共用方式為

Microsoft Azure 的 Nasuni 設定指南

Nasuni 使用符合成本效益的 Azure Blob 物件和智能快取架構,在多個 Azure 區域和內部部署位置提供高效能的 SMB 和 NFS 檔案共用。 透過毫不費力的延展性,up-to分鐘恢復點、立即復原、即時勒索軟體偵測、零延遲邊緣效能、遠端/混合式背景工作支援等等,使用 Azure Blob 的 Nasuni 是將傳統檔伺服器和 NAS 工作負載移至雲端的企業級解決方案。

Nasuni 的運作方式:

  • 使用 Nasuni 的雲端原生 UniFS® 全域文件系統,將所有檔案和元數據儲存在 Azure Blob 非經常性存取或冷物件記憶體中。
  • 快取會將主動使用的檔案資料從 Azure Blob 複製到輕量型的 Nasuni Edge Appliance 虛擬機器中,這些虛擬機器可以部署於任何內部部屬位置或 Azure 區域,以便提供高效能的讀取/寫入存取。 快取也會將 Azure 輸出費用降至最低,因為可以重複存取任何快取的檔案,而不需要從 Azure Blob 擷取。
  • 使用每隔一分鐘擷取的快照集保護檔案數據,並將快照集儲存為 Azure Blob 中無限且不可變的版本時間軸。
  • 從 Azure Blob 中檔案數據的標準副本同步所有 Nasuni Edge 快取,以建立多個位置的全域檔案系統和統一命名空間。
  • 提供全域檔案鎖定,讓多個作者可以在不同位置編輯相同的檔案,而不會發生版本衝突。
  • 在每個邊緣位置即時偵測勒索軟體、使用自動化風險降低原則停止攻擊,以及僅從最新狀況良好的快照集還原受感染的檔案。
  • 為遠端/混合式背景工作角色提供檔案共用的無 VPN 存取權,並啟用與授權的第三方的安全外部檔案共用。

Azure Blob 儲存體是 Microsoft 針對雲端推出的物件儲存體解決方案。 Blob 記憶體已針對儲存大量非結構化數據進行優化,並以任何 Azure 記憶體帳戶的最低成本提供優越的持久性和延展性。 使用上述功能,Nasuni 可讓 Azure Blob 成為想要使用標準 SMB(CIFS) 和 NFS 通訊協定將傳統 NAS 和 Windows 檔案伺服器工作負載移至雲端的企業的最佳目標,而不需要重寫物件記憶體的應用程式。

小提示

如需Microsoft Azure 設定建議以防止意外或惡意刪除數據,請參閱 刪除安全性

建立 Azure 記憶體帳戶 (使用 Azure 入口網站)

備註

您必須有至少一個訂用帳戶才能達到此目的。

備註

選取 Azure 記憶體帳戶的「需要安全傳輸」功能並不會影響 Nasuni Edge 設備作業

小提示

在 Nasuni 模型中,客戶會提供自己的雲端帳戶來儲存其數據。 客戶應利用 Azure 的角色型存取和身分識別存取管理功能,作為其整體安全性策略的一部分。 這些功能可用來根據客戶原則限制或禁止雲端帳戶的系統管理存取

簡介

本文件說明如何使用 Azure Blob 記憶體在 Azure Microsoft部署 Nasuni 環境,以儲存您的檔案數據。

使用 Azure 入口網站建立記憶體帳戶。

如果您Microsoft Azure 中還沒有記憶體帳戶,請遵循下列步驟,在 Microsoft Azure 中建立記憶體帳戶:

  1. 登入 Azure 入口網站。 Microsoft Azure 儀錶板頁面顯示。
  2. 在頁面左上方,選取 [建立資源]。[建立資源] 對話框隨即出現。

Azure 建立資源面板的螢幕快照。

  1. 在 [搜尋] 方塊中,輸入「記憶體帳戶」,然後從結果清單中選取 [儲存體帳戶]。 「儲存帳戶」窗格會顯示。

Azure 建立記憶體帳戶面板的螢幕快照。

  1. 選取 建立。 [建立記憶體帳戶] 窗格隨即出現。

Azure 建立記憶體帳戶詳細數據的螢幕快照。

  1. 如果有多個訂用帳戶,請從 [訂用帳戶] 下拉式清單中選取要用於此儲存體帳戶的訂用帳戶。
  2. 若要選取現有的資源群組,請從 [資源群組] 下拉式清單中選取現有的資源群組。 或者,按兩下 [新建],然後輸入新資源群組的名稱,然後按兩下 [確定],以建立新的資源群組。
  3. 選取 [下一步:進階]。 進階窗格出現。

