Ağ Azure Dosyalar dikkat edilmesi gerekenler

Azure dosya paylaşımlarınıza genel İnternet üzerinden erişilebilen uç nokta üzerinden, ağlarınızda bir veya daha fazla özel uç nokta üzerinden veya Azure dosya paylaşımınızı şirket içinde Azure Dosya Eşitleme (yalnızca SMB dosya paylaşımları) ile önbelleğe alarak erişebilirsiniz. Bu makale, genel ve/veya özel uç noktalar üzerinden doğrudan erişim için Azure Dosyalar yapılandırmaya odaklanır. Azure dosya paylaşımınızı Azure Dosya Eşitleme ile şirket içinde önbelleğe almayı öğrenmek için bkz. Azure Dosya Eşitleme giriş.

Bu kılavuzu okumadan önce Azure Dosyalar dağıtımı planlama'nın okunmasını öneririz.

Azure dosya paylaşımına doğrudan erişmek için genellikle ağ ile ilgili ek düşünceler gerekir:

• SMB dosya paylaşımları, birçok kuruluşun ve İnternet servis sağlayıcısının (ISS) giden (İnternet) trafiği için engellediği 445 numaralı bağlantı noktası üzerinden iletişim kurar. Bu uygulama, SMB protokolünün kullanım dışı ve İnternet'e güvenli olmayan sürümleri hakkında eski güvenlik yönergelerinden kaynaklanır. SMB 3.x İnternet'e güvenli bir protokol olsa da, kuruluş veya ISS ilkelerinin değiştirilmesi mümkün olmayabilir. Bu nedenle, bir SMB dosya paylaşımını bağlamak için genellikle Azure dışında kullanmak için ek ağ yapılandırması gerekir.

• NFS dosya paylaşımları ağ düzeyinde kimlik doğrulaması kullanır ve bu nedenle yalnızca kısıtlı ağlar üzerinden erişilebilir. NFS dosya paylaşımı kullanmak için her zaman bir ağ yapılandırması düzeyi gerekir.

Azure Dosyalar için genel ve özel uç noktaların yapılandırılması, azure depolama hesabı Azure Dosyalar için üst düzey yönetim nesnesinde gerçekleştirilir. Depolama hesabı, birden çok Azure dosya paylaşımının yanı sıra blob kapsayıcıları veya kuyruklar gibi diğer Azure depolama hizmetlerinin depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden bir yönetim yapısıdır.

Bu video, beş basit adımda Azure dosya paylaşımlarını doğrudan bilgi çalışanlarına ve uygulamalara güvenli bir şekilde kullanıma sunma kılavuzu ve tanıtımıdır. Aşağıdaki bölümlerde, videoda başvuruda bulunılan belgelere bağlantılar ve ek bağlam sağlanır. Azure Active Directory'nin artık Microsoft Entra Id olduğunu unutmayın. Daha fazla bilgi için bkz . Azure AD için yeni ad.

Şunlara uygulanır

Dosya paylaşımı türü	SMB	NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS
Standart dosya paylaşımları (GPv2), GRS/GZRS
Premium dosya paylaşımları (filestorage), LRS/ZRS

Güvenli aktarım

Varsayılan olarak Azure depolama hesapları, verilere genel veya özel uç nokta üzerinden erişildiğinden bağımsız olarak güvenli aktarım gerektirir. Azure Dosyalar için, SMB, NFS ve FileREST dahil olmak üzere Azure dosya paylaşımlarında depolanan verilere tüm protokol erişimi için güvenli aktarım gerektir ayarı zorunlu tutulur. Şifrelenmemiş trafiğe izin vermek için Güvenli aktarım gerektir ayarını devre dışı bırakabilirsiniz. Azure portalında, REST API işlemleri için güvenli aktarım gerektir olarak etiketlenmiş bu ayarı da görebilirsiniz.

SMB, NFS ve FileREST protokolleri, güvenli aktarım gerektir ayarına göre biraz farklı davranışlara sahiptir:

• Depolama hesabında güvenli aktarım gerektiğinde, bu depolama hesabındaki tüm SMB dosya paylaşımları, SMB istemcisi ile Azure Dosyalar arasındaki kullanılabilir/gerekli şifreleme anlaşmasına bağlı olarak AES-128-CCM, AES-128-GCM veya AES-256-GCM şifreleme algoritmalarına sahip SMB 3.x protokolünü gerektirir. SMB güvenlik ayarları aracılığıyla izin verilen SMB şifreleme algoritmalarını değiştirebilirsiniz. Güvenli aktarım gerektir ayarının devre dışı bırakılması, şifreleme olmadan SMB 2.1 ve SMB 3.x bağlamalarını etkinleştirir.

• NFS dosya paylaşımları şifreleme mekanizmasını desteklemez, bu nedenle bir Azure dosya paylaşımına erişmek için NFS protokolunu kullanmak için depolama hesabı için güvenli aktarım gerektir seçeneğini devre dışı bırakmanız gerekir.

• Güvenli aktarım gerektiğinde, FileREST protokolü yalnızca HTTPS ile kullanılabilir. FileREST yalnızca bugün SMB dosya paylaşımlarında desteklenir.

Not

İstemci ile Azure depolama hesabı arasındaki iletişim Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenir. Azure Dosyalar, OpenSSL tabanlı olmayan ve bu nedenle OpenSSL ile ilgili güvenlik açıklarına açık olmayan bir Ssl'in Windows uygulamasına dayanır.

Genel uç nokta

Depolama hesabı içindeki Azure dosya paylaşımları için genel uç nokta, İnternet'te kullanıma sunulan bir uç noktadır. Genel uç nokta, depolama hesabı için varsayılan uç noktadır, ancak isterseniz devre dışı bırakılabilir.

SMB, NFS ve FileREST protokollerinin tümü ortak uç noktayı kullanabilir. Ancak, her birinin erişim için biraz farklı kuralları vardır:

• SMB dosya paylaşımları, şifrelemeli SMB 3.x ile depolama hesabının genel uç noktası üzerinden dünyanın her yerinden erişilebilir. Bu, kullanıcının oturum açma kimliği tarafından yetkilendirilmiş istekler gibi kimliği doğrulanmış isteklerin Azure bölgesinin içinden veya dışından güvenli bir şekilde kaynaklandığı anlamına gelir. Şifreleme olmadan SMB 2.1 veya SMB 3.x istenirse iki koşul karşılanmalıdır:

  1. Depolama hesabının güvenli aktarım gerektir ayarı devre dışı bırakılmalıdır.
  2. İstek, Azure bölgesinin içinden kaynaklanmalıdır. Daha önce belirtildiği gibi şifrelenmiş SMB isteklerine Azure bölgesinin içinde veya dışından her yerden izin verilir.

• NFS dosya paylaşımlarına, yalnızca depolama hesabının genel uç noktasının hizmet uç noktalarını kullanan belirli sanal ağlarla sınırlı olması durumunda depolama hesabının genel uç noktasından erişilebilir. Hizmet uç noktaları hakkında ek bilgi için bkz. genel uç nokta güvenlik duvarı ayarları.

• FileREST'e genel uç nokta üzerinden erişilebilir. Güvenli aktarım gerekiyorsa, yalnızca HTTPS istekleri kabul edilir. Güvenli aktarım devre dışı bırakılırsa, HTTP istekleri kaynak ne olursa olsun genel uç nokta tarafından kabul edilir.

Genel uç nokta güvenlik duvarı ayarları

Depolama hesabı güvenlik duvarı, depolama hesabının genel uç noktasına erişimi kısıtlar. Depolama hesabı güvenlik duvarını kullanarak, belirli IP adreslerine/IP adresi aralıklarına, belirli sanal ağlara erişimi kısıtlayabilir veya genel uç noktayı tamamen devre dışı bırakabilirsiniz.

Genel uç noktanın trafiğini bir veya daha fazla sanal ağ ile kısıtladığınızda, hizmet uç noktaları adlı bir sanal ağ özelliği kullanıyor olursunuz. Azure Dosyalar hizmet uç noktasına yönlendirilen istekler hala depolama hesabı genel IP adresine gidiyor; ancak ağ katmanı, yetkili bir sanal ağdan geldiğini doğrulamak için isteğin ek doğrulamasını yapıyor. SMB, NFS ve FileREST protokollerinin tümü hizmet uç noktalarını destekler. Ancak SMB ve FileREST'nin aksine, NFS dosya paylaşımları yalnızca bir hizmet uç noktası kullanarak genel uç noktayla erişilebilir.

Depolama hesabı güvenlik duvarını yapılandırma hakkında daha fazla bilgi edinmek için bkz . Azure depolama güvenlik duvarlarını ve sanal ağları yapılandırma.

Genel uç nokta ağ yönlendirmesi

Azure Dosyalar birden çok ağ yönlendirme seçeneğini destekler. Varsayılan seçenek olan Microsoft yönlendirmesi, tüm Azure Dosyalar yapılandırmalarıyla çalışır. İnternet yönlendirme seçeneği AD etki alanına katılma senaryolarını veya Azure Dosya Eşitleme desteklemez.

Özel uç noktalar

Depolama hesabı için varsayılan genel uç noktaya ek olarak, Azure Dosyalar bir veya daha fazla özel uç noktaya sahip olmak için seçenek sağlar. Özel uç nokta, yalnızca Azure sanal ağı içinde erişilebilen bir uç noktadır. Depolama hesabınız için özel bir uç nokta oluşturduğunuzda, depolama hesabınız, şirket içi dosya sunucusunun veya NAS cihazının şirket içi ağınızın ayrılmış adres alanı içinde bir IP adresi alması gibi sanal ağınızın adres alanından özel bir IP adresi alır.

Tek bir özel uç nokta belirli bir Azure sanal ağ alt ağıyla ilişkilendirilir. Depolama hesabının birden fazla sanal ağda özel uç noktaları olabilir.

Azure Dosyalar ile özel uç noktaları kullanmak şunları yapmanızı sağlar:

• Özel eşleme ile VPN veya ExpressRoute bağlantısı kullanarak şirket içi ağlardan Azure dosya paylaşımlarınıza güvenli bir şekilde bağlanın.
• Depolama hesabı güvenlik duvarını, genel uç noktadaki tüm bağlantıları engelleyecek şekilde yapılandırarak Azure dosya paylaşımlarınızın güvenliğini sağlayın. Varsayılan olarak, özel uç nokta oluşturmak genel uç noktaya bağlantıları engellemez.
• Sanal ağdan (ve eşleme sınırlarından) veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırır.

Özel uç nokta oluşturmak için bkz. Azure Dosyalar için özel uç noktaları yapılandırma.

Sanal özel ağ veya ExpressRoute üzerinden trafiği tünelleme

Şirket içinden SMB veya NFS dosya paylaşımlarına erişmek için özel uç noktaları kullanmak için, şirket içi ağınızla Azure arasında bir ağ tüneli oluşturmanız gerekir. Sanal ağ veya sanal ağ, geleneksel bir şirket içi ağa benzer. Azure depolama hesabı veya Azure VM gibi sanal ağ da bir kaynak grubunda dağıtılan bir Azure kaynağıdır.

Azure Dosyalar, şirket içi iş istasyonlarınız ve sunucularınız ile Azure SMB/NFS dosya paylaşımları arasındaki trafiği tünelleyen aşağıdaki mekanizmaları destekler:

• Azure VPN Gateway: VPN ağ geçidi, bir Azure sanal ağı ile alternatif bir konum (şirket içi gibi) arasında İnternet üzerinden şifrelenmiş trafik göndermek için kullanılan belirli bir sanal ağ geçidi türüdür. Azure VPN Gateway, depolama hesabı veya diğer Azure kaynaklarının yanı sıra bir kaynak grubunda dağıtılabilir bir Azure kaynağıdır. VPN ağ geçitleri iki farklı bağlantı türünü kullanıma sunar:
  • Azure ile tek bir istemci arasındaki VPN bağlantıları olan Noktadan Siteye (P2S) VPN ağ geçidi bağlantıları. Bu çözüm öncelikle kuruluşunuzun şirket içi ağının parçası olmayan cihazlar için kullanışlıdır. Yaygın kullanım örneklerinden biri, azure dosya paylaşımını evden, kafeden veya otelden yola çıkararak bağlamak isteyen telekomünikasyon çalışanları içindir. Azure Dosyalar ile P2S VPN bağlantısı kullanmak için bağlanmak isteyen her istemci için bir P2S VPN bağlantısı yapılandırmanız gerekir. Bkz. Azure Dosyalar ile kullanmak üzere Windows üzerinde Noktadan Siteye (P2S) VPN yapılandırma ve linux üzerinde noktadan siteye (P2S) VPN'yi Azure Dosyalar ile kullanmak üzere yapılandırma.
  • Azure ile kuruluşunuzun ağı arasındaki VPN bağlantıları olan Siteden Siteye (S2S) VPN. S2S VPN bağlantısı, Azure dosya paylaşımınıza erişmesi gereken her istemci cihazı için bir bağlantı yapılandırmak yerine, kuruluşunuzun ağında barındırılan bir VPN sunucusu veya cihazı için bir kez VPN bağlantısı yapılandırmanıza olanak tanır. Bkz. Azure Dosyalar ile kullanmak üzere Siteden Siteye (S2S) VPN yapılandırma.
• ExpressRoute, Azure ile şirket içi ağınız arasında İnternet'ten geçmeyen tanımlı bir yol oluşturmanıza olanak tanır. ExpressRoute, şirket içi veri merkezinizle Azure arasında ayrılmış bir yol sağladığından, ağ performansı dikkate alındığında ExpressRoute yararlı olabilir. Kuruluşunuzun ilke veya mevzuat gereksinimleri, buluttaki kaynaklarınıza yönelik belirleyici bir yol gerektirdiğinde ExpressRoute da iyi bir seçenektir.

Not

Şirket içi ağınızı Azure'a genişletmeye yardımcı olmak için özel uç noktaları kullanmanızı öneririz ancak VPN bağlantısı üzerinden genel uç noktaya yönlendirmek teknik olarak mümkündür. Ancak bunun için depolama hesabınıza hizmet eden Azure depolama kümesi için genel uç noktanın IP adresini sabit kodlamanız gerekir. Depolama hesapları her zaman depolama kümeleri arasında taşınabileceğinden ve yeni kümeler sık sık eklenip kaldırıldığından, bu işlem tüm olası Azure depolama IP adreslerini düzenli olarak yönlendirme kurallarınıza sabit kodlamayı gerektirir.

DNS yapılandırması

Özel uç nokta oluşturduğunuzda, varsayılan olarak alt etki alanına karşılık gelen privatelink bir özel DNS bölgesi de oluştururuz (veya var olan bir dns bölgesini güncelleştiririz). Açıkça belirtmek gerekirse, depolama hesabınız için özel bir uç nokta kullanmak için özel DNS bölgesi oluşturmak gerekmez. Ancak, genel olarak kesinlikle önerilir ve Azure dosya paylaşımınızı bir Active Directory kullanıcı sorumlusuna bağlarken veya FileREST API'sinden erişirken açıkça gereklidir.

Not

Bu makalede, Azure Genel bölgeleri core.windows.netiçin depolama hesabı DNS son eki kullanılır. Bu yorum, Azure ABD Kamu bulutu ve 21Vianet bulutu tarafından sağlanan Microsoft Azure gibi Azure Bağımsız bulutları için de geçerlidir. Ortamınız için uygun son ekleri değiştirmeniz gerekir.

Özel DNS bölgenizde, için storageaccount.privatelink.file.core.windows.net bir A kaydı ve desenini storageaccount.file.core.windows.netizleyen depolama hesabının normal adı için bir CNAME kaydı oluştururuz. Azure özel DNS bölgeniz özel uç noktayı içeren sanal ağa bağlı olduğundan, Azure VM'de (alternatif olarak Windows ve Linux'ta) nslookup PowerShell'den cmdlet'ini çağırarak Resolve-DnsName DNS yapılandırmasını gözlemleyebilirsiniz:

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Bu örnekte depolama hesabı storageaccount.file.core.windows.net , özel uç noktanın özel IP adresine çözümlenecektir ve bu da olur 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Şirket içinden aynı komutu çalıştırırsanız, aynı depolama hesabı adının bunun yerine depolama hesabının genel IP adresine çözümlendiğini görürsünüz. Örneğin, storageaccount.file.core.windows.net için storageaccount.privatelink.file.core.windows.netbir CNAME kaydıdır ve bu da depolama hesabını barındıran Azure depolama kümesi için bir CNAME kaydıdır:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Bu, depolama hesabının hem genel uç noktayı hem de bir veya daha fazla özel uç noktayı kullanıma sunmasını yansıtır. Depolama hesabı adının özel uç noktanın özel IP adresine çözümlenmesi için, şirket içi DNS sunucularınızdaki yapılandırmayı değiştirmeniz gerekir. Bu, çeşitli yollarla gerçekleştirilebilir:

• İstenen özel uç noktanın özel IP adresine çözüm getirmek storageaccount.file.core.windows.net için istemcilerinizdeki hosts dosyasını değiştirme. Bu durum üretim ortamları için kesinlikle önerilmez çünkü Azure dosya paylaşımlarınızı bağlamak isteyen her istemcide bu değişiklikleri yapmanız gerekir ve depolama hesabı veya özel uç nokta değişiklikleri otomatik olarak işlenmez.
• Şirket içi DNS sunucularınızda için storageaccount.file.core.windows.net A kaydı oluşturma. Bu, şirket içi ortamınızdaki istemcilerin her istemciyi yapılandırmaya gerek kalmadan depolama hesabını otomatik olarak çözümleyebilme avantajına sahiptir. Ancak bu çözüm, değişiklikler yansıtılmadığından konak dosyasını değiştirmeye benzer şekilde kısıtlanır. Bu çözüm kırılgan olsa da, bazı ortamlar için en iyi seçenek olabilir.
• core.windows.net Bölgeyi şirket içi DNS sunucularınızdan Azure özel DNS bölgenize iletin. Azure özel DNS ana bilgisayarına yalnızca Azure özel DNS bölgesine bağlı sanal ağlar içinde erişilebilen özel bir IP adresi (168.63.129.16) üzerinden ulaşılabilir. Bu sınırlamayı geçici olarak çözmek için, sanal ağınızda Azure özel DNS bölgesine iletilecek core.windows.net ek DNS sunucuları çalıştırabilirsiniz. Bu kurulumu basitleştirmek için, Azure sanal ağınızda DNS sunucularını otomatik olarak dağıtacak ve bunları istediğiniz şekilde yapılandıracak PowerShell cmdlet'leri sağladık. DNS iletmeyi ayarlamayı öğrenmek için bkz. dns'yi Azure Dosyalar ile yapılandırma.

QUIC üzerinden SMB

Windows Server 2022 Azure Edition, Dosya Sunucusu rolü tarafından sağlanan SMB sunucusu için QUIC adlı yeni bir aktarım protokolunu destekler. QUIC, UDP'nin üzerine kurulu TCP'nin yerini alır ve güvenilir bir aktarım mekanizması sağlarken TCP'ye karşı çok sayıda avantaj sağlar. SMB protokolünün önemli avantajlarından biri, 445 numaralı bağlantı noktasını kullanmak yerine tüm aktarımların HTTPS'yi desteklemek üzere geniş çapta açık olan 443 numaralı bağlantı noktası üzerinden yapılmasıdır. Bu, QUIC üzerinden SMB'nin genel İnternet üzerinden dosya paylaşımı için bir "SMB VPN" sunduğu anlamına gelir. Windows 11, QUIC özellikli istemci üzerinden bir SMB ile birlikte geliyor.

Şu anda Azure Dosyalar QUIC üzerinden SMB'yi doğrudan desteklemez. Ancak, aşağıdaki diyagramda gösterildiği gibi Windows Server'da çalışan Azure Dosya Eşitleme aracılığıyla Azure dosya paylaşımlarına erişebilirsiniz. Bu ayrıca, dağıtılmış iş gücü için yerel önbellekler sağlamak üzere hem şirket içinde hem de farklı Azure veri merkezlerinde Azure Dosya Eşitleme önbellekleri olmasını sağlama seçeneği sunar. Bu seçenek hakkında daha fazla bilgi edinmek için bkz. QUIC üzerinden Azure Dosya Eşitleme ve SMB dağıtma.

Ayrıca bkz.

• Azure Dosyalar'a genel bakış
• Azure Dosyalar dağıtımını planlama