تقدم Azure Files بروتوكولين قياسيين في هذه الصناعة لتثبيت مشاركة ملف Azure: بروتوكول Server Message Block (SMB) وبروتوكول نظام ملفات الشبكة (NFS). تمكنك Azure Files من اختيار بروتوكول نظام الملفات الأنسب لحمل عملك. لا تدعم مشاركات ملف Azure الوصول إلى مشاركة ملف Azure فردية باستخدام بروتوكولي SMB وNFS، على الرغم من أنه يمكنك إنشاء مشاركات ملف SMB وNFS داخل حساب التخزين نفسه. بالنسبة لجميع مشاركات الملفات، تقدم Azure Files مشاركات ملفات على مستوى المؤسسات يمكن توسيع نطاقها لتلبية احتياجات التخزين الخاصة بك ويمكن الوصول إليها في نفس الوقت بواسطة آلاف العملاء.
تتناول هذه المقالة مشاركات ملفات SMB Azure. للحصول على معلومات حول مشاركات ملف NFS Azure، راجع مشاركات ملف NFS في Azure Files.
السيناريوهات الشائعة
تُستخدم مشاركات ملف SMB لمجموعة متنوعة من التطبيقات بما في ذلك مشاركات ملفات المستخدم ومشاركات الملفات التي تدعم قواعد البيانات والتطبيقات. غالباً ما تُستخدم مشاركات ملف SMB في السيناريوهات التالية:
مشاركات ملفات المستخدم مثل مشاركات الفريق، والأدلة الرئيسية، وما إلى ذلك.
تخزين النسخ الاحتياطي للتطبيقات المستندة إلى Windows، مثل قواعد بيانات SQL Server أو تطبيقات خط الأعمال المكتوبة لـ Win32 أو NET. من واجهات برمجة تطبيقات نظام الملفات المحلي.
تطوير التطبيقات والخدمات الجديدة، خاصةً إذا كان هذا التطبيق أو الخدمة يتطلب إدخالاً عشوائياً وتخزيناً هرمياً.
الميزات
يدعم Azure Files الميزات الرئيسية لـ SMB وAzure اللازمة لعمليات توزيع الإنتاج لمشاركات ملفات SMB:
الانضمام إلى مجال AD وقوائم التحكم في الوصول التقديرية (DACL).
النسخ الاحتياطي بلا خادم متكامل مع Azure Backup.
عزل الشبكة بنقاط نهاية خاصة في Azure.
معدل نقل سريع للشبكة باستخدام SMB Multichannel (مشاركات الملفات المتميزة فقط).
تشفير قناة SMB بما في ذلك AES-256-GCM وAES-128-GCM وAES-128-CCM.
دعم الإصدار السابق من خلال لقطات مشاركة متكاملة VSS.
حذف تلقائي على مشاركات Azure Files لمنع عمليات الحذف العرضية.
مشاركة الملفات التي يمكن الوصول إليها عبر الإنترنت اختيارياً باستخدام +SMB 3.0 الآمن للإنترنت.
يتم تشفير جميع البيانات المخزنة في Azure Files في وضع عدم التشغيل باستخدام تشفير خدمة تخزين Azure (SSE). يعمل تشفير خدمة التخزين بشكل مشابه لـ BitLocker على Windows: يتم تشفير البيانات تحت مستوى نظام الملفات. نظراً لأن البيانات مشفرة أسفل نظام ملفات مشاركة ملف Azure، نظراً لأنه مشفر على القرص، فلا يتعين عليك الوصول إلى المفتاح الأساسي للعميل لقراءة مشاركة ملف Azure أو الكتابة إليها. ينطبق التشفير في حال عدم التشغيل على بروتوكولي SMB وNFS.
بشكل افتراضي، يتم تمكين التشفير أثناء النقل لجميع حسابات تخزين Azure. هذا يعني أنه عند تحميل مشاركة ملف عبر SMB (أو الوصول إليها عبر بروتوكول FileREST)، فإن Azure Files ستسمح بالاتصال فقط إذا تم إجراؤه باستخدام SMB 3.x مع التشفير أو HTTPS. لن يتمكن العملاء الذين لا يدعمون SMB 3.x مع تشفير قناة SMB من تحميل مشاركة ملف Azure إذا تم تمكين التشفير أثناء النقل.
يدعم Azure Files AES-256-GCM مع SMB 3.1.1 عند استخدامه مع Windows Server 2022 أو Windows 11. يدعم SMB 3.1.1 أيضاً AES-128-GCM ويدعم SMB 3.0 AES-128-CCM. يتم التفاوض على AES-128-GCM افتراضياً في الإصدار 21H1 من Windows 10 لأسباب تتعلق بالأداء.
يمكنك تعطيل التشفير أثناء النقل لحساب تخزين Azure. عند تعطيل التشفير، ستسمح Azure Files أيضاً SMB 2.1 وSMB 3.x بدون تشفير. السبب الأساسي لتعطيل التشفير أثناء النقل هو دعم تطبيق قديم يجب تشغيله على نظام تشغيل أقدم، مثل Windows Server 2008 R2 أو توزيع Linux الأقدم. تسمح Azure Files باتصالات SMB 2.1 داخل نفس منطقة Azure مثل مشاركة ملف Azure؛ لن يتمكن عميل SMB 2.1 خارج منطقة Azure لمشاركة ملف Azure، مثل محلي أو في منطقة Azure مختلفة، من الوصول إلى مشاركة الملف.
إعدادات بروتوكول SMB
تقدم Azure Files إعدادات متعددة تؤثر على سلوك بروتوكول SMB وأدائه وأمانه. تم تكوينها لجميع مشاركات Azure Files داخل حساب تخزين.
SMB Multichannel
تُمكّن SMB Multichannel عميل SMB 3.x من إنشاء اتصالات شبكة متعددة إلى مشاركة ملف SMB. يدعم Azure Files SMB Multichannel في مشاركات الملفات المتميزة (مشاركات الملفات في نوع حساب تخزين FileStorage). لا توجد تكلفة إضافية لتمكين SMB Multichannel في Azure Files. يتم تعطيل قنوات SMB المتعددة افتراضياً.
لعرض حالة SMB Multichannel، انتقل إلى حساب التخزين الذي يحتوي على مشاركات الملفات المميزة وحدد File shares ضمن العنوان تخزين البيانات في جدول محتويات حساب التخزين. يمكن الاطلاع على حالة SMB Multichannel ضمن قسم إعدادات مشاركة الملفات.
لتمكين أو تعطيل SMB Multichannel، حدد الحالة الحالية (ممكّن أو معطل بناءً على الحالة). يوفر مربع الحوار الناتج مفتاح تبديل لتمكين أو تعطيل SMB Multichannel. حدد الحالة المطلوبة وحدد Save.
للحصول على حالة SMB Multichannel، استخدم الأمر cmdlet Get-AzStorageFileServiceProperty. تذكر استبدال <resource-group> و<storage-account> بالقيم المناسبة لبيئتك قبل تشغيل أوامر PowerShell هذه.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$defaultSmbMultichannelEnabled = $false
# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbMultichannelEnabled";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) {
$defaultSmbMultichannelEnabled
} else {
$_.ProtocolSettings.Smb.Multichannel.Enabled
}
}
}
لتمكين/تعطيل SMB Multichannel، استخدم Update-AzStorageFileServiceProperty cmdlet.
للحصول على حالة SMB Multichannel، استخدم الأمر az storage account file-service-properties show. تذكر استبدال <resource-group> و<storage-account> بالقيم المناسبة لبيئتك قبل تشغيل أوامر Bash هذه.
resourceGroupName="<resource-group>"
storageAccountName="<storage-account>"
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
## Search strings
replaceSmbMultichannel="\"smbMultichannelEnabled\": null"
# Replacement values for null parameters.
defaultSmbMultichannelEnabled="\"smbMultichannelEnabled\": false"
# Build JMESPath query string
query="{"
query="${query}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
query="${query}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $resourceGroupName \
--account-name $storageAccountName \
--query "${query}")
# Replace returned values if null with default values
protocolSettings="${protocolSettings/$replaceSmbMultichannel/$defaultSmbMultichannelEnabled}"
# Print returned settings
echo $protocolSettings
لتمكين/تعطيل SMB Multichannel، استخدم الأمر az storage account file-service-properties update.
تعرض Azure Files الإعدادات التي تتيح لك تبديل بروتوكول SMB ليكون أكثر توافقاً أو أكثر أماناً، وفقاً لمتطلبات مؤسستك. بشكل افتراضي، يتم تكوين Azure Files لتكون متوافقة إلى أقصى حد، لذا ضع في اعتبارك أن تقييد هذه الإعدادات قد يتسبب في عدم تمكن بعض العملاء من الاتصال.
تعرض Azure Files الإعدادات التالية:
إصدارات SMB: إصدارات SMB المسموح بها. إصدارات البروتوكول المدعومة هي SMB 3.1.1 وSMB 3.0 وSMB 2.1. بشكل افتراضي، يُسمح بجميع إصدارات SMB، على الرغم من أن SMB 2.1 غير مسموح به إذا تم تمكين "طلب النقل الآمن"، نظراً لأن SMB 2.1 لا يدعم التشفير أثناء النقل.
طرق المصادقة: طرق مصادقة SMB المسموح بها. طرق المصادقة المعتمدة هي NTLMv2 وKerberos. افتراضياً، يُسمح بجميع طرق المصادقة. لا تسمح إزالة NTLMv2 باستخدام مفتاح حساب التخزين لتحميل مشاركة ملف Azure.
تشفير بطاقة Kerberos: خوارزميات التشفير المسموح بها. خوارزميات التشفير المدعومة هي AES-256 (موصى بها) وRC4-HMAC.
تشفير قناة SMB: ما هي خوارزميات تشفير قناة SMB المسموح بها. خوارزميات التشفير المدعومة هي AES-256-GCM وAES-128-GCM وAES-128-CCM.
