設定與 Azure 檔案儲存體的連線
Contoso 中的使用者可能會使用 SMB 通訊協定連線到 Azure 檔案儲存體,不過也支援以 NFS 進行此作業。 SMB 會使用 TCP 連接埠 445 來建立連線。 許多公司和網際網路服務提供者會封鎖該連接埠,使用者常常會因此無法存取 Azure 檔案儲存體。 如果無法選擇解除封鎖連接埠 445,您仍然可以存取 Azure 檔案儲存體,方法是先建立點對站 (P2S) 虛擬私人網路 (VPN)、站對站 (S2S) VPN,或使用 Azure ExpressRoute 連線至 Azure。 或者,公司也可以使用 Azure 檔案同步將 Azure 檔案共用同步至內部部署檔案伺服器,讓使用者隨時都能存取。
Azure 儲存體的防火牆和虛擬網路
Azure 儲存體 (包括 Azure 檔案儲存體) 會提供多層式安全性模型。 此模型可讓您根據發出要求的來源網路類型和子集,保護及控制您儲存體帳戶的存取層級。 根據預設,儲存體帳戶防火牆允許來自所有網路的存取,但您可以修改其設定,只允許從指定的 IP 位址、IP 範圍,或從 Azure 虛擬網路中的子網路清單進行存取。 防火牆設定也可讓您選取信任的 Azure 平台服務,以安全地存取儲存體帳戶。
除了預設的公用端點外,儲存體帳戶 (包括 Azure 檔案儲存體) 還提供了擁有一或多個私人端點的選項。 「私人端點」是只能在 Azure 虛擬網路內存取的端點。 當您為儲存體帳戶建立私人端點時,儲存體帳戶會從虛擬網路位址空間內獲得私人 IP 位址,情況類似於內部部署檔案伺服器或 NAS 裝置會從內部部署網路專用的位址空間獲得 IP 位址。 這會透過私人連結保護虛擬網路和儲存體帳戶之間的所有流量。
提示
使用私人端點時,您也可以使用儲存體帳戶防火牆來封鎖所有透過公用端點的存取。
連線至 Azure 檔案共用
若要搭配使用 Azure 檔案共用與 Windows OS,您不是必須掛接 Azure 檔案共用 (也就是為其指派磁碟機代號或掛接點路徑),就是要透過其通用命名慣例 (UNC) 路徑來存取 Azure 檔案共用。 UNC 路徑包含 Azure 儲存體帳戶名稱、file.core.windows.net 網域尾碼和共用名稱。 例如,如果 Azure 儲存體帳戶命名為 storage1,且共用名稱為 share1,則 UNC 路徑為 \\storage1.file.core.windows.net\share1。
如果為儲存體帳戶啟用使用者身分識別驗證,且您要從已加入網域的 Windows 裝置連接到 Azure 檔案共用,就不需要手動提供任何認證。 否則,您必須提供認證。 您可以使用 (AZURE\*<storage account name>*) 作為使用者名稱,並使用儲存體存取金鑰作為密碼。 如果您使用 Azure 入口網站提供的指令碼連線到 Azure 檔案共用,則會使用相同的認證。
警告
請注意,儲存體存取金鑰會提供不受限制的 Azure 檔案共用存取權,而且請盡可能改為使用使用者身分識別驗證。
Azure 檔案共用快照集
在 Windows Server 中,您可以建立磁碟區的陰影複製,以擷取該時間點的磁碟區狀態。 您稍後可以使用檔案總管的舊版功能,透過網路存取該陰影複製。 Azure 檔案共用快照集也有提供類似的功能。 「共用快照集」是 Azure 檔案共用資料在某個時間點的唯讀複本。
您可在檔案共用層級建立共用快照集。 然後,您可以從 Azure 入口網站或從檔案總管還原個別檔案,也可以還原整個共用。 每個共用最多可有 200 個快照集,可讓您將檔案還原至不同的時間點版本。 如果您刪除共用,也會一併刪除其所有的快照集。
共用快照集具有累加性質。 系統只會儲存最新共用快照集之後變更的資料。 這可將建立共用快照集所需的時間降到最低,並節省儲存體和儲存成本。
在下列情況下使用快照集:
- 預防意外刪除或非預期的變更。 共用快照集包含共用檔案的時間點複本。 如果不小心修改了共用檔案,您可使用共用快照集來檢閱及還原檔案的先前版本。
- 基於一般備份用途。 建立檔案共用之後,您可以定期建立共用快照集。 這可讓您維護先前版本的檔案,因應未來的稽核需求或災害復原之需。