[Azure 建立記憶體帳戶進階] 窗格的螢幕快照。

  1. 如果您的安全策略有要求,請啟用「要求 REST API 操作的安全傳輸」。
  2. 針對 [存取層],選取 [低頻存取] 用於生產數據。

備註

Nasuni 也支援 Azure 冷儲存。 若要使用 Azure 冷記憶體,請設定以存取追蹤為基礎的生命週期管理規則。 啟用時,存取追蹤會檢查上次存取 Blob 的時間。 您可以定義規則來移動尚未存取 90 天或更長的物件。 啟用此功能可能會產生額外的成本。

  1. 將 [Azure 檔案] 設定為停用。
  2. 根據您的需求設定其他功能。
  3. 選取「下一步:網路>。」 [網络] 窗格隨即出現。

[Azure 建立記憶體帳戶網络] 窗格的螢幕快照。

  1. 選取 [連線方法] 以符合您的安全性需求。

備註

請考慮部署 Edge 設備的位置,以及其存取記憶體帳戶的方式,例如,透過因特網、Azure ExpressRoute 或 VPN 連線至 Azure。 大部分的客戶都會選取預設的「公用端點(所有網路)」。

  1. 根據您的需求設定其他功能

  2. 選取 [下一步:數據保護]。 [數據保護] 窗格隨即出現。

    Nasuni 建議針對用於 Nasuni 磁碟區的所有記憶體帳戶啟用虛刪除。 如果刪除數據,而不是永久遺失的數據,數據會變更為「虛刪除」狀態,並保留可設定的天數。

  3. 選取 [為 Blob 啟用虛刪除]。

  4. 輸入或選取保留資料的天數,以指定「保留已刪除的 Blob 天數」。 (您可以保留 1 到 365 天之間的虛刪除資料。

    • Nasuni 建議至少指定 30 天。

    Nasuni 建議為容器啟用虛刪除。 標示要刪除的容器仍可在可設定的天數內使用。

  5. 設定記憶體帳戶之後,請選取 [為容器啟用虛刪除]。

  6. 輸入或選取保留資料的天數,以指定「保留已刪除的容器天數」。 (您可以保留 1 到 365 天之間的虛刪除資料。

Azure 建立記憶體帳戶數據保護窗格的螢幕快照。

  1. 根據您的需求設定其他功能
  2. 選取 [下一步:標記 >]。[標記] 窗格隨即出現。
  3. 根據您的內部原則定義任何標籤。
  4. 選取 [下一步:檢閱 + 建立 >]
  5. 選取 建立。
    • 記憶體帳戶開始建立。 建立記憶體帳戶時,請選擇左側清單中的 [記憶體帳戶]。 新的記憶體帳戶會出現在記憶體帳戶清單中。
  6. 選取記憶體帳戶的名稱。 記憶體帳戶設定的窗格隨即出現。

小提示

可以復原已刪除的記憶體帳戶。 如需詳細資訊,請參閱 復原已刪除的記憶體帳戶

設定記憶體帳戶防火牆

記憶體帳戶防火牆必須設定為允許來自內部客戶網路或任何其他 Nasuni Edge 設備存在於或正在使用的網路連線。

若要設定記憶體帳戶防火牆,請遵循下列步驟:

  1. 選取儲存體帳戶。
  2. 在左側數據行中,選取 [網络],然後選取 [防火牆和虛擬網络] 索引卷標。[防火牆和虛擬網路] 窗格隨即出現。

[Azure 防火牆和虛擬網路] 窗格的螢幕快照。

  1. 選取 [選取的網络]。 或者,如果允許從所有網路存取,請選取 [所有網络],然後跳至步驟 7。

[Azure 防火牆] 和 [選取的網络] 窗格螢幕快照。

  1. 若要新增現有的虛擬網路,請在 [虛擬網络] 區域中選取 [新增現有的虛擬網络]。 選取 [虛擬網络和子網] 選項,然後選取 [新增]。
  2. 若要建立新的虛擬網路並授與其存取權,請在 [虛擬網络] 區域中,選取 [新增虛擬網络]。 提供建立新虛擬網路所需的信息,然後選取 [建立]。
  3. 若要授與IP範圍的存取權,請在 [防火牆] 區域中,在 [位址範圍] 中輸入IP位址或位址範圍 (CIDR 格式)。 包含內部客戶網路,以及Edge設備存在於或正在使用的其他網路。 將網路路由納入考慮。 例如,如果透過私人連線連接到記憶體帳戶,請使用內部子網;如果透過公用因特網連線到記憶體帳戶,請使用公用IP。
  4. 選取 [儲存] 以套用變更。

尋找Microsoft Azure 用戶認證

備註

您必須有至少一個訂用帳戶才能達到此目的

備註

向 Nasuni 銷售或支援確認您的 Nasuni 帳戶已設定為提供您自己的Microsoft Azure 認證。

若要找出 Microsoft Azure 憑證,請遵循下列步驟:

  1. 登入 Azure 入口網站。 Microsoft Azure 儀錶板頁面顯示。
  2. 選取左側清單中的 [儲存體帳戶]。
  3. 選取您的儲存體帳戶。 記憶體帳戶設定的窗格隨即出現。
  4. 選取 [存取金鑰]。 您的帳戶存取金鑰資訊隨即出現。
  5. 記錄Microsoft Azure 記憶體帳戶名稱以供稍後使用
  6. 選取 [顯示索引鍵] 以檢視索引鍵值。 關鍵值出現。
  7. 在 [金鑰 1] 下方,尋找金鑰值。 選取 [複製] 按鈕以複製Microsoft Azure 主要存取密鑰。 儲存此值以建立Microsoft Azure 雲端認證
  8. 在key1下尋找 [連接字串] 值。 選取 [複製] 按鈕以複製 [連接字串]。 儲存此值以供稍後使用。

設定

Nasuni 提供適用於 Microsoft Azure 的 Nasuni 連接器。

小提示

如果您需要定期變更雲端認證,請使用下列程式,最好在上班時間以外:

  • 取得新的認證。 認證通常包含一組值,例如存取密鑰標識碼和秘密存取密鑰、帳戶名稱和主要存取密鑰,或使用者和密碼。
  • 在 [雲端認證] 頁面上,編輯雲端認證以使用新的認證。
  • 雲端認證中的變更會在包含未受保護數據的下一個快照集上註冊。
  • 手動執行快照集也會記錄雲端憑證的變更,即使磁碟區沒有需要保護的資料也同樣如此。
  • 在每個Edge設備執行這類快照集之後,可以使用雲端提供者淘汰原始認證

警告

除非您確定不再需要,否則請勿銷毀與雲端服務提供者的原始憑證。 否則,數據可能會變成無法使用

若要設定 Microsoft Azure 的 Nasuni,請遵循下列步驟:

  1. 確定 Nasuni Edge 設備與物件儲存解決方案之間已開啟埠 443 (HTTPS)。
  2. 選取組態。 在 NMC 上,選取 [帳戶]。
  3. 選取 [雲端認證]。
  4. 選取 [新增認證],然後從下拉功能表中選取 [Windows Azure 平臺]
  5. 輸入認證資訊:
    • 針對 Microsoft Azure,輸入下列資訊:
      • 名稱:此組認證的名稱,用於顯示用途,例如 ObjectStorageCluster1。
      • 帳戶名稱:在上述第 9 頁的步驟 5 中取得的此認證所屬的 Microsoft Azure 儲存帳戶名稱。
      • 主要存取金鑰:在上述第 9 頁的步驟 7 中取得的這組認證Microsoft Azure 主要存取金鑰。
      • 主機名:物件儲存解決方案位置的主機名。 使用預設設定:blob.core.windows.net。
      • 確認 SSL 憑證:使用預設的 [開啟] 設定。
      • 檔案管理器(僅限 NMC):目標 Nasuni Edge 裝置。
    • 針對 Microsoft Azure Gov Cloud,輸入下列資訊:
      • 名稱:此組認證的名稱,用於顯示用途,例如 ObjectStorageCluster1。
      • 帳戶名稱:在上述第 9 頁的步驟 5 中取得的此認證所屬的 Microsoft Azure 儲存帳戶名稱。
      • 主要存取金鑰:在上述第 9 頁的步驟 7 中取得的這組認證Microsoft Azure 主要存取金鑰。
      • 主機名:物件儲存解決方案位置的主機名。 使用:blob.core.usgovcloudapi.net。
      • 確認 SSL 憑證:使用預設的 [開啟] 設定。
      • 檔案管理器(僅限 NMC):目標 Nasuni Edge 裝置。

