Plánování nasazení Azure Files
Soubory Azure můžete nasadit dvěma hlavními způsoby: přímým připojením bezserverových sdílených složek Azure nebo uložením sdílených složek Azure do mezipaměti místně pomocí Synchronizace souborů Azure. Aspekty nasazení se budou lišit podle toho, kterou možnost zvolíte.
Přímé připojení sdílené složky Azure: Protože služba Azure Files poskytuje přístup k protokolu SMB (Server Message Block) nebo k systému souborů NFS (Network File System), můžete sdílené složky Azure připojit místně nebo v cloudu pomocí standardních klientů SMB nebo NFS dostupných v operačním systému. Vzhledem k tomu, že sdílené složky Azure nejsou bezserverové, nasazení v produkčních scénářích nevyžaduje správu souborového serveru nebo zařízení NAS. To znamená, že nemusíte používat softwarové opravy ani prohodit fyzické disky.
Ukládání sdílené složky Azure do mezipaměti místně pomocí Synchronizace souborů Azure: Synchronizace souborů Azure umožňuje centralizovat sdílené složky vaší organizace ve službě Azure Files a zároveň zachovat flexibilitu, výkon a kompatibilitu místního souborového serveru. Synchronizace souborů Azure transformuje místní (nebo cloudový) Windows Server do rychlé mezipaměti sdílené složky SMB Azure.
Tento článek primárně řeší aspekty nasazení pro nasazení sdílené složky Azure, která se má přímo připojit místním nebo cloudovým klientem. Pokud chcete naplánovat nasazení Synchronizace souborů Azure, přečtěte si téma Plánování nasazení Synchronizace souborů Azure.
Dostupné protokoly
Azure Files nabízí dva standardní protokoly systému souborů Azure pro připojení sdílených složek Azure: protokol SMB (Server Message Block) a protokol NFS (Network File System), který umožňuje zvolit protokol, který je pro vaši úlohu nejvhodnější. Sdílené složky Azure nepodporují protokoly SMB i NFS ve stejné sdílené složce, i když můžete vytvářet sdílené složky SMB a NFS v rámci stejného účtu úložiště. Systém souborů NFS 4.1 se v současné době podporuje jenom v rámci nového typu účtu úložiště FileStorage (jenom sdílené složky úrovně Premium).
Díky sdíleným složkám SMB i NFS nabízí Azure Files sdílené složky na podnikové úrovni, které můžou vertikálně navýšit kapacitu tak, aby vyhovovaly vašim potřebám úložiště, a současně k němu mají přístup tisíce klientů.
| Funkce | SMB | NFS |
|---|---|---|
| Podporované verze protokolu | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Doporučený operační systém |
|
Jádro Linuxu verze 4.3 nebo novější |
| Dostupné úrovně | Premium, transakce optimalizované, horké a studené | Premium |
| Model fakturace | Zřízená kapacita | |
| Koncové body zóny Azure DNS (Preview) | Podporováno | Podporováno |
| Redundance | LRS, ZRS, GRS, GZRS | LRS, ZRS |
| Sémantika systému souborů | Win32 | POSIX |
| Ověřování | Ověřování založené na identitách (Kerberos), ověřování pomocí sdíleného klíče (NTLMv2) | Ověřování na základě hostitele |
| Autorizace | Seznamy řízení přístupu ve stylu Win32 (seznamy ACL) | oprávnění ve stylu systém UNIX |
| Rozlišování malých a velkých písmen | Nerozlišující velká a malá písmena, zachování velkých a malých písmen | Malá a velká písmena se rozlišují. |
| Odstranění nebo úprava otevřených souborů | Pouze se zámkem | Ano |
| Sdílení souborů | Režim sdílení windows | Správce uzamčení sítě v rozsahu bajtů |
| Podpora pevného odkazu | Nepodporováno | Podporováno |
| Podpora symbolických odkazů | Nepodporováno | Podporováno |
| Volitelně přístupné z internetu | Ano (jenom SMB 3.0 nebo novější) | No |
| Podporuje FileREST | Ano | Podmnožina: |
| Povinné zámky rozsahu bajtů | Podporováno | Nepodporováno |
| Poradce pro zámky rozsahu bajtů | Nepodporováno | Podporováno |
| Rozšířené nebo pojmenované atributy | Nepodporováno | Nepodporováno |
| Alternativní datové proudy | Nepodporováno | – |
| Identifikátory objektů | Nepodporováno | – |
| Body rozboru | Nepodporováno | – |
| Zhuštěné soubory | Nepodporováno | – |
| Komprese | Nepodporováno | – |
| Pojmenované kanály | Nepodporováno | – |
| SMB Direct | Nepodporováno | – |
| SMB Directory Leasing | Nepodporováno | – |
| Stínová kopie svazku | Nepodporováno | – |
| Krátké názvy souborů (alias 8.3) | Nepodporováno | – |
| Serverová služba | Nepodporováno | – |
| Transakce systému souborů (TxF) | Nepodporováno | – |
Koncepty správy
Sdílené složky Azure se nasazují do účtů úložiště, což jsou objekty nejvyšší úrovně, které představují sdílený fond úložiště. Tento fond úložiště lze použít k nasazení více sdílených složek a také k dalším prostředkům úložiště, jako jsou kontejnery objektů blob, fronty nebo tabulky. Všechny prostředky úložiště nasazené do účtu úložiště sdílejí limity, které platí pro tento účet úložiště. Aktuální limity účtu úložiště najdete v tématu Škálovatelnost a výkonnostní cíle služby Azure Files.
Existují dva hlavní typy účtů úložiště, které budete používat pro nasazení služby Azure Files:
- Účty úložiště pro obecné účely verze 2 (GPv2): Účty úložiště GPv2 umožňují nasadit sdílené složky Azure na hardwaru založeném na standardu nebo pevném disku (založeném na pevných discích). Kromě ukládání sdílených složek Azure můžou účty úložiště GPv2 ukládat další prostředky úložiště, jako jsou kontejnery objektů blob, fronty nebo tabulky.
- Účty úložiště FileStorage: Účty úložiště FileStorage umožňují nasadit sdílené složky Azure na hardwaru založeném na discích SSD (Premium/Solid-State Disk). Účty FileStorage je možné použít pouze k ukládání sdílených složek Azure; V účtu FileStorage není možné nasadit žádné jiné prostředky úložiště (kontejnery objektů blob, fronty, tabulky atd.). Sdílené složky SMB i NFS můžou nasazovat jenom účty FileStorage.
Na webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku můžete narazit na několik dalších typů účtů úložiště. Dva typy účtů úložiště: BlockBlobStorage a účty úložiště BlobStorage nemůžou obsahovat sdílené složky Azure. Další dva typy účtů úložiště, které se můžou zobrazit, jsou obecné účely verze 1 (GPv1) a klasické účty úložiště, z nichž obě můžou obsahovat sdílené složky Azure. I když účty úložiště GPv1 a klasické úložiště můžou obsahovat sdílené složky Azure, většina nových funkcí služby Azure Files je dostupná jenom v účtech úložiště GPv2 a FileStorage. Proto doporučujeme používat pouze účty úložiště GPv2 a FileStorage pro nová nasazení a upgradovat účty úložiště GPv1 a klasické, pokud už ve vašem prostředí existují.
Při nasazování sdílených složek Azure do účtů úložiště doporučujeme:
Nasazení sdílených složek Azure do účtů úložiště s jinými sdílenými složkami Azure I když účty úložiště GPv2 umožňují mít účty úložiště se smíšeným účelem, protože prostředky úložiště, jako jsou sdílené složky Azure a kontejnery objektů blob, sdílejí limity účtu úložiště, kombinování prostředků může později ztížit řešení problémů s výkonem.
Při nasazování sdílených složek Azure věnujte pozornost omezením IOPS účtu úložiště. V ideálním případě byste namapovat sdílené složky 1:1 s účty úložiště. To ale nemusí být vždy možné kvůli různým omezením a omezením, a to jak z vaší organizace, tak z Azure. Pokud není možné mít nasazenou jenom jednu sdílenou složku v jednom účtu úložiště, zvažte, které sdílené složky budou vysoce aktivní a které sdílené složky budou méně aktivní, aby se zajistilo, že se nejžhavější sdílené složky nenasadí do stejného účtu úložiště.
Nasazuje se jenom účty GPv2 a FileStorage a upgraduje účty GPv1 a klasické úložiště, když je najdete ve svém prostředí.
Identita
Pokud chcete získat přístup ke sdílené složce Azure, musí být uživatel sdílené složky ověřený a autorizovaný pro přístup ke sdílené složce. To se provádí na základě identity uživatele, který přistupuje ke sdílené složce. Azure Files podporuje následující metody ověřování:
- Místní Doména služby Active Directory Services (AD DS nebo místní služba AD DS):Účty úložiště Azure můžou být připojené k Doména služby Active Directory Services vlastněným zákazníkem, stejně jako souborový server Windows Serveru nebo zařízení NAS. Můžete nasadit řadič domény místně, na virtuálním počítači Azure nebo dokonce jako virtuální počítač v jiném poskytovateli cloudu; Služba Azure Files je nezávislá na tom, kde je váš řadič domény hostovaný. Jakmile je účet úložiště připojený k doméně, může koncový uživatel připojit sdílenou složku s uživatelským účtem, kterým se přihlásil ke svému počítači. Ověřování založené na AD používá ověřovací protokol Kerberos.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services poskytuje řadič domény spravovaný Microsoftem, který lze použít pro prostředky Azure. Doména, která připojuje váš účet úložiště ke službě Microsoft Entra Domain Services, poskytuje podobné výhody pro připojení k doméně ke službě AD DS vlastněné zákazníkem. Tato možnost nasazení je nejužitečnější pro scénáře metodou "lift and shift" aplikací, které vyžadují oprávnění založená na AD. Vzhledem k tomu, že služba Microsoft Entra Domain Services poskytuje ověřování založené na AD, tato možnost používá také ověřovací protokol Kerberos.
- Microsoft Entra Kerberos pro hybridní identity: Microsoft Entra Kerberos umožňuje používat Microsoft Entra ID k ověřování hybridních identit uživatelů, což jsou místní identity AD, které se synchronizují do cloudu. Tato konfigurace používá id Microsoft Entra k vydání lístků Protokolu Kerberos pro přístup ke sdílené složce pomocí protokolu SMB. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure přes internet bez nutnosti síťového připojení k řadičům domény z hybridního připojení Microsoft Entra a virtuálních počítačů připojených k Microsoft Entra.
- Ověřování active directory přes protokol SMB pro klienty s Linuxem: Azure Files podporuje ověřování založené na identitě přes protokol SMB pro linuxové klienty pomocí ověřovacího protokolu Kerberos prostřednictvím služby AD DS nebo Microsoft Entra Domain Services.
- Klíč účtu úložiště Azure: Sdílené složky Azure se můžou připojit také k klíči účtu úložiště Azure. Pokud chcete připojit sdílenou složku tímto způsobem, použije se název účtu úložiště jako uživatelské jméno a klíč účtu úložiště se použije jako heslo. Použití klíče účtu úložiště k připojení sdílené složky Azure je efektivní operací správce, protože připojená sdílená složka bude mít úplná oprávnění ke všem souborům a složkám ve sdílené složce, i když mají seznamy ACL. Při použití klíče účtu úložiště k připojení přes protokol SMB se použije ověřovací protokol NTLMv2. Pokud chcete pro přístup ke sdíleným složkám Azure použít klíč účtu úložiště, doporučujeme použít privátní koncové body nebo koncové body služby, jak je popsáno v části Sítě .
Pro zákazníky, kteří migrují z místních souborových serverů nebo vytvářejí nové sdílené složky ve službě Azure Files, které se mají chovat jako souborové servery Windows nebo zařízení NAS, je doporučenou možností připojení domény k účtu úložiště ve vlastnictví zákazníka . Další informace o připojení domény k účtu úložiště ke službě AD DS vlastněné zákazníkem najdete v tématu Přehled – místní Active Directory Ověřování službou Domain Services přes protokol SMB pro sdílené složky Azure.
Sítě
Přímé připojení sdílené složky Azure často vyžaduje určitou myšlenku o konfiguraci sítě, protože:
- Port, který sdílené složky SMB používají pro komunikaci, port 445, je často blokovaný mnoha organizacemi a poskytovateli internetových služeb (ISP) pro odchozí (internetový) provoz.
- Sdílené složky NFS spoléhají na ověřování na úrovni sítě a jsou proto přístupné jenom prostřednictvím sítí s omezeným přístupem. Použití sdílené složky NFS vždy vyžaduje určitou úroveň konfigurace sítě.
Azure Files poskytuje pro konfiguraci sítí veřejný koncový bod přístupný z internetu a integraci se síťovými funkcemi Azure, jako jsou koncové body služby, které pomáhají omezit veřejný koncový bod na zadané virtuální sítě a privátní koncové body, které vašemu účtu úložiště poskytují privátní IP adresu z adresního prostoru IP adres virtuální sítě. I když se za používání veřejných koncových bodů nebo koncových bodů služby neúčtují žádné další poplatky, platí standardní sazby za zpracování dat pro privátní koncové body.
To znamená, že budete muset zvážit následující konfigurace sítě:
- Pokud je požadovaný protokol SMB a veškerý přístup přes protokol SMB pochází z klientů v Azure, nevyžaduje se žádná speciální konfigurace sítě.
- Pokud je požadovaný protokol SMB a přístup pochází z místních klientů, vyžaduje se připojení VPN nebo ExpressRoute z místního prostředí k síti Azure se službou Azure Files zveřejněné ve vaší interní síti pomocí privátních koncových bodů.
- Pokud je požadovaný protokol NFS, můžete k omezení sítě na zadané virtuální sítě použít koncové body služby nebo privátní koncové body. Pokud potřebujete statickou IP adresu nebo vaše úloha vyžaduje vysokou dostupnost, použijte privátní koncový bod. U koncových bodů služby může vzácná událost, jako je zónový výpadek, způsobit změnu základní IP adresy účtu úložiště. I když budou data stále dostupná ve sdílené složce, klient bude vyžadovat opětovné připojení sdílené složky.
Další informace o tom, jak nakonfigurovat sítě pro službu Azure Files, najdete v tématu Důležité informace o sítích služby Azure Files.
Kromě přímého připojení ke sdílené složce pomocí veřejného koncového bodu nebo připojení VPN/ExpressRoute s privátním koncovým bodem poskytuje smb další strategii přístupu klienta: SMB přes QUIC. PROTOKOL SMB přes QUIC nabízí nulovou konfiguraci SMB VPN pro přístup k protokolu SMB přes přenosový protokol QUIC. Přestože Služba Soubory Azure přímo nepodporuje protokol SMB přes QUIC, můžete vytvořit jednoduchou mezipaměť sdílených složek Azure na virtuálním počítači s Windows Serverem 2022 Azure Edition pomocí Synchronizace souborů Azure. Další informace o této možnosti najdete v tématu SMB přes QUIC s Synchronizace souborů Azure.
Šifrování
Azure Files podporuje dva různé typy šifrování:
- Šifrování při přenosu, které se vztahuje k šifrování použitému při připojování nebo přístupu ke sdílené složce Azure
- Šifrování neaktivních uložených dat, které souvisí s tím, jak se data šifrují, když jsou uložená na disku
Šifrování během přenosu
Důležité
Tato část popisuje šifrování přenášených podrobností o sdílených složkách SMB. Podrobnosti týkající se šifrování při přenosu se sdílenými složkami NFS najdete v tématu Zabezpečení a sítě.
Ve výchozím nastavení mají všechny účty úložiště Azure povolené šifrování během přenosu. To znamená, že když připojíte sdílenou složku přes protokol SMB nebo k ní přistupujete přes protokol FileREST (například prostřednictvím webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku nebo sad SDK Azure), azure Files povolí připojení pouze v případě, že je vytvořené pomocí protokolu SMB 3.x s šifrováním nebo HTTPS. Klienti, kteří nepodporují protokol SMB 3.x nebo klienty, kteří podporují protokol SMB 3.x, ale ne šifrování SMB, nebudou moct připojit sdílenou složku Azure, pokud je povolené šifrování během přenosu. Další informace o tom, které operační systémy podporují protokol SMB 3.x s šifrováním, najdete v naší dokumentaci pro Windows, macOS a Linux. Všechny aktuální verze PowerShellu, rozhraní příkazového řádku a sad SDK podporují protokol HTTPS.
Šifrování během přenosu můžete zakázat pro účet úložiště Azure. Pokud je šifrování zakázané, azure Files také povolí protokol SMB 2.1 a SMB 3.x bez šifrování a nešifrované volání rozhraní FileREST API přes protokol HTTP. Hlavním důvodem zakázání přenášeného šifrování je podpora starší verze aplikace, která musí být spuštěna ve starším operačním systému, jako je Windows Server 2008 R2 nebo starší linuxová distribuce. Služba Soubory Azure umožňuje připojení PROTOKOLU SMB 2.1 pouze ve stejné oblasti Azure jako sdílená složka Azure; Klient SMB 2.1 mimo oblast Azure sdílené složky Azure, jako je místní nebo jiná oblast Azure, nebude mít přístup ke sdílené složce.
Důrazně doporučujeme zajistit, aby bylo povolené šifrování přenášených dat.
Další informace o šifrování během přenosu najdete v tématu vyžadování zabezpečeného přenosu v úložišti Azure.
Šifrování neaktivních uložených dat
Všechna data uložená ve službě Azure Files se šifrují v klidovém stavu pomocí šifrování služby Azure Storage (SSE). Šifrování služby Storage funguje podobně jako BitLocker ve Windows: data se šifrují pod úrovní systému souborů. Vzhledem k tomu, že data se šifrují pod systémem souborů sdílené složky Azure, protože jsou zakódovaná na disk, nemusíte mít přístup k základnímu klíči v klientovi, abyste mohli číst nebo zapisovat do sdílené složky Azure. Šifrování neaktivních uložených dat platí pro protokoly SMB i NFS.
Ve výchozím nastavení se data uložená ve službě Azure Files šifrují pomocí klíčů spravovaných Microsoftem. S klíči spravovanými Microsoftem uchovává Microsoft klíče k šifrování a dešifrování dat a zodpovídá za jejich pravidelné obměně. Můžete také zvolit správu vlastních klíčů, což vám dává kontrolu nad procesem obměně. Pokud se rozhodnete zašifrovat sdílené složky pomocí klíčů spravovaných zákazníkem, služba Azure Files má oprávnění k přístupu k vašim klíčům za účelem splnění požadavků na čtení a zápis od klientů. Pomocí klíčů spravovaných zákazníkem můžete tuto autorizaci kdykoli odvolat, ale to znamená, že sdílená složka Azure už nebude přístupná přes protokol SMB ani rozhraní FileREST API.
Služba Azure Files používá stejné schéma šifrování jako ostatní služby úložiště Azure, jako je Azure Blob Storage. Další informace o šifrování služby Azure Storage (SSE) najdete v tématu Šifrování úložiště Azure pro neaktivní uložená data.
Ochrana dat
Služba Azure Files má vícevrstvý přístup k zajištění zálohování, obnovení a ochrany dat před bezpečnostními hrozbami. Přehled ochrany dat ve službě Azure Files
Obnovitelné odstranění
Obnovitelné odstranění je nastavení na úrovni účtu úložiště pro sdílené složky SMB, které umožňuje obnovit sdílenou složku, když se omylem odstraní. Při odstranění sdílené složky se místo trvalého vymazání přejde do stavu obnovitelného odstranění. Můžete nakonfigurovat dobu obnovení obnovitelně odstraněných sdílených složek před jejich trvalým odstraněním a kdykoli během této doby uchovávání zrušit jejich odstranění.
Obnovitelné odstranění je ve výchozím nastavení povolené pro nové účty úložiště od ledna 2021 a doporučujeme ho nechat zapnuté pro většinu sdílených složek SMB. Pokud máte pracovní postup, ve kterém je běžné odstranění sdílené složky a očekává se, můžete se rozhodnout, že máte krátkou dobu uchovávání nebo vůbec nepovolíte obnovitelné odstranění. Obnovitelné odstranění nefunguje u sdílených složek NFS, i když je pro účet úložiště povolené.
Další informace o obnovitelném odstranění naleznete v tématu Prevence náhodného odstranění dat.
Backup
Sdílenou složku Azure můžete zálohovat prostřednictvím snímků sdílených složek, které jsou kopie sdílené složky jen pro čtení k určitému bodu v čase. Snímky jsou přírůstkové, což znamená, že obsahují jenom tolik dat, kolik se od předchozího snímku změnilo. Na sdílenou složku můžete mít až 200 snímků a uchovávat je až 10 let. Snímky můžete pořizovat ručně na webu Azure Portal, prostřednictvím PowerShellu nebo rozhraní příkazového řádku (CLI), nebo můžete použít Azure Backup.
Azure Backup pro sdílené složky Azure zpracovává plánování a uchovávání snímků. Jeho schopnosti děda-otec-syn (GFS) znamenají, že můžete pořizovat denní, týdenní, měsíční a roční snímky, z nichž každý má vlastní odlišnou dobu uchovávání. Azure Backup také orchestruje povolení obnovitelného odstranění a okamžitě po nakonfigurování jakékoli sdílené složky v účtu úložiště zamkne zámek odstranění. Azure Backup navíc poskytuje určité možnosti monitorování a upozorňování, které zákazníkům umožňují konsolidovat přehled o svých zálohovacích aktivech.
Obnovení na úrovni položek i na úrovni sdílené složky můžete provádět na webu Azure Portal pomocí služby Azure Backup. Stačí vybrat bod obnovení (konkrétní snímek), konkrétní soubor nebo adresář( pokud je to relevantní) a pak umístění (původní nebo alternativní), do kterého chcete provést obnovení. Služba zálohování zpracovává kopírování dat snímku a zobrazuje průběh obnovení na portálu.
Ochrana služby Azure Files pomocí Microsoft Defenderu pro úložiště
Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Poskytuje komplexní zabezpečení analýzou telemetrie roviny dat a řídicí roviny vygenerované službou Azure Files. Využívá pokročilé možnosti detekce hrozeb využívající Microsoft Threat Intelligence k poskytování kontextových výstrah zabezpečení, včetně kroků pro zmírnění zjištěných hrozeb a zabránění budoucím útokům.
Defender for Storage nepřetržitě analyzuje stream telemetrie generovaný službou Azure Files. Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tato upozornění se zobrazují v Programu Microsoft Defender for Cloud spolu s podrobnostmi o podezřelé aktivitě, krocích šetření, akcích nápravy a doporučeních zabezpečení.
Defender for Storage detekuje známý malware, jako je ransomware, viry, spyware a další malware nahraný do účtu úložiště na základě hodnoty hash úplného souboru (podporuje se jenom pro rozhraní REST API). To pomáhá zabránit malwaru v vstupu do organizace a šíření do více uživatelů a prostředků. Přečtěte si informace o rozdílech mezi analýzou reputace malwaru a hodnoty hash.
Defender for Storage nemá přístup k datům účtu úložiště a nemá vliv na jeho výkon. Microsoft Defender for Storage můžete povolit na úrovni předplatného (doporučeno) nebo na úrovni prostředku.
Úrovně úložiště
Azure Files nabízí dvě různé úrovně úložiště, SSD a HDD, které umožňují přizpůsobit sdílené složky podle požadavků na výkon a cenu vašeho scénáře:
SSD (Premium): Sdílené složky Úrovně Premium používají jednotky SSD (Solid-State Drive) a poskytují konzistentní vysoký výkon a nízkou latenci v rámci jednociferných milisekund pro většinu vstupně-výstupních operací pro úlohy náročné na vstupně-výstupní operace. Sdílené složky Úrovně Premium jsou vhodné pro širokou škálu úloh, jako jsou databáze, hostování webů a vývojová prostředí. Sdílené složky Úrovně Premium je možné použít s protokoly SMB (Server Message Block) a NFS (Network File System). Sdílené složky Úrovně Premium se nasazují v druhu účtu úložiště FileStorage a jsou k dispozici pouze ve zřízeném fakturačním modelu. Další informace o zřízeném fakturačním modelu pro sdílené složky úrovně Premium najdete v tématu Principy zřizování sdílených složek úrovně Premium. Sdílené složky úrovně Premium nabízejí smlouvu SLA s vyšší dostupností než standardní sdílené složky (viz Úroveň Azure Files Premium).
HDD (Standard):: Sdílené složky úrovně Standard používají pevné disky (HDD) a poskytují nákladově efektivní možnost úložiště pro sdílené složky pro obecné účely. Sdílené složky úrovně Standard se nasazují v typu účtu úložiště pro obecné účely verze 2 (GPv2). Informace o smlouvě SLA najdete na stránce smlouvy o úrovni služeb Azure (viz Účty úložiště). Standardní sdílené složky používají model průběžných plateb, který poskytuje ceny založené na využití. Úroveň přístupu sdílené složky umožňuje upravit náklady na úložiště oproti nákladům na vstupně-výstupní operace za sekundu, abyste optimalizovali celkovou fakturu:
- Transakční optimalizované sdílené složky nabízejí nejnižší ceny transakcí za transakce s velkým zatížením, které nevyžadují nízkou latenci nabízenou sdílenými složkami úrovně Premium. Doporučuje se při migraci dat do služby Azure Files.
- Horké sdílené složky nabízejí vyvážené ceny úložiště a transakcí pro úlohy, které mají dobrou míru obojího.
- Studené sdílené složky nabízejí cenově nejvýhodnější ceny úložiště pro úlohy náročné na úložiště.
Při výběru úrovně médií pro vaši úlohu zvažte požadavky na výkon a využití. Pokud vaše úloha vyžaduje latenci s jednou číslicí nebo používáte místní médium úložiště SSD, je úroveň Premium pravděpodobně nejvhodnější. Pokud nízká latence není tak velká část zájmu, například u týmových sdílených složek připojených místně z Azure nebo místně uložených v mezipaměti pomocí Synchronizace souborů Azure, může být úložiště úrovně Standard vhodnější z hlediska nákladů.
Jakmile vytvoříte sdílenou složku v účtu úložiště, nemůžete ji přesunout na vrstvy exkluzivní pro různé druhy účtů úložiště. Pokud například chcete přesunout transakční optimalizovanou sdílenou složku na úroveň Premium, musíte vytvořit novou sdílenou složku v účtu úložiště FileStorage a zkopírovat data z původní sdílené složky do nové sdílené složky v účtu FileStorage. Ke kopírování dat mezi sdílenými složkami Azure doporučujeme použít AzCopy, ale můžete také použít nástroje jako robocopy ve Windows nebo rsync pro macOS a Linux.
Další informace najdete v tématu Vysvětlení fakturace služby Azure Files.
Omezení
V současné době mají standardní sdílené složky s povolenými velkými sdílenými složkami (až 100 kapacit TiB) určitá omezení.
- Podporují se pouze místně redundantní úložiště (LRS) a účty zónově redundantního úložiště (ZRS).
- Jakmile povolíte velké sdílené složky v účtu úložiště, nemůžete účet úložiště převést na geograficky redundantní úložiště (GRS) nebo geograficky zónově redundantní úložiště (GZRS).
- Jakmile povolíte velké sdílené složky, nemůžete je zakázat.
Pokud chcete použít GRS nebo GZRS se standardními sdílenými složkami SMB Azure, podívejte se na geografickou redundanci služby Azure Files pro velké sdílené složky ve verzi Preview.
Redundance
Kvůli ochraně dat ve sdílených složkách Azure před ztrátou nebo poškozením dat ukládá služba Azure Files několik kopií jednotlivých souborů při jejich zápisu. V závislosti na vašich požadavcích můžete vybrat různé stupně redundance. Služba Azure Files v současné době podporuje následující možnosti redundance dat:
- Místně redundantní úložiště (LRS):U LRS se každý soubor ukládá třikrát v rámci clusteru úložiště Azure. To chrání před ztrátou dat kvůli hardwarovým chybám, jako je například chybná disková jednotka. Pokud však dojde k havárii, jako je požár nebo záplava v rámci datového centra, můžou být všechny repliky účtu úložiště využívajícího LRS ztraceny nebo neobnovitelné.
- Zónově redundantní úložiště (ZRS): Při použití ZRS se ukládají tři kopie každého souboru. Tyto kopie jsou však fyzicky izolované ve třech různých clusterech úložiště v různých zónách dostupnosti Azure. Zóny dostupnosti jsou jedinečná fyzická umístění v rámci oblasti Azure. Každá zóna se skládá z jednoho nebo více datových center vybavených nezávislým napájením, chlazením a sítěmi. Zápis do úložiště se nepřijímá, dokud se nezapíše do clusterů úložiště ve všech třech zónách dostupnosti.
- Geograficky redundantní úložiště (GRS):U GRS máte dvě oblasti, primární oblast a sekundární oblast. Soubory se ukládají třikrát v rámci clusteru úložiště Azure v primární oblasti. Zápisy se asynchronně replikují do sekundární oblasti definované Microsoftem. GRS poskytuje šest kopií dat rozložených mezi dvěma oblastmi Azure. V případě závažné havárie, jako je trvalá ztráta oblasti Azure kvůli přírodní katastrofě nebo jiné podobné události, Microsoft provede převzetí služeb při selhání. V tomto případě se sekundární stane primárním, který obsluhuje všechny operace. Vzhledem k tomu, že replikace mezi primárními a sekundárními oblastmi je asynchronní, v případě závažné havárie se data ještě nereplikují do sekundární oblasti. Můžete také provést ruční převzetí služeb při selhání účtu geograficky redundantního úložiště.
- Geograficky zónově redundantní úložiště (GZRS):: GZRS si můžete představit jako ZRS, ale s geografickou redundancí. S GZRS se soubory ukládají třikrát napříč třemi různými clustery úložiště v primární oblasti. Všechny zápisy se pak asynchronně replikují do sekundární oblasti definované Microsoftem. Proces převzetí služeb při selhání pro GZRS funguje stejně jako GRS.
Sdílené složky Azure úrovně Standard až 5 TiB podporují všechny čtyři typy redundance. Standardní sdílené složky větší než 5 TiB podporují pouze LRS a ZRS. Sdílené složky Azure úrovně Premium podporují pouze LRS a ZRS.
Účty úložiště pro obecné účely verze 2 (GPv2) poskytují dvě další možnosti redundance, které Služba Azure Files nepodporuje: geograficky redundantní úložiště s podporou čtení (RA-GRS) a přístupná geograficky zónově redundantní úložiště s podporou čtení (RA-GZRS). Pomocí těchto možností můžete zřídit sdílené složky Azure v účtech úložiště, ale Služba Azure Files nepodporuje čtení ze sekundární oblasti. Sdílené složky Azure nasazené do účtů úložiště RA-GRS nebo RA-GZRS se účtují jako GRS nebo GZRS.
Další informace o redundanci najdete v tématu Redundance dat služby Azure Files.
Standardní dostupnost ZRS
ZRS pro standardní účty úložiště pro obecné účely v2 je k dispozici pro podmnožinu oblastí Azure.
Dostupnost ZRS úrovně Premium
ZRS pro sdílené složky úrovně Premium je k dispozici pro podmnožinu oblastí Azure.
Standardní dostupnost GZRS
GZRS je k dispozici pro podmnožinu oblastí Azure.
Zotavení po havárii a převzetí služeb při selhání
V případě neplánovaného regionálního výpadku služby byste měli mít plán zotavení po havárii (DR) pro sdílené složky Azure. Vysvětlení konceptů a procesů souvisejících s převzetím služeb při selhání účtu úložiště a zotavením po havárii najdete v tématu Zotavení po havárii a převzetí služeb při selhání pro Azure Files.
Migrace
V mnoha případech nebudete navazovat čistou novou sdílenou složku pro vaši organizaci, ale místo toho migrujete existující sdílenou složku z místního souborového serveru nebo zařízení NAS do služby Azure Files. Výběr správné strategie migrace a nástroje pro váš scénář je pro úspěch migrace důležitý.
Článek s přehledem migrace stručně popisuje základy a obsahuje tabulku, která vás povede k průvodcům migrace, které pravděpodobně pokrývají váš scénář.