Изменить

Облачная общая папка Azure Enterprise

Azure DNS
Файлы Azure
Приватный канал Azure
Хранилище Azure
Виртуальная сеть Azure

Эта эталонная архитектура иллюстрирует облачное решение для совместного использования файлов корпоративного уровня, которое использует службы Azure, включая Файлы Azure, Синхронизация файлов Azure, azure Частная зона DNS и частную конечную точку Azure. Решение обеспечивает экономию средств за счет аутсорсинга управления файловым сервером и инфраструктурой, сохраняя при этом контроль над данными.

Архитектура

На следующей схеме показано, как клиенты могут получить доступ к общим папкам Azure.

  • Локально через файловый сервер распределения по уровням в облаке.
  • Удаленно через частный пиринг ExpressRoute или VPN-туннели в среде частной сети.

Схема облачных общих папок корпоративного уровня, на которой показано, как клиенты могут получить доступ к общим папкам Azure локально через файловый сервер распределения по уровням в облаке или удаленно через частный пиринг ExpressRoute или VPN-туннель в среде частной сети.

Скачайте файл Visio этой архитектуры.

Рабочий процесс

Облачное решение для общего доступа к файлам корпоративного уровня использует следующие методы для обеспечения того же взаимодействия с пользователем, что и традиционный общий доступ к файлам, но с общими папками Azure:

  • Использует Синхронизация файлов Azure для синхронизации списков контроль доступа файлов и папок (ACL) между локальными файловым сервером и общими папками Azure.
  • Использует функцию распределения по уровням в облаке из агента Синхронизация файлов Azure для локального кэширования часто используемых файлов.
  • Принудительно применяет проверку подлинности AD DS для общих папок Azure.
  • Обращается к общей папке и службам синхронизации файлов через частный IP-адрес через Приватный канал и частную конечную точку через частный пиринг ExpressRoute или VPN-туннель.

При реализации частной конечной точки Azure в Файлы Azure и Синхронизация файлов Azure доступ к общедоступной конечной точке отключается, чтобы доступ к Файлы Azure и Синхронизация файлов Azure был ограничен из виртуальной сети Azure.

Туннель vpn типа "сеть — сеть" частного пиринга ExpressRoute расширяет локальную сеть до виртуальной сети Azure. трафик Синхронизация файлов Azure и SMB из локальной среды в Файлы Azure и Синхронизация файлов Azure частные конечные точки ограничен только частным подключением. Во время перехода Файлы Azure разрешает подключение, только если оно установлено с помощью SMB 3.0 и более поздних версий. Подключения агента Синхронизация файлов Azure к общей папке Azure или службе синхронизации хранилища всегда шифруются. При хранении служба хранилища Azure автоматически шифрует данные при их сохранении в облаке, как и Файлы Azure.

Сопоставитель системы доменных имен (DNS) является критически важным компонентом решения. Каждая служба Azure, в данном случае Файлы Azure и Синхронизация файлов Azure, имеет полное доменное имя (FQDN). Полные доменные имена этих служб разрешаются в их общедоступные IP-адреса в следующих случаях:

  • Когда клиент обращается к общей папке Файлы Azure.
  • Когда агент Синхронизация файлов Azure, развернутый на локальном файловом сервере, обращается к службе Синхронизация файлов Azure.

После включения частной конечной точки частные IP-адреса выделяются в виртуальной сети Azure. Эти адреса разрешают доступ к этим службам через частное подключение, и те же полные доменные имена теперь должны разрешаться в частные IP-адреса. Для этого Файлы Azure и Синхронизация файлов Azure создать запись DNS канонического имени (CNAME) для перенаправления разрешения на частное доменное имя:

  • Имя *.afs.azure.net общедоступного домена Синхронизация файлов Azure получает перенаправление CNAME на имя частного домена *.<region>.privatelink.afs.azure.net.
  • Имя Файлы Azure общедоступного домена <name>.file.core.windows.net получает перенаправление CNAME на имя частного домена <name>.privatelink.file.core.windows.net.

Решение, показанное в этой архитектуре, правильно настраивает локальные параметры DNS таким образом, чтобы они разрешали частные доменные имена в частные IP-адреса с помощью следующих методов:

  • Частная зона DNS зоны (компоненты 11 и 12) создаются из Azure для предоставления разрешения частных имен для Синхронизация файлов Azure и Файлы Azure.
  • Частная зона DNS зоны связаны с виртуальной сетью Azure, чтобы DNS-сервер, развернутый в виртуальной сети, или частный сопоставитель DNS Azure (компонент 8) могли разрешать частные доменные имена.
  • Записи DNS A создаются для Файлы Azure и Синхронизация файлов Azure в частных зонах DNS. Инструкции по настройке конечных точек см. в разделах Настройка конечных точек сети Файлы Azure и Настройка конечных точек сети Синхронизация файлов Azure.
  • Локальный DNS-сервер (компонент 3) настраивает условную пересылку для пересылки domain afs.azure.net DNS-запроса и file.core.windows.net на DNS-сервер в виртуальной сети Azure (компонент 8).
  • После получения перенаправленного ЗАПРОСА DNS от локального DNS-сервера DNS-сервер (компонент 8) в виртуальной сети Azure использует рекурсивный сопоставитель Azure DNS для разрешения имен частных доменов и возврата частных IP-адресов клиенту.

Компоненты

Решение, показанное на схеме архитектуры, использует следующие компоненты:

  • Клиент (компонент 1 или 2). Как правило, клиентом является настольный компьютер Windows, Linux или Mac OSX, который может взаимодействовать с файловым сервером или Файлы Azure через протокол SMB.

  • Контроллер домена и DNS-серверы (компонент 3). Контроллер домена (DC) — это сервер, который отвечает на запросы проверки подлинности и проверяет пользователей в компьютерных сетях. DNS-сервер предоставляет службы разрешения имен между именами и IP-адресами компьютеров и пользователями. Контроллер домена и DNS-серверы можно объединить в один сервер или разделить на разные серверы.

  • Файловый сервер (компонент 4) — сервер, на котором размещаются общие папки и предоставляются службы общих папок по протоколу SMB.

  • Устройство CE/VPN (компонент 5) — пограничный маршрутизатор клиента (CE) или VPN-устройство используется для установки ExpressRoute или VPN-подключения к виртуальной сети Azure.

  • Azure ExpressRoute или Azure VPN-шлюз (компонент 6). Azure ExpressRoute — это служба, которая позволяет расширить локальную сеть в облако Майкрософт через частное подключение, которое поддерживается поставщиком услуг подключения. Azure VPN-шлюз — это конкретный тип шлюза виртуальной сети, который используется для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. ExpressRoute или VPN-шлюз устанавливает Подключение ExpressRoute или VPN к локальной сети.

  • Частная конечная точка Azure (компонент 7) — сетевой интерфейс, который подключает вас в частном порядке и безопасно к службе на платформе Приватный канал Azure. В этом решении Синхронизация файлов Azure частная конечная точка подключается к Синхронизация файлов Azure (9), а частная конечная точка Файлы Azure — к Файлы Azure (10).

  • DNS-сервер или частный сопоставитель DNS Azure (компонент 8) в экземпляре azure виртуальная сеть использует рекурсивный сопоставитель Azure DNS для разрешения имени частного домена и возврата частного IP-адреса клиенту после получения перенаправленного ЗАПРОСА DNS от локального DNS-сервера.

  • Синхронизация файлов Azure и распределение по уровням в облаке (компонент 9) — Синхронизация файлов Azure — это функция службы хранилища Azure для централизации общих папок вашей организации в Azure, сохраняя при этом гибкость, производительность и совместимость локального файлового сервера. Распределение по уровням в облаке — дополнительная функция Синхронизации файлов Azure, в которой часто используемые файлы кэшируются локально на сервере, а все другие файлы распределяются по уровням в файлах Azure на основе параметров политики.

  • Файлы Azure (компонент 10) — полностью управляемая служба, которая предлагает общие папки в облаке, доступные по стандартному отраслевому протоколу SMB. Файлы Azure реализует протокол SMB версии 3 и поддерживает проверку подлинности через доменные службы локальная служба Active Directory (AD DS) и azure доменные службы Active Directory (Azure AD DS). Общие папки из Файлы Azure могут быть подключены одновременно облачными или локальными развертываниями Windows, Linux и macOS. Кроме того, общие папки Azure можно кэшировать ближе к месту использования данных на серверах Windows Server с Синхронизация файлов Azure для быстрого доступа.

