Düzenle

şirket içinde erişilen ve AD DS ile güvenliği sağlanan Azure Dosyalar

Azure Virtual Network
Azure ExpressRoute
Azure Storage Accounts
Azure Files
Azure DNS

Bu mimari, Windows Server'daki dosyalara da erişen şirket içi kullanıcılara ve uygulamalara bulutta dosya paylaşımları sağlamanın bir yolunu gösterir.

Mimari

Birçok dalı olan bir şirket için hem şirket içi hem de bulut tabanlı masaüstleri sağlayan Azure mimarisi.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

  1. Bu çözüm, şirket içi AD DS'yi ve bulut tabanlı Microsoft Entra Kimliğini eşitler. Eşitleme, hem bulut hem de şirket içi kaynaklara erişmek için ortak bir kimlik sağlayarak kullanıcıların daha üretken olmasını sağlar.

    Microsoft Entra Bağlan, eşitlemeyi üstlenen şirket içi Microsoft uygulamasıdır. Microsoft Entra Bağlan hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan nedir? ve Microsoft Entra Bağlan Sync: Eşitlemeyi anlama ve özelleştirme.

  2. Azure Sanal Ağ bulutta bir sanal ağ sağlar. Bu çözüm için, biri Azure DNS için, diğeri de özel uç noktanın dosya paylaşımına erişmesi için olmak üzere en az iki alt ağa sahiptir.

  3. VPN veya Azure ExpressRoute, şirket içi ağ ile buluttaki sanal ağ arasında güvenli bağlantılar sağlar. VPN kullanıyorsanız Azure VPN Gateway kullanarak bir ağ geçidi oluşturun. ExpressRoute kullanıyorsanız bir ExpressRoute sanal ağ geçidi oluşturun. Daha fazla bilgi için bkz . VPN Gateway nedir? ve ExpressRoute sanal ağ geçitleri hakkında.

  4. Azure Dosyalar bulutta bir dosya paylaşımı sağlar. Bunun için bir Azure Depolama hesabı gerekir. Dosya paylaşımları hakkında daha fazla bilgi için bkz. Azure Dosyalar nedir?.

  5. Özel uç nokta, dosya paylaşımına erişim sağlar. Özel uç nokta, Azure hizmetine bağlanan bir alt ağın içindeki ağ arabirimi kartına (NIC) benzer. Bu durumda, hizmet dosya paylaşımıdır. Özel uç noktalar hakkında daha fazla bilgi için bkz. Azure Depolama için özel uç noktaları kullanma.

  6. Şirket içi DNS sunucusu IP adreslerini çözümler. Ancak Azure DNS, Azure dosya paylaşımı Tam Etki Alanı Adı 'nı (FQDN) çözümler. Azure DNS'ye yapılan tüm DNS sorguları sanal ağdan kaynaklanır. Sanal ağın içinde bu sorguları Azure DNS'ye yönlendiren bir DNS proxy'si vardır. Daha fazla bilgi için bkz . DNS ileticisi kullanan şirket içi iş yükleri.

    DNS proxy'sini bir Windows veya Linux sunucusunda sağlayabilir veya Azure Güvenlik Duvarı kullanabilirsiniz. Sanal makineyi yönetmeniz gerekmeyen avantaja sahip Azure Güvenlik Duvarı seçeneği hakkında bilgi için bkz. DNS ayarlarını Azure Güvenlik Duvarı.

  7. Şirket içi özel DNS, DNS trafiğini koşullu iletici aracılığıyla Azure DNS'ye iletecek şekilde yapılandırılır. Koşullu iletmeyle ilgili bilgiler, DNS ileticisi kullanan şirket içi iş yüklerinde de bulunur.

  8. Şirket içi AD DS, dosya paylaşımına erişimin kimliğini doğrular. Bu, Birinci Bölümde açıklandığı gibi dört adımlı bir işlemdir: Azure dosya paylaşımlarınız için AD DS kimlik doğrulamasını etkinleştirme

Bileşenler

  • Azure Depolama, veriler, uygulamalar ve iş yükleri için yüksek düzeyde ölçeklenebilir ve güvenli bulut hizmetleri kümesidir. Azure Dosyalar, Azure Tablo Depolama ve Azure Kuyruk Depolama içerir.
  • Azure Dosyalar bir Azure Depolama hesabında tam olarak yönetilen dosya paylaşımları sunar. Dosyalara buluttan veya şirket içinden erişilebilir. Windows, Linux ve macOS dağıtımları Azure dosya paylaşımlarını eşzamanlı olarak bağlayabilir. Dosya erişimi endüstri standardı Sunucu İleti Bloğu (SMB) protokollerini kullanır.
  • Azure Sanal Ağ, Azure'daki özel ağlar için temel yapı taşıdır. Sanal makineler gibi Azure kaynaklarının birbirleriyle, İnternet ile ve şirket içi ağlarla güvenli bir şekilde iletişim kurması için ortam sağlar.
  • Azure ExpressRoute , özel bir bağlantı üzerinden şirket içi ağları Microsoft bulutuna genişletir.
  • Azure VPN Gateway , şirket içi ağları siteden siteye VPN'ler aracılığıyla Azure'a bağlar ve uzak şube ofisine bağlandığınız şekilde aynı şekilde gerçekleştirilir. Bu bağlantı güvenlidir ve endüstri standardı İnternet Protokolü Güvenliği (IPsec) ve İnternet Anahtar Değişimi (IKE) protokollerini kullanılır.
  • Azure Özel Bağlantı, bir sanal ağdan Hizmet olarak Azure platformuna (PaaS), müşteriye ait veya Microsoft iş ortağı hizmetlerine özel bağlantı sağlar. Ağ mimarisini basitleştirir ve Azure’daki uç noktalar arasındaki bağlantının güvenliğini sağlayarak verilerin genel internet üzerinden aktarılmasını engeller.
  • Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanan bir ağ arabirimidir. Sanal ağdaki istemcilerin özel bağlantı üzerinden verilere erişmesine izin vermek için Azure Depolama hesaplarınız için özel uç noktaları kullanabilirsiniz.
  • Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik oranına ve kısıtlamasız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Azure Güvenlik Duvarı BIR DNS proxy'si olarak davranacak şekilde yapılandırabilirsiniz. DNS ara sunucusu, istemci sanal makinelerinden DNS sunucusuna dns istekleri için bir aracıdır.

Senaryo ayrıntıları

Aşağıdaki yaygın durumu göz önünde bulundurun. Şirket içi Windows Server, kullanıcılara ve uygulamalara dosya sağlar. Windows Server Active Directory Etki Alanı Services (AD DS) dosyaların güvenliğini sağlar ve bir şirket içi DNS sunucusu vardır. Her şey aynı özel ağda.

Şimdi bulutta dosya paylaşımlarının olması gerektiğini varsayalım.

Burada açıklanan mimaride Azure'ın bu ihtiyacı karşılamak için nasıl kullanılacağı, düşük maliyetle ve şirket içi ağı, AD DS ve DNS'yi kullanmaya devam ederek nasıl kullanılacağı gösterilmektedir.

Bu mimaride Azure Dosyalar dosya paylaşımını sağlar. Siteden siteye VPN veya Azure ExpressRoute, şirket içi ağ ile Azure sanal ağı arasında güvenli bağlantılar sağlar. Kullanıcılar ve uygulamalar dosyalara erişmek için bağlantıları kullanır. Microsoft Entra Id ve Azure DNS, erişimin güvenliğini sağlamak için şirket içi AD DS ve DNS ile işbirliği sağlar.

Kısacası, açıklanan durumdaysanız, şirket içi kullanıcılarınıza düşük maliyetle bulut dosyaları sağlayabilir ve şirket içi AD DS ve DNS ile güvenli dosya erişimi sağlamaya devam edebilirsiniz.

Olası kullanım örnekleri

  • Dosya sunucusu buluta taşınır, ancak kullanıcıların şirket içinde kalması gerekir.
  • Buluta geçirilen uygulamaların şirket içi dosyalara ve ayrıca buluta geçirilen dosyalara erişmesi gerekir.
  • Dosya depolama alanını buluta taşıyarak maliyetleri azaltmanız gerekir.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.

  • Azure Depolama verilerinizin birden çok kopyasını her zaman aynı bölgede depolar, böylece planlı ve plansız kesintilere karşı korunur. Diğer bölgelerde veya bölgelerde ek kopya oluşturma seçenekleri vardır. Daha fazla bilgi için bkz. Azure Depolama yedekliliği.
  • Azure Güvenlik Duvarı yerleşik yüksek kullanılabilirliğe sahiptir. Daha fazla bilgi için bkz. standart özellikler Azure Güvenlik Duvarı.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Bu makalelerde Azure bileşenleri için güvenlik bilgileri vardır:

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Azure ürünlerinin ve yapılandırmalarının maliyetini tahmin etmek için Azure Fiyatlandırma hesaplayıcısını kullanın.

Bu makalelerde Azure bileşenleri için fiyatlandırma bilgileri vardır:

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

  • Azure Depolama hesaplarınız, dosya paylaşımları dahil olmak üzere tüm Azure Depolama veri nesnelerinizi içerir. Depolama hesabı verileri için benzersiz bir ad alanı sağlar. Bu ad alanı, dünyanın her yerinden HTTP veya HTTPS üzerinden erişilebilir. Bu mimari için depolama hesabınız Azure Dosyalar tarafından sağlanan dosya paylaşımlarını içerir. En iyi performans için aşağıdakileri öneririz:
    • Dosya paylaşımları içeren depolama hesaplarına veritabanlarını, blobları vb. koymayın.
    • Depolama hesabı başına en fazla bir yüksek oranda etkin dosya paylaşımınız yoktur. Daha az etkin olan dosya paylaşımlarını aynı depolama hesabında gruplandırabilirsiniz.
    • HDD yerine SSD tabanlı depolama kullanın. Dosya paylaşımlarının ölçeklenebilirliği ve performansı hakkında daha fazla bilgi için bkz. ölçeklenebilirlik ve performans hedefleri Azure Dosyalar.
    • Önemli özelliklere sahip olmadığından genel amaçlı v1 depolama hesabı seçmeyin. Depolama hesabı türleri Depolama hesaba genel bakış bölümünde açıklanmıştır.
    • Boyut, hız ve diğer sınırlamalara dikkat edin. Bu bilgi için Azure aboneliği ve hizmet sınırları, kotaları ve kısıtlamaları konusuna bakın.
  • Depolama dışı bileşenlerin performansını geliştirmek için yapabileceğiniz çok az şey vardır; ancak dağıtımınızın Azure aboneliğinde açıklanan sınırlara, kotalara ve kısıtlamalara ve hizmet sınırlarına, kotalarına ve kısıtlamalarına bağlı olduğundan emin olun.
  • Azure bileşenleri için ölçeklenebilirlik bilgileri için bkz . Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Sonraki adımlar