Edytuj

Udział plików w chmurze przedsiębiorstwa na platformie Azure

Azure DNS
Azure Files
Azure Private Link
Azure Storage
Azure Virtual Network

Ta architektura referencyjna ilustruje rozwiązanie do udostępniania plików w chmurze na poziomie przedsiębiorstwa, które korzysta z usług platformy Azure, takich jak Azure Files, Azure File Sync, Azure Prywatna strefa DNS i Prywatny punkt końcowy platformy Azure. Rozwiązanie generuje oszczędności kosztów dzięki outsourcingowi zarządzania serwerami plików i infrastrukturą przy zachowaniu kontroli nad danymi.

Architektura

Na poniższym diagramie przedstawiono, jak klienci mogą uzyskiwać dostęp do udziałów plików platformy Azure:

Enterprise-level cloud file share diagram that shows how clients can access Azure file shares locally through a cloud tiering file server or remotely over ExpressRoute private peering or VPN tunnel in a private network environment.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Rozwiązanie do udostępniania plików w chmurze na poziomie przedsiębiorstwa używa następujących metod, aby zapewnić takie samo środowisko użytkownika jak tradycyjne udostępnianie plików, ale udziały plików platformy Azure:

  • Usługa Azure File Sync umożliwia synchronizowanie list kontroli dostępu do plików i folderów między lokalnymi serwerami plików i udziałami plików platformy Azure.
  • Używa funkcji obsługi warstw w chmurze z agenta usługi Azure File Sync do buforowania często używanych plików lokalnie.
  • Wymusza uwierzytelnianie usług AD DS za pośrednictwem udziałów plików platformy Azure.
  • Uzyskuje dostęp do udziału plików i usług synchronizacji plików za pośrednictwem prywatnego adresu IP za pośrednictwem usługi Private Link i prywatnego punktu końcowego za pośrednictwem prywatnej komunikacji równorzędnej lub tunelu VPN usługi ExpressRoute.

Implementując prywatny punkt końcowy platformy Azure w usługach Azure Files i Azure File Sync, publiczny dostęp do punktu końcowego jest wyłączony, aby dostęp do usług Azure Files i Azure File Sync był ograniczony z sieci wirtualnej platformy Azure.

Tunel typu lokacja-lokacja prywatnej komunikacji równorzędnej usługi ExpressRoute rozszerza sieć lokalną do sieci wirtualnej platformy Azure. Ruch usługi Azure File Sync i bloku komunikatów serwera (SMB) ze środowiska lokalnego do usługi Azure Files i prywatnych punktów końcowych usługi Azure File Sync jest ograniczony tylko do połączenia prywatnego. Podczas przejścia usługa Azure Files będzie zezwalać na połączenie tylko wtedy, gdy jest ono wykonywane z użyciem protokołu SMB 3.0 lub nowszego. Połączenie iony wykonane z agenta usługi Azure File Sync do udziału plików platformy Azure lub usługi synchronizacji magazynu są zawsze szyfrowane. Magazyn Azure Storage automatycznie szyfruje dane, gdy są utrwalane w chmurze, podobnie jak usługa Azure Files.

Rozpoznawanie nazw domen (DNS) jest krytycznym składnikiem rozwiązania. Każda usługa platformy Azure, w tym przypadku usługi Azure Files i Azure File Sync, mają w pełni kwalifikowaną nazwę domeny (FQDN). Nazwy FQDN tych usług są rozpoznawane jako publiczne adresy IP w następujących przypadkach:

  • Gdy klient uzyskuje dostęp do udziału usługi Azure Files.
  • Gdy agent usługi Azure File Sync wdrożony na lokalnym serwerze plików, uzyskuje dostęp do usługi Azure File Sync.

Po włączeniu prywatnego punktu końcowego prywatne adresy IP są przydzielane w sieci wirtualnej platformy Azure. Te adresy umożliwiają dostęp do tych usług za pośrednictwem połączenia prywatnego, a te same nazwy FQDN muszą być teraz rozpoznawane jako prywatne adresy IP. Aby to osiągnąć, usługi Azure Files i Azure File Sync tworzą rekord DNS nazwy kanonicznej (CNAME), aby przekierować rozpoznawanie do nazwy domeny prywatnej:

  • Nazwa *.afs.azure.net domeny publicznej usługi Azure File Sync pobiera rekord CNAME przekierowania do nazwy *.<region>.privatelink.afs.azure.netdomeny prywatnej .
  • Nazwa <name>.file.core.windows.net domeny publicznej usługi Azure Files pobiera rekord CNAME przekierowania do nazwy <name>.privatelink.file.core.windows.netdomeny prywatnej .