يمكن عرض إعدادات أمان SMB وتغييرها باستخدام PowerShell أو CLI. يرجى تحديد علامة التبويب المطلوبة للاطلاع على الخطوات الخاصة بكيفية الحصول على إعدادات أمان SMB وتعيينها.
للحصول على إعدادات بروتوكول SMB، استخدم Get-AzStorageFileServiceProperty cmdlet. تذكر استبدال <resource-group> و<storage-account> بالقيم المناسبة لبيئتك قبل تشغيل أوامر PowerShell هذه.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"
# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbProtocolVersions";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Versions) {
[String]::Join(", ", $smbProtocolVersions)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
}
}
},
@{
Name = "SmbChannelEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
[String]::Join(", ", $smbChannelEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
}
}
},
@{
Name = "SmbAuthenticationMethods";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
[String]::Join(", ", $smbAuthenticationMethods)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
}
}
},
@{
Name = "SmbKerberosTicketEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
[String]::Join(", ", $smbKerberosTicketEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
}
}
}
بناءً على متطلبات الأمان والأداء والتوافق الخاصة بمؤسستك، قد ترغب في تعديل إعدادات بروتوكول SMB. يقيد أمر PowerShell التالي مشاركات ملفات SMB بالخيارات الأكثر أماناً فقط.
هام
قد يؤدي تقييد مشاركات ملفات SMB Azure على الخيارات الأكثر أماناً فقط إلى عدم تمكن بعض العملاء من الاتصال إذا لم يستوفوا المتطلبات. على سبيل المثال، تم تقديم AES-256-GCM كخيار لتشفير قناة SMB بدءاً من Windows Server 2022 وWindows 11. هذا يعني أن العملاء الأقدم الذين لا يدعمون AES-256-GCM لن يتمكنوا من الاتصال.
للحصول على حالة إعدادات أمان SMB، استخدم الأمر az storage account file-service-properties show. تذكر استبدال <resource-group> و<storage-account> بالقيم المناسبة لبيئتك قبل تشغيل أوامر Bash هذه.
resourceGroupName="<resource-group>"
storageAccountName="<storage-account>"
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
# Values to be replaced
replaceSmbProtocolVersion="\"smbProtocolVersions\": null"
replaceSmbChannelEncryption="\"smbChannelEncryption\": null"
replaceSmbAuthenticationMethods="\"smbAuthenticationMethods\": null"
replaceSmbKerberosTicketEncryption="\"smbKerberosTicketEncryption\": null"
# Replacement values for null parameters. If you copy this into your own
# scripts, you will need to ensure that you keep these variables up-to-date with any new
# options we may add to these parameters in the future.
defaultSmbProtocolVersions="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
defaultSmbChannelEncryption="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
defaultSmbAuthenticationMethods="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
defaultSmbKerberosTicketEncryption="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""
# Build JMESPath query string
query="{"
query="${query}smbProtocolVersions: protocolSettings.smb.versions,"
query="${query}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
query="${query}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
query="${query}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
query="${query}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $resourceGroupName \
--account-name $storageAccountName \
--query "${query}")
# Replace returned values if null with default values
protocolSettings="${protocolSettings/$replaceSmbProtocolVersion/$defaultSmbProtocolVersions}"
protocolSettings="${protocolSettings/$replaceSmbChannelEncryption/$defaultSmbChannelEncryption}"
protocolSettings="${protocolSettings/$replaceSmbAuthenticationMethods/$defaultSmbAuthenticationMethods}"
protocolSettings="${protocolSettings/$replaceSmbKerberosTicketEncryption/$defaultSmbKerberosTicketEncryption}"
# Print returned settings
echo $protocolSettings
بناءً على متطلبات الأمان والأداء والتوافق في مؤسستك، قد ترغب في تعديل إعدادات بروتوكول SMB. يقيد أمر Azure CLI التالي مشاركات ملفات SMB بالخيارات الأكثر أماناً فقط.
هام
قد يؤدي تقييد مشاركات ملفات SMB Azure على الخيارات الأكثر أماناً فقط إلى عدم تمكن بعض العملاء من الاتصال إذا لم يستوفوا المتطلبات. على سبيل المثال، تم تقديم AES-256-GCM كخيار لتشفير قناة SMB بدءاً من Windows Server 2022 وWindows 11. هذا يعني أن العملاء الأقدم الذين لا يدعمون AES-256-GCM لن يتمكنوا من الاتصال.
تدعم مشاركات ملفات SMB في Azure Files مجموعة فرعية من الميزات التي يدعمها بروتوكول SMB ونظام الملفات NTFS. على الرغم من أن معظم حالات الاستخدام والتطبيقات لا تتطلب هذه الميزات، فقد لا تعمل بعض التطبيقات بشكل صحيح مع Azure Files إذا كانت تعتمد على ميزات غير مدعومة. الميزات التالية غير مدعومة:
تتوفر مشاركات ملف SMB Azure في كل منطقة من مناطق Azure، بما في ذلك جميع المناطق العامة وذات السيادة. تتوفر مشاركات ملفات SMB المميزة في مجموعة فرعية من المناطق.
