Планирование развертывания Файлы Azure
Вы можете развернуть Файлы Azure двумя основными способами: путем непосредственного подключения бессерверных общих папок Azure или кэширования локальных общих папок Azure с помощью Синхронизация файлов Azure. Рекомендации по развертыванию будут отличаться в зависимости от выбранного варианта.
Прямое подключение к общей папке Azure. Так как служба "Файлы Azure" предоставляет доступ к серверу SMB или NFS, можно подключать общие папки Azure локально или в облаке с помощью стандартных клиентов SMB или NFS, доступных в вашей ОС. Поскольку общие папки Azure работают без сервера, развертывание в рабочей среде не требует настройки файлового сервера или устройства NAS. Это означает, что вам не нужно применять исправления программного обеспечения или подключать физические диски.
Кэширование общей папки Azure локально с помощью службы "Синхронизация файлов Azure". Вы можете использовать службу Синхронизация файлов Azure, чтобы централизованно хранить общие папки организации в службе "Файлы Azure", обеспечивая гибкость, производительность и совместимость локального файлового сервера. Синхронизация файлов Azure преобразует локальный или облачный экземпляр Windows Server в быстрый кэш общей папки SMB Azure.
В этой статье в первую очередь рассматриваются вопросы развертывания файлового ресурса Azure, который напрямую подключается к локальному или облачному клиенту. Сведения о планировании развертывания Синхронизации файлов Azure см. в разделе Планирование развертывания Синхронизации файлов Azure.
Доступные протоколы
Служба "Файлы Azure" предлагает два стандартных отраслевых протокола файловой системы для подключения общих папок Azure: SMB и NFS. Вы можете выбрать протокол, который лучше всего подходит для вашей рабочей нагрузки. Общие папки Azure не поддерживают протоколы SMB и NFS в одной общей папке, хотя вы можете создавать общие папки SMB и NFS Azure в одной учетной записи хранения. NFS 4.1 в настоящее время поддерживает только новый тип учетной записи хранения FileStorage (только для общих папок цен. категории "Премиум").
При использовании общих папок SMB и NFS Файлы Azure предоставляют общие папки корпоративного класса, которые можно масштабировать в соответствии с потребностями хранилища, и тысячи клиентов могут получить к ним доступ одновременно.
Функция | SMB | NFS |
---|---|---|
Поддерживаемые версии протокола | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
Рекомендуемая ОС |
|
Linux, версия ядра 4.3+ |
Доступные уровни | Класс "Премиум", оптимизировано для транзакций, горячий уровень доступа, холодный уровень доступа | Premium |
Модель выставления счетов | Подготовленная емкость | |
Конечные точки зоны Azure DNS (предварительная версия) | Поддерживается | Поддерживается |
Избыточность | LRS, ZRS, GRS, GZRS | LRS, ZRS |
Семантика файловой системы | Win32 | POSIX |
Проверка подлинности | Аутентификация на основе удостоверения (Kerberos), аутентификация с использованием общего ключа (NTLMv2) | Аутентификация на уровне узла |
Авторизация | Списки управления доступом (ACL) типа Win32 | Разрешения в стиле UNIX |
Учет регистра | Без учета регистра, с сохранением регистра | С учетом регистра |
Удаление или изменение открытых файлов | Только с блокировкой | Да |
Общий доступ к файлам | Режим общего доступа Windows | Диспетчер сетевой блокировки по рекомендуемому диапазону байтов |
Поддержка жесткой связи | Не поддерживается | Поддерживается |
Поддержка символьных ссылок | Не поддерживается | Поддерживается |
При необходимости доступ в Интернет | Да (только SMB 3.0+) | No |
Поддержка FileREST | Да | Подмножество: |
Обязательные блокировки диапазона байтов | Поддерживается | Не поддерживается |
Блокировки диапазона байтов рекомендаций | Не поддерживается | Поддерживается |
Расширенные или именованные атрибуты | Не поддерживается | Не поддерживается |
Альтернативные потоки данных. | Не поддерживается | Н/П |
Идентификаторы объектов | Не поддерживается | Н/П |
Точки повторного анализа | Не поддерживается | Н/П |
Разреженные файлы | Не поддерживается | Н/П |
Сжатие | Не поддерживается | Н/П |
Именованные каналы | Не поддерживается | Н/П |
SMB Direct | Не поддерживается | Н/П |
Аренда каталогов SMB | Не поддерживается | Н/П |
служба теневого копирования томов; | Не поддерживается | Н/П |
Короткие имена файлов (псевдонимы 8.3) | Не поддерживается | Н/П |
Серверная служба | Не поддерживается | Н/П |
Транзакции файловой системы (TxF) | Не поддерживается | Н/П |
Основные принципы управления
Общие папки Azure развертываются в учетных записях хранения. Это объекты верхнего уровня, которые представляют общий пул хранилища. Пул хранилища можно использовать для развертывания нескольких общих папок и других ресурсов хранения, включая контейнеры больших двоичных объектов, очереди и таблицы. На все ресурсы хранилища, развернутые в учетной записи хранения, распространяются ограничения, которые применяются к этой учетной записи хранения. Сведения о текущих ограничениях учетной записи хранения см. d разделе Целевые показатели масштабируемости и производительности Файлов Azure.
