Sdílené složky SMB ve službě Azure Files

Azure Files nabízí dva standardní protokoly pro připojení sdílené složky Azure: protokol SMB (Server Message Block) a protokol NFS (Network File System). Azure Files umožňuje vybrat protokol systému souborů, který je pro vaši úlohu nejvhodnější. Sdílené složky Azure nepodporují přístup k jednotlivým sdíleným složkám Azure pomocí protokolů SMB i NFS, i když můžete vytvářet sdílené složky SMB a NFS ve stejném účtu úložiště. Azure Files nabízí pro všechny sdílené složky na podnikové úrovni sdílené složky, které můžou vertikálně navýšit kapacitu tak, aby vyhovovaly vašim potřebám úložiště, a současně k němu mají přístup tisíce klientů.

Tento článek se zabývá sdílenými složkami Azure SMB. Informace o sdílených složkách Azure NFS najdete v tématu Sdílené složky NFS ve službě Azure Files.

Obvyklé scénáře

Sdílené složky SMB se používají pro různé aplikace, včetně sdílených složek koncových uživatelů a sdílených složek, které zálohují databáze a aplikace. Sdílené složky SMB se často používají v následujících scénářích:

  • Sdílené složky koncových uživatelů, jako jsou sdílené složky týmu, domovské adresáře atd.
  • Zálohování úložiště pro aplikace založené na Windows, jako jsou databáze SQL Serveru nebo obchodní aplikace napsané pro rozhraní API systému souborů Win32 nebo .NET local.
  • Vývoj nových aplikací a služeb, zejména pokud má tato aplikace nebo služba požadavek na náhodné vstupně-výstupní operace a hierarchické úložiště.

Funkce

Azure Files podporuje hlavní funkce SMB a Azure potřebné pro produkční nasazení sdílených složek SMB:

  • Připojení k doméně AD a volitelné seznamy řízení přístupu (DACL).
  • Integrované bezserverové zálohování se službou Azure Backup
  • Izolace sítě s využitím privátních koncových bodů Azure
  • Vysoká propustnost sítě pomocí smb Multichannel (jenom sdílené složky úrovně Premium).
  • Šifrování kanálu SMB včetně AES-256-GCM, AES-128-GCM a AES-128-CCM.
  • Podpora předchozí verze prostřednictvím snímků integrovaných sdílených složek VSS
  • Automatické obnovitelné odstranění sdílených složek Azure, aby se zabránilo náhodnému odstranění.
  • Volitelně sdílené složky přístupné z internetu s protokolem SMB 3.0 nebo novějším zabezpečeným internetem.

Sdílené složky SMB je možné připojit přímo místně nebo ho můžete ukládat do místní mezipaměti pomocí Synchronizace souborů Azure.

Zabezpečení

Všechna data uložená ve službě Azure Files se šifrují v klidovém stavu pomocí šifrování služby Azure Storage (SSE). Šifrování služby Storage funguje podobně jako BitLocker ve Windows: data se šifrují pod úrovní systému souborů. Vzhledem k tomu, že data se šifrují pod systémem souborů sdílené složky Azure, protože jsou zakódovaná na disk, nemusíte mít přístup k základnímu klíči v klientovi, abyste mohli číst nebo zapisovat do sdílené složky Azure. Šifrování neaktivních uložených dat platí pro protokoly SMB i NFS.

Ve výchozím nastavení mají všechny účty úložiště Azure povolené šifrování během přenosu. To znamená, že když připojíte sdílenou složku přes protokol SMB (nebo k ní přistupujete přes protokol FileREST), azure Files povolí připojení jenom v případě, že se vytvoří pomocí protokolu SMB 3.x s šifrováním nebo HTTPS. Klienti, kteří nepodporují protokol SMB 3.x s šifrováním kanálu SMB, nebudou moct připojit sdílenou složku Azure, pokud je povolené šifrování během přenosu.

Azure Files podporuje AES-256-GCM s protokolem SMB 3.1.1 při použití s Windows Serverem 2022 nebo Windows 11. PROTOKOL SMB 3.1.1 také podporuje AES-128-GCM a SMB 3.0 podporuje AES-128-CCM. AES-128-GCM se ve výchozím nastavení vyjedná ve Windows 10 verze 21H1 z důvodů výkonu.