Rozwiązanie przedstawione w tej architekturze poprawnie konfiguruje lokalne ustawienia DNS, aby rozpoznawały prywatne nazwy domen na prywatne adresy IP przy użyciu następujących metod:

  • strefy Prywatna strefa DNS (składniki 11 i 12) są tworzone na platformie Azure w celu zapewnienia rozpoznawania nazw prywatnych dla usług Azure File Sync i Azure Files.
  • Prywatna strefa DNS strefy są połączone z siecią wirtualną platformy Azure, dzięki czemu serwer DNS wdrożony w sieci wirtualnej lub prywatny program rozpoznawania nazw domen (składnik 8) platformy Azure może rozpoznawać nazwy domen prywatnych.
  • Rekordy DNS A są tworzone dla usług Azure Files i Azure File Sync w prywatnych strefach DNS. Aby zapoznać się z krokami konfiguracji punktu końcowego, zobacz Konfigurowanie punktów końcowych sieci usługi Azure Files i Konfigurowanie punktów końcowych sieci usługi Azure File Sync.
  • Lokalny serwer DNS (składnik 3) konfiguruje przekazywanie warunkowe w celu przekazywania zapytania domain afs.azure.net DNS i file.core.windows.net do serwera DNS w sieci wirtualnej platformy Azure (składnik 8).
  • Po otrzymaniu przekazanego zapytania DNS z lokalnego serwera DNS serwer DNS (składnik 8) w sieci wirtualnej platformy Azure używa rekursywnego rozpoznawania nazw domen platformy Azure do rozpoznawania nazw domen prywatnych i zwracania prywatnych adresów IP do klienta.

Elementy

Rozwiązanie przedstawione na diagramie architektury używa następujących składników:

  • Klient (składnik 1 lub 2) — zazwyczaj klient jest pulpitem z systemem Windows, Linux lub Mac OSX, który może komunikować się z serwerem plików lub usługą Azure Files za pośrednictwem protokołu SMB.

  • Serwery DC i DNS (składnik 3) — kontroler domeny (DC) to serwer, który odpowiada na żądania uwierzytelniania i weryfikuje użytkowników w sieciach komputerowych. Serwer DNS udostępnia usługi rozpoznawania nazw nazw komputerów-adresów IP do komputerów i użytkowników. Serwery DC i DNS można połączyć w jeden serwer lub można je rozdzielić na różne serwery.

  • Serwer plików (składnik 4) — serwer hostujący udziały plików i udostępniający usługi udziału plików za pośrednictwem protokołu SMB.

  • Urządzenie CE/VPN (składnik 5) — router brzegowy klienta (CE) lub urządzenie sieci VPN służy do nawiązywania połączenia usługi ExpressRoute lub sieci VPN z siecią wirtualną platformy Azure.

  • Azure ExpressRoute lub Azure VPN Gateway (składnik 6) — Usługa Azure ExpressRoute to usługa, która umożliwia rozszerzenie sieci lokalnej do chmury firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę łączności. Usługa Azure VPN Gateway to określony typ bramy sieci wirtualnej używany do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Usługa ExpressRoute lub usługa VPN Gateway ustanawia połączenie usługi ExpressRoute lub sieci VPN z siecią lokalną.

  • Prywatny punkt końcowy platformy Azure (składnik 7) — interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. W tym rozwiązaniu prywatny punkt końcowy usługi Azure File Sync łączy się z usługą Azure File Sync (9), a prywatny punkt końcowy usługi Azure Files łączy się z usługą Azure Files (10).

  • Serwer DNS/prywatny program rozpoznawania nazw DNS platformy Azure (składnik 8) w wystąpieniu usługi Azure Virtual Network używa rekursywnego rozpoznawania nazw domen platformy Azure do rozpoznawania nazwy domeny prywatnej i zwracania prywatnego adresu IP do klienta po otrzymaniu przekazanego zapytania DNS z lokalnego serwera DNS.