Есть два основных типа учетных записей хранения, которые будут использоваться для развертывания службы "Файлы Azure":
- Учетные записи хранения общего назначения версии 2. Такие учетные записи хранения позволяют развертывать общие папки Azure на оборудовании на основе жестких дисков (HDD) уровня "Стандартный". Наряду с общими папками Azure такие учетные записи хранения поддерживают и другие ресурсы хранилища, включая контейнеры больших двоичных объектов, очереди и таблицы.
- Учетные записи хранения FileStorage. Такие учетные записи хранения позволяют развертывать общие папки Azure на оборудовании на основе твердотельных накопителей (SSD) уровня "Премиум". Учетные записи FileStorage можно использовать только для хранения общих папок Azure. Другие ресурсы хранилища (контейнеры больших двоичных объектов, очереди, таблицы и т. д.) нельзя развертывать в учетной записи FileStorage. Только учетные записи FileStorage позволяют развертывать общие папки SMB и NFS.
Есть несколько других типов учетных записей хранения, которые поддерживаются на портале Azure, в PowerShell и CLI. В двух из них (BlockBlobStorage и BlobStorage) хранить общие папки Azure нельзя. Два других типа учетных записей хранения, которые вы можете увидеть, — это учетные записи хранения общего назначения версии 1 и классические учетные записи хранения. Хотя они могут содержать общие папки Azure, большинство новых возможностей службы "Файлы Azure" доступны только в учетных записях хранения общего назначения версии 2 и учетных записях хранения FileStorage. Именно их рекомендуется использовать для новых развертываний, а также для обновления учетных записей хранения общего назначения версии 1 и классических учетных записей хранения, если они существуют в вашей среде.
При развертывании файловых ресурсов Azure в учетных записях хранения рекомендуется следующее.
Развертывать файловые ресурсы Azure только в учетных записях хранения с другими файловыми ресурсами Azure. Хотя учетные записи хранения GPv2 позволяют использовать смешанные учетные записи хранения, так как ресурсы хранилища, такие как общие папки Azure и контейнеры больших двоичных объектов, совместно используют ограничения учетной записи хранения, смешивание ресурсов может усложнить устранение проблем с производительностью позже.
Контроль ограничений операций ввода-вывода в секунду в учетной записи хранения при развертывании файловых ресурсов Azure. В идеале следует сопоставлять общие папки с учетными записями хранения в соотношении 1:1. Но это не всегда возможно в связи с различными ограничениями как в организации, так и в Azure. Если невозможно развернуть только один файловый ресурс в одной учетной записи хранения, определите, какие файловые ресурсы будут высоко активными, а какие — менее активными, чтобы не допустить одновременного размещения самых горячих файловых ресурсов в одной учетной записи хранения.
Развертывание учетных записей GPv2 и FileStorage и обновление учетных записей GPv1 и классических учетных записей хранения при их поиске в среде.
Идентификация
Чтобы получить доступ к общей папке Azure, пользователь общей папки должен пройти проверку подлинности и авторизацию для доступа к общей папке. Для этого необходимо удостоверение пользователя, обращающегося к общей папке. Файлы Azure поддерживает следующие методы проверки подлинности:
- Локальные домены Active Directory (AD DS или локальные AD DS). Учетные записи хранения Azure могут быть присоединены к домену, принадлежащему заказчику, а также к доменным службам Active Directory, как и к файловому серверу Windows Server или устройству NAS. Контроллер домена можно развернуть локально, на виртуальной машине Azure или даже в качестве виртуальной машины в другом поставщике облачных служб. Работа службы файлов Azure не зависит от того, где размещается контроллер домена. После того как учетная запись хранения присоединена к домену, конечный пользователь может подключить общую папку с учетной записью пользователя, выполнившего вход на свой компьютер. Проверка подлинности на основе Active Directory использует протокол проверки подлинности Kerberos.
- Доменные службы Microsoft Entra: доменные службы Microsoft Entra предоставляют управляемый корпорацией Майкрософт контроллер домена, который можно использовать для ресурсов Azure. Присоединение учетной записи хранения к доменным службам Microsoft Entra предоставляет аналогичные преимущества для присоединения домена к домену, принадлежащей клиенту AD DS. Этот вариант развертывания наиболее удобен для сценариев с прогнозированием и сдвигом приложений, требующих разрешений на основе AD. Так как доменные службы Microsoft Entra предоставляют проверку подлинности на основе AD, этот параметр также использует протокол проверки подлинности Kerberos.
- Microsoft Entra Kerberos для гибридных удостоверений: Microsoft Entra Kerberos позволяет использовать идентификатор Microsoft Entra для проверки подлинности гибридных удостоверений пользователей, которые являются локальными удостоверениями AD, синхронизированными с облаком. Эта конфигурация использует идентификатор Microsoft Entra для выдачи билетов Kerberos для доступа к общей папке с протоколом SMB. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет, не требуя подключения к сетевым контроллерам из гибридного соединения Microsoft Entra и присоединенных к Microsoft Entra виртуальных машин.
- Проверка подлинности Active Directory по протоколу SMB для клиентов Linux: Файлы Azure поддерживает проверку подлинности на основе удостоверений через SMB для клиентов Linux с помощью протокола проверки подлинности Kerberos с помощью AD DS или доменных служб Microsoft Entra.
- Ключ учетной записи хранения Azure. Файловые ресурсы Azure также можно подключить с помощью ключа учетной записи хранения Azure. Чтобы подключить общую папку таким образом, в качестве имени пользователя используется имя учетной записи хранения, а ключ учетной записи хранения используется в качестве пароля. Использование ключа учетной записи хранения для подключения общей папки Azure фактически является административной операцией, так как подключенная общая папка будет иметь полный набор разрешений для всех файлов и папок в общей папке, даже если у них есть списки управления доступом. При использовании ключа учетной записи хранения для подключения по протоколу SMB используется протокол проверки подлинности NTLMv2. Если вы планируете использовать ключ учетной записи хранения для доступа к общим папкам Azure, рекомендуется использовать частные конечные точки или конечные точки служб, как описано в разделе "Сеть ".
Для клиентов, перенесенных с локальных файловых серверов или создания общих папок в Файлы Azure предназначено для поведения файловых серверов Windows или устройств NAS, домен, присоединенный к учетной записи хранения, к домену, принадлежащей клиенту AD DS, рекомендуется. Дополнительные сведения о присоединении учетной записи хранения к домену, принадлежащей клиенту AD DS, см. в статье "Общие сведения о локальная служба Active Directory проверке подлинности доменных служб по протоколу SMB для общих папок Azure".
Сеть
Для непосредственного подключения общей папки Azure часто нужно внимательно продумывать конфигурацию сети, так как:
- Порт, используемый общими папками SMB для обмена данными через порт 445, часто блокируют многие организации и поставщики услуг Интернета для исходящего трафика (интернет-трафика).
- Общие папки NFS используют проверку подлинности на уровне сети и поэтому доступны только через ограниченные сети. Для использования общей папки NFS всегда требуется определенный уровень конфигурации сети.
Для настройки сети служба "Файлы Azure" предоставляет общедоступную конечную точку в Интернете и интеграцию с сетевыми функциями Azure, такими как конечные точки служб. Они помогают ограничить общедоступную конечную точку указанными виртуальными сетями и частными конечными точками, которые предоставляют учетной записи хранения частный IP-адрес из пространства IP-адресов виртуальной сети. Хотя для использования общедоступных конечных точек или конечных точек службы плата не взимается, стандартные тарифы обработки данных применяются для частных конечных точек.
Это означает, что вам потребуется рассмотреть следующие конфигурации сети:
- Если требуется протокол SMB и весь доступ через SMB осуществляется из клиентов в Azure, специальная конфигурация сети не требуется.
- Если требуется протокол SMB, а доступ осуществляется из локальных клиентов, требуется VPN-подключение или ExpressRoute из локальной сети Azure с Файлы Azure, предоставляемых во внутренней сети с помощью частных конечных точек.
- Если нужно работать по протоколу NFS, вы можете использовать конечные точки службы или частные конечные точки, чтобы ограничить сеть указанными виртуальными сетями. Если вам нужен статический IP-адрес и(или) для рабочей нагрузки требуется высокий уровень доступности, используйте частную конечную точку. При использовании конечных точек службы редкие события, такие как зональный сбой, могут привести к изменению базового IP-адреса учетной записи хранения. Хотя данные по-прежнему будут доступны в общей папке, клиенту потребуется повторное подключение общей папки.
Дополнительные сведения о настройке сети для Файлов Azure см. в статье Рекомендации по работе с сетями службы "Файлы Azure".
Помимо прямого подключения к общей папке с помощью общедоступной конечной точки или подключения VPN либо ExpressRoute к частной конечной точке, SMB предоставляет дополнительную стратегию клиентского доступа: SMB через QUIC. Для доступа по протоколу SMB через транспортный протокол QUIC предоставляется VPN SMB без необходимости в настройке. Хотя служба "Файлы Azure" не поддерживает SMB через QUIC напрямую, вы можете создать упрощенный кэш общих папок Azure на виртуальной машине Windows Server 2022 Azure Edition с помощью Синхронизации файлов Azure. Дополнительные сведения об этой возможности см. в разделе Доступ по SMB через QUIC с помощью Синхронизации файлов Azure.
Шифрование
Файлы Azure поддерживает два различных типа шифрования:
- Шифрование при передаче, которое относится к шифрованию, используемому при подключении и доступе к общей папке Azure
- Шифрование неактивных данных, которое связано с тем, как данные шифруются при хранении на диске
Шифрование при передаче
Внимание
В этом разделе описано шифрование при передаче для общих папок SMB. Дополнительные сведения о шифровании при передаче с использованием общих папок NFS см. в разделе Безопасность и сеть.
По умолчанию для всех учетных записей хранения Azure включено шифрование при передаче. Это означает, что при подключении общей папки по протоколу SMB или доступе к ней по протоколу FileREST (например, с помощью портала Azure, PowerShell, CLI или пакетов SDK Azure) служба "Файлы Azure" разрешит подключение, только если оно установлено по протоколу SMB версии 3.x или более поздней с шифрованием или по HTTPS. Клиенты, не поддерживающие SMB 3.x или клиенты, поддерживающие SMB 3.x, но не шифрование SMB, не сможет подключить общую папку Azure, если шифрование в транзитном режиме включено. Дополнительные сведения о том, какие операционные системы поддерживают SMB 3.x с шифрованием, см. в нашей документации по Windows, macOS и Linux. Все текущие версии PowerShell, CLI и пакетов SDK поддерживают протокол HTTPS.
В учетной записи хранения Azure шифрование при передаче можно отключить. Если шифрование отключено, служба "Файлы Azure" также разрешает подключение по протоколу SMB 2.1 и SMB 3.x без шифрования и незашифрованные вызовы API FileREST по протоколу HTTP. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в более старой версии операционной системы, например Windows Server 2008 R2 или более старой версии Linux. Файлы Azure только разрешает подключения SMB 2.1 в том же регионе Azure, что и общая папка Azure; клиент SMB 2.1 за пределами региона Azure общей папки Azure, например локально или в другом регионе Azure, не сможет получить доступ к общей папке.
