Azure Dosya Eşitleme ağ konusunda dikkat edilmesi gerekenler
Azure dosya paylaşımına iki şekilde bağlanabilirsiniz:
- Paylaşıma doğrudan SMB veya FileREST protokolleri aracılığıyla erişme. Bu erişim düzeni öncelikle mümkün olduğunca çok şirket içi sunucuyu ortadan kaldırmak için kullanılır.
- Azure Dosya Eşitleme ile bir şirket içi sunucuda (veya Azure VM' de) Azure dosya paylaşımının önbelleğini oluşturma ve dosya paylaşımının verilerine şirket içi sunucudan erişim için tercihiniz olan protokolle (SMB, NFS, FTPS vb.) kullanım örneği. Bu erişim düzeni, hem şirket içi performansın hem de bulut ölçeğinin ve Azure Backup gibi sunucusuz eklenebilir hizmetlerin en iyilerini bir araya getirdiğinden kullanışlıdır.
Bu makalede, kullanım örneğiniz SMB üzerinden Azure dosya paylaşımını doğrudan bağlamak yerine şirket içi dosyaları önbelleğe almak için Azure Dosya Eşitleme kullanmayı çağırdığında ağ yapılandırmasına odaklanılır. Azure Dosyalar dağıtımıyla ilgili ağ konuları hakkında daha fazla bilgi için bkz. ağ konusunda dikkat edilmesi gerekenler Azure Dosyalar.
Azure Dosya Eşitleme için ağ yapılandırması iki farklı Azure nesnesine yayılmıştır: Depolama Eşitleme Hizmeti ve bir Azure depolama hesabı. Depolama hesabı, birden çok dosya paylaşımının yanı sıra blob kapsayıcıları veya kuyruklar gibi diğer depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden bir yönetim yapısıdır. Depolama Eşitleme Hizmeti, Azure Dosya Eşitleme ile yerleşik güven ilişkisine sahip Windows dosya sunucuları ve eşitleme ilişkisinin topolojisini tanımlayan eşitleme grupları olan kayıtlı sunucuları temsil eden bir yönetim yapısıdır.
Önemli
Azure Dosya Eşitleme internet yönlendirmesini desteklemez. Varsayılan ağ yönlendirmesi seçeneği olan Microsoft yönlendirmesi, Azure Dosya Eşitleme tarafından desteklenir.
Azure Dosya Eşitleme ile Windows dosya sunucusunu Azure'a Bağlan
şirket içi Windows dosya sunucusuyla Azure Dosyalar ve Azure Dosya Eşitleme ayarlamak ve kullanmak için, temel bir İnternet bağlantısının ötesinde Azure'a özel ağ gerekmez. Azure Dosya Eşitleme dağıtmak için Azure ile eşitlemek istediğiniz Windows dosya sunucusuna Azure Dosya Eşitleme aracısını yüklersiniz. Azure Dosya Eşitleme aracısı, iki kanal aracılığıyla bir Azure dosya paylaşımıyla eşitlemeye ulaşır:
- Azure dosya paylaşımınıza erişmek için kullanılan HTTPS tabanlı bir protokol olan FileREST protokolü. FileREST protokolü veri aktarımı için standart HTTPS kullandığından giden bağlantı olarak yalnızca 443 numaralı bağlantı noktasının erişilebilir olması gerekir. Azure Dosya Eşitleme, şirket içi Windows Sunucularınız ile Azure dosya paylaşımınız arasında veri aktarmak için SMB protokolunu kullanmaz.
- Eşitleme bilgisi alışverişinde kullanılan HTTPS tabanlı bir protokol olan Azure Dosya Eşitleme eşitleme protokolü, yani ortamınızdaki uç noktalar arasındaki dosyalar ve klasörler hakkındaki sürüm bilgileri. Bu protokol, ortamınızdaki dosya ve klasörlerle ilgili zaman damgaları ve erişim denetim listeleri (ACL' ler) gibi meta verileri değiştirmek için de kullanılır.
Azure Dosyalar Azure dosya paylaşımlarında doğrudan SMB protokolü erişimi sunduğundan, müşteriler genellikle Azure Dosya Eşitleme aracısının erişmesi için SMB kullanarak Azure dosya paylaşımlarını bağlamak için özel ağ yapılandırması gerekip gerekmediğini merak eder. Doğrudan Azure dosya paylaşımında yapılan değişikliklerde hızlı değişiklik algılama olmaması nedeniyle (Azure dosya paylaşımındaki öğelerin boyutuna ve sayısına bağlı olarak değişiklikler 24 saatten fazla bulunamayabilir) yönetici senaryoları dışında bu gerekli değildir ve önerilmez. Azure dosya paylaşımını doğrudan kullanmak istiyorsanız ( örneğin, şirket içinde önbelleğe almak için Azure Dosya Eşitleme kullanmamak) bkz. ağa genel bakış Azure Dosyalar.
Azure Dosya Eşitleme herhangi bir özel ağ yapılandırması gerektirmese de, bazı müşteriler aşağıdaki senaryoları etkinleştirmek için gelişmiş ağ ayarlarını yapılandırmak isteyebilir:
- Kuruluşunuzun proxy sunucu yapılandırmasıyla birlikte çalışma.
- Kuruluşunuzun şirket içi güvenlik duvarını Azure Dosyalar ve Azure Dosya Eşitleme hizmetlerinde açın.
- ExpressRoute veya VPN bağlantısı üzerinden trafiği tünel Azure Dosyalar ve Azure Dosya Eşitleme.
Proxy sunucularını yapılandırma
Birçok kuruluş, şirket içi ağlarındaki kaynaklarla Azure gibi ağlarının dışındaki kaynaklar arasında aracı olarak bir ara sunucu kullanır. Ara sunucu, ağ yalıtımı ve güvenlik, izleme ve günlüğe kaydetme gibi birçok uygulama için kullanışlıdır. Azure Dosya Eşitleme bir ara sunucuyla tam olarak birlikte çalışabilir, ancak ortamınız için ara sunucu uç noktası ayarlarını Azure Dosya Eşitleme ile el ile yapılandırmanız gerekir. Bu, Azure Dosya Eşitleme sunucusu cmdlet'i Set-StorageSyncProxyConfigurationkullanılarak PowerShell aracılığıyla yapılmalıdır.
Ara sunucuyla Azure Dosya Eşitleme yapılandırma hakkında daha fazla bilgi için bkz. Ara sunucuyla Azure Dosya Eşitleme yapılandırma.
Güvenlik duvarlarını ve hizmet etiketlerini yapılandırma
Birçok kuruluş, dosya sunucularını güvenlik amacıyla çoğu İnternet konumundan yalıtıyor. Azure Dosya Eşitleme böyle bir ortamda kullanmak için güvenlik duvarınızı, belirli Azure hizmetlerine giden erişime izin verecek şekilde yapılandırmanız gerekir. Güvenlik duvarınız URL/etki alanlarını destekliyorsa, bu belirli Azure hizmetlerini barındıran gerekli bulut uç noktalarına 443 numaralı bağlantı noktası giden erişimine izin vererek bunu yapabilirsiniz. Aksi takdirde, hizmet etiketleri aracılığıyla bu Azure hizmetlerinin IP adresi aralıklarını alabilirsiniz.
Azure Dosya Eşitleme, hizmet etiketleri tarafından tanımlanan aşağıdaki hizmetler için IP adresi aralıklarını gerektirir:
| Hizmet | Tanım | Hizmet etiketi |
|---|---|---|
| Azure Dosya Eşitleme | Depolama Eşitleme Hizmeti nesnesi tarafından temsil edilen Azure Dosya Eşitleme hizmeti, Azure dosya paylaşımı ile Windows dosya sunucusu arasında veri eşitlemenin temel etkinliğinden sorumludur. | StorageSyncService |
| Azure Dosyaları | Azure Dosya Eşitleme aracılığıyla eşitlenen tüm veriler Azure dosya paylaşımında depolanır. Windows dosya sunucularınızda değiştirilen dosyalar Azure dosya paylaşımınıza çoğaltılır ve bir kullanıcı bunları istediğinde şirket içi dosya sunucunuzda katmanlanmış dosyalar sorunsuz bir şekilde indirilir. | Storage |
| Azure Kaynak Yöneticisi | Azure Resource Manager, Azure için yönetim arabirimidir. Azure Dosya Eşitleme sunucu kaydı ve devam eden eşitleme sunucusu görevleri dahil olmak üzere tüm yönetim çağrıları Azure Resource Manager aracılığıyla yapılır. | AzureResourceManager |
| Microsoft Entra Kimliği | Microsoft Entra Id (eski adı Azure AD), Depolama Eşitleme Hizmeti'ne karşı sunucu kaydını yetkilendirmek için gereken kullanıcı sorumlularını ve Azure Dosya Eşitleme bulut kaynaklarınıza erişim yetkisine sahip olması için gereken hizmet sorumlularını içerir. | AzureActiveDirectory |
Azure'da Azure Dosya Eşitleme kullanıyorsanız, farklı bir bölgede olsa bile hizmet etiketinin adını doğrudan ağ güvenlik grubunuzda kullanarak hizmete giden trafiğe izin vekleyebilirsiniz. Daha fazla bilgi için bkz. Ağ güvenlik grupları.
Şirket içi Azure Dosya Eşitleme kullanıyorsanız, güvenlik duvarınızın izin verilenler listesine yönelik belirli IP adresi aralıklarını almak için hizmet etiketi API'sini kullanabilirsiniz. Bu bilgileri almak için iki yöntem vardır:
- Hizmet etiketlerini destekleyen tüm Azure hizmetlerinin geçerli IP adresi aralıkları listesi, Microsoft İndirme Merkezi'nde haftalık olarak JSON belgesi biçiminde yayımlanır. Her Azure bulutunun, ilgili bulutla ilgili IP adresi aralıklarına sahip kendi JSON belgesi vardır:
- Hizmet etiketi bulma API'si (önizleme), geçerli hizmet etiketleri listesinin program aracılığıyla alınmasına olanak tanır. Önizlemede, hizmet etiketi bulma API'si Microsoft İndirme Merkezi'nde yayımlanan JSON belgelerinden döndürülen bilgilerden daha az güncel bilgiler döndürebilir. API yüzeyini otomasyon tercihinize göre kullanabilirsiniz:
Hizmet etiketi API'sini kullanarak hizmetlerinizin adreslerini alma hakkında daha fazla bilgi edinmek için bkz. Azure Dosya Eşitleme IP adresleri için İzin Verilenler listesi.
Sanal özel ağ veya ExpressRoute üzerinden trafiği tünelleme
Bazı kuruluşlar, ek bir güvenlik katmanı için sanal özel ağ (VPN) veya ExpressRoute gibi bir ağ tüneli üzerinden geçmek veya Azure ile iletişimin belirlenimci bir yol izlediğinden emin olmak için Azure ile iletişime ihtiyaç duyar.
Şirket içi ağınızla Azure arasında bir ağ tüneli oluşturduğunuzda, şirket içi ağınızı Azure'daki bir veya daha fazla sanal ağ ile eşlersiniz. Sanal ağ veya sanal ağ, şirket içinde çalıştıracağınız geleneksel bir ağa benzer. Azure depolama hesabı veya Azure VM gibi sanal ağ da bir kaynak grubunda dağıtılan bir Azure kaynağıdır.
Azure Dosyalar ve Azure Dosya Eşitleme, şirket içi sunucularınız ile Azure arasındaki trafiği tünelleyen aşağıdaki mekanizmaları destekler:
Azure VPN Gateway: VPN ağ geçidi, bir Azure sanal ağı ile alternatif bir konum (şirket içi gibi) arasında İnternet üzerinden şifrelenmiş trafik göndermek için kullanılan belirli bir sanal ağ geçidi türüdür. Azure VPN Gateway, bir depolama hesabının veya diğer Azure kaynaklarının yanı sıra bir kaynak grubunda dağıtılabilir bir Azure kaynağıdır. Azure Dosya Eşitleme bir şirket içi Windows dosya sunucusuyla kullanılması amaçlandığından, noktadan siteye (P2S) VPN kullanmak teknik olarak mümkün olsa da normalde Siteden Siteye (S2S) VPN kullanırsınız.
Siteden Siteye (S2S) VPN bağlantıları, Azure sanal ağınızı ve kuruluşunuzun şirket içi ağını bağlar. S2S VPN bağlantısı, Azure dosya paylaşımınıza erişmesi gereken her istemci cihazı için yapmak yerine kuruluşunuzun ağında barındırılan bir VPN sunucusu veya cihaz için bir kez VPN bağlantısı yapılandırmanıza olanak tanır. S2S VPN bağlantısının dağıtımını basitleştirmek için bkz. Azure Dosyalar ile kullanmak üzere Siteden Siteye (S2S) VPN yapılandırma.
ExpressRoute, Azure ile şirket içi ağınız arasında İnternet'ten geçmeyen tanımlı bir yol (özel bağlantı) oluşturmanıza olanak tanır. ExpressRoute, şirket içi veri merkezinizle Azure arasında ayrılmış bir yol sağladığından ağ performansı önemli bir nokta olduğunda ExpressRoute yararlı olabilir. Kuruluşunuzun ilke veya mevzuat gereksinimleri, buluttaki kaynaklarınıza yönelik belirleyici bir yol gerektirdiğinde ExpressRoute da iyi bir seçenektir.
