Использование гибридных служб файлов

Azure Active Directory
Azure ExpressRoute
Файлы Azure
Учетные записи службы хранилища Azure

В этой эталонной архитектуре показано, как использовать Синхронизация файлов Azure и Файлы Azure для расширения возможностей размещения файловых служб в облачных и локальных общих ресурсах.

Архитектура

Схема топологии гибридных файловой служб Azure.

Скачайте файл Visio этой архитектуры.

Рабочий процесс

Она состоит из следующих компонентов:

  • Учетная запись хранения Azure. Учетная запись хранения, используемая для размещения общих папок.
  • Файлы Azure. Бессерверный облачный файловый ресурс, предоставляющий облачную конечную точку связи синхронизации с помощью Синхронизация файлов Azure. Доступ к файлам в общей папке Azure можно получить напрямую по протоколу SMB или FileREST.
  • Группы синхронизации. Логические группы общих папок Azure и серверов под управлением Windows Server. Группы синхронизации развертываются в службе синхронизации хранилища, которая регистрирует серверы для использования с Синхронизация файлов Azure и содержит связи групп синхронизации.
  • Агент службы Синхронизации файлов Azure. Он устанавливается на компьютерах Windows Server для включения и настройки синхронизации с облачными конечными точками.
  • Серверы Windows. Локальные или облачные компьютеры Windows Server, на которых размещается общая папка, синхронизированная с общей папкой Azure.
  • Azure Active Directory. Клиент Azure Active Directory (Azure AD), используемый для синхронизации удостоверений в Azure и локальных средах.

Компоненты

Сведения о сценарии

Типичные способы использования этой архитектуры:

  • Размещение общих папок, которые должны быть доступны из облачных и локальных сред.
  • Синхронизация данных между несколькими локальными хранилищами данных с помощью одного облачного источника.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если у вас нет требования, которое их переопределяет.

Файлы Azure использование и развертывание

Файлы хранятся в облаке в бессерверных общих папках Azure. Их можно использовать двумя способами: путем прямого подключения (SMB) или локального кэширования с помощью Синхронизация файлов Azure. То, что необходимо учитывать при планировании развертывания, зависит от того, какой из двух способов вы выберете.

  • Прямое подключение общей папки Azure. Так как Файлы Azure предоставляет доступ по протоколу SMB, вы можете подключить общие папки Azure локально или в облаке с помощью стандартного клиента SMB, доступного в операционных системах Windows, macOS и Linux. Общие папки Azure являются бессерверными, поэтому их развертывание в рабочих сценариях не требует управления файловым сервером или устройством хранения, подключенным к сети (NAS). Это означает, что вам не нужно применять исправления программного обеспечения или подключать физические диски.
  • Кэшируйте общую папку Azure в локальной среде с помощью Синхронизация файлов Azure. Синхронизация файлов Azure позволяет централизовать общие папки организации в Файлы Azure, сохраняя при этом гибкость, производительность и совместимость локального файлового сервера. Это достигается путем преобразования локального или облачного Windows Server в быстрый кэш файлового ресурса Azure.

Развертывание службы синхронизации хранилища

Начните Синхронизация файлов Azure развертывание с развертывания ресурса службы синхронизации хранилища в группе ресурсов выбранной подписки. Рекомендуется подготовить как можно меньше объектов службы синхронизации хранилища. Вы создадите отношение доверия между серверами и этим ресурсом, и сервер можно зарегистрировать только в одной службе синхронизации хранилища. Поэтому рекомендуется развернуть столько служб синхронизации хранилища, сколько необходимо для разделения групп серверов. Помните, что серверы из разных служб синхронизации хранилища не могут синхронизироваться друг с другом.

Регистрация компьютеров Windows Server с помощью агента Синхронизация файлов Azure

Чтобы включить функцию синхронизации в Windows Server, необходимо установить загружаемый агент Синхронизации файлов Azure. Агент Синхронизация файлов Azure предоставляет два компонента main:

  • FileSyncSvc.exe. Фоновая служба Windows, которая отвечает за мониторинг изменений в конечных точках сервера и запуск сеансов синхронизации.
  • StorageSync.sys. Фильтр файловой системы, обеспечивающий распределение по уровням в облаке и ускорение аварийного восстановления.

Агент можно скачать со страницы загрузки агента Синхронизация файлов Azure в Центре загрузки Майкрософт.

