Использование общих папок Azure в гибридной среде

В этой архитектуре показано, как включить общие папки Azure в гибридную среду. Общие папки Azure используются в качестве бессерверных общих папок. Интегрируя их со службами Active Directory (AD DS), вы можете контролировать и ограничивать доступ к пользователям AD DS. Затем общие папки Azure могут заменить традиционные файловые серверы.

Архитектура

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Она состоит из следующих компонентов:

• Клиент Microsoft Entra. Этот компонент — это экземпляр Microsoft Entra, созданный вашей организацией. Он выступает в качестве службы каталогов для облачных приложений, сохраняя объекты, скопированные из локальная служба Active Directory. Она также предоставляет службы удостоверений при доступе к общим папкам Azure.
• Сервер AD DS. Этот компонент является локальным каталогом и службой удостоверений. Каталог AD DS синхронизирован с идентификатором Microsoft Entra, чтобы обеспечить проверку подлинности локальных пользователей.
• Сервер синхронизации Microsoft Entra Подключение. Этот компонент является локальным сервером, на котором выполняется служба синхронизации Microsoft Entra Подключение. Эта служба синхронизирует сведения, содержащиеся в локальная служба Active Directory, с идентификатором Microsoft Entra.
• Шлюз виртуальной сети. Этот необязательный компонент используется для отправки зашифрованного трафика между azure виртуальная сеть и локальным расположением через Интернет.
• Общие папки Azure. Общие папки Azure предоставляют хранилище для файлов и папок, к которым можно обращаться через блок сообщений сервера (S МБ), сетевую файловую систему (NFS) и протоколы HTTP. Общие папки развертываются в учетных записях хранения Azure.
• Хранилище служб восстановления. Этот необязательный компонент обеспечивает резервное копирование общих папок Azure.
• Клиенты. Эти компоненты — это компьютеры-члены AD DS, из которых пользователи могут получить доступ к общим папкам Azure.

Компоненты

Ключевые технологии, используемые для реализации этой архитектуры:

• Идентификатор Microsoft Entra — это корпоративная служба удостоверений, которая предоставляет единый вход, многофакторную проверку подлинности и условный доступ.
• Файлы Azure предлагает полностью управляемые общие папки в облаке, доступные с помощью стандартных отраслевых протоколов.
• VPN-шлюз VPN-шлюз отправляет зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

• Замена или дополнение локальных файловых серверов. Файлы Azure может полностью заменить или дополнить традиционные локальные файловые серверы или сетевые устройства хранения. С помощью общих папок Azure и проверки подлинности AD DS можно перенести данные в Файлы Azure. Эта миграция может воспользоваться преимуществами высокой доступности и масштабируемости при минимизации изменений клиента.
• Методика lift-and-shift. Файлы Azure упрощает "подъем и смену" приложений, которые ожидают, что общий файловый ресурс хранит приложения или пользовательские данные в облаке.
• Резервное копирование и аварийное восстановление. Вы можете использовать Файлы Azure в качестве хранилища для резервных копий или аварийного восстановления для повышения непрерывности бизнес-процессов. Вы можете использовать Файлы Azure для резервного копирования данных с существующих файлового сервера при сохранении настроенных списков управления доступом для Windows. На данные, хранящиеся в файловых ресурсах Azure, не влияют аварийные ситуации, которые могут повлиять на локальные расположения.
• Синхронизация файлов Azure. С помощью Синхронизация файлов Azure общие папки Azure могут реплика в Windows Server, локально или в облаке. Это реплика tion повышает производительность и распределяет кэширование данных в место его использования.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Использование учетных записей хранения общего назначения версии 2 (GPv2) или File служба хранилища для общих папок Azure

Вы можете создать общую папку Azure в различных учетных записях хранения. Хотя учетные записи хранения общего назначения версии 1 (GPv1) и классические учетные записи хранения могут содержать общие папки Azure, большинство новых функций Файлы Azure доступны только в GPv2 и File служба хранилища учетных записях хранения. В общей папке Azure хранятся данные учетных записей хранения GPv2 на оборудовании на основе жестких дисков (HDD), они хранят данные учетных записей хранения файлов служба хранилища данные учетных записей хранения на оборудовании на основе твердотельных дисков (SSD). Дополнительные сведения см. в статье Создание общей папки Azure.

Создание общих папок Azure в учетных записях хранения, содержащих только общие папки Azure

служба хранилища учетные записи позволяют использовать разные службы хранения в одной учетной записи хранения. К этим службам хранилища относятся общие папки Azure, контейнеры BLOB-объектов и таблицы. Все службы хранения в одной учетной записи хранения используют одинаковые ограничения учетной записи хранения. Сочетание служб хранилища в одной учетной записи хранения затрудняет устранение проблем с производительностью.

Использование общих папок класса Premium для рабочих нагрузок, требующих высокой пропускной способности

Общие папки класса Premium развертываются в файлах служба хранилища учетных записей хранения и хранятся на оборудовании на основе твердотельных дисков (SSD). Эта настройка позволяет хранить и получать доступ к данным, требующим согласованной производительности, высокой пропускной способности и низкой задержки. (Например, эти общие папки класса Premium хорошо работают с базами данных.) Вы можете хранить другие рабочие нагрузки, которые менее чувствительны к изменчивости производительности в стандартных файловых ресурсах. Эти типы рабочих нагрузок включают общие папки общего назначения и среды разработки и тестирования. Дополнительные сведения см. в статье "Создание общей папки Azure".

Всегда требуется шифрование при доступе к общим папкам Azure

Всегда используйте шифрование при передаче при доступе к данным в общих папках Azure. (Шифрование во время передачи включено по умолчанию.) Файлы Azure разрешает подключение только в том случае, если оно сделано с помощью протокола, использующего шифрование, например S МБ 3.0. Клиенты, не поддерживающие S МБ 3.0, не смогут подключить общую папку Azure, если требуется шифрование при передаче.

Используйте VPN, если используется порт S МБ (порт 445) заблокирован

Многие поставщики услуг Интернета блокируют порт TCP 445, который используется для доступа к общим папкам Azure. Если разблокировка TCP-порта 445 не является вариантом, вы можете получить доступ к общим папкам Azure через подключение ExpressRoute или виртуальную частную сеть (VPN) (подключение типа "сеть — сеть" или "точка — сеть"), чтобы избежать блокировки трафика. Дополнительные сведения см. в статье "Настройка VPN типа "точка — сеть" (P2S) в Windows для использования с Файлы Azure и настройка VPN типа "сеть — сеть" для использования с Файлы Azure.

Рассмотрите возможность использования Синхронизация файлов Azure с общими папками Azure

Служба Синхронизация файлов Azure позволяет кэшировать общие папки Azure на локальном файловом сервере Windows Server. Если включить распределение по уровням в облаке, Синхронизация файлов помогает гарантировать, что файловый сервер всегда имеет свободное свободное место, даже если он предоставляет больше файлов, чем файловый сервер может хранить локально. Если у вас есть локальные файловые серверы Windows Server, рассмотрите возможность интеграции файловых серверов с общими папками Azure с помощью Синхронизация файлов Azure. Дополнительные сведения см. в разделе "Планирование Синхронизация файлов Azure развертывания".

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Масштабируемость

• Размер общей папки Azure ограничен 100 tebibytes (TiB). Минимальный размер общей папки отсутствует и не ограничивается количеством общих папок Azure.
• Максимальный размер файла в общей папке составляет 1 ТиБ, и количество файлов в общей папке не ограничено.
• Максимальное количество операций ввода-вывода в секунду (IOPS) для стандартной общей папки составляет 10 000 операций ввода-вывода и 100 000 операций ввода-вывода в секунду на общую папку уровня "Премиум".
• Максимальная пропускная способность для одной стандартной общей папки составляет до 300 мебит/с (MiB/sec) и до 6204 MiB/s для общих папок класса Premium.
• Ограничения операций ввода-вывода в секунду и пропускной способности относятся к учетной записи хранения Azure и используются для общих папок Azure в одной учетной записи хранения.
• Дополнительные сведения см. в статье Целевые показатели масштабируемости и производительности Файлов Azure.

Availability

• Общие папки Azure в настоящее время поддерживают следующие параметры избыточности данных:
  • Локально избыточное хранилище (LRS). Данные синхронно копируются три раза в одном физическом расположении в основном регионе. Эта практика защищает от потери данных из-за сбоев оборудования, таких как плохой диск.
  • Хранилище, избыточное между зонами (ZRS). Данные синхронно копируются в трех зонах доступности Azure в основном регионе. Зоны доступности — уникальные физические расположения в пределах одного региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия.
  • Геоизбыточное хранилище (GRS). Данные копируются синхронно три раза в одном физическом расположении в основном регионе с помощью LRS. Затем данные копируются асинхронно в одно физическое расположение в дополнительном регионе. Геоизбыточное хранилище предоставляет шесть копий данных, распространяемых между двумя регионами Azure.
  • Геоизбыточное хранилище (GZRS). Данные копируются синхронно в трех зонах доступности Azure в основном регионе с помощью ZRS. Затем данные копируются асинхронно в одно физическое расположение в дополнительном регионе.
• Общие папки класса Premium можно хранить только в локально избыточном хранилище (LRS) и хранилище, избыточном между зонами (ZRS). Стандартные общие папки можно хранить в LRS, ZRS, геоизбыточное хранилище (GRS) и геоизбыточное хранилище (GZRS). Дополнительные сведения см. в статье "Планирование развертывания Файлы Azure" и служба хранилища Azure избыточности.
• Файлы Azure — это облачная служба, и как и во всех облачных службах, для доступа к общим папкам Azure необходимо подключиться к Интернету. Настоятельно рекомендуется использовать избыточное решение для подключения к Интернету, чтобы избежать сбоев.

Управляемость

• Вы можете управлять общими папками Azure, используя те же средства, что и любая другая служба Azure. К этим средствам относятся портал Azure, интерфейс командной строки Azure и Azure PowerShell.
• Общие папки Azure применяют стандартные разрешения файлов Windows. Вы можете настроить разрешения на уровне каталога или файлов, подключая общую папку Azure и настраивая разрешения с помощью команды проводник, Windows icacls.exe или командлета Set-Acl Windows PowerShell.
• Моментальный снимок общей папки Azure можно использовать для создания только для чтения копии данных общей папки Azure. Создайте моментальный снимок общего ресурса на уровне общей папки. Затем можно восстановить отдельные файлы в портал Azure или в проводник, где можно также восстановить всю общую папку. Можно создать до 200 моментальных снимков на общую папку, что позволяет восстанавливать файлы на разные версии на момент времени. При удалении общей папки его моментальные снимки также удаляются. Моментальные снимки общих ресурсов являются добавочными. Сохраняются только данные, измененные с момента создания последнего моментального снимка. Эта практика сводит к минимуму время, необходимое для создания моментального снимка общего ресурса и экономии затрат на хранение. Моментальные снимки общих папок Azure также используются при защите общих папок Azure с помощью Azure Backup. Дополнительные сведения см. в разделе "Обзор моментальных снимков общих папок" для Файлы Azure.
• Чтобы предотвратить случайное удаление общих папок Azure, включите обратимое удаление для общих папок. Если вы удаляете общую папку при включенном обратимом удалении, общий файловый ресурс переходит в обратимое удаленное состояние вместо окончательного удаления. Вы можете настроить время восстановления обратимых удаленных данных до окончательного удаления и восстановления общей папки в любое время в течение этого периода хранения. Дополнительные сведения см. в статье "Включить обратимое удаление" в общих папках Azure.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

• Используйте проверку подлинности AD DS по протоколу S МБ для доступа к общим папкам Azure. Эта настройка обеспечивает тот же простой единый вход при доступе к общим папкам Azure, что и доступ к локальным общим папкам. Дополнительные сведения см. в разделе о работе и включении функций. Клиент должен быть присоединен к AD DS, так как проверка подлинности по-прежнему выполняется контроллером домена AD DS. Кроме того, необходимо назначить разрешения уровня общего доступа и уровня файлов или каталогов, чтобы получить доступ к данным. Назначение разрешений уровня общего доступа проходит через модель Azure RBAC. Разрешение на уровень файлов и каталогов управляется как списки управления доступом Windows.

  Примечание.

  Доступ к общим папкам Azure всегда проходит проверку подлинности. Общие папки Azure не поддерживают анонимный доступ. Помимо проверки подлинности на основе удостоверений по протоколу S МБ пользователи могут проходить проверку подлинности в общей папке Azure также с помощью ключа доступа к хранилищу и подписанного URL-адреса.

• Все данные, хранящиеся в общей папке Azure, шифруются неактивных с помощью шифрования службы хранилища Azure (SSE). SSE работает аналогично шифрованию диска BitLocker в Windows, где данные шифруются под уровнем файловой системы. По умолчанию хранимые в Файлах Azure данные шифруются с помощью ключей, управляемых корпорацией Майкрософт, С помощью ключей, управляемых корпорацией Майкрософт, корпорация Майкрософт поддерживает ключи для шифрования и расшифровки данных и регулярного управления ими. Вы также можете управлять собственными ключами, чтобы взять под контроль процесс их смены.

• Все учетные записи хранения Azure имеют шифрование при передаче по умолчанию. Эта настройка означает, что все обмен данными с общими папками Azure шифруются. Клиенты, которые не поддерживают шифрование, не могут подключаться к общим папкам Azure. При отключении шифрования при передаче клиенты, работающие под управлением старых операционных систем, например Windows Server 2008 R2 или более ранней версии Linux, также могут подключаться. В таких случаях данные не шифруются при передаче из общих папок Azure.

• По умолчанию клиенты могут подключаться к общей папке Azure в любом месте. Чтобы ограничить сети, из которых клиенты могут подключаться к общим папкам Azure, настроить брандмауэр, виртуальные сети и подключения к частной конечной точке. Дополнительные сведения см. в разделе "Настройка брандмауэров служба хранилища Azure" и "Настройка Файлы Azure сетевых конечных точек".

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

• Файлы Azure имеет два уровня хранилища и две модели ценообразования:
  • Стандартное хранилище: использует хранилище на основе HDD. Нет минимального размера общей папки, и вы платите только за используемое дисковое пространство. Кроме того, необходимо платить за операции с файлами, например перечисление каталога или чтение файла.
  • Хранилище класса Premium: использует хранилище на основе SSD. Минимальный размер общей папки уровня "Премиум" составляет 100 гибибайтов, и вы платите за подготовленное дисковое пространство. При использовании хранилища класса Premium все операции с файлами бесплатны.
• Дополнительные расходы связаны с моментальными снимками файлового ресурса и исходящими передачами данных. (При передаче данных из общих папок Azure входящий трафик предоставляется бесплатно.) Затраты на передачу данных зависят от объема передаваемых данных и единицы хранения запасов (SKU) шлюза виртуальной сети, если используется один из них. Дополнительные сведения о фактических затратах см. в разделе Файлы Azure цен и калькулятор цен Azure. Фактические затраты зависят от региона Azure и отдельного контракта. Чтобы получить дополнительные сведения о ценах, свяжитесь с торговым представителем Майкрософт.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Эндрю Кашлин | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о технологиях компонентов:

• Как создать общую папку Azure для инструкций по началу работы с общей папкой S МБ.
• Как создать общую папку NFS для инструкций по началу работы с общей папкой подключения NFS.
• Включите и создайте документацию по большим общим папкам для создания больших общих папок до 100 ТиБ.

Связанные ресурсы

Сведения о связанных архитектурах:

• Общей папке облачного облака Azure
• Гибридные службы файлов
• Резервное копирование файлов и приложений в Azure Stack Hub
• Несколько лесов с идентификатором AD DS и Microsoft Entra
• Несколько лесов с доменными службами AD DS, идентификатором Microsoft Entra и доменными службами Microsoft Entra
• Виртуальный рабочий стол Azure для предприятия