Udostępnij za pośrednictwem


Planowanie wdrażania usługi Azure Files

Usługę Azure Files można wdrożyć na dwa główne sposoby: bezpośrednio instalowania bezserwerowych udziałów plików platformy Azure lub buforowania udziałów plików platformy Azure lokalnie przy użyciu usługi Azure File Sync. Zagadnienia dotyczące wdrażania różnią się w zależności od wybranej opcji.

  • Bezpośrednia instalacja udziału plików platformy Azure: ponieważ usługa Azure Files zapewnia dostęp do bloku komunikatów serwera (SMB) lub sieciowego systemu plików (NFS), możesz zainstalować udziały plików platformy Azure lokalnie lub w chmurze przy użyciu standardowych klientów SMB lub NFS dostępnych w systemie operacyjnym. Ponieważ udziały plików platformy Azure są bezserwerowe, wdrażanie w scenariuszach produkcyjnych nie wymaga zarządzania serwerem plików ani urządzeniem NAS. Oznacza to, że nie trzeba stosować poprawek oprogramowania ani wymieniać dysków fizycznych.

  • Buforowanie lokalnego udziału plików platformy Azure za pomocą usługi Azure File Sync: usługa Azure File Sync umożliwia scentralizowanie udziałów plików organizacji w usłudze Azure Files przy jednoczesnym zachowaniu elastyczności, wydajności i zgodności lokalnego serwera plików. Usługa Azure File Sync przekształca lokalny (lub w chmurze) system Windows Server w szybką pamięć podręczną udziału plików platformy Azure SMB.

W tym artykule opisano głównie zagadnienia dotyczące wdrażania udziału plików platformy Azure, które mają być instalowane bezpośrednio przez klienta lokalnego lub w chmurze. Aby zaplanować wdrożenie usługi Azure File Sync, zobacz Planowanie wdrożenia usługi Azure File Sync.

Dostępne protokoły

Usługa Azure Files oferuje dwa standardowe w branży protokoły systemu plików do instalowania udziałów plików platformy Azure: protokół bloku komunikatów serwera (SMB) i protokół systemu plików sieciowych (NFS ), co pozwala wybrać protokół najlepiej dopasowany do obciążenia. Udziały plików platformy Azure nie obsługują protokołów SMB i NFS w tym samym udziale plików, chociaż można tworzyć udziały plików SMB i NFS platformy Azure w ramach tego samego konta magazynu. System plików NFS 4.1 jest obecnie obsługiwany tylko w ramach nowego typu konta magazynu FileStorage (tylko udziały plików w warstwie Premium).

W przypadku udziałów plików SMB i NFS usługa Azure Files oferuje udziały plików klasy korporacyjnej, które można skalować w górę w celu spełnienia potrzeb magazynu i mogą być dostępne współbieżnie przez tysiące klientów.

Funkcja SMB NFS
Obsługiwane wersje protokołów SMB 3.1.1, SMB 3.0, SMB 2.1 NFS 4.1
Zalecany system operacyjny
  • Windows 11, wersja 21H2+
  • Windows 10, wersja 21H1+
  • Windows Server 2019+
  • Jądro systemu Linux w wersji 5.3 lub nowszej
Jądra systemu Linux w wersji 4.3 lub nowszej
Dostępne warstwy Premium, optymalizacja transakcji, gorąca i chłodna Premium
Model rozliczania Aprowizowana pojemność
Punkty końcowe strefy DNS platformy Azure (wersja zapoznawcza) Obsługiwane Obsługiwane
Nadmiarowość LRS, ZRS, GRS, GZRS LRS, ZRS
Semantyka systemu plików Win32 POSIX
Uwierzytelnianie Uwierzytelnianie oparte na tożsamościach (Kerberos), uwierzytelnianie za pomocą klucza współużytkowanego (NTLMv2) Uwierzytelnianie oparte na hoście
Autoryzacja Listy kontroli dostępu w stylu Win32 (ACL) Uprawnienia w stylu systemu UNIX
Uwzględnij wielkość liter Bez uwzględniania wielkości liter, zachowywanie wielkości liter Uwzględnianie wielkości liter
Usuwanie lub modyfikowanie otwartych plików Tylko z blokadą Tak
Udostępnianie plików Tryb udostępniania systemu Windows Menedżer blokad sieci z poradami dotyczącymi zakresu bajtów
Obsługa linków twardych Nieobsługiwane Obsługiwane
Obsługa linków symbolicznych Nieobsługiwane Obsługiwane
Opcjonalnie dostępny z Internetu Tak (tylko protokół SMB 3.0 lub nowszy) Nie.
Obsługuje plikREST Tak Podzbiór:
Obowiązkowe blokady zakresu bajtów Obsługiwane Nieobsługiwane
Blokady zakresu bajtów porad Nieobsługiwane Obsługiwane
Atrybuty rozszerzone/nazwane Nieobsługiwane Nieobsługiwane
Alternatywne strumienie danych Nieobsługiwane Nie dotyczy
Identyfikatory obiektów Nieobsługiwane Nie dotyczy
Punkty ponownej analizy Nieobsługiwane Nie dotyczy
Pliki rozrzedłe Nieobsługiwane Nie dotyczy
Kompresja Nieobsługiwane Nie dotyczy
Nazwane potoki Nieobsługiwane Nie dotyczy
SMB Direct Nieobsługiwane Nie dotyczy
Dzierżawa katalogów SMB Nieobsługiwane Nie dotyczy
Kopiowanie woluminów w tle Nieobsługiwane Nie dotyczy
Krótkie nazwy plików (alias 8.3) Nieobsługiwane Nie dotyczy
Usługa serwera Nieobsługiwane Nie dotyczy
Transakcje systemu plików (TxF) Nieobsługiwane Nie dotyczy

Pojęcia dotyczące zarządzania

Udziały plików platformy Azure są wdrażane na kontach magazynu, które są obiektami najwyższego poziomu reprezentującymi udostępnioną pulę magazynu. Ta pula magazynu może służyć do wdrażania wielu udziałów plików, a także innych zasobów magazynu, takich jak kontenery obiektów blob, kolejki lub tabele. Wszystkie zasoby magazynu wdrożone na koncie magazynu współużytkują limity, które mają zastosowanie do tego konta magazynu. Aby uzyskać informacje o bieżących limitach kont magazynu, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.

Istnieją dwa główne typy kont magazynu, których będziesz używać na potrzeby wdrożeń usługi Azure Files:

  • Konta magazynu ogólnego przeznaczenia w wersji 2 (GPv2): konta magazynu GPv2 umożliwiają wdrażanie udziałów plików platformy Azure na standardowym/twardym sprzęcie (opartym na dyskach TWARDYCH). Oprócz przechowywania udziałów plików platformy Azure konta magazynu GPv2 mogą przechowywać inne zasoby magazynu, takie jak kontenery obiektów blob, kolejki lub tabele.
  • Konta magazynu FileStorage: konta magazynu FileStorage umożliwiają wdrażanie udziałów plików platformy Azure na sprzęcie opartym na dyskach ssd (ssd). Konta FileStorage mogą być używane tylko do przechowywania udziałów plików platformy Azure; na koncie FileStorage nie można wdrożyć żadnych innych zasobów magazynu (kontenerów obiektów blob, kolejek, tabel itp.). Tylko konta FileStorage mogą wdrażać udziały plików SMB i NFS.

Istnieje kilka innych typów kont magazynu, które można napotkać w witrynie Azure Portal, programie PowerShell lub interfejsie wiersza polecenia. Dwa typy kont magazynu BlockBlobStorage i BlobStorage magazynu nie mogą zawierać udziałów plików platformy Azure. Pozostałe dwa typy kont magazynu, które mogą być widoczne, to konta ogólnego przeznaczenia w wersji 1 (GPv1) i klasyczne konta magazynu, które mogą zawierać udziały plików platformy Azure. Mimo że konta GPv1 i klasyczne konta magazynu mogą zawierać udziały plików platformy Azure, większość nowych funkcji usługi Azure Files jest dostępna tylko na kontach magazynu GPv2 i FileStorage. Dlatego zalecamy używanie tylko kont GPv2 i FileStorage dla nowych wdrożeń oraz uaktualniania kont GPv1 i klasycznych kont magazynu, jeśli już istnieją w danym środowisku.

Podczas wdrażania udziałów plików platformy Azure na kontach magazynu zalecamy:

  • Wdrażanie udziałów plików platformy Azure na kontach magazynu przy użyciu innych udziałów plików platformy Azure. Mimo że konta magazynu GPv2 umożliwiają korzystanie z kont magazynu o mieszanym celu, ponieważ zasoby magazynu, takie jak udziały plików platformy Azure i kontenery obiektów blob, współużytkują limity konta magazynu, łączenie zasobów może utrudnić późniejsze rozwiązywanie problemów z wydajnością.

  • Zwracając uwagę na ograniczenia liczby operacji we/wy na sekundę konta magazynu podczas wdrażania udziałów plików platformy Azure. Najlepiej mapować udziały plików 1:1 przy użyciu kont magazynu. Jednak może to nie zawsze być możliwe ze względu na różne limity i ograniczenia, zarówno z organizacji, jak i z platformy Azure. Jeśli nie można wdrożyć tylko jednego udziału plików na jednym koncie magazynu, rozważ, które udziały będą wysoce aktywne i które udziały będą mniej aktywne, aby zapewnić, że najgorętsze udziały plików nie zostaną umieszczone na tym samym koncie magazynu.

  • Wdrażanie kont GPv2 i FileStorage oraz uaktualnianie kont GPv1 i klasycznych kont magazynu po znalezieniu ich w środowisku.

Tożsamość

Aby uzyskać dostęp do udziału plików platformy Azure, użytkownik udziału plików musi być uwierzytelniony i autoryzowany do uzyskiwania dostępu do udziału. Odbywa się to na podstawie tożsamości użytkownika, który uzyskuje dostęp do udziału plików. Usługa Azure Files obsługuje następujące metody uwierzytelniania:

  • Lokalne usługi domena usługi Active Directory (AD DS lub lokalne usługi AD DS): konta magazynu platformy Azure mogą być przyłączone do usług domena usługi Active Directory należących do klienta, podobnie jak serwer plików systemu Windows Server lub urządzenie NAS. Kontroler domeny można wdrożyć lokalnie, na maszynie wirtualnej platformy Azure, a nawet jako maszyna wirtualna u innego dostawcy usług w chmurze; Usługa Azure Files jest niezależna od tego, gdzie jest hostowany kontroler domeny. Gdy konto magazynu jest przyłączone do domeny, użytkownik końcowy może zainstalować udział plików przy użyciu konta użytkownika zalogowanego na komputerze. Uwierzytelnianie oparte na usłudze AD używa protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Domain Services: Microsoft Entra Domain Services udostępnia zarządzany przez firmę Microsoft kontroler domeny, który może być używany dla zasobów platformy Azure. Domena łącząca konto magazynu z usługami Microsoft Entra Domain Services zapewnia podobne korzyści, jak dołączenie domeny do usług AD DS należących do klienta. Ta opcja wdrażania jest najbardziej przydatna w scenariuszach metodą "lift-and-shift", które wymagają uprawnień opartych na usłudze AD. Ponieważ usługi Microsoft Entra Domain Services zapewniają uwierzytelnianie oparte na usłudze AD, ta opcja używa również protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Kerberos dla tożsamości hybrydowych: Firma Microsoft Entra Kerberos umożliwia uwierzytelnianie tożsamości użytkowników hybrydowych za pomocą identyfikatora Entra firmy Microsoft, które są lokalnymi tożsamościami usługi AD synchronizowanych z chmurą. Ta konfiguracja używa identyfikatora Entra firmy Microsoft do wystawiania biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików przy użyciu protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu bez konieczności łączności sieciowej z kontrolerami domeny z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra.
  • Uwierzytelnianie usługi Active Directory za pośrednictwem protokołu SMB dla klientów z systemem Linux: usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamości za pośrednictwem protokołu SMB dla klientów z systemem Linux przy użyciu protokołu uwierzytelniania Kerberos za pośrednictwem usług AD DS lub Microsoft Entra Domain Services.
  • Klucz konta usługi Azure Storage: udziały plików platformy Azure mogą być również instalowane przy użyciu klucza konta usługi Azure Storage. Aby zainstalować udział plików w ten sposób, nazwa konta magazynu jest używana jako nazwa użytkownika, a klucz konta magazynu jest używany jako hasło. Użycie klucza konta magazynu do zainstalowania udziału plików platformy Azure jest operacją administratora, ponieważ zainstalowany udział plików będzie miał pełne uprawnienia do wszystkich plików i folderów w udziale, nawet jeśli mają listy ACL. W przypadku instalowania za pośrednictwem protokołu SMB przy użyciu klucza konta magazynu używany jest protokół uwierzytelniania NTLMv2. Jeśli zamierzasz użyć klucza konta magazynu w celu uzyskania dostępu do udziałów plików platformy Azure, zalecamy używanie prywatnych punktów końcowych lub punktów końcowych usługi zgodnie z opisem w sekcji Sieć .

W przypadku klientów migrujących z lokalnych serwerów plików lub tworzenia nowych udziałów plików w usłudze Azure Files, które mają zachowywać się jak serwery plików systemu Windows lub urządzenia NAS, domena przyłączająca konto magazynu do usług AD DS należących do klienta jest zalecaną opcją. Aby dowiedzieć się więcej na temat dołączania domeny do konta magazynu do usług AD DS należących do klienta, zobacz Omówienie — lokalna usługa Active Directory uwierzytelnianie usług Domain Services za pośrednictwem protokołu SMB dla udziałów plików platformy Azure.

Sieć

Bezpośrednie instalowanie udziału plików platformy Azure często wymaga przemyślenia konfiguracji sieci, ponieważ:

  • Port używany przez udziały plików SMB do komunikacji, port 445, jest często blokowany przez wiele organizacji i dostawców usług internetowych (ISPs) dla ruchu wychodzącego (Internet).
  • Udziały plików NFS korzystają z uwierzytelniania na poziomie sieci i dlatego są dostępne tylko za pośrednictwem sieci z ograniczeniami. Korzystanie z udziału plików NFS zawsze wymaga pewnego poziomu konfiguracji sieci.

Aby skonfigurować sieć, usługa Azure Files zapewnia dostępny z Internetu publiczny punkt końcowy i integrację z funkcjami sieci platformy Azure, takimi jak punkty końcowe usługi, które pomagają ograniczyć publiczny punkt końcowy do określonych sieci wirtualnych i prywatnych punktów końcowych, które zapewniają konto magazynu prywatny adres IP z przestrzeni adresowej IP sieci wirtualnej. Chociaż nie ma dodatkowych opłat za korzystanie z publicznych punktów końcowych lub punktów końcowych usługi, standardowe stawki przetwarzania danych dotyczą prywatnych punktów końcowych.

Oznacza to, że należy wziąć pod uwagę następujące konfiguracje sieci:

  • Jeśli wymagany protokół jest protokołem SMB, a cały dostęp za pośrednictwem protokołu SMB pochodzi z klientów na platformie Azure, nie jest wymagana żadna specjalna konfiguracja sieci.
  • Jeśli wymagany protokół to SMB, a dostęp pochodzi z klientów lokalnych, wymagane jest połączenie sieci VPN lub usługi ExpressRoute z sieci lokalnej do sieci platformy Azure, a usługa Azure Files uwidoczniona w sieci wewnętrznej przy użyciu prywatnych punktów końcowych.
  • Jeśli wymagany protokół to NFS, możesz użyć punktów końcowych usługi lub prywatnych punktów końcowych, aby ograniczyć sieć do określonych sieci wirtualnych. Jeśli potrzebujesz statycznego adresu IP i/lub obciążenia wymaga wysokiej dostępności, użyj prywatnego punktu końcowego. W przypadku punktów końcowych usługi rzadkie zdarzenie, takie jak awaria strefowa, może spowodować zmianę bazowego adresu IP konta magazynu. Chociaż dane będą nadal dostępne w udziale plików, klient będzie wymagał ponownego zainstalowania udziału.

Aby dowiedzieć się więcej na temat konfigurowania sieci dla usługi Azure Files, zobacz Zagadnienia dotyczące sieci usługi Azure Files.

Oprócz bezpośredniego nawiązywania połączenia z udziałem plików przy użyciu publicznego punktu końcowego lub połączenia VPN/ExpressRoute z prywatnym punktem końcowym protokół SMB zapewnia dodatkową strategię dostępu klienta: SMB over QUIC. Protokół SMB over QUIC oferuje zero-config "SMB VPN" dla dostępu SMB za pośrednictwem protokołu transportowego QUIC. Chociaż usługa Azure Files nie obsługuje bezpośrednio protokołu SMB za pośrednictwem rozwiązania QUIC, możesz utworzyć uproszczoną pamięć podręczną udziałów plików platformy Azure na maszynie wirtualnej z systemem Windows Server 2022 Azure Edition przy użyciu usługi Azure File Sync. Aby dowiedzieć się więcej na temat tej opcji, zobacz SMB over QUIC with Azure File Sync (Protokół SMB over QUIC with Azure File Sync).

Szyfrowanie

Usługa Azure Files obsługuje dwa różne typy szyfrowania:

  • Szyfrowanie podczas przesyłania, które odnosi się do szyfrowania używanego podczas instalowania/uzyskiwania dostępu do udziału plików platformy Azure
  • Szyfrowanie magazynowane odnosi się do sposobu szyfrowania danych podczas ich przechowywania na dysku

Szyfrowanie podczas transferu

Ważne

W tej sekcji opisano szyfrowanie w szczegółach przesyłania udziałów SMB. Aby uzyskać szczegółowe informacje dotyczące szyfrowania podczas przesyłania za pomocą udziałów NFS, zobacz Zabezpieczenia i sieć.

Domyślnie wszystkie konta usługi Azure Storage mają włączone szyfrowanie podczas przesyłania. Oznacza to, że podczas instalowania udziału plików za pośrednictwem protokołu SMB lub uzyskiwania do niego dostępu za pośrednictwem protokołu FileREST (na przykład za pośrednictwem witryny Azure Portal, programu PowerShell/interfejsu wiersza polecenia lub zestawów AZURE SDK) usługa Azure Files będzie zezwalać na połączenie tylko w przypadku nawiązywania połączenia z protokołem SMB 3.x z szyfrowaniem lub https. Klienci, którzy nie obsługują protokołu SMB 3.x lub klientów obsługujących protokół SMB 3.x, ale nie szyfrowanie SMB, nie będą mogli zainstalować udziału plików platformy Azure, jeśli szyfrowanie podczas przesyłania jest włączone. Aby uzyskać więcej informacji na temat systemów operacyjnych obsługujących protokół SMB 3.x z szyfrowaniem, zobacz naszą dokumentację dotyczącą systemów Windows, macOS i Linux. Wszystkie bieżące wersje programu PowerShell, interfejsu wiersza polecenia i zestawów SDK obsługują protokół HTTPS.

Szyfrowanie podczas przesyłania dla konta usługi Azure Storage można wyłączyć. Po wyłączeniu szyfrowania usługa Azure Files będzie również zezwalać na połączenia SMB 2.1 i SMB 3.x bez szyfrowania oraz niezaszyfrowane wywołania interfejsu API FileREST za pośrednictwem protokołu HTTP. Głównym powodem wyłączenia szyfrowania podczas przesyłania jest obsługa starszej aplikacji, która musi być uruchomiona w starszym systemie operacyjnym, takim jak Windows Server 2008 R2 lub starsza dystrybucja systemu Linux. Usługa Azure Files zezwala tylko na połączenia SMB 2.1 w tym samym regionie świadczenia usługi Azure co udział plików platformy Azure; Klient SMB 2.1 poza regionem świadczenia usługi Azure udziału plików platformy Azure, takim jak lokalny lub w innym regionie świadczenia usługi Azure, nie będzie mógł uzyskać dostępu do udziału plików.

Zdecydowanie zalecamy włączenie szyfrowania przesyłanych danych.

Aby uzyskać więcej informacji na temat szyfrowania podczas przesyłania, zobacz wymaganie bezpiecznego transferu w usłudze Azure Storage.

Szyfrowanie w spoczynku

Wszystkie dane przechowywane w usłudze Azure Files są szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage (SSE). Szyfrowanie usługi Storage działa podobnie do funkcji BitLocker w systemie Windows: dane są szyfrowane poniżej poziomu systemu plików. Ponieważ dane są szyfrowane pod systemem plików udziału plików platformy Azure, ponieważ są szyfrowane na dysku, nie musisz mieć dostępu do klucza bazowego na kliencie, aby odczytywać lub zapisywać w udziale plików platformy Azure. Szyfrowanie magazynowane dotyczy protokołów SMB i NFS.

Domyślnie dane przechowywane w usłudze Azure Files są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. W przypadku kluczy zarządzanych przez firmę Microsoft firma Microsoft przechowuje klucze do szyfrowania/odszyfrowywania danych i jest odpowiedzialna za ich regularne rotacje. Możesz również zarządzać własnymi kluczami, co zapewnia kontrolę nad procesem rotacji. Jeśli zdecydujesz się zaszyfrować udziały plików przy użyciu kluczy zarządzanych przez klienta, usługa Azure Files ma autoryzację dostępu do kluczy w celu spełnienia żądań odczytu i zapisu od klientów. Za pomocą kluczy zarządzanych przez klienta można w dowolnym momencie odwołać tę autoryzację, ale oznacza to, że udział plików platformy Azure nie będzie już dostępny za pośrednictwem protokołu SMB ani interfejsu API FileREST.

Usługa Azure Files używa tego samego schematu szyfrowania co inne usługi magazynu platformy Azure, takie jak Azure Blob Storage. Aby dowiedzieć się więcej na temat szyfrowania usługi Azure Storage (SSE), zobacz Szyfrowanie usługi Azure Storage dla danych magazynowanych.

Ochrona danych

Usługa Azure Files ma wielowarstwowe podejście do zapewnienia, że kopie zapasowe danych są tworzone, możliwe do odzyskania i chronione przed zagrożeniami bezpieczeństwa. Zobacz Omówienie ochrony danych usługi Azure Files.

Usuwanie nietrwałe

Usuwanie nietrwałe to ustawienie na poziomie konta magazynu, które umożliwia odzyskanie udziału plików po przypadkowym usunięciu. Po usunięciu udziału plików następuje przejście do stanu usunięcia nietrwałego zamiast trwałego wymazywania. Można skonfigurować czas odzyskiwania nietrwale usuniętych udziałów przed ich trwałym usunięciem i cofanie usunięcia udziału w dowolnym momencie w tym okresie przechowywania.

Usuwanie nietrwałe jest domyślnie włączone dla nowych kont magazynu. Jeśli masz przepływ pracy, w którym usuwanie udziału jest wspólne i oczekiwane, możesz zdecydować się na krótki okres przechowywania lub nie włączono usuwania nietrwałego.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Zapobieganie przypadkowemu usunięciu danych.

Wykonywanie kopii zapasowej

Możesz utworzyć kopię zapasową udziału plików platformy Azure za pomocą migawek udziałów, które są kopiami udziałów tylko do odczytu i punktu w czasie. Migawki są przyrostowe, co oznacza, że zawierają tylko tyle danych, co zmieniło się od poprzedniej migawki. Maksymalnie 200 migawek na udział plików można przechowywać przez maksymalnie 10 lat. Migawki można wykonać ręcznie w witrynie Azure Portal, za pomocą programu PowerShell lub interfejsu wiersza polecenia (CLI) albo użyć usługi Azure Backup.

Usługa Azure Backup dla udziałów plików platformy Azure obsługuje planowanie i przechowywanie migawek. Jego możliwości dziadka-ojca-syna (GFS) oznaczają, że można wykonywać codzienne, tygodniowe, miesięczne i roczne migawki, z których każdy ma własny odrębny okres przechowywania. Usługa Azure Backup organizuje również włączanie usuwania nietrwałego i pobiera blokadę usuwania na koncie magazynu natychmiast po skonfigurowaniu udziału plików na potrzeby tworzenia kopii zapasowej. Ponadto usługa Azure Backup zapewnia pewne kluczowe funkcje monitorowania i zgłaszania alertów, które umożliwiają klientom skonsolidowany widok ich majątku kopii zapasowych.

Przywracanie na poziomie elementu i na poziomie udziału można wykonać w witrynie Azure Portal przy użyciu usługi Azure Backup. Wszystko, co musisz zrobić, to wybrać punkt przywracania (określoną migawkę), konkretny plik lub katalog, jeśli jest to istotne, a następnie lokalizację (oryginalną lub alternatywną), do której chcesz przywrócić. Usługa tworzenia kopii zapasowych obsługuje kopiowanie danych migawki i pokazuje postęp przywracania w portalu.

Ochrona usługi Azure Files za pomocą usługi Microsoft Defender for Storage

Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Zapewnia ona kompleksowe zabezpieczenia, analizując telemetrię płaszczyzny danych i płaszczyzny sterowania wygenerowane przez usługę Azure Files. Używa zaawansowanych funkcji wykrywania zagrożeń obsługiwanych przez usługę Microsoft Threat Intelligence w celu zapewnienia kontekstowych alertów zabezpieczeń, w tym kroków w celu ograniczenia wykrytych zagrożeń i zapobiegania przyszłym atakom.

Usługa Defender for Storage stale analizuje strumień telemetrii generowany przez usługę Azure Files. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań, kroków badania, akcji korygowania i zaleceń dotyczących zabezpieczeń.

Usługa Defender for Storage wykrywa znane złośliwe oprogramowanie, takie jak oprogramowanie wymuszające okup, wirusy, programy szpiegujące i inne złośliwe oprogramowanie przekazane na konto magazynu na podstawie pełnego skrótu pliku (obsługiwane tylko w przypadku interfejsu API REST). Pomaga to zapobiec wprowadzaniu złośliwego oprogramowania do organizacji i rozprzestrzenianiu się na więcej użytkowników i zasobów. Zobacz Omówienie różnic między skanowaniem złośliwego oprogramowania i analizą reputacji skrótów.

Usługa Defender for Storage nie uzyskuje dostępu do danych konta magazynu i nie ma wpływu na jej wydajność. Usługę Microsoft Defender for Storage można włączyć na poziomie subskrypcji (zalecane) lub na poziomie zasobu.

Warstwy magazynowania

Usługa Azure Files oferuje dwie różne warstwy multimediów magazynu, SSD (dyski półprzewodnikowe) i HDD (dyski twarde), które umożliwiają dostosowanie udziałów do wymagań dotyczących wydajności i cen scenariusza:

  • SSD (premium): udziały plików SSD zapewniają spójną wysoką wydajność i małe opóźnienia w milisekundach jednocyfrowych dla większości operacji we/wy na potrzeby obciążeń intensywnie korzystających z operacji we/wy. Udziały plików SSD są odpowiednie dla wielu różnych obciążeń, takich jak bazy danych, hosting witryn internetowych i środowiska programistyczne. Udziały plików SSD mogą być używane zarówno z protokołami bloku komunikatów serwera (SMB) i sieciowego systemu plików (NFS). Udziały plików SSD są dostępne w aprowizowanej wersji 1 modelu rozliczeń. Udziały plików SSD oferują umowę SLA o wyższej dostępności niż udziały plików HDD (zobacz "Warstwa Premium usługi Azure Files").

  • HDD (standardowa): Udziały plików HDD zapewniają ekonomiczną opcję magazynowania dla udziałów plików ogólnego przeznaczenia. Udziały plików HDD dostępne z aprowizowaną wersją 2 i modelami rozliczeń z płatnością zgodnie z rzeczywistym użyciem, chociaż zalecamy aprowizowany model w wersji 2 dla nowych wdrożeń udziału plików. Aby uzyskać informacje o umowie SLA, zobacz stronę umów dotyczących poziomu usług platformy Azure (zobacz "Konta magazynu").

Podczas wybierania warstwy multimediów dla obciążenia należy wziąć pod uwagę wymagania dotyczące wydajności i użycia. Jeśli obciążenie wymaga opóźnienia jednocyfrowego lub używasz lokalnego nośnika magazynu SSD, warstwa udziałów plików SSD jest prawdopodobnie najlepsza. Jeśli małe opóźnienie nie jest tak duże, na przykład w przypadku udziałów zespołu zainstalowanych lokalnie z platformy Azure lub buforowanych lokalnie przy użyciu usługi Azure File Sync udziały plików HDD mogą być lepiej dopasowane z perspektywy kosztów.

Po utworzeniu udziału plików na koncie magazynu nie można bezpośrednio przenieść go do innej warstwy multimediów. Aby na przykład przenieść udział plików HDD do warstwy nośnika SSD, należy utworzyć nowy udział plików SSD i skopiować dane z oryginalnego udziału do nowego udziału plików na koncie FileStorage. Zalecamy używanie narzędzia AzCopy do kopiowania danych między udziałami plików platformy Azure, ale możesz również używać narzędzi, takich jak robocopy w systemie Windows lub rsync macOS i Linux.

Aby uzyskać więcej informacji, zobacz Omówienie rozliczeń usługi Azure Files.

Nadmiarowość

Aby chronić dane w udziałach plików platformy Azure przed utratą lub uszkodzeniem danych, usługa Azure Files przechowuje wiele kopii każdego pliku podczas ich zapisywania. W zależności od wymagań można wybrać różne stopnie nadmiarowości. Usługa Azure Files obecnie obsługuje następujące opcje nadmiarowości danych:

  • Magazyn lokalnie nadmiarowy (LRS): W przypadku magazynu LRS każdy plik jest przechowywany trzy razy w klastrze usługi Azure Storage. Chroni to przed utratą danych z powodu błędów sprzętowych, takich jak uszkodzony dysk. Jeśli jednak w centrum danych wystąpi awaria, taka jak pożar lub powodzia, wszystkie repliki konta magazynu korzystającego z magazynu LRS mogą zostać utracone lub nieodwracalne.
  • Magazyn strefowo nadmiarowy (ZRS): w przypadku magazynu ZRS przechowywane są trzy kopie każdego pliku. Jednak te kopie są fizycznie odizolowane w trzech różnych klastrach magazynu w różnych strefach dostępności platformy Azure. Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Zapis w magazynie nie jest akceptowany, dopóki nie zostanie zapisany w klastrach magazynu we wszystkich trzech strefach dostępności.
  • Magazyn geograficznie nadmiarowy (GRS): w przypadku magazynu GRS istnieją dwa regiony, region podstawowy i region pomocniczy. Pliki są przechowywane trzy razy w klastrze usługi Azure Storage w regionie podstawowym. Zapisy są asynchroniczne replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft. Magazyn GRS udostępnia sześć kopii danych rozmieszczonych między dwoma regionami świadczenia usługi Azure. W przypadku poważnej awarii, takiej jak trwała utrata regionu świadczenia usługi Azure z powodu klęski żywiołowej lub innego podobnego zdarzenia, firma Microsoft przeprowadzi przejście w tryb failover. W takim przypadku pomocnicza staje się podstawową obsługą wszystkich operacji. Ponieważ replikacja między regionami podstawowymi i pomocniczymi jest asynchroniczna, w przypadku poważnej awarii dane, które nie są jeszcze replikowane do regionu pomocniczego, zostaną utracone. Możesz również wykonać ręczne przejście w tryb failover konta magazynu geograficznie nadmiarowego.
  • Magazyn geograficznie nadmiarowy (GZRS): magazyn GZRS można traktować jako magazyn ZRS, ale z nadmiarowością geograficzną. W przypadku magazynu GZRS pliki są przechowywane trzy razy w trzech różnych klastrach magazynu w regionie podstawowym. Wszystkie operacje zapisu są następnie asynchronicznie replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft. Proces trybu failover dla magazynu GZRS działa tak samo jak magazyn GRS.

Standardowe udziały plików platformy Azure do 5 TiB obsługują wszystkie cztery typy nadmiarowości. Standardowe udziały plików większe niż 5 TiB obsługują tylko magazynY LRS i ZRS. Udziały plików platformy Azure w warstwie Premium obsługują tylko magazynY LRS i ZRS.

Konta magazynu ogólnego przeznaczenia w wersji 2 (GPv2) udostępniają dwie inne opcje nadmiarowości, których usługa Azure Files nie obsługuje: dostępny do odczytu magazyn geograficznie nadmiarowy (RA-GRS) i dostępny magazyn geograficznie strefowo nadmiarowy (RA-GZRS). Udziały plików platformy Azure można aprowizować na kontach magazynu przy użyciu tych opcji ustawionych, jednak usługa Azure Files nie obsługuje odczytu z regionu pomocniczego. Udziały plików platformy Azure wdrożone na kontach magazynu RA-GRS lub RA-GZRS są rozliczane odpowiednio jako MAGAZYN GRS lub GZRS.

Aby uzyskać więcej informacji na temat nadmiarowości, zobacz Nadmiarowość danych usługi Azure Files.

Dostępność magazynu ZRS w warstwie Standardowa

Magazyn ZRS dla standardowych kont magazynu ogólnego przeznaczenia w wersji 2 jest dostępny dla podzestawu regionów platformy Azure.

Dostępność magazynu ZRS w warstwie Premium

Magazyn ZRS dla udziałów plików w warstwie Premium jest dostępny dla podzestawu regionów platformy Azure.

Dostępność magazynu GZRS w warstwie Standardowa

Magazyn GZRS jest dostępny dla podzestawu regionów platformy Azure.

Odzyskiwanie po awarii i tryb failover

W przypadku nieplanowanej awarii usługi regionalnej należy mieć plan odzyskiwania po awarii (DR) dla udziałów plików platformy Azure. Aby zrozumieć pojęcia i procesy związane z trybem failover odzyskiwania po awarii i konta magazynu, zobacz Odzyskiwanie po awarii i tryb failover dla usługi Azure Files.

Migracja

W wielu przypadkach nie utworzysz nowego udziału plików sieci dla organizacji, ale zamiast tego migrujesz istniejący udział plików z lokalnego serwera plików lub urządzenia NAS do usługi Azure Files. Wybranie odpowiedniej strategii migracji i narzędzia dla danego scenariusza jest ważne dla sukcesu migracji.

Artykuł omówienie migracji krótko opisuje podstawy i zawiera tabelę, która prowadzi do przewodników migracji, które prawdopodobnie obejmują twój scenariusz.

Następne kroki