  • Usługa Azure File Sync i obsługa warstw w chmurze (składnik 9) — usługa Azure File Sync to funkcja usługi Azure Storage umożliwiająca scentralizowanie udziałów plików organizacji na platformie Azure, zapewniając jednocześnie elastyczność, wydajność i zgodność lokalnego serwera plików. Obsługa warstw w chmurze to opcjonalna funkcja usługi Azure File Sync, w której często używane pliki są buforowane lokalnie na serwerze, podczas gdy wszystkie inne pliki są warstwowe do usługi Azure Files na podstawie ustawień zasad.

  • Azure Files (składnik 10) — w pełni zarządzana usługa, która oferuje udziały plików w chmurze, które są dostępne za pośrednictwem standardowego protokołu SMB (Industry Standard Server Message Block). Usługa Azure Files implementuje protokół SMB v3 i obsługuje uwierzytelnianie za pośrednictwem usług lokalna usługa Active Directory Domain Services (AD DS) i Microsoft Entra Domain Services (Microsoft Entra Domain Services). Udziały plików z usługi Azure Files można instalować współbieżnie za pomocą wdrożeń w chmurze lub lokalnych systemów Windows, Linux i macOS. Ponadto udziały plików platformy Azure można buforować w pobliżu miejsca, w którym są używane dane, na serwerach z systemem Windows z usługą Azure File Sync w celu uzyskania szybkiego dostępu.

  • Azure Prywatna strefa DNS (składniki 11 i 12) — usługa DNS oferowana przez platformę Azure, Prywatna strefa DNS zarządza i rozpoznaje nazwy domen w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS.

  • Azure Backup (składnik 13) — Azure Backup to usługa kopii zapasowej udziału plików platformy Azure, która używa migawek udziałów plików w celu zapewnienia rozwiązania do tworzenia kopii zapasowych opartych na chmurze. Aby zapoznać się z zagadnieniami, zobacz Utrata danych i tworzenie kopii zapasowych.

Szczegóły scenariusza

To rozwiązanie umożliwia dostęp do udziałów plików platformy Azure w hybrydowym środowisku roboczym za pośrednictwem wirtualnej sieci prywatnej między sieciami lokalnymi i wirtualnymi platformy Azure bez przechodzenia przez Internet. Umożliwia również kontrolowanie i ograniczanie dostępu do plików za pośrednictwem uwierzytelniania usług Microsoft Entra Domain Services (AD DS).

Potencjalne przypadki użycia

Rozwiązanie do udostępniania plików w chmurze obsługuje następujące potencjalne przypadki użycia:

  • Serwer plików lub udział plików lift and shift. Przenosząc i przesuwając, eliminujesz konieczność zmiany struktury lub ponownego formatowania danych. Starsze aplikacje są również utrzymywane lokalnie, jednocześnie korzystając z magazynu w chmurze.
  • Przyspieszanie innowacji w chmurze dzięki zwiększonej wydajności operacyjnej. Zmniejsza koszt utrzymania sprzętu i miejsca fizycznego, chroni przed uszkodzeniem danych i utratą danych.
  • Prywatny dostęp do udziałów plików platformy Azure. Chroni przed eksfiltracją danych.

Przepływy ruchu

Po włączeniu usługi Azure File Sync i Azure Files udziały plików platformy Azure mogą być dostępne w dwóch trybach, trybie lokalnej pamięci podręcznej lub trybie zdalnym. W obu trybach klient używa istniejących poświadczeń usług AD DS do uwierzytelniania się.

  • Tryb lokalnej pamięci podręcznej — klient uzyskuje dostęp do plików i udziałów plików za pośrednictwem lokalnego serwera plików z włączoną obsługą warstw w chmurze. Gdy użytkownik otworzy plik z lokalnego serwera plików, dane plików są obsługiwane z lokalnej pamięci podręcznej serwera plików lub agent usługi Azure File Sync bezproblemowo przypomina dane plików z usługi Azure Files. Na diagramie architektury dla tego rozwiązania występuje między składnikiem 1 i 4.

