie rozliczeń usługi Azure Files.

  • Usługa Azure Files ma dwie warstwy magazynowania i dwa modele cenowe:
    • Magazyn w warstwie Standardowa: używa magazynu opartego na dyskach HDD. Nie ma minimalnego rozmiaru udziału plików i płacisz tylko za używane miejsce do magazynowania. Ponadto płacisz za operacje na plikach, takie jak wyliczanie katalogu lub odczytywanie pliku.
    • Magazyn w warstwie Premium: używa magazynu opartego na dyskach SSD. Minimalny rozmiar udziału plików w warstwie Premium wynosi 100 gibibajtów i płacisz za aprowizowane miejsce do magazynowania. W przypadku korzystania z usługi Premium Storage wszystkie operacje na plikach są bezpłatne.
  • Dodatkowe koszty są związane z migawkami udziałów plików i wychodzącymi transferami danych. (Podczas transferu danych z udziałów plików platformy Azure transfer danych przychodzących jest bezpłatny). Koszty transferu danych zależą od ilości przesyłanych danych i jednostki MAGAZYNowej (SKU) bramy sieci wirtualnej, jeśli ich używasz. Aby uzyskać więcej informacji na temat kosztów, zobacz Cennik usługi Azure Files i Kalkulator cen platformy Azure. Rzeczywisty koszt zależy od regionu świadczenia usługi Azure i indywidualnego kontraktu. Aby uzyskać dodatkowe informacje o cenach, skontaktuj się z przedstawicielem handlowym firmy Microsoft.

Następne kroki

Dowiedz się więcej o technologiach składników:

  • Jak utworzyć udział plików platformy Azure, aby uzyskać instrukcje dotyczące rozpoczynania pracy z udziałem SMB.
  • Jak utworzyć udział NFS, aby uzyskać instrukcje dotyczące rozpoczynania pracy z udziałem instalacji systemu plików NFS.

Zapoznaj się z powiązanymi architekturami: