Azure kurumsal bulut dosya paylaşımı

Bu başvuru mimarisi, Azure Dosyalar, Azure Dosya Eşitleme, Azure Özel DNS ve Azure Özel Uç Noktası gibi Azure hizmetlerini kullanan kurumsal düzeyde bir bulut dosya paylaşımı çözümünü gösterir. Çözüm, veri denetimini korurken dosya sunucularının ve altyapının yönetimini dış kaynak kullanarak maliyet tasarrufu sağlar.

Mimari

Aşağıdaki diyagramda istemcilerin Azure dosya paylaşımlarını nasıl erişebileceği gösterilmektedir:

• Bulut katmanlama dosya sunucusu aracılığıyla yerel olarak.
• Özel bir ağ ortamında ExpressRoute özel eşlemesi veya VPN tünelleri üzerinden uzaktan.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Kurumsal düzeyde bulut dosya paylaşımı çözümü, geleneksel dosya paylaşımıyla aynı kullanıcı deneyimini ancak Azure dosya paylaşımlarını sağlamak için aşağıdaki yöntemleri kullanır:

• Şirket içi dosya sunucuları ve Azure dosya paylaşımları arasında dosya ve klasör Erişim Denetim Listeleri'ni (ACL) eşitlemek için Azure Dosya Eşitleme kullanır.
• Sık erişilen dosyaları yerel olarak önbelleğe almak için Azure Dosya Eşitleme aracısından bulut katmanlama özelliğini kullanır.
• Azure dosya paylaşımları üzerinden AD DS kimlik doğrulamayı zorunlu kılar.
• ExpressRoute özel eşlemesi veya VPN tüneli üzerinden Özel Bağlantı ve Özel Uç Nokta üzerinden özel IP üzerinden dosya paylaşımına ve dosya eşitleme hizmetlerine erişir.

Azure Dosyalar ve Azure Dosya Eşitleme üzerinde Azure Özel Uç Noktası uygulanarak, Azure Dosyalar ve Azure Dosya Eşitleme erişimin Azure sanal ağından kısıtlanması için genel uç nokta erişimi devre dışı bırakılır.

ExpressRoute özel eşleme VPN siteden siteye tüneli, şirket içi ağı Azure sanal ağına genişletir. Şirket içinden Azure Dosyalar ve Azure Dosya Eşitleme özel uç noktalarına Azure Dosya Eşitleme ve Sunucu İleti Bloğu (SMB) trafiği yalnızca özel bağlantıyla sınırlıdır. Geçiş sırasında Azure Dosyalar yalnızca SMB 3.0+ ile yapılmışsa bağlantıya izin verir. Azure Dosya Eşitleme aracısından Azure Dosya paylaşımına veya Depolama Eşitleme Hizmeti'ne yapılan Bağlan her zaman şifrelenir. Bekleyen azure Depolama, Azure Dosyalar olduğu gibi bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifreler.

Etki Alanı Adı Sistemi (DNS) çözümleyicisi çözümün kritik bir bileşenidir. Bu durumda Azure Dosyalar ve Azure Dosya Eşitleme her Azure hizmetinin tam etki alanı adı (FQDN) vardır. Bu hizmetlerin FQDN'leri şu durumlarda genel IP adreslerine çözümlenir:

• İstemci bir Azure Dosyalar paylaşımına eriştiğinde.
• Şirket içi dosya sunucusuna dağıtılan bir Azure Dosya Eşitleme aracısı Azure Dosya Eşitleme hizmetine erişir.

Özel uç nokta etkinleştirildikten sonra, özel IP adresleri Azure sanal ağında ayrılır. Bu adresler özel bir bağlantı üzerinden bu hizmetlere erişim sağlar ve aynı FQDN'lerin artık özel IP adreslerine çözümlenmesi gerekir. Bunu başarmak için Azure Dosyalar ve Azure Dosya Eşitleme bir kurallı ad DNS kaydı (CNAME) oluşturarak çözümlemeyi özel bir etki alanı adına yeniden yönlendirin:

• Azure Dosya Eşitleme genel etki alanı adı, özel etki alanı adına *.afs.azure.net*.<region>.privatelink.afs.azure.netbir CNAME yeniden yönlendirmesi alır.
• Azure Dosyalar genel etki alanı adı, özel etki alanı adına <name>.file.core.windows.net<name>.privatelink.file.core.windows.netbir CNAME yeniden yönlendirmesi alır.

Bu mimaride gösterilen çözüm, aşağıdaki yöntemleri kullanarak şirket içi DNS ayarlarını doğru yapılandırarak özel etki alanı adlarını özel IP adreslerine çözümlemelerini sağlar:

• Özel DNS bölgeleri (bileşenler 11 ve 12) Azure Dosya Eşitleme ve Azure Dosyalar için özel ad çözümlemesi sağlamak üzere Azure'dan oluşturulur.
• Özel DNS bölgeleri Azure sanal ağına bağlanır, böylece sanal ağda veya Azure özel DNS çözümleyicisinde (bileşen 8) dağıtılan bir DNS sunucusu özel etki alanı adlarını çözümleyebilir.
• DNS Özel DNS bölgelerinde Azure Dosyalar ve Azure Dosya Eşitleme için A kayıtları oluşturulur. Uç nokta yapılandırma adımları için bkz. Azure Dosyalar ağ uç noktalarını yapılandırma ve Azure Dosya Eşitleme ağ uç noktalarını yapılandırma.
• Şirket içi DNS sunucusu (bileşen 3), ve file.core.windows.net dns sorgusunu domain afs.azure.net Azure sanal ağındaki DNS sunucusuna (bileşen 8) iletmek için koşullu iletmeyi ayarlar.
• Şirket içi DNS sunucusundan iletilen DNS sorgusunu aldıktan sonra, Azure sanal ağındaki DNS sunucusu (bileşen 8), özel etki alanı adlarını çözümlemek ve istemciye özel IP adresleri döndürmek için Azure DNS özyinelemeli çözümleyicisini kullanır.

Bileşenler

Mimari diyagramında gösterilen çözüm aşağıdaki bileşenleri kullanır:

• İstemci (bileşen 1 veya 2) - genellikle istemci, SMB protokolü aracılığıyla bir dosya sunucusuyla veya Azure Dosyalar konuşabilen bir Windows, Linux veya Mac OSX masaüstüdür.

• DC ve DNS sunucuları (bileşen 3) - Etki alanı denetleyicisi (DC), kimlik doğrulama isteklerine yanıt veren ve bilgisayar ağlarında kullanıcıları doğrulayan bir sunucudur. DNS sunucusu, bilgisayarlara ve kullanıcılara bilgisayar adı-IP adresi eşleme ad çözümleme hizmetleri sağlar. DC ve DNS sunucuları tek bir sunucuda birleştirilebilir veya farklı sunuculara ayrılabilir.

• Dosya sunucusu (bileşen 4) - Dosya paylaşımlarını barındıran ve SMB protokolü aracılığıyla dosya paylaşımı hizmetleri sağlayan bir sunucu.

• CE/VPN Cihazı (bileşen 5) - Azure sanal ağına ExpressRoute veya VPN bağlantısı kurmak için bir müşteri uç yönlendiricisi (CE) veya VPN cihazı kullanılır.

• Azure ExpressRoute veya Azure VPN Gateway (bileşen 6) – Azure ExpressRoute , bir bağlantı sağlayıcısı tarafından kolaylaştırılan özel bir bağlantı üzerinden şirket içi ağınızı Microsoft bulutuna genişletmenize olanak tanıyan bir hizmettir. Azure VPN Gateway , bir Azure sanal ağı ile şirket içi konum arasında genel İnternet üzerinden şifrelenmiş trafik göndermek için kullanılan belirli bir sanal ağ geçidi türüdür. ExpressRoute veya VPN Gateway, şirket içi ağınıza ExpressRoute veya VPN bağlantısı kurar.

• Azure özel uç noktası (bileşen 7) - Sizi özel ve güvenli bir şekilde Azure Özel Bağlantı tarafından desteklenen bir hizmete bağlayan ağ arabirimi. Bu çözümde, Azure Dosya Eşitleme bir özel uç nokta Azure Dosya Eşitleme (9) öğesine bağlanır ve Azure Dosyalar özel uç nokta Azure Dosyalar (10) öğesine bağlanır.

• Azure Sanal Ağ örneğindeki DNS sunucusu/Azure özel DNS çözümleyicisi (bileşen 8), şirket içi DNS sunucusundan iletilen bir DNS sorgusu aldıktan sonra özel etki alanı adını çözümlemek ve istemciye özel bir IP adresi döndürmek için Azure DNS özyinelemeli çözümleyicisini kullanır.

• Azure Dosya Eşitleme ve bulut katmanlama (bileşen 9) – Azure Dosya Eşitleme, kuruluşunuzun dosya paylaşımlarını Azure'da merkezi hale getirmek ve şirket içi dosya sunucusunun esnekliğini, performansını ve uyumluluğunu korumak için Azure Depolama bir özelliğidir. Bulut katmanlama, sık erişilen dosyaların sunucuda yerel olarak önbelleğe alındığı, diğer tüm dosyaların ilke ayarlarına göre Azure Dosyalar katmanlandığı isteğe bağlı bir Azure Dosya Eşitleme özelliğidir.

• Azure Dosyalar (bileşen 10) - Endüstri standardı Sunucu İleti Bloğu (SMB) protokolü aracılığıyla erişilebilen bulutta dosya paylaşımları sunan tam olarak yönetilen bir hizmet. Azure Dosyalar SMB v3 protokollerini uygular ve şirket içi Active Directory Domain Services (AD DS) ve Microsoft Entra Domain Services (Microsoft Entra Domain Services) aracılığıyla kimlik doğrulamasını destekler. Azure Dosyalar dosya paylaşımları, Windows, Linux ve macOS'un bulut veya şirket içi dağıtımları tarafından eşzamanlı olarak bağlanabilir. Buna ek olarak, Azure dosya paylaşımları verilerin kullanıldığı yere daha yakın bir konumda, hızlı erişim için Azure Dosya Eşitleme olan Windows Sunucularında önbelleğe alınabilir.

• Azure Özel DNS (bileşenler 11 ve 12) - Azure tarafından sunulan bir DNS hizmeti Özel DNS, özel dns çözümü eklemeye gerek kalmadan sanal ağdaki etki alanı adlarını yönetir ve çözümler.

• Azure Backup (bileşen 13) - Azure Backup , bulut tabanlı bir yedekleme çözümü sağlamak için dosya paylaşımı anlık görüntülerini kullanan bir Azure dosya paylaşımı yedekleme hizmetidir. Dikkat edilmesi gerekenler için bkz . Veri kaybı ve yedekleme.

Senaryo ayrıntıları

Bu çözüm, hibrit bir çalışma ortamındaki Azure dosya paylaşımlarına, İnternet'ten geçmeden şirket içi ile Azure sanal ağları arasında bir sanal özel ağ üzerinden erişmenizi sağlar. Ayrıca Microsoft Entra Domain Services (AD DS) kimlik doğrulaması aracılığıyla dosya erişimini denetlemenize ve sınırlandırmanıza da olanak tanır.

Olası kullanım örnekleri

Bulut dosya paylaşımı çözümü aşağıdaki olası kullanım örneklerini destekler:

• Dosya sunucusu veya dosya paylaşımı lift and shift. Kaldırma ve kaydırma ile verileri yeniden yapılandırma veya yeniden biçimlendirme gereksinimini ortadan kaldırırsınız. Ayrıca bulut depolamadan yararlanırken eski uygulamaları şirket içinde de tutabilirsiniz.
• Artan operasyonel verimlilikle bulut yeniliklerini hızlandırın. Donanım ve fiziksel alanı koruma maliyetini azaltır, veri bozulmasına ve veri kaybına karşı koruma sağlar.
• Azure Dosya paylaşımlarına özel erişim. Veri sızdırmaya karşı koruma sağlar.

Trafik akışları

Azure Dosya Eşitleme ve Azure Dosyalar etkinleştirdikten sonra Azure dosya paylaşımları yerel önbellek modu veya uzak mod olmak üzere iki modda erişilebilir. her iki modda da istemci, kimliğini doğrulamak için mevcut AD DS kimlik bilgilerini kullanır.

• Yerel önbellek modu - İstemci, bulut katmanlama etkinleştirilmiş yerel bir dosya sunucusu aracılığıyla dosyalara ve dosya paylaşımlarına erişir. Kullanıcı yerel dosya sunucusundan bir dosya açtığında, dosya verileri dosya sunucusu yerel önbelleğinden sunulur veya Azure Dosya Eşitleme aracısı dosya verilerini Azure Dosyalar sorunsuz bir şekilde geri çağırır. Bu çözümün mimari diyagramında, bileşen 1 ile 4 arasında gerçekleşir.

• Uzak mod - İstemci, dosyalara ve dosya paylaşımlarına doğrudan uzak bir Azure dosya paylaşımından erişir. Bu çözümün mimari diyagramında, trafik akışı 2, 5, 6, 7 ve 10 bileşenlerinde ilerler.

Azure Dosya Eşitleme trafik 4, 5, 6 ve 7 bileşenleri arasında güvenilir bir bağlantı için ExpressRoute bağlantı hattı kullanılarak hareket eder.

Özel etki alanı adı çözümleme sorguları aşağıdaki sırayı kullanarak 3, 5, 6, 8, 11 ve 12 bileşenlerinden geçer:

1. İstemci, bir Azure Dosyalar veya Azure Dosya Eşitleme DNS adını çözümlemek için şirket içi DNS sunucusuna bir sorgu gönderir.
2. Şirket içi DNS sunucusu, Azure Dosyası'nı işaret eden bir koşullu ileticiye sahiptir ve DNS ad çözümlemesini Azure sanal ağındaki bir DNS sunucusuna Azure Dosya Eşitleme.
3. Sorgu, Azure sanal ağındaki bir DNS Sunucusuna veya Azure özel DNS çözümleyicisine yönlendirilir.
4. Sanal ağın DNS yapılandırmasına bağlı olarak:
   • Özel bir DNS sunucusu yapılandırılırsa, Azure sanal ağındaki DNS Sunucusu Azure tarafından sağlanan DNS (168.63.129.16) özyinelemeli çözümleyiciye bir ad sorgusu gönderir.
   • Azure özel DNS çözümleyicisi yapılandırıldıysa ve sorgu sanal ağa bağlı özel DNS bölgeleriyle eşleşiyorsa, bu bölgelere başvurulur.
5. DNS sunucusu/Azure özel DNS çözümleyicisi, özel etki alanı adını ilgili özel DNS bölgesine çözümledikten sonra özel bir IP döndürür. Azure sanal ağının Azure Dosyalar DNS bölgesi ve Azure Dosya Eşitleme özel DNS bölgesi bağlantılarını kullanır.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Bu çözümü uygularken aşağıdaki noktaları göz önünde bulundurun.

Planlama

• Azure Dosya Eşitleme planlama için bkz. Azure Dosya Eşitleme dağıtımı planlama.
• Azure Dosyalar planlama için bkz. Azure Dosyalar dağıtımı planlama.

Ağ

• Azure Dosya Eşitleme ağ konuları için ağ Azure Dosya Eşitleme konusuna bakın.
• Azure Dosyalar ağ konusunda dikkat edilmesi gerekenler için ağ Azure Dosyalar konusuna bakın.

DNS

Özel Uç Noktalar için ad çözümlemesi yönetilirken, Azure Dosyalar ve Azure Dosya Eşitleme özel etki alanı adları aşağıdaki şekilde çözümlenir:

Azure tarafından:

• Azure tarafından sağlanan ad çözümlemesi kullanılıyorsa, Azure sanal ağının sağlanan özel DNS bölgelerine bağlanması gerekir.
• "Kendi DNS sunucunuzu getirin" kullanılırsa, kendi DNS sunucunuzun dağıtıldığı sanal ağ, sağlanan özel DNS bölgelerine bağlanmalıdır.

Şirket içi tarafından, özel etki alanı adı aşağıdaki yollardan biriyle özel bir IP adresine eşlenir:

• Diyagramda gösterildiği gibi, AZURE sanal ağında veya Azure özel DNS çözümleyicisinde dağıtılan bir DNS sunucusuna DNS iletme yoluyla.
• Özel etki alanı <region>.privatelink.afs.azure.net ve privatelink.file.core.windows.netiçin bölgeleri ayarlayan şirket içi DNS sunucusu aracılığıyla. Sunucu, Azure Dosyalar ve Azure Dosya Eşitleme özel uç noktaların IP adreslerini ilgili DNS bölgelerine DNS A kayıtları olarak kaydeder. Şirket içi istemci, özel etki alanı adını doğrudan yerel şirket içi DNS sunucusundan çözümler.

Dağıtılmış Dosya Sistemi (DFS)

Şirket içi dosya paylaşımı çözümü söz konusu olduğunda, birçok yönetici geleneksel tek başına dosya sunucusu yerine DFS kullanmayı seçer. DFS, yöneticilerin birden çok sunucuda mevcut olabilecek dosya paylaşımlarını birleştirerek hepsi aynı konumda yaşıyormuş gibi görünmesini sağlar ve kullanıcıların bunlara ağ üzerinde tek bir noktadan erişmesine olanak tanır. Bir bulut dosya paylaşımı çözümüne geçerken, geleneksel DFS-R dağıtımı Azure Dosya Eşitleme dağıtımıyla değiştirilebilir. Daha fazla bilgi için bkz. DFS Çoğaltma (DFS-R) dağıtımını Azure Dosya Eşitleme geçirme.

Veri kaybı ve yedekleme

Veri kaybı, her büyüklükteki işletmeler için ciddi bir sorundur. Azure dosya paylaşımı yedeklemesi, buluttaki verilerinizi koruyan ve şirket içi yedekleme çözümlerinde ek bakım yükünü ortadan kaldıran bulut tabanlı bir yedekleme çözümü sağlamak için dosya paylaşımı anlık görüntülerini kullanır. Azure dosya paylaşımı yedeklemesinin başlıca avantajları şunlardır:

• Sıfır altyapı
• Özelleştirilmiş saklama
• Yerleşik yönetim özellikleri
• Anında geri yüklemeler
• Uyarı ve raporlama
• Dosya paylaşımlarının yanlışlıkla silinmesine karşı koruma

Daha fazla bilgi için bkz. Azure dosya paylaşımı yedeklemesi hakkında

Azure Dosyalar üzerinde karma kimlik desteği

Bu makalede Azure Dosyalar kimlik doğrulaması için Active Directory açıklanmış olsa da, karma kullanıcı kimliklerinin kimliğini doğrulamak için Microsoft Entra Id kullanmak mümkündür. Azure Dosyalar, aşağıdaki üç yöntemle Kerberos kimlik doğrulama protokolunu kullanarak Sunucu İleti Bloğu (SMB) üzerinden kimlik tabanlı kimlik doğrulamasını destekler:

• Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS)
• Microsoft Entra Domain Services (Microsoft Entra Domain Services)
• Yalnızca karma kullanıcı kimlikleri için Microsoft Entra Kerberos (Microsoft Entra Id)

Daha fazla bilgi için bkz. Azure Dosyalar (önizleme) üzerinde karma kimlikler için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Uygulama tasarımı en iyi yöntemleriyle birlikte Azure DDoS Koruması, DDoS saldırılarına karşı daha fazla savunma sağlamak için gelişmiş DDoS azaltma özellikleri sağlar. Herhangi bir çevre sanal ağında Azure DDOS Koruması'nı etkinleştirmeniz gerekir.

Güvenlik denetimi, bir kuruluşun güvenliğinin korunmasına yardımcı olmak için gerekli bir gereksinimdir. Sektör standartları, kuruluşların veri güvenliği ve gizlilikle ilgili katı kurallar kümesini izlemesini gerektirir.

Dosya erişimi denetimi

Dosya erişimi denetimi yerel ve uzaktan etkinleştirilebilir:

• Dinamik Erişim Denetimi'ni kullanarak yerel olarak. Daha fazla bilgi için bkz . Dosya Erişimi Denetimini Planlama.
• Azure Dosyalar'da Azure İzleyici'deki Azure Depolama günlüklerini kullanarak uzaktan. Azure Depolama günlükleri Depolama Read, Depolama Write, Depolama Delete ve İşlem günlüklerini içerir. Azure dosya erişimi bir depolama hesabına, log analytics çalışma alanına kaydedilebilir veya ayrı olarak bir olay hub'ına akışla aktarılabilir. Daha fazla bilgi için bkz. Azure Depolama izleme.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Yingting Huang | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Azure Dosyalar dağıtımını planlama
• Azure Dosyalar’ı dağıtma
• Ağ Azure Dosyalar dikkat edilmesi gerekenler
• Azure Dosyalar ağ uç noktalarını yapılandırma
• Azure Depolama'yi izleme
• Dosya Erişimi Denetimini Planlama
• Azure dosya paylaşımlarını yedekleme
• Genel Bakış - Azure dosya paylaşımları için SMB üzerinden Domain Services kimlik doğrulaması şirket içi Active Directory
• Azure Dosya Eşitleme’yi dağıtma
• Azure Dosya Eşitleme ağ uç noktalarını yapılandırma
• Bulut Katmanlama'ya Genel Bakış
• Azure portalında Siteden Siteye bağlantı oluşturma
• ExpressRoute devreleri ve eşleme
• Bir ExpressRoute bağlantı hattı için eşlemeyi oluşturma ve değiştirme
• Azure dosya paylaşımı yedeklemesi hakkında
• Azure DNS Özel Çözümleyicisi nedir?
• Azure Dosyalar üzerinde karma kimlikler için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme (önizleme)

İlgili kaynaklar

• Azure kurumsal bulut dosya paylaşımı
• Şirket içinde erişilen ve AD DS ile güvenliği sağlanan Azure dosyaları
• Karma dosya hizmetleri
• Azure dosya paylaşımlarını karma bir ortamda kullanma
• Uzak ve yerel dal çalışanları için olağanüstü durum kurtarma ile karma dosya paylaşımı