Hybrydowe usługi plików

Identyfikator Microsoft Entra
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Ta architektura referencyjna ilustruje sposób używania usług Azure File Sync i Azure Files do rozszerzania możliwości hostingu usług plików w chmurze i lokalnych zasobów udziału plików.

Architektura

Diagram topologii usług plików hybrydowych platformy Azure.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Niniejsza architektura zawiera następujące składniki:

  • Konto usługi Azure Storage. Konto magazynu używane do hostowania udziałów plików.
  • Azure Files. Bezserwerowy udział plików w chmurze, który zapewnia punkt końcowy chmury relacji synchronizacji przy użyciu usługi Azure File Sync. Dostęp do plików w udziale plików platformy Azure można uzyskać bezpośrednio za pomocą protokołu SMB (Server Message Block) lub FileREST.
  • Grupy synchronizacji. Logiczne grupowanie udziałów plików i serwerów platformy Azure z systemem Windows Server. Grupy synchronizacji są wdrażane w usłudze synchronizacji magazynu, która rejestruje serwery do użycia z usługą Azure File Sync i zawiera relacje grup synchronizacji.
  • Agent usługi Azure File Sync. Jest to instalowane na maszynach z systemem Windows Server w celu włączenia i skonfigurowania synchronizacji z punktami końcowymi w chmurze.
  • Serwery z systemem Windows. Lokalne lub w chmurze maszyny z systemem Windows Server hostujące udział plików synchronizowany z udziałem plików platformy Azure.
  • Microsoft Entra ID. Dzierżawa firmy Microsoft Entra, która jest używana do synchronizacji tożsamości na platformie Azure i w środowiskach lokalnych.

Składniki

Szczegóły scenariusza

Przykładowe typowe zastosowania tej architektury:

  • Hostowanie udziałów plików, które muszą być dostępne z chmury i środowisk lokalnych.
  • Synchronizowanie danych między wieloma lokalnymi magazynami danych przy użyciu jednego źródła opartego na chmurze.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Postępuj zgodnie z tymi zaleceniami, chyba że wymagane jest ich zastąpienie.

Użycie i wdrażanie usługi Azure Files

Pliki są przechowywane w chmurze w bezserwerowych udziałach plików platformy Azure. Można ich używać na dwa sposoby: bezpośrednio instalowania ich (SMB) lub buforowania ich lokalnie przy użyciu usługi Azure File Sync. To, co należy wziąć pod uwagę podczas planowania wdrożenia, zależy od tego, które z dwóch sposobów wybierzesz.

  • Bezpośrednie instalowanie udziału plików platformy Azure. Ponieważ usługa Azure Files zapewnia dostęp do protokołu SMB, można zainstalować udziały plików platformy Azure lokalnie lub w chmurze przy użyciu standardowego klienta SMB dostępnego w systemach operacyjnych Windows, macOS i Linux. Udziały plików platformy Azure są bezserwerowe, dlatego wdrażanie ich w scenariuszach produkcyjnych nie wymaga zarządzania serwerem plików ani urządzeniem magazynu dołączonego do sieci (NAS). Oznacza to, że nie trzeba stosować poprawek oprogramowania ani wymieniać dysków fizycznych.
  • Buforowanie lokalnego udziału plików platformy Azure za pomocą usługi Azure File Sync. Usługa Azure File Sync umożliwia scentralizowanie udziałów plików organizacji w usłudze Azure Files przy zachowaniu elastyczności, wydajności i zgodności lokalnego serwera plików. Usługa Azure File Sync przekształca lokalny (lub w chmurze) system Windows Server w szybką pamięć podręczną udziału plików platformy Azure.

Wdrażanie usługi synchronizacji magazynu

Rozpocznij wdrażanie usługi Azure File Sync, wdrażając zasób usługi synchronizacji magazynu w grupie zasobów wybranej subskrypcji. Zalecamy aprowizowanie jak najmniejszej liczby obiektów usługi synchronizacji magazynu. Utworzysz relację zaufania między serwerami a tym zasobem. Serwer można zarejestrować tylko w jednej usłudze synchronizacji magazynu. W związku z tym zalecamy wdrożenie jak największej liczby usług synchronizacji magazynu, ponieważ należy oddzielić grupy serwerów. Należy pamiętać, że serwery z różnych usług synchronizacji magazynu nie mogą synchronizować się ze sobą.

Rejestrowanie maszyn z systemem Windows Server za pomocą agenta usługi Azure File Sync

Aby włączyć funkcję synchronizacji w systemie Windows Server, należy zainstalować agenta do pobrania usługi Azure File Sync. Agent usługi Azure File Sync udostępnia dwa główne składniki:

  • FileSyncSvc.exe. Usługa w tle systemu Windows, która jest odpowiedzialna za monitorowanie zmian w punktach końcowych serwera i inicjowanie sesji synchronizacji.
  • StorageSync.sys. Filtr systemu plików, który umożliwia obsługę warstw w chmurze i szybsze odzyskiwanie po awarii.

Agenta można pobrać ze strony pobierania agenta usługi Azure File Sync w Centrum pobierania Microsoft.

Wymagania dotyczące systemu operacyjnego

Usługa Azure File Sync jest obsługiwana przez wersje systemu Windows Server wymienione w poniższej tabeli.

Wersja Obsługiwane jednostki SKU Obsługiwane opcje wdrażania
Windows Server 2022 Azure, Datacenter, Essentials, Standard i IoT Pełne i podstawowe
Windows Server 2019 Centrum danych, Standardowa i IoT Pełne i podstawowe
Windows Server 2016 Centrum danych, Standardowa i Serwer magazynu Pełne i podstawowe
Windows Server 2012 R2 Centrum danych, Standardowa i Serwer magazynu Pełne i podstawowe

Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące serwera plików systemu Windows.

Konfigurowanie grup synchronizacji i punktów końcowych w chmurze

Grupa synchronizacji definiuje topologię synchronizacji dla zestawu plików. Punkty końcowe w ramach grupy synchronizacji są synchronizowane ze sobą. Grupa synchronizacji musi zawierać jeden punkt końcowy w chmurze, który reprezentuje udział plików platformy Azure i co najmniej jeden punkt końcowy serwera. Punkt końcowy serwera reprezentuje ścieżkę na zarejestrowanym serwerze. Serwer może mieć punkty końcowe serwera w wielu grupach synchronizacji. Możesz utworzyć dowolną liczbę grup synchronizacji, ponieważ musisz odpowiednio opisać żądaną topologię synchronizacji.

Punkt końcowy w chmurze jest wskaźnikiem do udziału plików platformy Azure. Wszystkie punkty końcowe serwera będą synchronizowane z punktem końcowym w chmurze, dzięki czemu punkt końcowy chmury będzie punktem końcowym centrum. Konto magazynu udziału plików platformy Azure musi znajdować się w tym samym regionie co usługa synchronizacji magazynu. Cały udział plików platformy Azure jest synchronizowany, z jednym wyjątkiem: folder specjalny, porównywalny z ukrytym folderem Informacji o woluminie systemowym na woluminie systemu plików NT (NTFS), jest aprowizowany. Ten katalog nosi nazwę . SystemShareInformation i zawiera ważne metadane synchronizacji, które nie są synchronizowane z innymi punktami końcowymi.

Konfigurowanie punktów końcowych serwera

Punkt końcowy serwera reprezentuje określoną lokalizację na zarejestrowanym serwerze, taką jak folder na woluminie serwera. Punkt końcowy serwera musi być ścieżką na zarejestrowanym serwerze (a nie na zainstalowanym udziale) i musi używać obsługi warstw w chmurze. Ścieżka punktu końcowego serwera musi znajdować się na woluminie niesystemowym. Nas nie jest obsługiwany.

Relacje udziału plików platformy Azure z udziałem plików systemu Windows

W miarę możliwości należy wdrożyć udziały plików platformy Azure jeden do jednego z udziałami plików systemu Windows. Obiekt punktu końcowego serwera zapewnia dużą elastyczność w sposobie konfigurowania topologii synchronizacji po stronie serwera relacji synchronizacji. Aby uprościć zarządzanie, ustaw ścieżkę punktu końcowego serwera na ścieżkę udziału plików systemu Windows.

Użyj jak najmniejszej liczby usług synchronizacji magazynu. Upraszcza to zarządzanie grupami synchronizacji, które zawierają wiele punktów końcowych serwera, ponieważ system Windows Server można zarejestrować tylko w jednej usłudze synchronizacji magazynu jednocześnie.

Zwróć uwagę na ograniczenia operacji we/wy na sekundę (IOPS) na koncie magazynu podczas wdrażania udziałów plików platformy Azure. Idealnym rozwiązaniem jest mapowanie udziałów plików jeden do jednego przy użyciu kont magazynu. Nie zawsze można to zrobić z powodu różnych ograniczeń i ograniczeń organizacji i platformy Azure. Jeśli nie można wdrożyć tylko jednego udziału plików na koncie magazynu, upewnij się, że najbardziej aktywne udziały plików nie są na tym samym koncie magazynu.

Zalecenia dotyczące topologii: zapory, sieci brzegowe i łączność serwera proxy

Rozważ następujące zalecenia dotyczące topologii rozwiązań.

Filtrowanie zapory i ruchu

Na podstawie zasad organizacji lub unikatowych wymagań prawnych może być konieczne ograniczenie komunikacji z platformą Azure. W związku z tym usługa Azure File Sync udostępnia kilka mechanizmów konfigurowania sieci. Na podstawie wymagań można wykonywać następujące czynności:

  • Tuneluj ruch synchronizacji i przekazywania plików i pobierania go za pośrednictwem usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN).
  • Korzystaj z usługi Azure Files i funkcji sieciowych platformy Azure, takich jak punkty końcowe usługi i prywatne punkty końcowe.
  • Skonfiguruj usługę Azure File Sync, aby obsługiwać serwer proxy w danym środowisku.
  • Ograniczanie aktywności sieciowej z usługi Azure File Sync.

Aby dowiedzieć się więcej na temat usługi Azure File Sync i sieci, zobacz Zagadnienia dotyczące sieci usługi Azure File Sync.

Konfigurowanie serwerów proxy

Wiele organizacji używa serwera proxy jako pośrednika między zasobami w sieci lokalnej i zasobami spoza sieci, na przykład na platformie Azure. Serwery proxy są przydatne w przypadku wielu aplikacji, takich jak izolacja sieci i zabezpieczenia oraz monitorowanie i rejestrowanie. Usługa Azure File Sync może w pełni współpracować z serwerem proxy; należy jednak ręcznie skonfigurować ustawienia punktu końcowego serwera proxy dla środowiska za pomocą usługi Azure File Sync. W tym celu należy użyć poleceń cmdlet serwera usługi Azure File Sync w programie Azure PowerShell.

Aby uzyskać więcej informacji na temat konfigurowania usługi Azure File Sync z serwerem proxy, zobacz Ustawienia serwera proxy i zapory usługi Azure File Sync.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność gwarantuje, że aplikacja może spełnić zobowiązania wobec klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

  • Należy wziąć pod uwagę typ i wydajność konta magazynu używanego do hostowania udziałów plików platformy Azure. Wszystkie zasoby magazynu wdrożone na koncie magazynu współużytkują limity, które mają zastosowanie do tego konta magazynu. Aby dowiedzieć się więcej na temat określania bieżących limitów dla konta magazynu, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.
  • Istnieją dwa główne typy kont magazynu dla wdrożeń usługi Azure Files:
    • Konta magazynu ogólnego przeznaczenia w wersji 2 (GPv2). Konta magazynu GPv2 umożliwiają wdrażanie udziałów plików platformy Azure na standardowym sprzęcie opartym na dyskach twardych (hdd). Oprócz przechowywania udziałów plików platformy Azure konta magazynu GPv2 mogą przechowywać inne zasoby magazynu, takie jak kontenery obiektów blob, kolejki i tabele.
    • Konta magazynu FileStorage: konta magazynu FileStorage umożliwiają wdrażanie udziałów plików platformy Azure na sprzęcie opartym na dyskach SSD w warstwie Premium. Konta FileStorage mogą być używane tylko do przechowywania udziałów plików platformy Azure. Nie można wdrożyć innych zasobów magazynu, takich jak kontenery obiektów blob, kolejki i tabele na koncie FileStorage.
  • Upewnij się, że usługa Azure File Sync jest obsługiwana w regionach, w których wdrażasz rozwiązanie. Aby uzyskać więcej informacji, zobacz Dostępność regionów usługi Azure File Sync.
  • Upewnij się, że usługi, do których odwołuje się odwołanie w sekcji Architektura, są obsługiwane w regionie, w którym wdrożono architekturę hybrydowych usług plików.
  • Aby chronić dane w udziałach plików platformy Azure przed utratą lub uszkodzeniem danych, wszystkie udziały plików platformy Azure przechowują wiele kopii każdego pliku podczas zapisywania. W zależności od wymagań obciążenia można wybrać więcej stopni nadmiarowości.
  • Poprzednie wersje to funkcja systemu Windows, która umożliwia używanie migawek usługi kopiowania woluminów w tle po stronie serwera (VSS) woluminu w celu prezentowania możliwych do przywrócenia wersji pliku do klienta SMB. Migawki usługi VSS i poprzednie wersje działają niezależnie od usługi Azure File Sync. Jednak obsługa warstw w chmurze musi być ustawiona na tryb zgodny. Wiele punktów końcowych serwera usługi Azure File Sync może istnieć na tym samym woluminie. Musisz wykonać następujące wywołanie programu PowerShell dla woluminu, który ma nawet jeden punkt końcowy serwera, w którym planujesz lub używasz warstw w chmurze. Aby uzyskać więcej informacji na temat poprzednich wersji i usługi VSS, zobacz Samoobsługowe przywracanie za pomocą poprzednich wersji i usługi VSS (usługa kopiowania woluminów w tle).

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

  • Usługa Azure File Sync współpracuje ze standardową tożsamością usług domena usługi Active Directory Services (AD DS) bez żadnej specjalnej konfiguracji poza konfigurowaniem usługi Azure File Sync. W przypadku korzystania z usługi Azure File Sync dostęp do plików zwykle przechodzi przez serwery buforowania usługi Azure File Sync, a nie za pośrednictwem udziału plików platformy Azure. Ponieważ punkty końcowe serwera znajdują się na maszynach z systemem Windows Server, jedynym wymaganiem do integracji tożsamości jest użycie przyłączonych do domeny serwerów plików systemu Windows do zarejestrowania się w usłudze synchronizacji magazynu. Usługa Azure File Sync przechowuje listy kontroli dostępu (ACL) dla plików w udziale plików platformy Azure i replikuje je do wszystkich punktów końcowych serwera.
  • Mimo że zmiany wprowadzone bezpośrednio w udziale plików platformy Azure trwają dłużej, aby synchronizować się z punktami końcowymi serwera w grupie synchronizacji, warto również upewnić się, że możesz wymusić uprawnienia usług AD DS w udziale plików bezpośrednio w chmurze. Aby to zrobić, należy dołączyć konto magazynu do lokalnej domeny usług AD DS, tak jak serwery plików systemu Windows są przyłączone do domeny. Aby dowiedzieć się więcej na temat dołączania domeny do konta magazynu do wystąpienia usług AD DS należącego do klienta, zobacz Omówienie opcji uwierzytelniania opartego na tożsamościach usługi Azure Files na potrzeby dostępu za pomocą protokołu SMB.
  • W przypadku korzystania z usługi Azure File Sync istnieją trzy różne warstwy szyfrowania, które należy wziąć pod uwagę:
    • Szyfrowanie danych magazynowanych przechowywanych w systemie Windows Server. Istnieją dwie strategie szyfrowania danych w systemie Windows Server, które działają ogólnie z usługą Azure File Sync: szyfrowanie poniżej systemu plików, tak aby system plików i wszystkie zapisane w nim dane były szyfrowane i szyfrowanie w samym formacie pliku. Te metody mogą być używane razem, jeśli jest to konieczne, ponieważ ich cele różnią się.
    • Szyfrowanie podczas przesyłania między agentem usługi Azure File Sync a platformą Azure. Agent usługi Azure File Sync komunikuje się z usługą synchronizacji magazynu i udziałem plików platformy Azure przy użyciu protokołu REST usługi Azure File Sync i protokołu FileREST, które zawsze używają protokołu HTTPS przez port 443. Usługa Azure File Sync nie wysyła niezaszyfrowanych żądań za pośrednictwem protokołu HTTP.
    • Szyfrowanie magazynowanych danych przechowywanych w udziale plików platformy Azure. Wszystkie dane przechowywane w usłudze Azure Files są szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage (SSE). Szyfrowanie usługi Storage działa podobnie jak funkcja BitLocker w systemie Windows: dane są szyfrowane poniżej poziomu systemu plików. Ponieważ dane są szyfrowane pod systemem plików udziału plików platformy Azure, ponieważ dane są zakodowane na dysku, nie musisz mieć dostępu do klucza bazowego na kliencie w celu odczytu lub zapisu w udziale plików platformy Azure.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

  • Zapoznaj się ze stroną Zasady optymalizacji kosztów w witrynie Azure Well-Architected Framework, aby zapoznać się z zaleceniami dotyczącymi optymalizacji kosztów.
  • Strona Cennik usługi Azure Storage zawiera szczegółowe informacje o cenach w zależności od typu konta, pojemności magazynu, replikacji i transakcji.
  • Artykuł Szczegóły cennika transferu danych zawiera szczegółowe informacje o cenach dla danych wychodzących.
  • Artykuł Kalkulator cen usługi Azure Storage zawiera informacje, które ułatwią szacowanie kosztów.

Sprawność operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

  • Agent usługi Azure File Sync jest regularnie aktualizowany w celu dodania nowych funkcji i rozwiązania problemów. Firma Microsoft zaleca skonfigurowanie usługi Microsoft Update w celu udostępnienia aktualizacji agenta usługi Azure File Sync. Aby uzyskać więcej informacji, zobacz Zasady aktualizacji agenta usługi Azure File Sync.
  • Usługa Azure Storage oferuje usuwanie nietrwałe dla udziałów plików, dzięki czemu można odzyskać dane po błędzie usunięte przez aplikację lub przez innego użytkownika konta magazynu. Aby dowiedzieć się więcej na temat usuwania nietrwałego, zobacz Włączanie usuwania nietrwałego w udziałach plików platformy Azure.
  • Obsługa warstw w chmurze to opcjonalna funkcja usługi Azure File Sync, która buforuje często używane pliki lokalnie na serwerze i warstwach innych do usługi Azure Files na podstawie ustawień zasad. Gdy plik jest warstwowy, filtr systemu plików usługi Azure File Sync (StorageSync.sys) zastępuje plik lokalnie wskaźnikiem do pliku w usłudze Azure Files. Plik warstwowy ma zarówno atrybut offline , jak i atrybut FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS ustawiony w systemie plików NTFS, dzięki czemu aplikacje innych firm mogą bezpiecznie identyfikować pliki warstwowe. Aby uzyskać więcej informacji, zobacz Cloud Tiering Overview (Omówienie obsługi warstw w chmurze).

Następne kroki

Powiązane wskazówki dotyczące hybrydowego:

Powiązane architektury: