Cloudová sdílená složka Azure na podnikové úrovni

Tato referenční architektura znázorňuje řešení pro sdílení souborů na podnikové úrovni, které používá služby Azure, včetně azure Files, Synchronizace souborů Azure, Azure Privátní DNS a privátního koncového bodu Azure. Řešení generuje úspory nákladů tím, že externí správa souborových serverů a infrastruktury a současně zachovává kontrolu nad daty.

Architektura

Následující diagram ukazuje, jak můžou klienti přistupovat ke sdíleným složkám Azure:

• Místně prostřednictvím souborového serveru vrstvení cloudu.
• Vzdáleně přes privátní partnerský vztah ExpressRoute nebo tunely VPN v prostředí privátní sítě.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Řešení pro sdílení souborů na podnikové úrovni používá následující metody k zajištění stejného uživatelského prostředí jako tradiční sdílení souborů, ale se sdílenými složkami Azure:

• Využívá Synchronizace souborů Azure k synchronizaci seznamů řízení přístupu k souborům a složek mezi místními souborovými servery a sdílenými složkami Azure.
• Používá funkci vrstvení cloudu z agenta Synchronizace souborů Azure k ukládání často místně přístupných souborů do mezipaměti.
• Vynucuje ověřování AD DS u sdílených složek Azure.
• Přistupuje ke sdíleným složkám a synchronizačním službám přes privátní IP adresu prostřednictvím privátního propojení Private Link a privátního koncového bodu ExpressRoute prostřednictvím privátního partnerského vztahu ExpressRoute nebo tunelu VPN.

Implementací privátního koncového bodu Azure ve službě Azure Files a Synchronizace souborů Azure je přístup k veřejnému koncovému bodu zakázaný, aby byl přístup ke službě Azure Files a Synchronizace souborů Azure omezen z virtuální sítě Azure.

Tunel VPN typu site-to-site privátního partnerského vztahu ExpressRoute rozšiřuje místní síť na virtuální síť Azure. provoz protokolu SMB (Synchronizace souborů Azure a Server Message Block) z místního prostředí do služby Azure Files a Synchronizace souborů Azure privátních koncových bodů je omezený jenom na privátní připojení. Během přechodu azure Files povolí připojení jenom v případě, že je vytvořené pomocí protokolu SMB 3.0 nebo novější. Připojení iony vytvořené z agenta Synchronizace souborů Azure do sdílené složky Azure nebo služby synchronizace úložiště jsou vždy šifrované. Neaktivní uložená data Azure Storage automaticky šifruje, když se zachovají do cloudu, stejně jako Azure Files.

Překladač DNS (Domain Name System) je důležitou součástí řešení. Každá služba Azure, v tomto případě Azure Files a Synchronizace souborů Azure, mají plně kvalifikovaný název domény (FQDN). Plně kvalifikované názvy domén těchto služeb se v těchto případech přeloží na jejich veřejné IP adresy:

• Když klient přistupuje ke sdílené složce Azure Files.
• Když Synchronizace souborů Azure agent nasazený na místním souborovém serveru, přistupuje ke službě Synchronizace souborů Azure.

Po povolení privátního koncového bodu se privátní IP adresy přidělují ve virtuální síti Azure. Tyto adresy umožňují přístup k těmto službám přes privátní připojení a stejné plně kvalifikované názvy domén se teď musí překládat na privátní IP adresy. Abyste toho dosáhli, azure Files a Synchronizace souborů Azure vytvořit kanonický záznam DNS (CNAME), který přesměruje překlad na název privátní domény:

• Název veřejné domény *.afs.azure.net Synchronizace souborů Azure získá přesměrování CNAME na název *.<region>.privatelink.afs.azure.netprivátní domény .
• Název veřejné domény <name>.file.core.windows.net služby Azure Files získá přesměrování CNAME na název <name>.privatelink.file.core.windows.netprivátní domény .

Řešení uvedené v této architektuře správně konfiguruje místní nastavení DNS tak, aby přeložily názvy privátních domén na privátní IP adresy pomocí následujících metod:

• Privátní DNS zóny (komponenty 11 a 12) se vytvářejí z Azure, aby poskytovaly privátní překlad ip adres pro Synchronizace souborů Azure a Soubory Azure.
• Privátní DNS zóny jsou propojené s virtuální sítí Azure, aby server DNS nasazený ve virtuální síti nebo privátní překladač DNS Azure (součást 8) mohl přeložit názvy privátních domén.
• Záznamy DNS A se vytvářejí pro Azure Files a Synchronizace souborů Azure v privátních zónách DNS. Postup konfigurace koncového bodu najdete v tématu Konfigurace koncových bodů sítě služby Azure Files a konfigurace Synchronizace souborů Azure koncových bodů sítě.
• Místní server DNS (komponenta 3) nastaví podmíněné předávání, aby předával dotaz domain afs.azure.net DNS a file.core.windows.net na server DNS ve virtuální síti Azure (součást 8).
• Po přijetí předávaného dotazu DNS z místního serveru DNS použije server DNS (součást 8) ve virtuální síti Azure rekurzivní překladač Azure DNS k překladu názvů privátních domén a vrácení privátních IP adres klientovi.