Özel uç noktalar
Depolama hesabı ve Depolama Eşitleme Hizmeti aracılığıyla Azure Dosyalar ve Azure Dosya Eşitleme varsayılan genel uç noktalara ek olarak, VPN veya ExpressRoute kullanarak şirket içinden ve azure sanal ağı içinden Azure dosya paylaşımlarına özel ve güvenli bir şekilde bağlanmak için, kaynak başına bir veya daha fazla özel uç nokta kullanma seçeneği sunar. Bir Azure kaynağı için özel uç nokta oluşturduğunuzda, şirket içi Windows dosya sunucunuzun şirket içi ağınızın ayrılmış adres alanı içinde bir IP adresi olması gibi sanal ağınızın adres alanından özel bir IP adresi alır.
Önemli
Depolama Eşitleme Hizmeti kaynağında özel uç noktaları kullanmak için Azure Dosya Eşitleme aracı sürüm 10.1 veya üzerini kullanmanız gerekir. 10.1 öncesi aracı sürümleri, Depolama Eşitleme Hizmeti'nin özel uç noktalarını desteklemez. Önceki tüm aracı sürümleri, depolama hesabı kaynağındaki özel uç noktaları destekler.
Tek bir özel uç nokta belirli bir Azure sanal ağ alt ağıyla ilişkilendirilir. Depolama hesapları ve Depolama Eşitleme Hizmetleri birden fazla sanal ağda özel uç noktalara sahip olabilir.
Özel uç noktaları kullanmak şunları kullanmanızı sağlar:
- Özel eşleme ile VPN veya ExpressRoute bağlantısı kullanarak şirket içi ağlardan Azure kaynaklarınıza güvenli bir şekilde bağlanın.
- Azure Dosyalar ve Dosya Eşitleme için genel uç noktaları devre dışı bırakarak Azure kaynaklarınızın güvenliğini sağlayın. Varsayılan olarak, özel uç nokta oluşturmak genel uç noktaya bağlantıları engellemez.
- Sanal ağdan (ve eşleme sınırlarından) veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırır.
Özel uç nokta oluşturmak için bkz. Azure Dosya Eşitleme için özel uç noktaları yapılandırma.
Özel uç noktalar ve DNS
Özel uç nokta oluşturduğunuzda, varsayılan olarak alt etki alanına karşılık gelen privatelink özel dns bölgesini de oluştururuz (veya güncelleştiririz). Genel bulut bölgeleri için bu DNS bölgeleri privatelink.file.core.windows.net Azure Dosyalar ve privatelink.afs.azure.net Azure Dosya Eşitleme içindir.
Dekont
Bu makalede, Azure Genel bölgeleri core.windows.netiçin depolama hesabı DNS son eki kullanılır. Bu yorum, Azure ABD Kamu bulutu ve 21Vianet bulutu tarafından sağlanan Microsoft Azure gibi Azure Bağımsız bulutları için de geçerlidir. Ortamınız için uygun son ekleri değiştirmeniz gerekir.
Depolama hesabı ve Depolama Eşitleme Hizmeti için özel uç noktalar oluşturduğunuzda, bunlar için ilgili özel DNS bölgelerinde A kayıtları oluştururuz. Ayrıca, genel DNS girişini, normal tam etki alanı adları ilgili privatelink ad için CNAMEs olacak şekilde güncelleştiririz. Bu, tam etki alanı adlarının, istekte bulunan sanal ağın içindeyken özel uç nokta IP adreslerini (ler) ve istek sahibi sanal ağın dışında olduğunda genel uç nokta IP adreslerini (ler) işaret etmelerini sağlar.
Azure Dosyalar için her özel uç noktanın, özel uç nokta için bir özel IP adresine eşlenen desenini storageaccount.privatelink.file.core.windows.netizleyen tek bir tam etki alanı adı vardır. Azure Dosya Eşitleme için her özel uç noktanın, Azure Dosya Eşitleme kullanıma sunan dört farklı uç nokta için dört tam etki alanı adı vardır: yönetim, eşitleme (birincil), eşitleme (ikincil) ve izleme. Ad ASCII olmayan karakterler içermediği sürece, bu uç noktaların tam etki alanı adları normalde Depolama Eşitleme Hizmeti'nin adını izler. Örneğin, Depolama Eşitleme Hizmeti adınız Batı ABD 2 bölgesindeysemysyncservice, eşdeğer uç noktalar , , mysyncservicesyncp.westus2.afs.azure.netmysyncservicesyncs.westus2.afs.azure.netve mysyncservicemonitoring.westus2.afs.azure.netolacaktırmysyncservicemanagement.westus2.afs.azure.net. Depolama Eşitleme Hizmeti için her özel uç nokta 4 ayrı IP adresi içerir.
Azure özel DNS bölgeniz özel uç noktayı içeren sanal ağa bağlı olduğundan, Azure VM'de (alternatif olarak Windows ve Linux'ta) nslookup PowerShell'den cmdlet'ini çağırarak Resolve-DnsName DNS yapılandırmasını gözlemleyebilirsiniz:
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Bu örnekte depolama hesabı storageaccount.file.core.windows.net , özel uç noktanın özel IP adresine çözümlenecektir ve bu da olur 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Şirket içinden aynı komutu çalıştırırsanız, aynı depolama hesabı adının bunun yerine depolama hesabının genel IP adresine çözümlendiğini görürsünüz; storageaccount.file.core.windows.net için bir CNAME kaydıdır storageaccount.privatelink.file.core.windows.netve bu da depolama hesabını barındıran Azure depolama kümesi için bir CNAME kaydıdır:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Bu, Azure Dosyalar ve Azure Dosya Eşitleme hem genel uç noktalarını hem de kaynak başına bir veya daha fazla özel uç noktayı kullanıma sunma gerçeğini yansıtır. Kaynaklarınızın tam etki alanı adlarının özel uç noktalar özel IP adreslerine çözümlenmesi için, şirket içi DNS sunucularınızdaki yapılandırmayı değiştirmeniz gerekir. Bu, çeşitli yollarla gerçekleştirilebilir:
- İstemcilerinizdeki hosts dosyasını değiştirerek depolama hesaplarınız için tam etki alanı adlarını ve Depolama Eşitleme Hizmetleri'nin istenen özel IP adreslerine çözümlenmesini sağlayın. Özel uç noktalarınıza erişmesi gereken her istemcide bu değişiklikleri yapmanız gerekeceğinden, bu durum üretim ortamları için kesinlikle önerilmez. Özel uç noktalarınızda/kaynaklarınızda (silmeler, değişiklikler vb.) yapılan değişiklikler otomatik olarak işlenmez.
- Azure kaynaklarınızın A kayıtlarıyla ve için şirket içi sunucularınızda
privatelink.file.core.windows.netprivatelink.afs.azure.netDNS bölgeleri oluşturma. Bu, şirket içi ortamınızdaki istemcilerin her istemciyi yapılandırmaya gerek kalmadan Azure kaynaklarını otomatik olarak çözümleyebilme avantajına sahiptir, ancak bu çözüm benzer şekilde değişiklikler yansıtılmadığından konak dosyasını değiştirmeye de benzer şekilde kısıtlanır. Bu çözüm kırılgan olsa da, bazı ortamlar için en iyi seçenek olabilir. core.windows.netafs.azure.netve bölgelerini şirket içi DNS sunucularınızdan Azure özel DNS bölgenize iletin. Azure özel DNS ana bilgisayarına yalnızca Azure özel DNS bölgesine bağlı sanal ağlar içinde erişilebilen özel bir IP adresi (168.63.129.16) üzerinden ulaşılabilir. Bu sınırlamayı geçici olarak çözmek için, sanal ağınızda eşdeğer Azure özel DNS bölgelerine iletecekcore.windows.netafs.azure.netek DNS sunucuları çalıştırabilirsiniz. Bu kurulumu basitleştirmek için, Azure sanal ağınızda DNS sunucularını otomatik olarak dağıtacak ve bunları istediğiniz şekilde yapılandıracak PowerShell cmdlet'leri sağladık. DNS iletmeyi ayarlamayı öğrenmek için bkz. dns'yi Azure Dosyalar ile yapılandırma.
Aktarım sırasında şifreleme
Azure Dosya Eşitleme aracısından Azure dosya paylaşımınıza veya Depolama Eşitleme Hizmeti'ne yapılan Bağlan her zaman şifrelenir. Azure depolama hesaplarının Azure Dosyalar (ve depolama hesabı dışında yönetilen diğer Azure depolama hizmetleri) iletişimleri için aktarım sırasında şifreleme gerektirmeyi devre dışı bırakma ayarı olsa da, bu ayarın devre dışı bırakılması Azure Dosyalar ile iletişim kurarken Azure Dosya Eşitleme şifrelemesini etkilemez. Varsayılan olarak, tüm Azure depolama hesaplarında aktarımda şifreleme etkindir.
Aktarımdaki şifreleme hakkında daha fazla bilgi için bkz . Azure depolamada güvenli aktarım gerektirme.