  • Tryb zdalny — klient uzyskuje dostęp do plików i udziałów plików bezpośrednio z zdalnego udziału plików platformy Azure. Na diagramie architektury dla tego rozwiązania przepływ ruchu przechodzi przez składniki 2, 5, 6, 7 i 10.

Ruch usługi Azure File Sync jest przesyłany między składnikami 4, 5, 6 i 7 przy użyciu obwodu usługi ExpressRoute w celu zapewnienia niezawodnego połączenia.

Zapytania rozpoznawania nazw domen prywatnych przechodzą przez składniki 3, 5, 6, 8, 11 i 12 przy użyciu następującej sekwencji:

  1. Klient wysyła zapytanie do lokalnego serwera DNS w celu rozpoznania nazwy DNS usługi Azure Files lub Azure File Sync DNS.
  2. Lokalny serwer DNS ma warunkowy usługę przesyłania dalej, która wskazuje rozpoznawanie nazw DNS usługi Azure File i Azure File Sync na serwer DNS w sieci wirtualnej platformy Azure.
  3. Zapytanie jest przekierowywane do serwera DNS lub prywatnego rozpoznawania nazw DNS platformy Azure w sieci wirtualnej platformy Azure.
  4. W zależności od konfiguracji DNS sieci wirtualnej:
    • Jeśli niestandardowy serwer DNS jest skonfigurowany, serwer DNS w sieci wirtualnej platformy Azure wysyła zapytanie o nazwę do dostarczonego serwera DNS platformy Azure (168.63.129.16) rekursywnego rozpoznawania.
    • Jeśli jest skonfigurowany prywatny program rozpoznawania nazw DNS platformy Azure, a zapytanie jest zgodne z prywatnymi strefami DNS połączonymi z siecią wirtualną, te strefy są konsultowane.
  5. Prywatny adres IP serwera DNS/prywatnego rozpoznawania nazw DNS platformy Azure zwraca prywatny adres IP po rozpoznaniu nazwy domeny prywatnej do odpowiedniej prywatnej strefy DNS. Używa ona linków sieci wirtualnej platformy Azure do strefy DNS usługi Azure Files i prywatnej strefy DNS usługi Azure File Sync.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Podczas implementowania tego rozwiązania należy wziąć pod uwagę następujące kwestie.

Planowanie

  • Aby zapoznać się z planowaniem usługi Azure File Sync, zobacz Planowanie wdrożenia usługi Azure File Sync.
  • Aby zapoznać się z planowaniem usługi Azure Files, zobacz Planowanie wdrożenia usługi Azure Files.

Sieć

  • W przypadku zagadnień dotyczących sieci usługi Azure File Sync zapoznaj się z zagadnieniami dotyczącymi sieci usługi Azure File Sync.
  • Aby zapoznać się z zagadnieniami dotyczącymi sieci w usłudze Azure Files, zapoznaj się z zagadnieniami dotyczącymi sieci usługi Azure Files.

DNS

Podczas zarządzania rozpoznawaniem nazw dla prywatnych punktów końcowych nazwy domen prywatnych usług Azure Files i Azure File Sync są rozpoznawane w następujący sposób:

Po stronie platformy Azure:

  • Jeśli jest używane rozpoznawanie nazw udostępnianych przez platformę Azure, sieć wirtualna platformy Azure musi łączyć się z aprowizowaną prywatną strefą DNS.
  • Jeśli jest używany "przynieś własny serwer DNS", sieć wirtualna, w której wdrożono własny serwer DNS, musi łączyć się z aprowizowaną prywatną strefą DNS.

Po stronie lokalnej nazwa domeny prywatnej jest mapowana na prywatny adres IP w jeden z następujących sposobów:

  • Za pośrednictwem przekazywania DNS do serwera DNS wdrożonego w sieci wirtualnej platformy Azure lub prywatnego rozpoznawania nazw DNS platformy Azure, jak pokazano na diagramie.
  • Za pośrednictwem lokalnego serwera DNS, który konfiguruje strefy dla domeny <region>.privatelink.afs.azure.net prywatnej i privatelink.file.core.windows.net. Serwer rejestruje adresy IP prywatnych punktów końcowych usługi Azure Files i azure File Sync jako rekordy DNS W odpowiednich strefach DNS. Klient lokalny rozpoznaje nazwę domeny prywatnej bezpośrednio z lokalnego serwera DNS.

Rozproszony system plików (DFS)

Jeśli chodzi o lokalne rozwiązanie do udostępniania plików, wielu administratorów decyduje się na użycie systemu plików DFS, a nie tradycyjnego autonomicznego serwera plików. System plików DFS umożliwia administratorom konsolidowanie udziałów plików, które mogą istnieć na wielu serwerach, tak aby wyglądały tak, jakby wszyscy mieszkali w tej samej lokalizacji, umożliwiając użytkownikom dostęp do nich z jednego punktu w sieci. Podczas przechodzenia do rozwiązania udziału plików w chmurze tradycyjne wdrożenie dfS-R można zastąpić wdrożeniem usługi Azure File Sync. Aby uzyskać więcej informacji, zobacz Migrowanie wdrożenia replikacji systemu plików DFS (DFS-R) do usługi Azure File Sync.

Utrata danych i tworzenie kopii zapasowych

Utrata danych jest poważnym problemem dla firm o wszystkich rozmiarach. Kopia zapasowa udziału plików platformy Azure używa migawek udziałów plików w celu zapewnienia opartego na chmurze rozwiązania do tworzenia kopii zapasowych, które chroni dane w chmurze i eliminuje dodatkowe koszty konserwacji związane z lokalnymi rozwiązaniami do tworzenia kopii zapasowych. Najważniejsze korzyści wynikające z tworzenia kopii zapasowej udziału plików platformy Azure obejmują:

  • Zero infrastruktury
  • Dostosowywanie przechowywania
  • Wbudowane funkcje zarządzania
  • Natychmiastowe przywracanie
  • Alerty i raportowanie
  • Ochrona przed przypadkowym usunięciem udziałów plików

Aby uzyskać więcej informacji, zobacz About Azure file share backup (Informacje o kopii zapasowej udziału plików platformy Azure)

Obsługa tożsamości hybrydowych w usłudze Azure Files

Chociaż w tym artykule opisano usługę Active Directory do uwierzytelniania w usłudze Azure Files, można użyć identyfikatora Entra firmy Microsoft do uwierzytelniania tożsamości użytkowników hybrydowych. Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach za pośrednictwem protokołu SMB (Server Message Block) przy użyciu protokołu uwierzytelniania Kerberos za pomocą następujących trzech metod:

  • Lokalne usługi domena usługi Active Directory (AD DS)
  • Microsoft Entra Domain Services (Microsoft Entra Domain Services)
  • Microsoft Entra Kerberos (Microsoft Entra ID) tylko dla tożsamości użytkowników hybrydowych

Aby uzyskać więcej informacji, zobacz Włączanie uwierzytelniania Kerberos firmy Microsoft dla tożsamości hybrydowych w usłudze Azure Files (wersja zapoznawcza).

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu zapewnienia większej ochrony przed atakami DDoS. Należy włączyć usługę Azure DDOS Protection w dowolnej sieci wirtualnej obwodowej.

Inspekcja zabezpieczeń jest niezbędnym wymaganiem do zapewnienia bezpieczeństwa przedsiębiorstwa. Standardy branżowe wymagają, aby przedsiębiorstwa przestrzegały ścisłego zestawu reguł związanych z bezpieczeństwem i prywatnością danych.

Inspekcja dostępu do plików

Inspekcja dostępu do plików można włączyć lokalnie i zdalnie:

  • Lokalnie przy użyciu dynamicznej kontroli dostępu. Aby uzyskać więcej informacji, zobacz Planowanie inspekcji dostępu do plików.
  • Zdalnie przy użyciu dzienników usługi Azure Storage w usłudze Azure Monitor w usłudze Azure Files. Dzienniki usługi Azure Storage zawierają dzienniki StorageRead, StorageWrite, StorageDelete i Transaction. Dostęp do plików platformy Azure można rejestrować na koncie magazynu, w obszarze roboczym usługi Log Analytics lub przesyłać strumieniowo do centrum zdarzeń oddzielnie. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Storage.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki