Udostępnij za pośrednictwem


Planowanie wdrażania usługi Azure Files

Usługę Azure Files można wdrożyć na dwa główne sposoby: poprzez bezpośrednie zamontowanie bezserwerowych udziałów plików platformy Azure lub buforowanie udziałów plików platformy Azure lokalnie przy użyciu usługi Azure File Sync. Kwestie wdrożeniowe różnią się w zależności od wybranej opcji.

  • Bezpośrednie montowanie udziału plików platformy Azure: ponieważ Azure Files zapewnia dostęp za pomocą protokołów Server Message Block (SMB) lub Network File System (NFS), możesz zamontować udziały plików platformy Azure lokalnie lub w chmurze przy użyciu standardowych klientów SMB lub NFS dostępnych w twoim systemie operacyjnym. Ponieważ zasoby plików platformy Azure są bezserwerowe, wdrażanie w środowiskach produkcyjnych nie wymaga zarządzania serwerem plików ani macierzą NAS. Oznacza to, że nie trzeba stosować poprawek oprogramowania ani wymieniać dysków fizycznych.

  • Buforuj lokalne udziały plików na platformie Azure za pomocą usługi Azure File Sync: Usługa Azure File Sync umożliwia scentralizowanie udziałów plików organizacji w usłudze Azure Files przy jednoczesnym zachowaniu elastyczności, wydajności i zgodności lokalnego serwera plików. Usługa Azure File Sync przekształca lokalny (lub w chmurze) serwer Windows w szybki bufor udziału plików platformy Azure SMB.

W tym artykule opisano głównie zagadnienia dotyczące wdrażania udostępniania plików Azure, które mają być bezpośrednio montowane przez klienta lokalnego lub w chmurze. Aby zaplanować wdrożenie usługi Azure File Sync, zobacz Planowanie wdrożenia usługi Azure File Sync.

Dostępne protokoły

Usługa Azure Files oferuje dwa standardowe w branży protokoły systemu plików do instalowania udziałów plików platformy Azure: protokół bloku komunikatów serwera (SMB) i protokół systemu plików sieciowych (NFS ), co pozwala wybrać protokół najlepiej dopasowany do obciążenia. Udostępnienia plików Azure nie obsługują protokołów SMB i NFS na tym samym udostępnieniu plików, chociaż można tworzyć Azure udostępnienia plików SMB i NFS w ramach tego samego konta magazynowego.

W przypadku udziałów plików SMB i NFS usługa Azure Files oferuje udziały plików klasy korporacyjnej, które można skalować w górę, aby spełnić potrzeby związane z przechowywaniem danych i mogą być dostępne jednocześnie przez tysiące klientów.

Funkcja SMB NFS
Obsługiwane wersje protokołów SMB 3.1.1, SMB 3.0, SMB 2.1 NFS 4.1
Zalecany system operacyjny
  • Windows 11, wersja 21H2+
  • Windows 10, wersja 21H1+
  • Windows Server 2019+
  • Jądro systemu Linux w wersji 5.3 lub nowszej
Jądra systemu Linux w wersji 4.3 lub nowszej
Dostępne warstwy SSD i HDD Tylko ssd
Redundancja
  • Lokalna sieć (LRS)
  • Strefa (ZRS)
  • Geo (GRS)
  • Strefa geograficzna (GZRS)
  • Lokalna sieć (LRS)
  • Strefa (ZRS)
Semantyka systemu plików Win32 POSIX
Uwierzytelnianie Uwierzytelnianie oparte na tożsamościach (Kerberos), uwierzytelnianie za pomocą klucza współużytkowanego (NTLMv2) Uwierzytelnianie oparte na hoście
Autoryzacja Listy kontroli dostępu w stylu Win32 (ACL) Uprawnienia w stylu systemu UNIX
Uwzględnij wielkość liter Niezależność od wielkości liter, zachowanie oryginalnej wielkości liter Wielkość liter ma znaczenie
Usuwanie lub modyfikowanie otwartych plików Tylko z blokadą Tak
Udostępnianie plików Tryb udostępniania systemu Windows Menedżer blokad sieci z poradami dotyczącymi zakresu bajtów
Obsługa linków twardych Niewspierane Wsparte
Obsługa linków symbolicznych Niewspierane Wsparte
Opcjonalnie dostępny z Internetu Tak (tylko protokół SMB 3.0 lub nowszy) Nie.
Obsługuje FileREST Tak Podzbiór:
Obowiązkowe blokady zakresu bajtów Wsparte Niewspierane
Blokady doradcze zakresu bajtów Niewspierane Wsparte
Atrybuty nazwane/rozszerzone Niewspierane Niewspierane
Alternatywne strumienie danych Niewspierane N/A
Identyfikatory obiektów Niewspierane N/A
Punkty ponownej analizy Niewspierane N/A
Pliki rozrzedłe Niewspierane N/A
Kompresja Niewspierane N/A
Nazwane kanały Niewspierane N/A
SMB Direct Niewspierane N/A
Dzierżawa katalogów SMB Niewspierane N/A
Migawkowa kopia woluminu Niewspierane N/A
Krótkie nazwy plików (8.3 alias) Niewspierane N/A
Usługa serwera Niewspierane N/A
Transakcje systemu plików (TxF) Niewspierane N/A

Pojęcia dotyczące zarządzania

Udziały plików Azure są wdrażane na kontach magazynowych, które są obiektami najwyższego poziomu, reprezentującymi udostępnioną pulę magazynu. Konta magazynu mogą służyć do wdrażania wielu udziałów plików, a także innych zasobów magazynu w zależności od typu konta magazynu. Wszystkie zasoby magazynowe wdrożone w koncie przechowywania współdzielą limity, które obowiązują dla tego konta przechowywania. Aby uzyskać informacje o bieżących limitach kont magazynu, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.

Istnieją dwa główne typy kont magazynu używane na potrzeby wdrożeń usługi Azure Files:

  • Przydzielone konta magazynowe: przydzielone konta magazynowe są rozróżniane przy użyciu FileStorage rodzaju konta magazynowego. Przydzielone konta magazynu umożliwiają implementację przydzielonych udziałów plików na urządzeniach opartych na dyskach SSD lub HDD. Udostępnione konta storage mogą być używane tylko do przechowywania udziałów plików platformy Azure. Udziały plików NFS można wdrażać tylko na przydzielonych kontach magazynu w warstwie nośnika SSD. Zalecamy używanie aprowizowanych kont magazynu dla wszystkich nowych wdrożeń usługi Azure Files.
  • Konta magazynowe z opłatą za rzeczywiste zużycie: Konta magazynowe z opłatą za rzeczywiste zużycie są rozróżniane przy użyciu StorageV2 rodzaju konta magazynowego. Konta magazynu z płatnością zgodnie z rzeczywistym użyciem umożliwiają wdrażanie udziałów plików z płatnością zgodnie z rzeczywistym użyciem na sprzęcie opartym na hdd. Oprócz przechowywania zasobów udostępniania plików platformy Azure, konta pamięci masowej GPv2 mogą przechowywać inne zasoby pamięci masowej, takie jak kontenery obiektów blob, kolejki lub tabele.

Tożsamość

Aby uzyskać dostęp do udziału plików w platformie Azure, użytkownik musi być uwierzytelniony i mieć autoryzowany dostęp do tego udziału. Odbywa się to na podstawie tożsamości użytkownika, który uzyskuje dostęp do współdzielonego zasobu plików. Usługa Azure Files obsługuje następujące metody uwierzytelniania:

  • Lokalne usługi domenowe Active Directory (AD DS lub lokalne AD DS): konta magazynu platformy Azure mogą być dołączone do usług domenowych Active Directory należących do klienta, podobnie jak serwer plików Windows Server lub urządzenie NAS. Kontroler domeny można wdrożyć lokalnie, na maszynie wirtualnej platformy Azure, a nawet jako maszyna wirtualna u innego dostawcy usług w chmurze; Usługa Azure Files jest niezależna od tego, gdzie jest hostowany kontroler domeny. Gdy konto magazynu jest przyłączone do domeny, użytkownik końcowy może zamontować zasób plików przy użyciu konta użytkownika, z którym się zalogował na komputerze. Uwierzytelnianie oparte na AD używa protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Domain Services: Microsoft Entra Domain Services udostępnia zarządzany przez firmę Microsoft kontroler domeny, który może być używany dla zasobów platformy Azure. Domena łącząca konto magazynu z usługami Microsoft Entra Domain Services zapewnia podobne korzyści, jak dołączenie domeny do usług AD DS należących do klienta. Ta opcja wdrażania jest najbardziej przydatna w scenariuszach migracji aplikacji, które wymagają uprawnień opartych na Active Directory. Ponieważ usługi Microsoft Entra Domain Services zapewniają uwierzytelnianie oparte na usłudze AD, ta opcja używa również protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Kerberos dla hybrydowych tożsamości użytkowników: Microsoft Entra Kerberos umożliwia użycie Microsoft Entra ID do uwierzytelniania hybrydowych tożsamości użytkowników, które są tożsamościami lokalnymi AD synchronizowanymi z chmurą. Ta konfiguracja używa Microsoft Entra ID do wystawiania biletów Kerberos w celu uzyskania dostępu do zasobu plików przy użyciu protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra.
  • Uwierzytelnianie usługi Active Directory za pośrednictwem protokołu SMB dla klientów z systemem Linux: usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamości za pośrednictwem protokołu SMB dla klientów z systemem Linux przy użyciu protokołu uwierzytelniania Kerberos za pośrednictwem usług AD DS lub Microsoft Entra Domain Services.
  • Klucz konta usługi Azure Storage: chociaż nie jest to zalecane ze względów bezpieczeństwa, można również zainstalować udziały plików platformy Azure przy użyciu klucza konta usługi Azure Storage zamiast używać tożsamości. Aby zainstalować udział plików przy użyciu klucza konta magazynu, nazwa konta magazynu jest używana jako nazwa użytkownika, a klucz konta magazynu jest używany jako hasło. Użycie klucza konta magazynu do zamontowania udziału plików platformy Azure jest operacją administratora, ponieważ zamontowany udział plików uzyskuje pełne uprawnienia do wszystkich plików i folderów w udziale, nawet jeśli mają listy kontroli dostępu (ACL). W przypadku instalowania za pośrednictwem protokołu SMB przy użyciu klucza konta magazynu używany jest protokół uwierzytelniania NTLMv2. W prawie wszystkich przypadkach zalecamy użycie uwierzytelniania opartego na tożsamości zamiast klucza konta magazynowego w celu uzyskania dostępu do udziałów plików SMB platformy Azure. Jeśli jednak musisz użyć klucza konta magazynu, zalecamy korzystanie z prywatnych punktów końcowych lub punktów końcowych usługi zgodnie z opisem w sekcji Sieci.

W przypadku klientów migrujących z lokalnych serwerów plików lub tworzących nowe udziały plików w usłudze Azure Files, które mają działać jak serwery plików Windows lub urządzenia NAS, zaleca się dołączenie konta magazynu do domeny usługi AD DS należącej do klienta. Aby dowiedzieć się więcej na temat dołączania konta magazynu do domeny należącej do klienta AD DS, zobacz Omówienie — lokalne uwierzytelnianie usługi Active Directory Domain Services za pośrednictwem protokołu SMB dla udziałów plików Azure.

Sieć

Bezpośrednie montowanie udziału plików na platformie Azure często wymaga przemyślenia konfiguracji sieci, ponieważ:

  • Port używany przez udziały plików SMB do komunikacji, port 445, jest często blokowanym przez wiele organizacji i dostawców usług internetowych (ISP) dla ruchu wychodzącego do internetu.
  • Udziały plików NFS korzystają z uwierzytelniania na poziomie sieci i dlatego są dostępne tylko za pośrednictwem sieci z ograniczeniami. Korzystanie z zasobu plików NFS zawsze wymaga pewnego poziomu konfiguracji sieci.

pl-PL: Aby skonfigurować sieciowość, usługa Azure Files zapewnia publiczny punkt końcowy dostępny z Internetu oraz integrację z funkcjami sieciowymi platformy Azure, takimi jak punkty końcowe usługi, które pomagają ograniczyć publiczny punkt końcowy do określonych sieci wirtualnych, oraz prywatne punkty końcowe, które przypisują dla konta magazynu prywatny adres IP pochodzący z przestrzeni adresowej IP sieci wirtualnej. Chociaż nie ma dodatkowych opłat za korzystanie z publicznych punktów końcowych lub punktów końcowych usługi, standardowe stawki przetwarzania danych dotyczą prywatnych punktów końcowych.

Oznacza to, że należy wziąć pod uwagę następujące konfiguracje sieci:

  • Jeśli wymagany protokół jest protokołem SMB, a cały dostęp za pośrednictwem protokołu SMB pochodzi z klientów na platformie Azure, nie jest wymagana żadna specjalna konfiguracja sieci.
  • Jeśli wymagany protokół to SMB, a dostęp pochodzi z klientów lokalnych, wtedy wymagane jest połączenie sieci VPN lub usługi ExpressRoute z sieci lokalnej do sieci Azure, a usługa Azure Files jest widoczna w sieci wewnętrznej przy użyciu prywatnych punktów końcowych.
  • Jeśli wymagany protokół to NFS, możesz użyć punktów końcowych usługi lub prywatnych punktów końcowych, aby ograniczyć sieć do określonych sieci wirtualnych. Jeśli potrzebujesz statycznego adresu IP i/lub obciążenia wymaga wysokiej dostępności, użyj prywatnego punktu końcowego. W przypadku punktów końcowych usługi rzadkie zdarzenie, takie jak awaria strefowa, może spowodować zmianę podstawowego adresu IP konta magazynowego. Chociaż dane są nadal dostępne w udziale plików, klient wymaga ponownego zainstalowania udziału.

Aby dowiedzieć się więcej na temat konfigurowania sieci dla usługi Azure Files, zobacz Zagadnienia dotyczące sieci usługi Azure Files.

Oprócz bezpośredniego nawiązywania połączenia z udziałem plików przy użyciu publicznego punktu końcowego lub połączenia VPN/ExpressRoute z prywatnym punktem końcowym, protokół SMB zapewnia dodatkową strategię dostępu klienta: SMB przez QUIC. Protokół SMB over QUIC oferuje „zerokonfiguracyjny” "SMB VPN" dla dostępu SMB za pośrednictwem protokołu transportowego QUIC. Chociaż usługa Azure Files nie obsługuje bezpośrednio SMB przez QUIC, możesz utworzyć uproszczoną pamięć podręczną udziałów plików platformy Azure na maszynie wirtualnej z systemem Windows Server 2022 Azure Edition przy użyciu usługi Azure File Sync. Aby dowiedzieć się więcej na temat tej opcji, zobacz SMB przez QUIC z Azure File Sync.

Szyfrowanie

Usługa Azure Files obsługuje dwa różne typy szyfrowania:

  • Szyfrowanie podczas przesyłania, które odnosi się do szyfrowania używanego podczas montowania lub uzyskiwania dostępu do udostępniania plików platformy Azure
  • Szyfrowanie danych w spoczynku odnosi się do sposobu szyfrowania danych, gdy są przechowywane na dysku

Szyfrowanie podczas transferu

Domyślnie wszystkie konta usługi Azure Storage mają włączone szyfrowanie podczas przesyłania. Oznacza to, że podczas instalowania udziału plików za pośrednictwem protokołu SMB lub uzyskiwania do niego dostępu za pośrednictwem protokołu FileREST (na przykład za pośrednictwem portalu Azure, PowerShell lub CLI albo zestawów SDK platformy Azure) usługa Azure Files zezwala na połączenie tylko wtedy, gdy jest ono nawiązywane z protokołem SMB 3.x z szyfrowaniem lub HTTPS. Klienci, którzy nie obsługują protokołu SMB 3.x lub którzy obsługują SMB 3.x, ale nie obsługują szyfrowania SMB, nie będą mogli zamontować udziału plików platformy Azure, jeśli szyfrowanie podczas przesyłania jest włączone. Aby uzyskać więcej informacji na temat systemów operacyjnych obsługujących protokół SMB 3.x z szyfrowaniem, zobacz naszą dokumentację dotyczącą systemów Windows, macOS i Linux. Wszystkie bieżące wersje programu PowerShell, interfejsu wiersza polecenia i zestawów SDK obsługują protokół HTTPS.

Szyfrowanie podczas przesyłania dla konta usługi Azure Storage można wyłączyć. Po wyłączeniu szyfrowania usługa Azure Files umożliwia również używanie protokołu SMB 2.1 i SMB 3.x bez szyfrowania oraz niezaszyfrowanych wywołań interfejsu API FileREST za pośrednictwem protokołu HTTP. Głównym powodem wyłączenia szyfrowania podczas przesyłania jest obsługa starszej aplikacji, która musi być uruchomiona w starszym systemie operacyjnym, takim jak Windows Server 2008 R2 lub starsza dystrybucja systemu Linux. Azure Files zezwala tylko na połączenia SMB 2.1 w tym samym regionie Azure co udział plików; Klient SMB 2.1 spoza regionu Azure, w którym znajduje się udział plików, na przykład lokalny lub znajdujący się w innym regionie Azure, nie będzie mógł uzyskać dostępu do udziału plików.

Zdecydowanie zalecamy włączenie szyfrowania przesyłanych danych.

Aby uzyskać więcej informacji na temat szyfrowania podczas przesyłania, zobacz Wymóg bezpiecznego transferu w Azure Storage i Szyfrowanie podczas przesyłania udziałów plików Azure przy użyciu NFS.

Szyfrowanie w spoczynku

Wszystkie dane przechowywane w usłudze Azure Files są szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage (SSE). Szyfrowanie usługi Storage działa podobnie do funkcji BitLocker w systemie Windows: dane są szyfrowane poniżej poziomu systemu plików. Ponieważ dane są szyfrowane na poziomie systemu plików udziału plików platformy Azure, przy zapisie na dysk nie musisz mieć dostępu do klucza głównego na kliencie, aby odczytywać lub zapisywać dane w udziale plików platformy Azure. Szyfrowanie w stanie spoczynku dotyczy zarówno protokołów SMB, jak i NFS.

Domyślnie dane przechowywane w usłudze Azure Files są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. W przypadku kluczy zarządzanych przez firmę Microsoft firma Microsoft przechowuje klucze do szyfrowania/odszyfrowywania danych i jest odpowiedzialna za ich regularne rotacje. Możesz również zarządzać własnymi kluczami, co zapewnia kontrolę nad procesem rotacji. Jeśli zdecydujesz się zaszyfrować udziały plików przy użyciu kluczy zarządzanych przez użytkownika, usługa Azure Files ma autoryzację dostępu do tych kluczy w celu realizacji żądań odczytu i zapisu od klientów. Za pomocą kluczy zarządzanych przez użytkownika można w dowolnym momencie odwołać tę autoryzację. Oznacza to jednak, że udział plików platformy Azure nie będzie już dostępny za pośrednictwem protokołu SMB ani interfejsu API FileREST.

Usługa Azure Files używa tego samego schematu szyfrowania co inne usługi magazynu platformy Azure, takie jak Azure Blob Storage. Aby dowiedzieć się więcej na temat szyfrowania usługi Azure Storage (SSE), zobacz Szyfrowanie usługi Azure Storage dla danych magazynowanych.

Ochrona danych

Usługa Azure Files ma wielopoziomowe podejście do zapewnienia, że Twoje dane są tworzone w kopiach zapasowych, możliwe do odzyskania i chronione przed zagrożeniami bezpieczeństwa. Zobacz Omówienie ochrony danych usługi Azure Files.

Miękkie usuwanie

Usunięcie miękkie to ustawienie na poziomie konta magazynowego, które umożliwia odzyskanie udziału plikowego po przypadkowym usunięciu. Po usunięciu zasobu plików przechodzi on w stan nietrwałego usunięcia zamiast trwałego wymazania. Można skonfigurować czas, przez jaki wstępnie usunięte udziały są odzyskiwalne przed ich trwałym usunięciem, oraz przywrócić udział w dowolnym momencie tego okresu przechowywania.

Miękkie usuwanie jest domyślnie włączone dla nowych kont pamięci masowej. Jeśli masz proces roboczy, w którym usuwanie udziału jest częste i oczekiwane, możesz zdecydować się na krótki okres przechowywania lub nie włączać miękkiego usuwania.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Zapobieganie przypadkowemu usunięciu danych.

Backup

Możesz utworzyć kopię zapasową udziału plików platformy Azure za pomocą migawek udziałów, które są kopiami udziałów tylko do odczytu, o określonym punkcie w czasie. Migawki są przyrostowe, co oznacza, że zawierają tylko tyle danych, co zmieniło się od poprzedniej migawki. Można mieć do 200 migawek na udział plikowy i przechowywać je przez maksymalnie 10 lat. Migawki można wykonać ręcznie w portalu Azure, za pomocą programu PowerShell lub interfejsu wiersza polecenia (CLI), albo użyć usługi Azure Backup.

Usługa Azure Backup dla udziałów plikowych Azure zajmuje się planowaniem oraz przechowywaniem migawek. Jego możliwości dziadka-ojca-syna (GFS) oznaczają, że można wykonywać migawki dzienne, tygodniowe, miesięczne i roczne, z których każda ma własny odrębny okres przechowywania. Usługa Azure Backup organizuje również włączanie miękkiego usuwania i nakłada blokadę usuwania na konto magazynu natychmiast po skonfigurowaniu dowolnego udziału plików w ramach tego konta na potrzeby tworzenia kopii zapasowej. Ponadto usługa Azure Backup zapewnia pewne kluczowe funkcje monitorowania i zgłaszania alertów, które umożliwiają klientom skonsolidowany widok ich majątku kopii zapasowych.

Przywracanie zarówno na poziomie elementu, jak i udziału można wykonać w portalu Azure przy użyciu usługi Azure Backup. Wszystko, co musisz zrobić, to wybrać punkt przywracania (określoną migawkę), konkretny plik lub katalog, jeśli jest to istotne, a następnie lokalizację (oryginalną lub alternatywną), do której chcesz przywrócić. Usługa tworzenia kopii zapasowych obsługuje kopiowanie danych z migawki i pokazuje postęp przywracania w panelu.

Ochrona usługi Azure Files za pomocą usługi Microsoft Defender for Storage

Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Zapewnia ona kompleksowe zabezpieczenia, analizując telemetrię płaszczyzny danych i płaszczyzny sterowania wygenerowane przez usługę Azure Files. Używa zaawansowanych funkcji wykrywania zagrożeń obsługiwanych przez usługę Microsoft Threat Intelligence w celu zapewnienia kontekstowych alertów zabezpieczeń, w tym kroków w celu ograniczenia wykrytych zagrożeń i zapobiegania przyszłym atakom.

Usługa Defender for Storage stale analizuje strumień telemetrii generowany przez usługę Azure Files. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań, kroków badania, akcji korygowania i zaleceń dotyczących zabezpieczeń.

Usługa Defender for Storage wykrywa znane zagrożenia, takie jak ransomware, wirusy, programy szpiegujące i inne złośliwe oprogramowanie przekazywane na konto magazynu na podstawie pełnego skrótu pliku (obsługiwane tylko w przypadku interfejsu API REST). Pomaga to zapobiec wprowadzaniu złośliwego oprogramowania do organizacji i rozprzestrzenianiu się na więcej użytkowników i zasobów. Zobacz Omówienie różnic między skanowaniem złośliwego oprogramowania a analizą reputacji skrótów.

Usługa Defender for Storage nie uzyskuje dostępu do danych konta przechowywania i nie ma wpływu na jego wydajność. Usługę Microsoft Defender for Storage można włączyć na poziomie subskrypcji (zalecane) lub na poziomie zasobu.

Warstwy magazynowania

Usługa Azure Files oferuje dwie różne klasy pamięci masowej, SSD (dyski półprzewodnikowe) i HDD (dyski twarde), które umożliwiają dostosowanie zasobów udostępnionych do wymagań dotyczących wydajności i kosztów scenariusza.

  • SSD (premium): udziały plików SSD zapewniają spójną wysoką wydajność i małe opóźnienia, w jednocyfrowych milisekundach, dla większości operacji IO w przypadku obciążeń intensywnie korzystających z IO. Udziały plików SSD są odpowiednie dla wielu różnych obciążeń, takich jak bazy danych, hosting witryn internetowych i środowiska programistyczne. Udziały plików SSD mogą być używane zarówno z protokołami Server Message Block (SMB) oraz Network File System (NFS). Udziały plików SSD są dostępne w aprowizowanej wersji 1 modelu rozliczeń. Udziały plików SSD oferują wyższą dostępność SLA niż udziały plików HDD (zobacz "Warstwa Premium usługi Azure Files").

  • HDD (standard): Udostępnianie plików HDD zapewnia ekonomiczną opcję przechowywania dla plików ogólnego przeznaczenia. Udziały plików HDD są dostępne w modelach rozliczeń aprowizowana wersja 2 i płatność zgodnie z rzeczywistym użyciem, chociaż zalecamy model aprowizowanej wersji 2 dla nowych wdrożeń udziałów plików. Aby uzyskać informacje o umowie SLA, zobacz stronę dotyczącą umów SLA platformy Azure (sekcja "Konta magazynu").

Podczas wybierania odpowiedniego poziomu nośników dla swojej pracy należy wziąć pod uwagę wymagania dotyczące wydajności i użycia. Jeśli obciążenie wymaga bardzo niskiego opóźnienia lub używasz lokalnego nośnika pamięci SSD, udziały plików SSD są prawdopodobnie najlepszym rozwiązaniem. Jeśli niskie opóźnienie nie jest głównym zmartwieniem, na przykład w przypadku udziałów zespołu zainstalowanych lokalnie z platformy Azure lub buforowanych lokalnie przy użyciu usługi Azure File Sync, wtedy udziały plików HDD mogą być lepszym wyborem z punktu widzenia kosztów.

Po utworzeniu udziału plików na koncie przechowywania nie można bezpośrednio przenieść go do innej warstwy pamięci. Aby na przykład przenieść udział plików HDD do warstwy nośników SSD, należy utworzyć nowy udział plików SSD i skopiować dane z oryginalnego udziału do nowego udziału plików. Zobacz jak migrować pliki z jednego udziału plików do innego

Więcej informacji na temat warstw nośników SSD i HDD można znaleźć w temacie Understanding Azure Files billing and Understanding Azure Files performance (Informacje o rozliczeniach usługi Azure Files i opis wydajności usługi Azure Files).

Redundancja

Aby chronić dane w udziałach plików platformy Azure przed utratą lub uszkodzeniem danych, usługa Azure Files przechowuje wiele kopii każdego pliku podczas ich zapisywania. W zależności od wymagań można wybrać różne stopnie redundancji. Usługa Azure Files obecnie obsługuje następujące opcje nadmiarowości danych:

  • Magazyn replikowany lokalnie (LRS): W przypadku lokalnej nadmiarowości każdy plik jest trzykrotnie przechowywany w klastrze magazynu Azure. Chroni to przed utratą danych z powodu błędów sprzętowych, takich jak uszkodzony dysk. Jeśli jednak w centrum danych wystąpi awaria, taka jak pożar lub powódź, wszystkie repliki konta magazynu korzystającego z LRS mogą zostać utracone lub stać się nieodwracalne.
  • Magazyn strefowo nadmiarowy (ZRS): dzięki nadmiarowości strefowej przechowywane są trzy kopie każdego pliku. Jednak te kopie są fizycznie odizolowane w trzech różnych klastrach magazynu w różnych strefach dostępności platformy Azure. Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Zapis do pamięci nie jest akceptowany, dopóki nie zostanie zapisany w klastrach pamięci we wszystkich trzech strefach dostępności.
  • Geograficzne Nadmiarowe Przechowywanie (GRS): Dzięki geograficznej nadmiarowości dane są przechowywane w dwóch regionach: podstawowym i pomocniczym. Pliki są przechowywane trzy razy w klastrze usługi Azure Storage w regionie podstawowym. Zapisy są asynchroniczne replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft. Nadmiarowość geograficzna zapewnia sześć kopii danych rozmieszczonych między dwoma regionami świadczenia usługi Azure. Jeśli wystąpi poważna awaria, taka jak trwała utrata regionu świadczenia usługi Azure z powodu klęski żywiołowej lub innego podobnego zdarzenia, firma Microsoft przeprowadzi przejście w tryb failover. W takim przypadku pomocnicza staje się główną, obsługując wszystkie operacje. Ponieważ replikacja między regionami podstawowym i pomocniczym jest asynchroniczna, w przypadku wystąpienia poważnej awarii dane, które nie zostały jeszcze zreplikowane do regionu pomocniczego, mogą zostać utracone. Możesz również ręcznie przełączyć konto magazynu nadmiarowego geograficznie (geo-redundant) w tryb failover.
  • Geostrefowa nadmiarowa pamięć masowa (GZRS): Dzięki nadmiarowości geostrefowej pliki są przechowywane trzykrotnie w trzech odrębnych klastrach pamięci masowej w regionie podstawowym. Wszystkie operacje zapisu są następnie asynchronicznie replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft. Proces przełączania w tryb failover dla nadmiarowości GeoZone działa tak samo jak nadmiarowość geograficzna.

Udziały plików HDD obsługują wszystkie cztery typy nadmiarowości. Udziały plików SSD obsługują tylko magazyny LRS i ZRS.

Konta magazynu z płatnością zgodnie z rzeczywistym użyciem zapewniają dwie inne opcje nadmiarowości, których usługa Azure Files nie obsługuje: magazyn geograficznie nadmiarowy z dostępem do odczytu (RA-GRS) i geostrefowy magazyn nadmiarowy z dostępem do odczytu (RA-GZRS). Udziały plików platformy Azure można aprowizować na kontach magazynu z ustawionymi tymi opcjami, jednak usługa Azure Files nie obsługuje odczytu z regionu wtórnego. Udziały plików platformy Azure wdrożone na kontach magazynu RA-GRS lub RA-GZRS są rozliczane odpowiednio jako geo lub geozone.

Aby uzyskać więcej informacji na temat nadmiarowości, zobacz Nadmiarowość danych usługi Azure Files.

Dostępność udostępnień plików SSD z strefową nadmiarowością

Strefowo nadmiarowe udziały plików SSD są dostępne dla podzestawu regionów platformy Azure.

Odzyskiwanie po awarii i przełączenie awaryjne

W przypadku nieplanowanej awarii regionalnej należy mieć plan odzyskiwania po awarii (DR) dla udziałów plików w Azure. Aby zrozumieć pojęcia i procesy związane z odzyskiwaniem po awarii i failoverem konta magazynu, zobacz Odzyskiwanie po awarii i tryb failover dla usługi Azure Files.

Migracja

W wielu przypadkach nie będziesz tworzyć nowego sieciowego udziału plików dla swojej organizacji, ale zamiast tego będziesz migrować istniejący udział plików z lokalnego serwera plików lub urządzenia NAS do Azure Files. Wybranie odpowiedniej strategii migracji i narzędzia dla danego scenariusza jest ważne dla sukcesu migracji.

Artykuł o migracji krótko omawia podstawy i zawiera tabelę, która prowadzi do przewodników dotyczących migracji, które prawdopodobnie opisują twój scenariusz.

Następne kroki