此体系结构演示一种在云中为本地用户和应用程序提供文件共享的方法,这些用户和应用程序也通过专用终结点访问 Windows Server 上的文件。
体系结构
下载此体系结构的 Visio 文件。
工作流
此解决方案同步本地 AD DS 和基于云的 Microsoft Entra AD。 同步通过提供用于访问云资源和本地资源的通用标识来提高用户的工作效率。
Microsoft Entra Connect 是执行同步的本地 Microsoft 应用程序。 有关 Microsoft Entra Connect 的详细信息,请参阅 什么是 Microsoft Entra Connect? 和 Microsoft Entra Connect 同步:了解并自定义同步。
Azure 虚拟网络在云中提供虚拟网络。 对于此解决方案,它至少包含两个子网,一个子网用于 Azure DNS,另一个子网用于专用终结点,供用户访问文件共享。
VPN 或 Azure ExpressRoute 在本地网络与云中虚拟网络之间提供安全连接。 如果使用 VPN,请使用 Azure VPN 网关创建一个网关。 如果使用 ExpressRoute,请创建 ExpressRoute 虚拟网络网关。 有关详细信息,请参阅什么是 VPN 网关?和关于 ExpressRoute 虚拟网络网关。
Azure 文件存储在云中提供文件共享。 这需要一个 Azure 存储帐户。 有关文件共享的详细信息,请参阅什么是 Azure 文件存储?。
专用终结点提供对文件共享的访问。 专用终结点如同子网中附加到 Azure 服务的网络接口卡 (NIC)。 在这种情况下,服务是文件共享。 有关专用终结点的详细信息,请参阅使用 Azure 存储的专用终结点。
本地 DNS 服务器解析 IP 地址。 但是,Azure DNS 解析 Azure 文件共享的完全限定域名 (FQDN)。 对 Azure DNS 的所有 DNS 查询都源自虚拟网络。 虚拟网络中有一个 DNS 代理用于将这些查询路由到 Azure DNS。 有关详细信息,请参阅使用 DNS 转发器的本地工作负载。
可以在 Windows 或 Linux 服务器上提供 DNS 代理,也可以使用 Azure 防火墙。 有关 Azure 防火墙选项(使用该选项的好处是不必管理虚拟机)的信息,请参阅 Azure 防火墙 DNS 设置。
本地自定义 DNS 配置为通过条件转发器将 DNS 流量转发到 Azure DNS。 在使用 DNS 转发器的本地工作负载中也可以找到有关条件转发的信息。
本地 AD DS 对文件共享访问进行身份验证。 此过程包括四个步骤,如第一部分:为 Azure 文件共享启用 AD DS 身份验证中所述
组件
- Azure 存储,它是适用于数据、应用和工作负载的一组云服务,可以大规模缩放,并且很安全。 其中包括 Azure 文件存储、Azure 表存储和 Azure 队列存储。
- Azure 文件存储在 Azure 存储帐户中提供完全托管的文件共享。 可以从云或本地访问这些文件。 Windows、Linux 和 macOS 部署可以同时装载 Azure 文件共享。 文件访问使用行业标准的服务器消息块 (SMB) 协议。
- Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 它为 Azure 资源(例如虚拟机)提供安全地相互通信、与 Internet 通信以及与本地网络通信的环境。
- Azure ExpressRoute 通过专用连接将本地网络扩展到 Microsoft 云。
- Azure VPN 网关通过站点到站点 VPN 将本地网络连接到 Azure,与连接到远程分支机构的方式大致相同。 连接是安全的,使用行业标准协议 Internet 协议安全性 (IPsec) 和 Internet 密钥交换 (IKE)。
- Azure 专用链接提供从虚拟网络到 Azure 平台即服务 (PaaS)、客户拥有的服务或 Microsoft 合作伙伴服务的专用连接。 它简化了网络体系结构,并通过消除数据在公共 Internet 上的暴露来保护 Azure 中终结点之间的连接。
- 专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。 可对 Azure 存储帐户使用专用终结点,使虚拟网络上的客户端能够通过专用链接访问数据。
- Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 可以对 Azure 防火墙进行配置来充当 DNS 代理。 DNS 代理是从客户端虚拟机到 DNS 服务器的 DNS 请求的中介。
方案详细信息
请考虑以下常见方案:使用本地 Windows Server 为用户和应用程序提供文件共享。 Active Directory 域服务 (AD DS) 用于保护文件,并使用本地 DNS 服务器管理网络资源。 所有内容都在同一专用网络中运行。
现在,假设需要将文件共享扩展到云。
此处所述的体系结构演示了 Azure 如何以经济高效的方式满足此需求,同时保持本地网络、AD DS 和 DNS 的使用。
在此设置中,Azure 文件存储用于托管文件共享,而站点到站点 VPN 或 Azure ExpressRoute 则提供本地网络与 Azure 虚拟网络之间的安全连接。 用户和应用程序通过这些安全连接访问文件。 Microsoft Entra ID 和 Azure DNS 与本地 AD DS 和 DNS 协同工作,以确保安全访问。
总之,如果你面临这种情况,可以以低成本向本地用户提供基于云的文件共享,同时使用现有的 AD DS 和 DNS 基础结构保持安全访问。
可能的用例
- 文件服务器转移到云,但用户必须留在本地。
- 迁移到云的应用程序需要访问本地文件以及迁移到云的文件。
- 需要通过将文件存储转移到云来降低成本。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
可靠性
可靠性可确保应用程序符合你对客户的承诺。 有关详细信息,请参阅可靠性支柱概述。
- Azure 存储始终将数据的多个副本存储在同一区域,以便在发生计划内和计划外服务中断时为数据提供保护。 有可用于在其他局部区域或 Azure 区域中创建更多副本的选项。 有关详细信息,请参阅 Azure 存储冗余。
- Azure 防火墙具有内置的高可用性。 有关详细信息,请参阅 Azure 防火墙标准版功能。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
以下文章提供了 Azure 组件的安全信息:
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述。
若要估算 Azure 产品和配置的成本,请使用 Azure 定价计算器。
以下文章提供了 Azure 组件的定价信息:
性能效率
性能效率是指工作负荷能够以高效的方式扩展以满足用户对它的需求。 有关详细信息,请参阅性能效率要素概述。
- Azure 存储帐户包含所有 Azure 存储数据对象,包括文件共享。 存储帐户为其数据提供唯一的命名空间,可在全球任何位置通过 HTTP 或 HTTPS 访问该命名空间。 对于此体系结构,存储帐户包含 Azure 文件存储提供的文件共享。 为获得最佳性能,我们建议:
- 不要将数据库、Blob 等资源放在包含文件共享的存储帐户中。
- 每个存储帐户中高度活跃的文件共享数不要超过一个。 可将不太活跃的文件共享分组到同一个存储帐户中。
- 如果工作负载需要大量 IOPS、极快的数据传输速度或极低的延迟,那么应选择高级 (FileStorage) 存储帐户。 标准常规用途 v2 存储帐户适用于大多数 SMB 文件共享工作负载。 有关文件共享的可伸缩性和性能的详细信息,请参阅 Azure 文件存储可伸缩性和性能目标。
- 不要选择常规用途 v1 存储帐户,因为它缺少重要功能。 而要升级到常规用途 v2 存储帐户。 存储帐户概述中介绍了存储帐户类型。
- 注意大小、速度和其他限制。 请参阅 Azure 订阅和服务限制、配额和约束条件。
- 能够对非存储组件的性能做出的改进微乎其微,除了确保部署遵守 Azure 订阅和服务限制、配额与约束中所述的限制、配额和约束外另无他法。
- 有关 Azure 组件的可伸缩性信息,请参阅 Azure 订阅和服务限制、配额与约束。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Rudnei Oliveira | 高级 Azure 安全工程师
后续步骤
- 快速入门:使用 Azure 门户创建虚拟网络
- 什么是 VPN 网关?
- 教程:使用 Azure 门户创建和管理 VPN 网关
- Azure 企业云文件共享
- Azure 虚拟网络概念和最佳做法
- 规划 Azure 文件部署
- 为 Azure 存储使用专用终结点
- Azure 专用终结点 DNS 配置
- Azure 防火墙 DNS 设置
- 比较自托管 Active Directory 域服务、Microsoft Entra ID 和托管 Microsoft Entra 域服务