警告

請小心變更現有的認證。 Nasuni Edge 設備與容器之間的連線可能會變成無效,導致數據存取中斷。 認證編輯是在Microsoft Azure 系統上變更帳戶名稱或存取密鑰之後更新存取權。 6.選取 [儲存認證]。

您現在已準備好將磁碟區新增至 Nasuni Edge 裝置。

新增磁碟區

若要將磁碟區新增至您的 Nasuni 系統,請按以下步驟操作:

  1. 選取 [磁盘區],然後選取 [新增磁碟區]。 [新增磁碟區] 頁面隨即出現。
  2. 輸入新磁碟區的下列資訊:
    • 名稱:輸入磁碟區的易讀名稱。
    • 雲端提供者:選取 [Windows Azure 平臺]。
    • 認證:選取您在步驟 5 中為此磁碟區定義的雲端認證,例如 ObjectStorageCluster1
    • 針對其餘選項,選取適合此磁碟區的內容。
  3. 選取 [儲存]。

您已成功在 Nasuni Filer 上建立新的磁碟區。

復原已刪除的記憶體帳戶

如果下列條件成立,可以復原已刪除的記憶體帳戶:

  • 刪除記憶體帳戶後不到14天。
  • 您已使用 Azure Resource Manager 部署模型建立記憶體帳戶。 使用 Azure 入口網站建立的記憶體帳戶符合此需求。 較舊的「經典」儲存帳戶不是。
  • 自從刪除原始記憶體帳戶之後,尚未建立具有相同名稱的新儲存體帳戶。

如需詳細資訊,請檢閱 復原已刪除的記憶體帳戶

Azure 私人端點

Nasuni 支援 Azure 私人端點,並依賴 DNS 層來解析其私人端點 IP。

請務必正確設定您的 DNS 設定,以將私人端點 IP 位址解析為連接字串的完整網域名稱 (FQDN)。

現有的 Microsoft Azure 服務可能已有公用端點的 DNS 設定。 必須覆蓋此設定,才能使用您的私人端點連線。

與私人端點建立關聯的網路介面,包含設定 DNS 所需的資訊。 網路介面資訊包含私人連結資源的 FQDN 和私人 IP 位址。

您可以使用下列選項來設定私人端點的 DNS 設定:

  • 使用私人 DNS 區域。 您可以使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析特定網域。
  • 使用您的 DNS 轉寄站 (選用)。 您可以使用 DNS 轉寄站來自訂私有鏈接資源的 DNS 解析。 建立 DNS 轉寄規則,以在虛擬網路中託管的 DNS 伺服器上使用私人 DNS 區域。

備註

不支援在 Nasuni Edge 設備上使用主機檔案。

備註

不應變更 Nasuni Azure 雲端認證的 Nasuni 預設主機 URL 端點。

Azure 服務 DNS 區域設定

Azure 會在公用 DNS 上建立正式名稱 DNS 記錄 (CNAME)。 CNAME 記錄會將解析重新導向至私人網域名稱。 您可以使用私人端點的私人 IP 位址來覆寫解析。 您的應用程式不需要變更連線 URL。 當透過公用 DNS 服務解析名稱時,DNS 伺服器會指向您的私有端點。 此過程不會影響 Nasuni Edge 設備。

針對 Azure 服務,請使用建議的區域名稱,如這裡所述

DNS 組態案例

服務的 FQDN 會自動解析為公用 IP 位址。 若要解析為私人端點的私人 IP 位址,請變更您的 DNS 設定。

DNS 是成功解析私人端點 IP 位址,讓應用程式正確運作的重要元件。

根據您的配置需求,下列方案已整合 DNS 解析供使用: