Molnfilresurs för Azure-företag

Den här referensarkitekturen illustrerar en molnfildelningslösning på företagsnivå som använder Azure-tjänster som Azure Files, Azure File Sync, Azure Privat DNS och Azure Private Endpoint. Lösningen genererar kostnadsbesparingar genom att lägga ut hanteringen av filservrar och infrastruktur på entreprenad samtidigt som du behåller kontrollen över data.

Arkitektur

Följande diagram visar hur klienter kan komma åt Azure-filresurser:

• Lokalt via en filserver för molnnivåindelning.
• Fjärranslutning via privata ExpressRoute-peering - eller VPN-tunnlar i en privat nätverksmiljö.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Molnfildelningslösningen på företagsnivå använder följande metoder för att ge samma användarupplevelse som traditionell fildelning men med Azure-filresurser:

• Använder Azure File Sync för att synkronisera åtkomstkontrollistor (ACL) för filer och mappar mellan lokala filservrar och Azure-filresurser.
• Använder funktionen för molnnivåindelning från Azure File Sync-agenten för att cachelagrar filer som används ofta lokalt.
• Tillämpar AD DS-autentisering över Azure-filresurser.
• Använder filresurs- och filsynkroniseringstjänster via privat IP via Private Link och privat slutpunkt via en privat ExpressRoute-peering- eller VPN-tunnel.

Genom att implementera en privat Azure-slutpunkt i Azure Files och Azure File Sync inaktiveras åtkomsten till den offentliga slutpunkten så att åtkomsten till Azure Files och Azure File Sync begränsas från det virtuella Azure-nätverket.

Den privata ExpressRoute-peering-VPN-tunneln för plats-till-plats utökar det lokala nätverket till det virtuella Azure-nätverket. Azure File Sync- och Server Message Block-trafik (SMB) från lokalt till Azure Files och privata Slutpunkter för Azure File Sync är endast begränsade till privat anslutning. Under övergången tillåter Azure Files endast anslutningen om den görs med SMB 3.0+. Anslut som görs från Azure File Sync-agenten till en Azure-filresurs eller Storage Sync Service krypteras alltid. I vila krypterar Azure Storage automatiskt dina data när de sparas i molnet, liksom Azure Files.

En DNS-matchare (Domain Name System) är en viktig komponent i lösningen. Varje Azure-tjänst, i det här fallet Azure Files och Azure File Sync, har ett fullständigt kvalificerat domännamn (FQDN). FQDN:erna för dessa tjänster matchas till sina offentliga IP-adresser i följande fall:

• När en klient får åtkomst till en Azure Files-resurs.
• När en Azure File Sync-agent, som distribueras på en lokal filserver, kommer åt Azure File Sync-tjänsten.

När du har aktiverat en privat slutpunkt allokeras privata IP-adresser i det virtuella Azure-nätverket. Dessa adresser tillåter åtkomst till dessa tjänster via en privat anslutning, och samma FQDN måste nu matcha till privata IP-adresser. För att uppnå detta skapar Azure Files och Azure File Sync en kanonisk DNS-post (CNAME) för att omdirigera lösningen till ett privat domännamn:

• Azure File Syncs offentliga domännamn *.afs.azure.net får en CNAME-omdirigering till det privata domännamnet *.<region>.privatelink.afs.azure.net.
• Det offentliga domännamnet <name>.file.core.windows.net för Azure Files hämtar en CNAME-omdirigering till det privata domännamnet <name>.privatelink.file.core.windows.net.

Lösningen som visas i den här arkitekturen konfigurerar lokala DNS-inställningar korrekt så att de löser privata domännamn till privata IP-adresser med hjälp av följande metoder:

• Privat DNS zoner (komponenterna 11 och 12) skapas från Azure för att tillhandahålla privat namnmatchning för Azure File Sync och Azure Files.
• Privat DNS zoner är länkade till det virtuella Azure-nätverket så att en DNS-server som distribueras i det virtuella nätverket eller en privat DNS-matchare (komponent 8) i Azure kan matcha privata domännamn.
• DNS A-poster skapas för Azure Files och Azure File Sync i privata DNS-zoner. Anvisningar för slutpunktskonfiguration finns i Konfigurera Azure Files-nätverksslutpunkter och Konfigurera Azure File Sync-nätverksslutpunkter.
• Den lokala DNS-servern (komponent 3) konfigurerar villkorlig vidarebefordran för att vidarebefordra DNS-frågan domain afs.azure.net för och file.core.windows.net till DNS-servern i det virtuella Azure-nätverket (komponent 8).
• När du har tagit emot den vidarebefordrade DNS-frågan från den lokala DNS-servern använder DNS-servern (komponent 8) i det virtuella Azure-nätverket den rekursiva Azure DNS-matcharen för att matcha privata domännamn och returnera privata IP-adresser till klienten.

Komponenter

Lösningen som visas i arkitekturdiagrammet använder följande komponenter:

• Klient (komponent 1 eller 2) – Vanligtvis är klienten ett Windows-, Linux- eller Mac OSX-skrivbord som kan kommunicera med en filserver eller Azure Files via SMB-protokollet.

• DC- och DNS-servrar (komponent 3) – En domänkontrollant (DC) är en server som svarar på autentiseringsbegäranden och verifierar användare i datornätverk. En DNS-server tillhandahåller namn-till-IP-adressmappningsnamnmatchningstjänster för datorer och användare. DC- och DNS-servrar kan kombineras till en enskild server eller delas upp i olika servrar.

• Filserver (komponent 4) – En server som är värd för filresurser och tillhandahåller filresurstjänster.

• CE/VPN-enhet (komponent 5) – En kundgränsrouter (CE) eller VPN-enhet används för att upprätta ExpressRoute- eller VPN-anslutning till det virtuella Azure-nätverket.

• Azure ExpressRoute eller Azure VPN Gateway (komponent 6) – Azure ExpressRoute är en tjänst som gör att du kan utöka ditt lokala nätverk till Microsoft-molnet via en privat anslutning som underlättas av en anslutningsleverantör. Azure VPN Gateway är en specifik typ av virtuell nätverksgateway som används för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. ExpressRoute eller VPN Gateway upprättar ExpressRoute- eller VPN-anslutning till ditt lokala nätverk.

• Privat Azure-slutpunkt (komponent 7) – Ett nätverksgränssnitt som ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. I den här lösningen ansluter en privat Slutpunkt för Azure File Sync till Azure File Sync (9) och en privat Azure Files-slutpunkt ansluter till Azure Files (10).

• DNS-server/Azure private DNS-matchare (komponent 8) i Azure Virtual Network-instansen använder den rekursiva Matchningen för Azure DNS för att matcha det privata domännamnet och returnera en privat IP-adress till klienten, efter att ha tagit emot en vidarebefordrad DNS-fråga från en lokal DNS-server.

• Azure File Sync och molnnivåindelning (komponent 9) – Med Azure File Sync kan du centralisera organisationens filresurser i Azure, samtidigt som du behåller flexibiliteten, prestandan och kompatibiliteten hos en lokal filserver. Molnnivåindelning är en valfri funktion i Azure File Sync där filer som används ofta cachelagras lokalt på servern medan alla andra filer nivåindelade till Azure Files baserat på principinställningar.

• Azure Files (komponent 10) – En fullständigt hanterad tjänst som erbjuder filresurser i molnet som är tillgängliga via SMB-protokollet (Server Message Block). Azure Files implementerar SMB v3-protokollet och stöder autentisering via lokal Active Directory Domain Services (AD DS) och Microsoft Entra Domain Services. Filresurser från Azure Files kan monteras samtidigt av molnbaserade eller lokala distributioner av Windows, Linux och macOS. Dessutom kan SMB Azure-filresurser cachelagras närmare där data används, på Windows-servrar med Azure File Sync för snabb åtkomst.

• Azure Privat DNS (komponenterna 11 och 12) – En DNS-tjänst som erbjuds av Azure, Privat DNS hanterar och löser domännamn i ett virtuellt nätverk, utan att behöva lägga till en anpassad DNS-lösning.

• Azure Backup (komponent 13) – Azure Backup är en säkerhetskopieringstjänst för Azure-filresurser som använder ögonblicksbilder av filresurser för att tillhandahålla en molnbaserad säkerhetskopieringslösning. Överväganden finns i Dataförlust och säkerhetskopiering.

Information om scenario

Med den här lösningen kan du komma åt Azure-filresurser i en hybridarbetsmiljö via ett virtuellt privat nätverk mellan lokala och virtuella Azure-nätverk utan att passera internet. Du kan också styra och begränsa filåtkomsten via identitetsbaserad autentisering.

Potentiella användningsfall

Molnfildelningslösningen stöder följande potentiella användningsfall:

• Lyft och skift för filserver eller filresurs. Genom att lyfta och flytta eliminerar du behovet av att omstrukturera eller formatera om data. Du behåller även äldre program lokalt samtidigt som du drar nytta av molnlagring.
• Påskynda molninnovation med ökad driftseffektivitet. Minskar kostnaden för att underhålla maskinvara och fysiskt utrymme, skyddar mot datakorruption och dataförlust.
• Privat åtkomst till Azure-filresurser. Skyddar mot dataexfiltrering.

Trafikflöden

När du har aktiverat Azure File Sync och Azure Files kan du komma åt Azure-filresurser i två lägen, lokalt cacheläge eller fjärrläge. I båda lägena använder klienten befintliga AD DS-autentiseringsuppgifter för att autentisera sig själv.

• Lokalt cacheläge – Klienten kommer åt filer och filresurser via en lokal filserver med molnnivåindelning aktiverat. När en användare öppnar en fil från den lokala filservern hanteras fildata antingen från den lokala cachen för filservern eller så återkallar Azure File Sync-agenten sömlöst fildata från Azure Files. I arkitekturdiagrammet för den här lösningen sker det mellan komponent 1 och 4.

• Fjärrläge – Klienten kommer åt filer och filresurser direkt från en fjärransluten Azure-filresurs. I arkitekturdiagrammet för den här lösningen färdas trafikflödet genom komponenterna 2, 5, 6, 7 och 10.

Azure File Sync-trafik färdas mellan komponenterna 4, 5, 6 och 7 med hjälp av en ExpressRoute-krets för en tillförlitlig anslutning.

Frågor för lösning av privata domännamn går igenom komponenterna 3, 5, 6, 8, 11 och 12 med hjälp av följande sekvens:

1. Klienten skickar en fråga till en lokal DNS-server för att matcha ett DNS-namn för Azure Files eller Azure File Sync.
2. Den lokala DNS-servern har en villkorsstyrd vidarebefordrare som pekar DNS-namnmatchning för Azure File och Azure File Sync till en DNS-server i det virtuella Azure-nätverket.
3. Frågan omdirigeras till en PRIVAT DNS-matchare för DNS eller Azure i det virtuella Azure-nätverket.
4. Beroende på det virtuella nätverkets DNS-konfiguration:
   • Om en anpassad DNS-server har konfigurerats skickar DNS-servern i det virtuella Azure-nätverket en namnfråga till den Azure-angivna DNS-matcharen (168.63.129.16).
   • Om den privata DNS-matcharen i Azure har konfigurerats och frågan matchar de privata DNS-zoner som är länkade till det virtuella nätverket, konsulteras dessa zoner.
5. Dns-servern/den privata DNS-matcharen i Azure returnerar en privat IP-adress efter att det privata domännamnet har matchats till respektive privata DNS-zon. Den använder det virtuella Azure-nätverkets länkar till Azure Files DNS-zonen och den privata DNS-zonen Azure File Sync.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tänk på följande när du implementerar den här lösningen.

Planerad

• Information om planering av Azure File Sync finns i Planera för en Azure File Sync-distribution.
• Azure Files-planering finns i Planera för en Azure Files-distribution.

Nätverk

• Mer information om nätverksöverväganden för Azure File Sync finns i Nätverksöverväganden för Azure File Sync.
• Mer information om Nätverksöverväganden för Azure Files finns i Nätverksöverväganden för Azure Files.

DNS

När du hanterar namnmatchning för privata slutpunkter löses de privata domännamnen för Azure Files och Azure File Sync på följande sätt:

Från Azure-sidan:

• Om namnmatchning som tillhandahålls av Azure används måste det virtuella Azure-nätverket länka till etablerade privata DNS-zoner.
• Om "bring your own DNS server" används måste det virtuella nätverk där din egen DNS-server distribueras länka till etablerade privata DNS-zoner.

Från den lokala sidan mappas det privata domännamnet till en privat IP-adress på något av följande sätt:

• Genom DNS-vidarebefordran till en DNS-server som distribuerats i det virtuella Azure-nätverket eller den privata DNS-matcharen i Azure, som diagrammet visar.
• Via den lokala DNS-servern som konfigurerar zoner för den privata domänen <region>.privatelink.afs.azure.net och privatelink.file.core.windows.net. Servern registrerar IP-adresserna för privata Azure Files- och Azure File Sync-slutpunkter som DNS A-poster i sina respektive DNS-zoner. Den lokala klienten löser det privata domännamnet direkt från den lokala DNS-servern.

Distribuerat filsystem (DFS)

När det gäller en lokal fildelningslösning väljer många administratörer att använda en DFS i stället för en traditionell fristående filserver. MED DFS kan administratörer konsolidera filresurser som kan finnas på flera servrar så att de ser ut som om de alla finns på samma plats, så att användarna kan komma åt dem från en enda plats i nätverket. När du flyttar till en molnfilresurslösning kan traditionell DFS-R-distribution ersättas av Azure File Sync-distribution. Mer information finns i Migrera en DFS Replication-distribution (DFS-R) till Azure File Sync.

Dataförlust och säkerhetskopiering

Dataförlust är ett allvarligt problem för företag av alla storlekar. Säkerhetskopiering av Azure-filresurser använder ögonblicksbilder av filresurser för att tillhandahålla en molnbaserad säkerhetskopieringslösning som skyddar dina data i molnet och eliminerar ytterligare underhållskostnader som ingår i lokala säkerhetskopieringslösningar. De viktigaste fördelarna med säkerhetskopiering av Azure-filresurser är:

• Noll infrastruktur
• Anpassad kvarhållning
• Inbyggda hanteringsfunktioner
• Snabbåterställningar
• Avisering och rapportering
• Skydd mot oavsiktlig borttagning av filresurser

Mer information finns i Om säkerhetskopiering av Azure-filresurser

Stöd för hybrididentiteter i Azure Files

Även om den här artikeln beskriver Active Directory för autentisering på Azure Files är det möjligt att använda Microsoft Entra-ID för att autentisera hybridanvändares identiteter. Azure Files stöder identitetsbaserad autentisering via SMB (Server Message Block) med hjälp av Kerberos-autentiseringsprotokollet via följande metoder:

• Lokala Active Directory-domän Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos (endast för hybridanvändares identiteter)
• AD-autentisering för Linux-klienter

Mer information finns i Aktivera Microsoft Entra Kerberos-autentisering för hybrididentiteter i Azure Files.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

Azure DDoS Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner för att ge mer skydd mot DDoS-attacker. Du bör aktivera Azure DDOS Protection i alla virtuella perimeternätverk.

Säkerhetsgranskning är ett nödvändigt krav för att hjälpa till att upprätthålla säkerheten för ett företag. Branschstandarder kräver att företag följer en strikt uppsättning regler som rör datasäkerhet och sekretess.

Granskning av filåtkomst

Granskning av filåtkomst kan aktiveras lokalt och via fjärranslutning:

• Lokalt med hjälp av dynamisk åtkomstkontroll. Mer information finns i Planera för granskning av filåtkomst.
• Fjärranslutning med hjälp av Azure Storage-loggar i Azure Monitor på Azure Files. Azure Storage-loggar innehåller loggarna StorageRead, StorageWrite, StorageDelete och Transaction. Azure-filåtkomst kan loggas till ett lagringskonto, en log analytics-arbetsyta eller strömmas till en händelsehubb separat. Mer information finns i Övervaka Azure Files.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Yingting Huang | Senior Cloud Solution Architect

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Planera för en Azure Files-distribution
• Så här distribuerar du Azure Files
• Nätverksöverväganden för Azure Files
• Konfigurera Azure Files-nätverksslutpunkter
• Övervaka Azure Files
• Planera för granskning av filåtkomst
• Säkerhetskopiera Azure-filresurser
• Översikt – lokal Active Directory Domain Services-autentisering via SMB för Azure-filresurser
• Distribuera Azure File Sync
• Konfigurera Azure File Sync-nätverksslutpunkter
• Översikt över molnnivåindelning
• Skapa en plats-till-plats-anslutning på Azure Portal
• ExpressRoute-kretsar och peering
• Skapa och ändra peering för en ExpressRoute-krets
• Om säkerhetskopiering av Azure-filresurser
• Vad är Azure DNS Private Resolver?
• Aktivera Microsoft Entra Kerberos-autentisering för hybrididentiteter i Azure Files

Relaterade resurser

• Azure Enterprise-molnfilresurs
• Azure-filer som används lokalt och skyddas av AD DS
• Hybridfiltjänster
• Använda Azure-filresurser i en hybridmiljö
• Hybridfilresurs med haveriberedskap för distansarbetare och lokala grenarbetare