Требования к операционной системе

Синхронизация файлов Azure поддерживается версиями Windows Server, перечисленными в следующей таблице.

Версия Поддерживаемые номера SKU Поддерживаемые варианты развертывания
Windows Server 2019 Центр обработки данных, Стандартный и Интернет вещей Полный и базовый
Windows Server 2016 Центр обработки данных, Стандартный и Сервер хранения Полный и базовый
Windows Server 2012 R2 Центр обработки данных, Стандартный и Сервер хранения Полный и базовый

Дополнительные сведения см. в статье Рекомендации для файлового сервера Windows.

Настройка групп синхронизации и облачных конечных точек

Группа синхронизации определяет топологию синхронизации для набора файлов. Конечные точки в группе синхронизации синхронизируются. Группа синхронизации должна содержать одну облачную конечную точку, представляющую общую папку Azure, и одну или несколько конечных точек сервера. Конечная точка сервера представляет путь на зарегистрированном сервере. У сервера конечные точки могут быть в нескольких группах синхронизации. Вы можете создать необходимое число групп синхронизации, чтобы соответствующим образом описать желаемую топологию синхронизации.

Облачная конечная точка — это указатель на общую папку Azure. Все конечные точки сервера будут синхронизироваться с облачной конечной точкой, превращая ее в центр. Учетная запись хранения файлового ресурса Azure должна располагаться в том же регионе, что и служба синхронизации хранилища. Синхронизируется весь общий файловый ресурс Azure, за одним исключением: подготавливается специальная папка, сравнимая со скрытой папкой сведений о системном томе на томе ФАЙЛОВОЙ системы NT (NTFS). Этот каталог называется . SystemShareInformation и содержит важные метаданные синхронизации, которые не синхронизируются с другими конечными точками.

Настройка конечных точек сервера

Конечная точка сервера представляет собой определенное расположение на зарегистрированном сервере, например папку в томе сервера. Конечная точка сервера должна быть путем на зарегистрированном сервере (а не подключенной общей папкой) и использовать распределение по уровням в облаке. Путь к конечной точке сервера должен находиться на томе, отличном от системы. NAS не поддерживается.

Связи файловых ресурсов Azure с общими папками Windows

По возможности следует развертывать общие папки Azure один к одному с общими папками Windows. Объект конечной точки сервера обеспечивает высокую степень гибкости настройки топологии синхронизации на стороне сервера в отношении синхронизации. Чтобы упростить управление, необходимо, чтобы путь к конечной точке сервера совпадал с путем к файловому ресурсу Windows.

Использование минимального числа служб синхронизации хранилища. Это упрощает управление при наличии групп синхронизации, содержащих несколько конечных точек сервера, так как Windows Server может быть зарегистрирован только в одной службе синхронизации хранилища за раз.

При развертывании общих папок Azure обратите внимание на ограничения операций ввода-вывода в секунду для учетной записи хранения. Идеальным вариантом является сопоставление общих папок "один к одному" с учетными записями хранения. Это не всегда возможно из-за различных ограничений и ограничений в вашей организации и Azure. Если невозможно развернуть только одну общую папку в учетной записи хранения, убедитесь, что наиболее активные общие папки не размещены в одной учетной записи хранения.

Рекомендации по топологии: брандмауэры, пограничные сети и подключение прокси-сервера

Рассмотрим следующие рекомендации по топологии решений.

Брандмауэр и фильтрация трафика

В зависимости от политик вашей организации или уникальных нормативных требований может потребоваться ограничить обмен данными с Azure. Таким образом, Синхронизация файлов Azure предоставляет несколько механизмов для настройки сети. В зависимости от требований вам доступны следующие возможности.

  • Туннелирование трафика синхронизации и отправки файлов и скачивания через Azure ExpressRoute или виртуальную частную сеть Azure (VPN).
  • Используйте Файлы Azure и сетевые функции Azure, такие как конечные точки службы и частные конечные точки.
  • Настройка Синхронизации файлов Azure для поддержки прокси-сервера в вашей среде.
  • Регулирование сетевой активности в Синхронизации файлов Azure.

Дополнительные сведения о Синхронизации файлов Azure и работе в сети см. в статье Синхронизация файлов Azure, рекомендации по сетям.

настройка прокси-серверов;

Многие организации используют прокси-сервер в качестве посредника между ресурсами в своей локальной сети и ресурсами вне своей сети, например в Azure. Прокси-серверы полезны для многих приложений, таких как сетевая изоляция и безопасность, а также мониторинг и ведение журнала. Синхронизация файлов Azure может полностью взаимодействовать с прокси-сервером, однако необходимо вручную настроить параметры конечной точки прокси-сервера для среды с помощью Синхронизация файлов Azure. Это можно сделать с помощью командлетов сервера Синхронизация файлов Azure в Azure PowerShell.

Дополнительные сведения о настройке Синхронизация файлов Azure с прокси-сервером см. в разделе Синхронизация файлов Azure параметры прокси-сервера и брандмауэра.

Рекомендации

Эти рекомендации реализуют основные принципы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

надежность;

Надежность гарантирует, что приложение может выполнить обязательства, которые вы делаете перед клиентами. Дополнительные сведения см. в статье Общие сведения о принципах надежности.

  • Следует учитывать тип и производительность учетной записи хранения, используемой для размещения общих папок Azure. На все ресурсы хранилища, развернутые в учетной записи хранения, распространяются ограничения, которые применяются к этой учетной записи хранения. Дополнительные сведения об определении текущих ограничений для учетной записи хранения см. в статье целевые показатели масштабируемости и производительности Файлы Azure.
  • Существует два main типа учетных записей хранения для развертываний Файлы Azure.
    • Учетные записи хранения общего назначения версии 2 (GPv2). Учетные записи хранения GPv2 позволяют развертывать общие папки Azure на стандартном оборудовании на основе жестких дисков (HDD). Помимо хранения общих папок Azure, учетные записи хранения GPv2 могут хранить другие ресурсы хранилища, такие как контейнеры BLOB-объектов, очереди и таблицы.
    • Учетные записи хранения FileStorage. Учетные записи хранения FileStorage позволяют развертывать общие папки Azure на оборудовании на основе твердотельных дисков (SSD) уровня "Премиум". Учетные записи FileStorage можно использовать только для хранения общих папок Azure. Вы не можете развернуть другие ресурсы хранилища, такие как контейнеры BLOB-объектов, очереди и таблицы, в учетной записи FileStorage.
  • По умолчанию стандартные общие папки могут охватывать не более 5 терабайт (ТиБ), хотя ограничение общего ресурса может быть увеличено до 100 ТиБ. Для этого необходимо включить функцию большой общей папки на уровне учетной записи хранения. В учетных записях хранения класса Premium (учетных записях хранения FileStorage) нет флага функции больших общих папок, так как для всех общих папок уровня "Премиум" уже включена подготовка до полной емкости в 100 ТиБ. Вы можете включить большие общие папки только в локально избыточных учетных записях хранения или учетных записях хранения уровня "Стандартный" с избыточностью между зонами. После включения флага функции большой общей папки невозможно изменить уровень избыточности на геоизбыточное хранилище или геоизбыточное между зонами хранилище. Чтобы включить большие общие папки в существующей учетной записи хранения, включите параметр Большой общий файловый ресурс в представлении Конфигурация связанной учетной записи хранения.
  • Убедитесь, что Синхронизация файлов Azure поддерживается в регионах, где развертывается решение. Дополнительные сведения см. в статье Доступность региона синхронизации файлов Azure.
  • Убедитесь, что службы, указанные в разделе Архитектура, поддерживаются в регионе, где развертывается архитектура гибридных файловых служб.
  • Чтобы защитить данные в общих папках Azure от потери или повреждения данных, во всех общих папках Azure хранится несколько копий каждого файла по мере его записи. В зависимости от требований рабочей нагрузки можно выбрать дополнительные степени избыточности.
  • Предыдущие версии — это функция Windows, которая позволяет использовать моментальные снимки службы теневого копирования томов (VSS) на стороне сервера для представления восстанавливаемых версий файла клиенту SMB. Моментальные снимки VSS и предыдущие версии работают независимо от Синхронизации файлов Azure. Однако распределение по уровням в облаке должно быть установлено в совместимый режим. На одном томе может существовать множество конечных точек сервера Синхронизации файлов Azure. Необходимо выполнить следующий вызов PowerShell для каждого тома, который имеет даже одну конечную точку сервера, где планируется или используется распределение по уровням в облаке. Дополнительные сведения о предыдущих версиях и VSS см. в разделах Самостоятельное восстановление с помощью предыдущих версий и VSS (служба теневого копирования томов).

Безопасность

Безопасность обеспечивает гарантии от преднамеренных атак и злоупотреблений ценными данными и системами. Дополнительные сведения см. в статье Общие сведения о принципах безопасности.

  • Синхронизация файлов Azure работает со стандартным удостоверением доменные службы Active Directory (AD DS) без каких-либо особых настроек, помимо настройки Синхронизация файлов Azure. При использовании Синхронизация файлов Azure доступ к файлам обычно осуществляется через серверы кэширования Синхронизация файлов Azure, а не через общую папку Azure. Так как конечные точки сервера находятся на компьютерах Windows Server, единственным требованием для интеграции удостоверений является использование присоединенных к домену файловых серверов Windows для регистрации в службе синхронизации хранилища. Синхронизация файлов Azure хранит списки управления доступом (ACL) для файлов в общей папке Azure и реплицирует их на все конечные точки сервера.
  • Несмотря на то, что изменения, внесенные непосредственно в общую папку Azure, занимают больше времени для синхронизации с конечными точками сервера в группе синхронизации, вам может потребоваться обеспечить принудительное применение разрешений AD DS к общей папке непосредственно в облаке. Для этого необходимо присоединить учетную запись хранения к локальному домену AD DS так же, как файловые серверы Windows присоединены к домену. Дополнительные сведения о присоединении учетной записи хранения к экземпляру AD DS, принадлежащей клиенту, см. в статье Обзор Файлы Azure параметров проверки подлинности на основе удостоверений для доступа по протоколу SMB.
  • При использовании Синхронизация файлов Azure необходимо учитывать три разных уровня шифрования:
    • Шифрование неактивных данных, хранящихся в Windows Server. Существуют две стратегии шифрования данных на сервере Windows Server, которые обычно подходят для Синхронизации файлов Azure: шифрование под файловой системой, так что файловая система и все данные, записанные в нее, шифруются, и шифрование в самом формате файла. При необходимости эти методы можно использовать вместе, так как их цели различаются.
    • Шифрование при передаче между агентом Синхронизация файлов Azure и Azure. Синхронизация файлов Azure агент взаимодействует со службой синхронизации хранилища и общей папкой Azure с помощью протокола REST Синхронизация файлов Azure и fileREST, которые всегда используют ПРОТОКОЛ HTTPS через порт 443. Синхронизация файлов Azure не отправляет незашифрованные запросы по протоколу HTTP.
    • Шифрование неактивных данных, хранящихся в общей папке Azure. Все данные, хранящиеся в Файлы Azure, шифруются при хранении с помощью шифрования службы хранилища Azure (SSE). Шифрование службы хранилища работает так же, как BitLocker в Windows: данные шифруются на уровне файловой системы. Так как данные шифруются в файловой системе общей папки Azure при кодировании на диске, вам не нужен доступ к базовому ключу на клиенте для чтения или записи в общую папку Azure.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Эффективность операционных процессов

Эффективность работы охватывает операционные процессы, которые развертывают приложение и сохраняют его работу в рабочей среде. Дополнительные сведения см. в статье Общие сведения о принципе эффективности операций.

  • Агент службы синхронизации файлов Azure обновляется на регулярной основе. Это позволяет добавлять новые возможности и устранять ошибки. Корпорация Майкрософт рекомендует настроить Центр обновления Майкрософт для предоставления обновлений для агента Синхронизация файлов Azure по мере их доступности. Дополнительные сведения см. в разделе Политика обновления агента службы "Синхронизация файлов Azure".
  • Служба хранилища Azure предлагает обратимое удаление общих папок, чтобы вы могли восстановить данные, если они были по ошибке удалены приложением или другим пользователем учетной записи хранения. Дополнительные сведения о обратимом удалении см. в статье Включение обратимого удаления в общих папках Azure.
  • Распределение по уровням в облаке — это необязательная функция Синхронизация файлов Azure, которая кэширует часто используемые файлы локально на сервере, а остальные уровни Файлы Azure на основе параметров политики. При изменении уровня файла фильтр файловой системы Синхронизация файлов Azure (StorageSync.sys) заменяет файл локально указателем на файл в Файлы Azure. Многоуровневый файл имеет как автономный атрибут, так и атрибут FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS , заданный в NTFS, чтобы сторонние приложения могли безопасно идентифицировать многоуровневые файлы. Дополнительные сведения см. в статье Обзор распределения по уровням в облаке.

Дальнейшие действия

Связанное руководство по гибридной работе:

Связанные архитектуры: