Share via


SMB Azure 檔案共用

Azure 檔案儲存體提供兩種業界標準通訊協定來裝載 Azure 檔案共用:伺服器訊息區 (SMB) 通訊協定和網路檔案系統 (NFS) 通訊協定。 Azure 檔案儲存體可讓您挑選最適合您工作負載的檔案系統通訊協定。 雖然您可以在相同的儲存體帳戶內建立 SMB 和 NFS 檔案共用,但 Azure 檔案共用不支援使用 SMB 和 NFS 通訊協定來存取個別的 Azure 檔案共用。 針對所有檔案共用,Azure 檔案儲存體提供企業級的檔案共用,可進行擴大以符合您的儲存需求,且可以由數千個用戶端同時存取。

本文涵蓋 SMB Azure 檔案共用。 如需 NFS Azure 檔案共用的相關信息,請參閱 NFS Azure 檔案共用

常見案例

SMB 檔案共用適用於各種應用,包括用於使用者檔案共用和備份資料庫和應用程式的檔案共用。 SMB 檔案共用通常用於下列案例:

  • 使用者檔案共用,例如小組共用、主目錄等。
  • 適用於 Windows 應用程式的支援儲存體,例如 SQL Server 資料庫或針對 Win32 或 .NET 本機檔案系統 API 所撰寫的企業營運應用程式。
  • 新的應用程式和服務開發,特別是當該應用程式或服務具有隨機 IO 和階層式儲存體的需求時。

功能

Azure 檔案儲存體支援 SMB 和 Azure 的主要功能,而這些功能是 SMB 檔案共用中生產部署所需的功能:

  • AD 網域加入和判別存取控制清單 (DACL)。
  • 整合無伺服器備份與 Azure 備份。
  • 使用 Azure 私人端點的網路隔離。
  • 使用 SMB 多重通道 (僅限進階檔案共用) 的高網路輸送量。
  • SMB 通道加密,包括 AES-256-GCM、AES-128-GCM 和 AES-128-CCM。
  • 透過 VSS 整合共用快照集的舊版支援。
  • Azure 檔案共用上以防止意外刪除的自動虛刪除。
  • 選擇性網際網路可存取的檔案共用,具有網際網路安全的 SMB 3.0+。

SMB 檔案共用可以直接裝載於內部部署環境,也可以使用 Azure 檔案同步在內部部署環境中進行快取

安全性

使用 Azure 儲存體服務加密 (SSE) 將儲存在 Azure 檔案儲存體中的所有資料進行待用加密。 儲存體服務加密的運作方式與 Windows 上的 BitLocker 相似:資料會在檔案系統層級下加密。 由於資料是在 Azure 檔案共用的檔案系統下加密,因此當其編碼為磁碟時,不需要存取用戶端上的基礎金鑰,即可讀取或寫入 Azure 檔案共用。 待用加密同時適用於 SMB 和 NFS 通訊協定。

根據預設,所有 Azure 儲存體帳戶都會啟用傳輸中加密。 這表示當您透過 SMB 裝載檔案共用或透過 FileREST 通訊協定來存取檔案共用時,Azure 檔案儲存體只會在使用了 SMB 3.x 以上 (有加密功能) 或 HTTPS 來進行連線時,才會允許您建立連線。 不支援 SMB 3.x 搭配 SMB 通道加密的用戶端,將無法在啟用了傳輸中加密的情況下裝載 Azure 檔案共用。

搭配 Windows Server 2022 或 Windows 11 使用時,Azure 檔案儲存體支援使用 SMB 3.1.1 的 AES-256-GCM。 SMB 3.1.1 也支援 AES-128-GCM,而 SMB 3.0 支援 AES-128-CCM。 基於效能考量,依預設會在 Windows 10 21H1 版上交涉 AES-128-GCM。

您可以為 Azure 儲存體帳戶停用傳輸中加密。 停用加密時,Azure 檔案儲存體也允許不加密的 SMB 2.1 和 SMB 3.x。 會停用傳輸中加密的主要原因,是為了支援必須在舊版作業系統上執行的繼承應用程式,例如 Windows Server 2008 R2 或舊版 Linux 散發套件。 Azure 檔案儲存體只會在與 Azure 檔案共用相同的 Azure 區域內允許 SMB 2.1 連線;Azure 檔案共用所在的 Azure 區域外 (例如,內部部署或不同 Azure 區域) 的 SMB 2.1 用戶端,則無法存取檔案共用。