Komponenty

Řešení znázorněné v diagramu architektury používá následující komponenty:

• Klient (komponenta 1 nebo 2) – klient je obvykle počítač s Windows, Linuxem nebo Mac OSX, který může komunikovat se souborovým serverem nebo službou Azure Files prostřednictvím protokolu SMB.

• Servery DC a DNS (součást 3) – Řadič domény (DC) je server, který reaguje na žádosti o ověření a ověřuje uživatele v počítačových sítích. Server DNS poskytuje služby překladu názvů ip adres na počítače a uživatele s názvem na IP adresu. Servery DC a DNS je možné kombinovat do jednoho serveru nebo je lze rozdělit na různé servery.

• Souborový server (součást 4) – server, který je hostitelem sdílených složek a poskytuje služby sdílené složky.

• Zařízení CE/VPN (součást 5) – Hraniční směrovač zákazníka (CE) nebo zařízení VPN se používá k navázání připojení ExpressRoute nebo VPN k virtuální síti Azure.

• Azure ExpressRoute nebo Azure VPN Gateway (komponenta 6) – Azure ExpressRoute je služba, která umožňuje rozšířit vaši místní síť do cloudu Microsoftu přes privátní připojení, které poskytovatel připojení usnadňuje. Azure VPN Gateway je konkrétní typ brány virtuální sítě, která slouží k odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet. ExpressRoute nebo VPN Gateway vytváří připojení ExpressRoute nebo VPN k vaší místní síti.

• Privátní koncový bod Azure (komponenta 7) – Síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě využívající Službu Azure Private Link. V tomto řešení se privátní koncový bod Synchronizace souborů Azure připojí k Synchronizace souborů Azure (9) a privátní koncový bod služby Azure Files se připojí ke službě Azure Files (10).

• Server DNS nebo privátní překladač DNS Azure (komponenta 8) v instanci služby Azure Virtual Network používá rekurzivní překladač Azure DNS k překladu názvu privátní domény a vrácení privátní IP adresy klientovi po přijetí předávaného dotazu DNS z místního serveru DNS.

• Synchronizace souborů Azure a vrstvení cloudu (komponenta 9) – Synchronizace souborů Azure umožňuje centralizovat sdílené složky vaší organizace v Azure a zároveň zachovat flexibilitu, výkon a kompatibilitu místního souborového serveru. Vrstvení cloudu je volitelná funkce Synchronizace souborů Azure, ve které se často používané soubory ukládají do mezipaměti místně na serveru, zatímco všechny ostatní soubory jsou vrstvené do služby Azure Files na základě nastavení zásad.

• Azure Files (komponenta 10) – plně spravovaná služba, která nabízí sdílené složky v cloudu, které jsou přístupné přes standardní protokol SMB (Server Message Block). Azure Files implementuje protokol SMB v3 a podporuje ověřování prostřednictvím služeb místní Active Directory Domain Services (AD DS) a Microsoft Entra Domain Services. Sdílené složky ze služby Azure Files je možné připojit souběžně cloudovým nebo místním nasazením systémů Windows, Linux a macOS. Sdílené složky Azure SMB se navíc dají ukládat do mezipaměti poblíž místa, kde se data používají, na Windows Serverech s Synchronizace souborů Azure pro rychlý přístup.

• Azure Privátní DNS (komponenty 11 a 12) – služba DNS, kterou nabízí Azure, Privátní DNS spravuje a překládá názvy domén ve virtuální síti, aniž by bylo nutné přidat vlastní řešení DNS.

• Azure Backup (komponenta 13) – Azure Backup je služba zálohování sdílených složek Azure, která k poskytování cloudového řešení zálohování používá snímky sdílených složek. Důležité informace najdete v tématu Ztráta a zálohování dat.

Podrobnosti scénáře

Toto řešení umožňuje přístup ke sdíleným složkám Azure v hybridním pracovním prostředí přes virtuální privátní síť mezi místními a virtuálními sítěmi Azure bez procházení internetu. Umožňuje také řídit a omezit přístup k souborům prostřednictvím ověřování na základě identity.

Potenciální případy použití

Řešení pro sdílení souborů v cloudu podporuje následující možné případy použití:

• Souborový server nebo sdílená složka – lift and shift Když zvednete a posunete, eliminujete potřebu restrukturalizovat nebo přeformátovat data. Starší verze aplikací můžete udržovat místně a zároveň využívat cloudové úložiště.
• Urychlete inovace v cloudu se zvýšenou provozní efektivitou. Snižuje náklady na údržbu hardwaru a fyzického prostoru, chrání před poškozením dat a ztrátou dat.
• Privátní přístup ke sdíleným složkám Azure. Chrání před exfiltrací dat.

Toky provozu

Po povolení Synchronizace souborů Azure a azure Files se ke sdíleným složkám Azure dostanete ve dvou režimech, v režimu místní mezipaměti nebo ve vzdáleném režimu. V obou režimech klient k ověření používá existující přihlašovací údaje služby AD DS.

• Režim místní mezipaměti – Klient přistupuje k souborům a sdíleným složkám prostřednictvím místního souborového serveru s povolenou vrstvení cloudu. Když uživatel otevře soubor z místního souborového serveru, data souborů se obsluhují buď z místní mezipaměti souborového serveru, nebo Synchronizace souborů Azure agent bez problémů odvolá data souboru ze služby Azure Files. V diagramu architektury pro toto řešení k tomu dochází mezi komponentou 1 a 4.

• Vzdálený režim – Klient přistupuje k souborům a sdíleným složkám přímo ze vzdálené sdílené složky Azure. V diagramu architektury pro toto řešení prochází tok provozu přes komponenty 2, 5, 6, 7 a 10.

Synchronizace souborů Azure provoz prochází mezi součástmi 4, 5, 6 a 7 pomocí okruhu ExpressRoute pro spolehlivé připojení.

Dotazy na překlad názvů privátních domén procházejí komponentami 3, 5, 6, 8, 11 a 12 pomocí následující sekvence:

1. Klient odešle dotaz na místní server DNS k překladu služby Azure Files nebo Synchronizace souborů Azure názvu DNS.
2. Místní server DNS má podmíněný předávací nástroj, který odkazuje na Azure File a Synchronizace souborů Azure překlad názvů DNS na server DNS ve virtuální síti Azure.
3. Dotaz se přesměruje na server DNS nebo privátní překladač DNS Azure ve virtuální síti Azure.
4. V závislosti na konfiguraci DNS virtuální sítě:
   • Pokud je nakonfigurovaný vlastní server DNS, server DNS ve virtuální síti Azure odešle dotaz na název do azure poskytnutého překladače DNS (168.63.129.16).
   • Pokud je nakonfigurovaný privátní překladač DNS Azure a dotaz odpovídá privátním zónám DNS propojeným s virtuální sítí, budou se tyto zóny konzultovat.
5. Server DNS nebo privátní překladač DNS Azure vrátí privátní IP adresu po překladu názvu privátní domény do příslušné privátní zóny DNS. Používá odkazy virtuální sítě Azure na zónu DNS služby Azure Files a zónu Synchronizace souborů Azure privátního DNS.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Při implementaci tohoto řešení zvažte následující body.

Plánování

• Informace o plánování Synchronizace souborů Azure najdete v tématu Plánování nasazení Synchronizace souborů Azure.
• Plánování služby Soubory Azure najdete v tématu Plánování nasazení služby Azure Files.

Sítě

• Informace o Synchronizace souborů Azure důležitých aspektech sítě najdete v Synchronizace souborů Azure důležitých aspektech sítě.
• Důležité informace o sítích služby Azure Files najdete v důležitých aspektech sítí služby Azure Files.

DNS

Při správě překladu ip adres pro privátní koncové body se názvy privátních domén služby Azure Files a Synchronizace souborů Azure přeloží následujícím způsobem:

Na straně Azure:

• Pokud se použije překlad ip adres zadaný v Azure, musí virtuální síť Azure propojit se zřízenými privátními zónami DNS.
• Pokud se použije "Přineste si vlastní server DNS", musí virtuální síť, ve které je nasazen vlastní server DNS, propojit se zřízenými zónami DNS.

Z místní strany se název privátní domény mapuje na privátní IP adresu jedním z následujících způsobů:

• Prostřednictvím předávání DNS na server DNS nasazený ve virtuální síti Azure nebo privátním překladači DNS Azure, jak je znázorněno v diagramu.
• Prostřednictvím místního serveru DNS, který nastavuje zóny pro privátní doménu <region>.privatelink.afs.azure.net a privatelink.file.core.windows.net. Server zaregistruje IP adresy služby Azure Files a Synchronizace souborů Azure privátní koncové body jako záznamy DNS A do příslušných zón DNS. Místní klient přeloží název privátní domény přímo z místního serveru DNS.

Systém distribuovaných souborů (DFS)

Pokud jde o místní řešení pro sdílení souborů, mnoho správců se rozhodne místo tradičního samostatného souborového serveru použít systém souborů DFS. Systém DFS umožňuje správcům konsolidovat sdílené složky, které mohou existovat na více serverech, aby se zobrazovaly, jako by všechny byly ve stejném umístění, což uživatelům umožňuje přístup z jednoho bodu v síti. Při přechodu na cloudové řešení sdílených složek je možné tradiční nasazení DFS-R nahradit nasazením Synchronizace souborů Azure. Další informace najdete v tématu Migrace nasazení replikace DFS (DFS-R) do Synchronizace souborů Azure.

Ztráta a zálohování dat

Ztráta dat je vážným problémem pro firmy všech velikostí. Zálohování sdílených složek Azure využívá snímky sdílených složek k poskytování cloudového řešení zálohování, které chrání vaše data v cloudu a eliminuje další režijní náklady na údržbu spojené s místními řešeními zálohování. Mezi klíčové výhody zálohování sdílených složek Azure patří:

• Nulová infrastruktura
• Přizpůsobené uchovávání informací
• Integrované možnosti správy
• Okamžité obnovení
• Upozornění a generování sestav
• Ochrana před náhodným odstraněním sdílených složek

Další informace najdete v tématu O zálohování sdílených složek Azure.

Podpora hybridních identit ve službě Azure Files

I když tento článek popisuje Active Directory pro ověřování ve službě Azure Files, je možné použít ID Microsoft Entra pro ověřování hybridních identit uživatelů. Azure Files podporuje ověřování založené na identitě přes protokol SMB (Server Message Block) pomocí ověřovacího protokolu Kerberos pomocí následujících metod:

• Místní Doména služby Active Directory Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos (pouze pro hybridní identity uživatelů)
• Ověřování AD pro klienty s Linuxem

Další informace najdete v tématu Povolení ověřování protokolem Kerberos microsoft Entra pro hybridní identity ve službě Azure Files.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce pro zmírnění rizik DDoS, které poskytují větší ochranu před útoky DDoS. Službu Azure DDOS Protection byste měli povolit v jakékoli hraniční virtuální síti.

Auditování zabezpečení je nezbytným požadavkem, který pomáhá udržovat zabezpečení podniku. Oborové standardy vyžadují, aby podniky dodržovaly striktní sadu pravidel souvisejících se zabezpečením dat a ochranou osobních údajů.

Auditování přístupu k souborům

Auditování přístupu k souborům je možné povolit místně a vzdáleně:

• Místně pomocí dynamického řízení přístupu. Další informace najdete v tématu Plánování auditování přístupu k souborům.
• Vzdáleně pomocí protokolů Azure Storage ve službě Azure Monitor ve službě Azure Files. Protokoly azure Storage obsahují protokoly StorageRead, StorageWrite, StorageDelete a Transakční protokoly. Přístup k souborům Azure je možné protokolovat do účtu úložiště, pracovního prostoru služby Log Analytics nebo streamovat do centra událostí samostatně. Další informace najdete v tématu Monitorování služby Azure Files.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Yingting Huang | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Plánování nasazení Azure Files
• Nasazení služby Azure Files
• Důležité informace o sítích služby Azure Files
• Konfigurace koncových bodů sítě služby Azure Files
• Monitorování služby Azure Files
• Plánování auditování přístupu k souborům
• Zálohování sdílených složek Azure
• Přehled – ověřování služby místní Active Directory Domain Services přes protokol SMB pro sdílené složky Azure
• Nasazení Synchronizace souborů Azure
• Konfigurace koncových bodů sítě Synchronizace souborů Azure
• Přehled vrstvení cloudu
• Vytvoření připojení typu Site-to-Site na webu Azure Portal
• Okruhy ExpressRoute a peering
• Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute
• Zálohování sdílených složek Azure
• Co je privátní překladač Azure DNS
• Povolení ověřování Microsoft Entra Kerberos pro hybridní identity ve službě Azure Files

Související prostředky

• Sdílená složka cloudu Azure Enterprise
• Soubory Azure přístupné místně a zabezpečené službou AD DS
• Hybridní souborové služby
• Použití sdílených složek Azure v hybridním prostředí
• Hybridní sdílená složka s zotavením po havárii pro vzdálené pracovní procesy a pracovní procesy místní větve