Настоятельно рекомендуется включить шифрование данных при передаче.
Дополнительные сведения о шифровании при передаче см. в статье Require secure transfer in Azure Storage (Требование безопасной передачи в службе хранилища Azure).
Шифрование при хранении
Все данные, хранимые в Файлах Azure, шифруются с использованием функции "Шифрование службы хранилища Azure" (SSE). SSE работает как BitLocker в Windows: данные шифруются ниже уровня файловой системы. Благодаря этому при шифровании данных на диске вам не требуется доступ к базовому ключу на клиенте для чтения и записи данных в общей папке Azure. Шифрование неактивных данных поддерживает протоколы SMB и NFS.
По умолчанию хранимые в Файлах Azure данные шифруются с помощью ключей, управляемых корпорацией Майкрософт, что предусматривает хранение ключей для шифрования и расшифровки данных и их регулярную смену. Вы также можете управлять собственными ключами, чтобы взять под контроль процесс их смены. Если вы решили зашифровать общие папки с помощью ключей, управляемых клиентом, учитывайте, что служба "Файлы Azure" сможет обращаться к ключам для выполнения запросов на чтение и запись от клиентов. С помощью ключей, управляемых клиентом, эту авторизацию можно отозвать в любое время, но это означает, что общая папка Azure больше не будет доступна через SMB или API FileREST.
Служба "Файлы Azure" использует ту же схему шифрования, что и другие службы хранилища Azure, включая Хранилище BLOB-объектов Azure. Сведения об SSE Azure см. в статье Использование функции "Шифрование службы хранилища Azure" для неактивных данных.
Защита данных
Служба файлов Azure имеет многоуровневый подход к обеспечению резервного копирования, восстановления и защиты данных от угроз безопасности. Обзор защиты данных Файлы Azure.
Обратимое удаление
Обратимое удаление — это параметр уровня учетной записи хранения, позволяющий восстановить общую папку при случайном удалении. При удалении данных они переходят в состояние обратимого удаления, а не стираются без возможности восстановления. Вы можете настроить время восстановления обратимых удаленных общих папок до их окончательного удаления и отмены общей папки в любое время в течение этого периода хранения.
Обратимое удаление по умолчанию включено для новых учетных записей хранения. Если у вас есть рабочий процесс, в котором удаление общего ресурса является общим и ожидаемым, может потребоваться короткий период хранения или нет обратимого удаления.
Дополнительные сведения об обратимом удалении см. в разделе Предотвращение случайного удаления данных.
Резервное копирование
Можно создать резервную копию общего файлового ресурса Azure, используя моментальные снимки общего ресурса, которые предназначены только для чтения и представляют собой копии общего ресурса на момент времени. Моментальные снимки являются добавочными, то есть содержат ровно столько данных, сколько было изменено с момента создания предыдущего снимка. Можно создать до 200 моментальных снимков на общую папку и хранить их в течение 10 лет. Вы можете вручную создавать моментальные снимки в портал Azure с помощью PowerShell или интерфейса командной строки (CLI) или использовать Azure Backup.
Azure Backup для файловых ресурсов Azure выполняет планирование и хранение моментальных снимков. Принцип его работы дублирования "дед/отец/сын" (GFS) означает, что можно создавать ежедневные, еженедельные, ежемесячные и ежегодные моментальные снимки, каждый из которых имеет свой собственный период хранения. Azure Backup также управляет включением обратимого удаления и принимает блокировку удаления в учетной записи хранения, как только общая папка в ней настроена для резервного копирования. Наконец, Azure Backup реализует некоторые ключевые возможности мониторинга и оповещения, позволяющие клиентам получать консолидированное представление о своей резервной копии.
С помощью Azure Backup можно выполнять восстановление как на уровне элементов, так и на уровне общего ресурса на портале Azure. Вам нужно всего лишь выбрать точку восстановления (определенный моментальный снимок), конкретный файл или каталог, а затем расположение (исходное или альтернативное), куда нужно выполнить восстановление. Служба резервного копирования обрабатывает копирование данных моментального снимка и показывает ход выполнения восстановления на портале.
Защита Файлов Azure с помощью Microsoft Defender для службы хранилища
Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Она обеспечивает комплексную безопасность путем анализа телеметрии плоскости данных и плоскости управления, созданных Файлы Azure. Он использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence , для предоставления контекстных оповещений системы безопасности, включая шаги по устранению обнаруженных угроз и предотвращению будущих атак.
Defender для хранилища постоянно анализирует поток телеметрии, созданный Файлы Azure. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака, а также сведения о подозрительных действиях, шагах исследования, действиях по исправлению и рекомендациях по безопасности.
Defender для хранилища обнаруживает известные вредоносные программы, такие как программы-шантажисты, вирусы, шпионские программы и другие вредоносные программы, отправленные в учетную запись хранения на основе полного хэша файлов (поддерживается только для REST API). Это помогает предотвратить вход вредоносных программ в организацию и распространение на большее количество пользователей и ресурсов. Ознакомьтесь с разделом "Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации".
Defender для хранилища не обращается к данным учетной записи хранения и не влияет на его производительность. Вы можете включить Microsoft Defender для хранилища на уровне подписки (рекомендуется) или на уровне ресурса.
Уровни хранилища
Файлы Azure предлагает два разных уровня носителей, SSD (твердотельные диски) и HDD (жесткие диски), которые позволяют адаптировать общие ресурсы к производительности и цене вашего сценария:
SSD (премиум): общие папки SSD обеспечивают согласованную высокую производительность и низкую задержку в миллисекундах с одним цифрами для большинства операций ввода-вывода для рабочих нагрузок с большим объемом операций ввода-вывода. Общие папки SSD подходят для различных рабочих нагрузок, таких как базы данных, размещение веб-сайтов и среды разработки. Общие папки SSD можно использовать как с протоколами SMB, так и с сетевыми протоколами файловой системы (NFS). Общие папки SSD доступны в подготовленной модели выставления счетов версии 1 . Общие папки SSD предлагают более высокий уровень обслуживания доступности, чем общие папки HDD (см. раздел "уровень "Файлы Azure премиум").
HDD (стандартный): общие папки HDD предоставляют экономичный вариант хранения общих папок общего назначения. Общие папки HDD, доступные с подготовленными моделями выставления счетов версии 2 и оплаты по мере использования, хотя мы рекомендуем подготовленную модель версии 2 для новых развертываний общей папки. Дополнительные сведения об уровне обслуживания см. на странице соглашений об уровне обслуживания Azure (см. раздел "Учетные записи хранения").
При выборе уровня мультимедиа для рабочей нагрузки учитывайте требования к производительности и использованию. Если для рабочей нагрузки требуется однозначная задержка или вы используете локальный носитель хранения SSD, уровень общих папок SSD, вероятно, лучше всего подходит. Если низкая задержка не так важна, например с общими папками группы, подключенными к локальной среде из Azure или кэшированными локальными с помощью Синхронизация файлов Azure, общие папки HDD могут быть лучше подходят с точки зрения затрат.
Создав общую папку в учетной записи хранения, вы не сможете напрямую переместить ее на другой уровень мультимедиа. Например, чтобы переместить общую папку HDD на уровень мультимедиа SSD, необходимо создать новую общую папку SSD и скопировать данные из исходной общей папки в новую общую папку в учетной записи FileStorage. Для копирования данных между общими папками Azure мы рекомендуем использовать AzCopy, но вы также можете использовать такие средства, как robocopy
в Windows или rsync
в macOS и Linux.
Дополнительные сведения см. в статье Основные сведения о выставлении счетов для Файлов Azure.
Избыточность
Чтобы защитить данные в общих папках Azure от потери или повреждения данных, Файлы Azure хранит несколько копий каждого файла по мере их записи. В зависимости от требований можно выбрать различные степени избыточности. Служба "Файлы Azure" в настоящее время поддерживает следующие варианты обеспечения избыточности:
- Локально избыточное хранилище (LRS). При использовании LRS в кластере хранилища Azure сохраняются три копии каждого файла. Это защищает от потери данных из-за сбоев оборудования, таких как плохой диск. Однако если в центре обработки данных возникает катастрофа, например пожар или наводнение, все реплики учетной записи хранения с помощью LRS могут быть потеряны или невосстановлены.
- Хранилище, избыточное между зонами (ZRS): с помощью ZRS хранятся три копии каждого файла. Однако эти копии физически изолированы в трех разных кластерах хранения в разных зонах доступности Azure. Зоны доступности — уникальные физические расположения в пределах одного региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, обеспеченных независимыми системами электропитания, охлаждения и сетями. Запись в хранилище не принимается, пока она не будет записана в кластеры хранения во всех трех зонах доступности.
- Геоизбыточное хранилище (GRS): с GRS у вас есть два региона, основной регион и дополнительный регион. В кластере хранилища Azure в основном регионе хранятся три копии каждого файла. Операции записи асинхронно реплицируются в определенный корпорацией Майкрософт дополнительный регион. GRS предоставляет шесть копий данных, распределенных между двумя регионами Azure. В случае серьезной аварии, такой как постоянная потеря региона Azure из-за стихийных бедствий или другого подобного события, корпорация Майкрософт выполнит отработку отказа. В этом случае вторичный становится основным, обслуживая все операции. Так как репликация между основными и вторичными регионами является асинхронной, в случае серьезной аварии данные еще не реплицируются в дополнительный регион. Вы также можете выполнить переход учетной записи хранения с геоизбыточным хранилищем на другой ресурс вручную.
- Геоизбыточное хранилище (GZRS): вы можете рассматривать GZRS как ZRS, но с геоизбыточностью. В GZRS три копии каждого файла хранятся в трех отдельных кластерах хранилища в основном регионе. Все операции записи затем асинхронно реплицируются в определенный корпорацией Майкрософт дополнительный регион. Процесс отработки отказа для GZRS работает так же, как в GRS.
Общие папки Azure уровня "Стандартный" до 5 ТиБ поддерживают все четыре типа избыточности. Стандартные общие папки размером более 5 ТиБ поддерживают только LRS и ZRS. Общие папки Azure категории “Премиум” поддерживают только LRS и ZRS.
Учетные записи хранения общего назначения версии 2 (GPv2) предоставляют два других варианта избыточности, которые Файлы Azure не поддерживают: доступное для чтения геоизбыточное хранилище (RA-GRS) и доступное для чтения геоизбыточное хранилище (RA-GZRS). Вы можете подготовить общие папки Azure в учетных записях хранения с помощью этих параметров, однако Файлы Azure не поддерживает чтение из дополнительного региона. Общие папки Azure, развернутые в учетных записях хранения RA-GRS или RA-GZRS, выставляются как GRS или GZRS соответственно.
Дополнительные сведения о избыточности см. в Файлы Azure избыточности данных.
Доступность ZRS категории "Стандартный"
ZRS для стандартных учетных записей хранения версии 2 общего назначения доступен для подмножества регионов Azure.
Доступность ZRS категории "Премиум"
ZRS для общих папок уровня "Премиум" доступен для подмножества регионов Azure.
Доступность GZRS категории "Стандартный"
GZRS доступен для подмножества регионов Azure.
Аварийное восстановление и отработка отказа
В случае сбоя внеплановой региональной службы вам потребуется план аварийного восстановления (АВАРИЙНОго восстановления) для общих папок Azure. Основные понятия и процессы, связанные с отработкой отказа учетной записи аварийного восстановления и хранения, см. в статье "Аварийное восстановление" и "Отработка отказа" для Файлы Azure.
Миграция
Во многих случаях вы не создайте чистую общую папку для вашей организации, но вместо этого переносите существующую общую папку с локального файлового сервера или устройства NAS в Файлы Azure. Выбор правильной стратегии и средств миграции для вашего сценария очень важен для ее успешного выполнения.
В статье Общие сведения о миграции кратко рассматриваются основы и содержится таблица, где представлены указания по миграции, которые, скорее всего, подходят для вашего случая.
Следующие шаги
- Planning for an Azure File Sync Deployment (Планирование развертывания службы синхронизации файлов Azure)
- How to deploy Azure Files (Развертывание службы "Файлы Azure")
- Развертывание службы синхронизации файлов Azure (предварительная версия)
- Ознакомьтесь с обзором по миграции, чтобы найти указания, подходящие для вашего случая