SMB 通訊協定設定

Azure 檔案儲存體提供了多項設定,這些設定會影響 SMB 通訊協定的行為、效能和安全性。 這些設定適用於儲存體帳戶內的所有 Azure 檔案共用。

SMB 多重通道

SMB 多重通道可讓 SMB 3.x 用戶端建立連至 SMB 檔案共用的多個網路連線。 Azure 檔案儲存體支援在進階檔案共用 (FileStorage 儲存體帳戶種類中的檔案共用) 中使用 SMB 多重通道。 在 Azure 檔案儲存體中啟用 SMB 多重通道不會產生額外費用。 SMB 多重通道預設為停用。

若要檢視 SMB 多重通道的狀態,請瀏覽至包含您進階檔案共用的儲存體帳戶,然後在儲存體帳戶目錄中的 [資料存放區] 標題下方選取 [檔案共用]。 您可以在 [檔案共用設定] 區段下方看到 SMB 多重通道的狀態。

記憶體帳戶中醒目提示 SMB 多重通道設定的檔案共用區段螢幕快照

若要啟用或停用 SMB 多重通道,請選取目前的狀態 (根據狀態選取 [啟用] 或 [停用])。 產生的對話方塊會提供切換來啟用或停用 SMB 多重通道。 選取想要的狀態,然後選取 [儲存]

啟用/停用SMB多重通道功能的對話框螢幕快照。

SMB 安全性設定

Azure 檔案儲存體公開設定可讓您根據組織的需求,將 SMB 通訊協定切換為更相容或更安全。 依預設,Azure 檔案儲存體會設定為最高相容,因此請記住,限制這些設定可能會導致某些用戶端無法連線。

Azure 檔案儲存體會公開下列設定:

  • SMB 版本:允許的 SMB 版本。 支援的通訊協定版本為 SMB 3.1.1、SMB 3.0 和 SMB 2.1。 依預設會允許所有 SMB 版本,不過,如果啟用「需要安全傳輸」,則不允許 SMB 2.1,因為 SMB 2.1 不支援傳輸中加密。
  • 驗證方法:允許的 SMB 驗證方法。 支援的驗證方法為 NTLMv2 (僅儲存體帳戶金鑰) 和 Kerberos。 依預設允許所有驗證方法。 移除 NTLMv2 不允許使用儲存體帳戶金鑰來裝載 Azure 檔案共用。 Azure 檔案儲存體不支援針對網域認證使用 NTLM 驗證。
  • Kerberos 票證加密:允許的加密演算法。 支援的加密演算法是 AES-256 (建議) 和 RC4-HMAC。
  • SMB 通道加密:允許的 SMB 通道加密演算法。 支援的加密演算法為 AES-256-GCM、AES-128-GCM 和 AES-128-CCM。 如果您只選取 AES-256-GCM,您必須在每一個用戶端上以系統管理員身分開啟 PowerShell 終端機,並執行 Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false,以告訴連線用戶端使用 AES-256-GCM。 Windows 11/Windows Server 2022 之前的 Windows 用戶端不支援使用 AES-256-GCM。

您可以使用 Azure 入口網站、PowerShell 或 CLI 來檢視和變更 SMB 安全性設定。 選取所需的索引標籤,以查看如何取得及設定 SMB 安全性設定的步驟。

若要使用 Azure 入口網站來檢視或變更 SMB 安全性設定,請遵循下列步驟:

  1. 搜尋 [儲存體帳戶],然後選取您要檢視其安全性設定的儲存體帳戶。

  2. 選取 [資料儲存體]>[檔案共用]

  3. 在 [檔案共用設定] 底下,選取與 [安全性] 相關聯的值。 如果您尚未修改安全性設定,此值會預設為 [相容性上限]

    顯示變更SMB安全性設定位置的螢幕快照。

  4. 在 [設定檔] 底下,選取 [相容性上限]、[安全性上限] 或 [自訂]。 選取 [自訂] 可讓您為 SMB 通訊協定版本、SMB 通道加密、驗證機制和 Kerberos 票證加密建立自訂設定檔。

    此螢幕快照顯示用來變更SMB通訊協定版本、SMB通道加密、驗證機制和 Kerberos 票證加密的SMB安全性設定對話框。

輸入所需的安全性設定後,請選取 [儲存]

限制

Azure 檔案儲存體中的 SMB 檔案共用支援 SMB 通訊協定和 NTFS 檔案系統支援的功能子集。 雖然大部分的使用案例和應用程式都不需要這些功能,但某些應用程式相依於不支援的功能時,可能無法正常地與 Azure 檔案儲存體搭配使用。 不支援下列功能:

區域可用性

SMB Azure 檔案共用可在每個 Azure 區域中使用,包括所有公用和主權區域。 進階 SMB 檔案共用可用於區域的子集

下一步