  • Azure Частная зона DNS (компоненты 11 и 12) — служба DNS, предлагаемая Azure, Частная зона DNS управляет и разрешает доменные имена в виртуальной сети без необходимости добавлять пользовательское решение DNS.

  • Azure Backup (компонент 13) — Azure Backup — это служба резервного копирования общих папок Azure, которая использует моментальные снимки общих папок для предоставления облачного решения для резервного копирования. Рекомендации см. в статье Потеря данных и резервное копирование.

Сведения о сценарии

Это решение позволяет получить доступ к общим папкам Azure в гибридной рабочей среде через виртуальную частную сеть между локальной сетью и виртуальными сетями Azure без доступа к Интернету. Он также позволяет контролировать и ограничивать доступ к файлам с помощью проверки подлинности Azure доменные службы Active Directory (AD DS).

Потенциальные варианты использования

Облачное решение для совместного использования файлов поддерживает следующие возможные варианты использования:

  • Метод lift-and-shift файлового сервера или файлового ресурса. Отменив и переключив их, вы устраняете необходимость в реструктуризации или переформате данных. Вы также сохраняете устаревшие приложения в локальной среде, используя преимущества облачного хранилища.
  • Ускорение облачных инноваций с повышением операционной эффективности. Снижает затраты на обслуживание оборудования и физического пространства, защищает от повреждения и потери данных.
  • Частный доступ к общим папкам Azure. Защищает от кражи данных.

Потоки трафика

После включения Синхронизация файлов Azure и Файлы Azure доступ к общим папкам Azure можно получить в двух режимах: режиме локального кэша или удаленном режиме. В обоих режимах клиент использует существующие учетные данные AD DS для проверки подлинности.

  • Режим локального кэша. Клиент обращается к файлам и общим папкам через локальный файловый сервер с включенным распределением по уровням в облаке. Когда пользователь открывает файл с локального файлового сервера, файловые данные либо подается из локального кэша файлового сервера, либо агент Синхронизация файлов Azure легко возвращает данные файлов из Файлы Azure. На схеме архитектуры для этого решения это происходит между компонентами 1 и 4.

  • Удаленный режим. Клиент обращается к файлам и общим папкам непосредственно из удаленной общей папки Azure. На схеме архитектуры для этого решения поток трафика проходит через компоненты 2, 5, 6, 7 и 10.

Синхронизация файлов Azure трафик проходит между компонентами 4, 5, 6 и 7, используя канал ExpressRoute для надежного подключения.

Запросы разрешения имен частного домена проходят через компоненты 3, 5, 6, 8, 11 и 12 , используя следующую последовательность:

  1. Клиент отправляет запрос на локальный DNS-сервер для разрешения Файлы Azure или Синхронизация файлов Azure DNS-имени.
  2. Локальный DNS-сервер имеет условный сервер пересылки, указывающий файл Azure и Синхронизация файлов Azure разрешение DNS-имен на DNS-сервер в виртуальной сети Azure.
  3. Запрос перенаправляется на DNS-сервер или частный сопоставитель DNS Azure в виртуальной сети Azure.
  4. В зависимости от конфигурации DNS виртуальной сети:
    • Если пользовательский DNS-сервер настроен, DNS-сервер в виртуальной сети Azure отправляет запрос на имя в рекурсивный сопоставитель DNS (168.63.129.16).
    • Если частный сопоставитель DNS Azure настроен и запрос соответствует частным зонам DNS, связанным с виртуальной сетью, обратитесь к этим зонам.
  5. Dns-сервер или частный сопоставитель DNS Azure возвращает частный IP-адрес после разрешения имени частного домена в соответствующую частную зону DNS. Он использует ссылки виртуальной сети Azure на Файлы Azure зону DNS и частную зону DNS Синхронизация файлов Azure.

Рекомендации

Эти рекомендации реализуют основные принципы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

При реализации этого решения учитывайте следующие моменты.

Планирование

Сеть

DNS

При управлении разрешением имен для частных конечных точек частные доменные имена Файлы Azure и Синхронизация файлов Azure разрешаются следующим образом:

На стороне Azure:

  • Если используется разрешение имен, предоставленное Azure, виртуальная сеть Azure должна связаться с подготовленными частными зонами DNS.
  • Если используется "собственный DNS-сервер", виртуальная сеть, в которой развернут собственный DNS-сервер, должна связаться с подготовленными частными зонами DNS.

На локальной стороне имя частного домена сопоставляется с частным IP-адресом одним из следующих способов:

  • Переадресация DNS на DNS-сервер, развернутый в виртуальной сети Azure, или частный сопоставитель DNS Azure, как показано на схеме.
  • Через локальный DNS-сервер, который настраивает зоны для частного домена <region>.privatelink.afs.azure.net и privatelink.file.core.windows.net. Сервер регистрирует IP-адреса Файлы Azure и Синхронизация файлов Azure частные конечные точки в качестве записей DNS A в соответствующих зонах DNS. Локальный клиент разрешает имя частного домена непосредственно с локального DNS-сервера.

Распределенная файловая система (DFS)

Что касается локального решения для совместного использования файлов, многие администраторы предпочитают использовать DFS, а не традиционный автономный файловый сервер. DFS позволяет администраторам консолидировать общие папки, которые могут существовать на нескольких серверах, чтобы они выглядели так, как будто все они находятся в одном расположении, позволяя пользователям получать к ним доступ из одной точки в сети. При переходе на облачное решение для общих папок традиционное развертывание DFS-R можно заменить Синхронизация файлов Azure развертыванием. Дополнительные сведения см. в статье Развертывание службы синхронизации файлов Azure (предварительная версия).

Потеря и резервное копирование данных

Потеря данных является серьезной проблемой для предприятий любого размера. Резервное копирование файловых ресурсов Azure использует моментальные снимки общих папок для предоставления облачного решения резервного копирования, которое защищает данные в облаке и устраняет дополнительные затраты на обслуживание, связанные с локальными решениями резервного копирования. К основным преимуществам резервного копирования общих папок Azure относятся:

  • Нулевая инфраструктура
  • Настраиваемое хранение
  • Встроенные возможности управления
  • Мгновенное восстановление
  • Оповещения и отчеты
  • Защита от случайного удаления общих папок

Дополнительные сведения см. в статье О резервном копировании файлового ресурса Azure.

Поддержка гибридных удостоверений в Файлы Azure

Хотя в этой статье описывается active Directory для проверки подлинности на Файлы Azure, azure Active Directory можно использовать для проверки подлинности гибридных удостоверений пользователей. Файлы Azure поддерживает проверку подлинности на основе удостоверений через серверный блок сообщений (SMB), используя протокол проверки подлинности Kerberos следующими тремя способами:

  • Локальные доменные службы Active Directory (AD DS)
  • доменные службы Azure Active Directory (Azure AD DS);
  • Kerberos в Azure Active Directory (Azure AD) только для удостоверений гибридных пользователей.

Дополнительные сведения см. в статье Включение проверки подлинности Kerberos Azure Active Directory для гибридных удостоверений в Файлы Azure (предварительная версия).

Безопасность

Безопасность обеспечивает гарантии от преднамеренных атак и злоупотреблений ценными данными и системами. Дополнительные сведения см. в статье Общие сведения о компонентах безопасности.

Защита от атак DDoS Azure уровня "Стандартный" в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Необходимо включить защиту от атак DDOS Azure уровня "Стандартный" в любой виртуальной сети периметра.

Аудит безопасности является необходимым требованием для обеспечения безопасности предприятия. Отраслевые стандарты требуют, чтобы предприятия соблюдали строгий набор правил, связанных с безопасностью и конфиденциальностью данных.

Аудит доступа к файлам

Аудит доступа к файлам можно включить локально и удаленно:

  • Локально с помощью динамического контроль доступа. Дополнительные сведения см. в статье Планирование аудита доступа к файлам.
  • Удаленно с помощью журналов службы хранилища Azure в Azure Monitor на Файлы Azure. Журналы службы хранилища Azure содержат журналы StorageRead, StorageWrite, StorageDelete и Transaction. Доступ к файлам Azure можно заносить в учетную запись хранения, рабочую область Log Analytics или передавать в концентратор событий отдельно. Дополнительные сведения см. в статье Мониторинг службы хранилища Azure.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально она была написана следующими участниками.

Основной автор:

  • Yingting Huang | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Дальнейшие действия