Облачная общая папка Azure Enterprise

Эта эталонная архитектура иллюстрирует решение для совместного использования облачных файлов корпоративного уровня, которое использует службы Azure, включая Файлы Azure, Синхронизация файлов Azure, Azure Частная зона DNS и частную конечную точку Azure. Решение создает экономию средств путем аутсорсинга управления файловыми серверами и инфраструктурой при сохранении контроля над данными.

Архитектура

На следующей схеме показано, как клиенты могут получить доступ к общим папкам Azure:

• Локально через файловый сервер уровня облака.
• Удаленно через частный пиринг ExpressRoute или VPN-туннели в частной сетевой среде.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Решение для совместного использования облачных файлов корпоративного уровня использует следующие методы, чтобы обеспечить тот же пользовательский интерфейс, что и традиционный общий доступ к файлам, но с общими папками Azure:

• Использует Синхронизация файлов Azure для синхронизации файлов и папок контроль доступа списков (ACL) между локальными файловыми серверами и общими папками Azure.
• Использует функцию распределения по уровням облака из агента Синхронизация файлов Azure для кэширования часто доступных файлов локально.
• Применяет проверку подлинности AD DS по общим папкам Azure.
• Обращается к общей папке и службам синхронизации файлов через частный IP-адрес через Приватный канал и частную конечную точку через частный пиринг ExpressRoute или VPN-туннель.

Реализуя частную конечную точку Azure на Файлы Azure и Синхронизация файлов Azure, доступ к общедоступной конечной точке отключен, чтобы доступ к Файлы Azure и Синхронизация файлов Azure был ограничен из виртуальной сети Azure.

Туннель VPN-подключения типа "сеть — сеть" ExpressRoute расширяет локальную сеть в виртуальной сети Azure. Синхронизация файлов Azure и трафик блока сообщений сервера (S МБ) из локальной среды в Файлы Azure и Синхронизация файлов Azure частные конечные точки ограничены только частным подключением. Во время перехода Файлы Azure разрешает только подключение, если оно сделано с помощью S МБ 3.0+. Подключение, сделанные из агента Синхронизация файлов Azure в общую папку Azure или службу синхронизации служба хранилища, всегда шифруются. При хранении служба хранилища Azure автоматически шифрует данные при сохранении в облаке, как и Файлы Azure.

Сопоставитель системы доменных имен (DNS) является критически важным компонентом решения. Каждая служба Azure, в данном случае Файлы Azure и Синхронизация файлов Azure, имеет полное доменное имя (FQDN). Полные доменные имена этих служб разрешаются на их общедоступные IP-адреса в следующих случаях:

• Когда клиент обращается к общей папке Файлы Azure.
• Когда агент Синхронизация файлов Azure, развернутый на локальном файловом сервере, обращается к службе Синхронизация файлов Azure.

После включения частной конечной точки частные IP-адреса выделяются в виртуальной сети Azure. Эти адреса разрешают доступ к этим службам через частное подключение, а те же полные доменные имена теперь должны разрешаться на частные IP-адреса. Для этого Файлы Azure и Синхронизация файлов Azure создать каноническую запись DNS-имени (CNAME) для перенаправления разрешения на частное доменное имя:

• Имя *.afs.azure.net общедоступного домена Синхронизация файлов Azure получает перенаправление CNAME на частное доменное имя*.<region>.privatelink.afs.azure.net.
• Имя общедоступного домена <name>.file.core.windows.net Файлы Azure получает перенаправление CNAME на частное доменное имя<name>.privatelink.file.core.windows.net.

Решение, показанное в этой архитектуре, правильно настраивает локальные параметры DNS, чтобы разрешить частные доменные имена частным IP-адресам с помощью следующих методов:

• Частная зона DNS зоны (компоненты 11 и 12) создаются из Azure для предоставления разрешения частных имен для Синхронизация файлов Azure и Файлы Azure.
• Частная зона DNS зоны связаны с виртуальной сетью Azure, чтобы DNS-сервер, развернутый в виртуальной сети, или частный сопоставитель DNS Azure (компонент 8) может разрешать частные доменные имена.
• Записи DNS A создаются для Файлы Azure и Синхронизация файлов Azure в частных зонах DNS. Инструкции по настройке конечной точки см. в разделе "Настройка Файлы Azure сетевых конечных точек" и "Настройка Синхронизация файлов Azure сетевых конечных точек".
• Локальный DNS-сервер (компонент 3) настраивает условное перенаправление для пересылки DNS-запроса domain afs.azure.net и file.core.windows.net DNS-сервера в виртуальной сети Azure (компонент 8).
• Получив пересылаемый DNS-запрос из локального DNS-сервера, DNS-сервер (компонент 8) в виртуальной сети Azure использует рекурсивный сопоставитель Azure DNS для разрешения частных доменных имен и возврата частных IP-адресов клиенту.

Компоненты

Решение, показанное на схеме архитектуры, использует следующие компоненты:

• Клиент (компонент 1 или 2) — обычно клиент является настольным компьютером Windows, Linux или Mac OSX, который может взаимодействовать с файловыми серверами или Файлы Azure через протокол S МБ.

• Контроллер домена и DNS-серверы (компонент 3) — это сервер контроллера домена (DC), который отвечает на запросы проверки подлинности и проверяет пользователей в сетях компьютеров. DNS-сервер предоставляет службы разрешения имен с ip-адресами компьютера компьютерам и пользователям. Контроллер домена и DNS-серверы могут объединяться в один сервер или быть разделены на разные серверы.

• Файловый сервер (компонент 4) — сервер, на котором размещены общие папки и предоставляет службы файлового ресурса через протокол S МБ.

• CE/VPN-устройство (компонент 5) — пограничный маршрутизатор клиента (CE) или VPN-устройство используется для установки expressRoute или VPN-подключения к виртуальной сети Azure.

• Azure ExpressRoute или Azure VPN-шлюз (компонент 6) — Azure ExpressRoute — это служба, которая позволяет расширить локальную сеть в облако Майкрософт через частное подключение, которое упрощает поставщик подключений. Azure VPN-шлюз — это определенный тип шлюза виртуальной сети, который используется для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. ExpressRoute или VPN-шлюз устанавливает подключение ExpressRoute или VPN к локальной сети.

• Частная конечная точка Azure (компонент 7) — сетевой интерфейс, который подключает вас к службе, защищенной Приватный канал Azure. В этом решении Синхронизация файлов Azure частная конечная точка подключается к Синхронизация файлов Azure (9), а частнаяконечная точка Файлы Azure подключается к Файлы Azure (10).

• DNS-сервер или частный сопоставитель DNS Azure (компонент 8) в экземпляре Azure виртуальная сеть использует рекурсивный сопоставитель Azure DNS для разрешения частного доменного имени и возврата частного IP-адреса клиенту после получения перенаправленного DNS-запроса с локального DNS-сервера.

• Синхронизация файлов Azure и распределение по уровням в облаке (компонент 9) — Синхронизация файлов Azure — это функция служба хранилища Azure для централизации общих папок организации в Azure, сохраняя гибкость, производительность и совместимость локального файлового сервера. Распределение по уровням в облаке — дополнительная функция Синхронизации файлов Azure, в которой часто используемые файлы кэшируются локально на сервере, а все другие файлы распределяются по уровням в файлах Azure на основе параметров политики.

• Файлы Azure (компонент 10) — полностью управляемая служба, которая предлагает общие папки в облаке, доступную через стандартный протокол S МБ. Файлы Azure реализует протокол S МБ версии 3 и поддерживает проверку подлинности через доменные службы локальная служба Active Directory (AD DS) и доменные службы Microsoft Entra (доменные службы Microsoft Entra). Общие папки из Файлы Azure могут быть подключены одновременно облачными или локальными развертываниями Windows, Linux и macOS. Кроме того, общие папки Azure можно кэшировать ближе к месту использования данных на серверах Windows с Синхронизация файлов Azure для быстрого доступа.

• Azure Частная зона DNS (компоненты 11 и 12) — служба DNS, предлагаемая Azure, Частная зона DNS управляет и разрешает доменные имена в виртуальной сети без необходимости добавлять пользовательское решение DNS.

• Azure Backup (компонент 13). Azure Backup — это служба резервного копирования общих папок Azure, использующая моментальные снимки файлового ресурса для предоставления облачного решения для резервного копирования. Рекомендации см. в разделе "Потеря данных и резервное копирование".

Подробности сценария

Это решение позволяет получить доступ к общим папкам Azure в гибридной рабочей среде через виртуальную частную сеть между локальными и виртуальными сетями Azure без обхода Интернета. Кроме того, он позволяет контролировать и ограничивать доступ к файлам с помощью проверки подлинности доменных служб Microsoft Entra (AD DS).

Потенциальные варианты использования

Решение для совместного использования облачных файлов поддерживает следующие потенциальные варианты использования:

• Файловый сервер или файловый ресурс лифт и сдвиг. При отмене и перемещении необходимо устранить необходимость реструктурирования или переформатирования данных. Вы также сохраняете устаревшие приложения в локальной среде при использовании облачного хранилища.
• Ускорение облачных инноваций с повышением эффективности работы. Снижает затраты на обслуживание оборудования и физического пространства, защищает от повреждения данных и потери данных.
• Частный доступ к общим папкам Azure. Защищает от кражи данных.

Потоки трафика

После включения Синхронизация файлов Azure и Файлы Azure общие папки Azure можно получить в двух режимах, режиме локального кэша или удаленном режиме. В обоих режимах клиент использует существующие учетные данные AD DS для проверки подлинности.

• Режим локального кэша— клиент обращается к файлам и общим папкам через локальный файловый сервер с включенным распределением по уровням в облаке. Когда пользователь открывает файл с локального файлового сервера, данные файлов либо обслуживались из локального кэша файлового сервера, либо агент Синхронизация файлов Azure легко вспоминает данные файла из Файлы Azure. На схеме архитектуры для этого решения происходит между компонентом 1 и 4.

• Удаленный режим. Клиент обращается к файлам и общим папкам непосредственно из удаленной общей папки Azure. На схеме архитектуры для этого решения поток трафика проходит через компоненты 2, 5, 6, 7 и 10.

Синхронизация файлов Azure трафик перемещается между компонентами 4, 5, 6 и 7, используя канал ExpressRoute для надежного подключения.

Запросы разрешения частных доменных имен проходят через компоненты 3, 5, 6, 8, 11 и 12 с помощью следующей последовательности:

1. Клиент отправляет запрос на локальный DNS-сервер для разрешения Файлы Azure или Синхронизация файлов Azure DNS-имени.
2. Локальный DNS-сервер имеет условный сервер пересылки, указывающий разрешение DNS-имен Azure и Синхронизация файлов Azure разрешение DNS-имен на DNS-сервер в виртуальной сети Azure.
3. Запрос перенаправляется на DNS-сервер или частный сопоставитель DNS Azure в виртуальной сети Azure.
4. В зависимости от конфигурации DNS виртуальной сети:
   • Если настраивается пользовательский DNS-сервер, DNS-сервер в виртуальной сети Azure отправляет запрос имени в предоставленный DNS Azure (168.63.129.16) рекурсивный сопоставитель.
   • Если настроен частный сопоставитель DNS Azure, а запрос соответствует частным зонам DNS, связанным с виртуальной сетью, эти зоны рассматриваются.
5. Dns-сервер или частный сопоставитель DNS Azure возвращает частный IP-адрес после разрешения имени частного домена в соответствующую частную зону DNS. Он использует ссылки виртуальной сети Azure на зону DNS Файлы Azure и частную зону DNS Синхронизация файлов Azure.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

При реализации этого решения следует учитывать следующие моменты.

Планирование

• Сведения о планировании Синхронизация файлов Azure см. в статье "Планирование Синхронизация файлов Azure развертывания".
• Сведения о планировании Файлы Azure см. в статье "Планирование развертывания Файлы Azure".

Сеть

• Рекомендации по Синхронизация файлов Azure сети см. в Синхронизация файлов Azure рекомендации по работе с сетями.
• Рекомендации по Файлы Azure сети см. в Файлы Azure рекомендации по работе с сетями.

DNS

При управлении разрешением имен для частных конечных точек частные доменные имена Файлы Azure и Синхронизация файлов Azure разрешаются следующим образом:

Со стороны Azure:

• Если используется разрешение имен, предоставленное Azure, виртуальная сеть Azure должна связаться с подготовленными частными зонами DNS.
• Если используется собственный DNS-сервер, виртуальная сеть, в которой развертывается собственный DNS-сервер, должна связаться с подготовленными частными зонами DNS.

С локальной стороны частное доменное имя сопоставляется с частным IP-адресом одним из следующих способов:

• При переадресации DNS на DNS-сервер, развернутый в виртуальной сети Azure или частном сопоставителя DNS Azure, как показано на схеме.
• Через локальный DNS-сервер, который настраивает зоны для частного домена <region>.privatelink.afs.azure.net и privatelink.file.core.windows.net. Сервер регистрирует IP-адреса Файлы Azure и Синхронизация файлов Azure частных конечных точек в качестве записей DNS A в соответствующие зоны DNS. Локальный клиент разрешает частное доменное имя непосредственно с локального DNS-сервера.

Распределенная файловая система (DFS)

Когда дело доходит до локального решения для общего доступа к файлам, многие администраторы предпочитают использовать DFS, а не традиционный автономный файловый сервер. DFS позволяет администраторам консолидировать общие папки, которые могут существовать на нескольких серверах, чтобы они отображались так, как будто все они живут в одном расположении, позволяя пользователям получать доступ к ним из одной точки в сети. При переходе в облачное решение для общей папки традиционное развертывание DFS-R можно заменить на Синхронизация файлов Azure развертывания. Дополнительные сведения см. в статье Развертывание службы синхронизации файлов Azure (предварительная версия).

Потеря данных и резервное копирование

Потеря данных является серьезной проблемой для предприятий всех размеров. Резервное копирование файловых ресурсов Azure использует моментальные снимки файлового ресурса для предоставления облачного решения резервного копирования, которое защищает данные в облаке и устраняет дополнительные затраты на обслуживание, связанные с локальными решениями по резервному копированию. Ключевыми преимуществами резервного копирования общих папок Azure являются следующие:

• Нулевая инфраструктура
• Настраиваемое хранение
• Встроенные возможности управления
• Мгновенное восстановление
• Оповещения и отчеты
• Защита от случайного удаления общих папок

Дополнительные сведения см. в статье "О резервном копировании файлового ресурса Azure"

Поддержка гибридных удостоверений в Файлы Azure

Хотя в этой статье описывается Active Directory для проверки подлинности в Файлы Azure, можно использовать идентификатор Microsoft Entra для проверки подлинности гибридных удостоверений пользователей. Файлы Azure поддерживает проверку подлинности на основе удостоверений через блок сообщений сервера (S МБ), используя протокол проверки подлинности Kerberos с помощью следующих трех методов:

• Локальные доменные службы Active Directory (AD DS)
• Доменные службы Microsoft Entra (доменные службы Microsoft Entra)
• Microsoft Entra Kerberos (Идентификатор Microsoft Entra) только для гибридных удостоверений пользователей

Дополнительные сведения см. в статье "Включение проверки подлинности Microsoft Entra Kerberos для гибридных удостоверений в Файлы Azure (предварительная версия)".

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Защита от атак DDoS Azure в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Необходимо включить защиту от атак DDOS Azure в любой виртуальной сети периметра.

Аудит безопасности является необходимым требованием для поддержания безопасности предприятия. Отраслевые стандарты требуют, чтобы предприятия соблюдали строгий набор правил, связанных с безопасностью и конфиденциальностью данных.

Аудит доступа к файлам

Аудит доступа к файлам можно включить локально и удаленно:

• Локально с помощью динамической контроль доступа. Дополнительные сведения см. в разделе "Планирование аудита доступа к файлам".
• Удаленно с помощью журналов служба хранилища Azure в Azure Monitor на Файлы Azure. журналы служба хранилища Azure содержат журналы служба хранилища Read, служба хранилища Write, служба хранилища Delete и журналы транзакций. Доступ к файлам Azure можно записывать в учетную запись хранения, рабочую область log analytics или передаваться в концентратор событий отдельно. Дополнительные сведения см. в разделе "Мониторинг служба хранилища Azure".

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Yingting Huang | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Планирование развертывания Файлов Azure
• Как развернуть службу файлов Azure
• Рекомендации по работе с сетями Файлов Azure
• Настройка сетевых конечных точек Файлов Azure
• Мониторинг службы хранилища Azure
• Планирование для аудита доступа к файлам
• Резервное копирование файловых ресурсов Azure
• Обзор: локальная проверка подлинности доменных служб Active Directory с помощью SMB для общих папок Azure
• Как развернуть службу синхронизации файлов Azure (предварительная версия)
• Настройка конечных точек сети Синхронизация файлов Azure
• Общие сведения об уровне облака
• Создание подключения типа "сеть — сеть" на портале Azure;
• Каналы и пиринг ExpressRoute
• Создание и изменение пиринга для канала ExpressRoute
• Сведения о резервном копировании файлового ресурса Azure
• Что такое частный сопоставитель Azure DNS
• Включение проверки подлинности Microsoft Entra Kerberos для гибридных удостоверений на Файлы Azure (предварительная версия)

Связанные ресурсы

• Общей папке облачного облака Azure
• Доступ к файлам Azure, доступ к локальным и защищенным AD DS
• Гибридные службы файлов
• Использование общих папок Azure в гибридной среде
• Гибридная общая папка с функцией аварийного восстановления для удаленных и локальных рабочих ролей филиалов