Šifrování během přenosu můžete zakázat pro účet úložiště Azure. Pokud je šifrování zakázané, azure Files také povolí protokol SMB 2.1 a SMB 3.x bez šifrování. Primárním důvodem zakázání přenášeného šifrování je podpora starší verze aplikace, která musí být spuštěna ve starším operačním systému, jako je Windows Server 2008 R2 nebo starší distribuce Linuxu. Služba Soubory Azure umožňuje připojení PROTOKOLU SMB 2.1 pouze ve stejné oblasti Azure jako sdílená složka Azure; Klient PROTOKOLU SMB 2.1 mimo oblast Azure sdílené složky Azure, například místně nebo v jiné oblasti Azure, nebude mít přístup ke sdílené složce.

Nastavení protokolu SMB

Azure Files nabízí několik nastavení, která ovlivňují chování, výkon a zabezpečení protokolu SMB. Jsou nakonfigurované pro všechny sdílené složky Azure v rámci účtu úložiště.

SMB Multichannel

Funkce SMB Multichannel umožňuje klientovi SMB 3.x navázat několik síťových připojení ke sdílené složce SMB. Azure Files podporuje smb Multichannel u sdílených složek úrovně Premium (sdílené složky v typu účtu úložiště FileStorage). Za povolení smb Multichannel ve službě Azure Files nejsou žádné další náklady. Funkce SMB Multichannel je ve výchozím nastavení zakázaná.

Pokud chcete zobrazit stav SMB Multichannel, přejděte do účtu úložiště obsahujícího sdílené složky Úrovně Premium a v obsahu účtu úložiště vyberte Sdílené složky pod nadpisem Úložiště dat . Stav smb Multichannel je vidět v části Nastavení sdílené složky.

A screenshot of the file shares section with in the storage account highlighting the SMB Multichannel setting

Pokud chcete povolit nebo zakázat smb Multichannel, vyberte aktuální stav (Povoleno nebo Zakázáno v závislosti na stavu). Výsledný dialog poskytuje přepínač pro povolení nebo zakázání funkce SMB Multichannel. Vyberte požadovaný stav a vyberte Uložit.

A screenshot of the dialog to enable/disable the SMB Multichannel feature.

Nastavení zabezpečení protokolu SMB

Služba Azure Files zveřejňuje nastavení, která umožňují přepnout protokol SMB tak, aby byl lépe kompatibilní nebo bezpečnější v závislosti na požadavcích vaší organizace. Ve výchozím nastavení je služba Azure Files nakonfigurovaná tak, aby byla maximálně kompatibilní, proto mějte na paměti, že omezení těchto nastavení může způsobit, že se někteří klienti nebudou moct připojit.

Služba Azure Files zveřejňuje následující nastavení:

  • Verze PROTOKOLU SMB: Které verze PROTOKOLU SMB jsou povolené. Podporované verze protokolu jsou SMB 3.1.1, SMB 3.0 a SMB 2.1. Ve výchozím nastavení jsou povoleny všechny verze PROTOKOLU SMB, i když je protokol SMB 2.1 zakázaný, pokud je povolená možnost vyžadovat zabezpečený přenos, protože protokol SMB 2.1 nepodporuje šifrování při přenosu.
  • Metody ověřování: Které metody ověřování SMB jsou povolené. Podporované metody ověřování jsou NTLMv2 (pouze klíč účtu úložiště) a Kerberos. Ve výchozím nastavení jsou povolené všechny metody ověřování. Odebrání ntLMv2 zakáže připojení sdílené složky Azure pomocí klíče účtu úložiště. Azure Files nepodporuje použití ověřování NTLM pro přihlašovací údaje domény.
  • Šifrování lístku Kerberos: Které šifrovací algoritmy jsou povolené. Podporované šifrovací algoritmy jsou AES-256 (doporučeno) a RC4-HMAC.
  • Šifrování kanálu SMB: Které algoritmy šifrování kanálu SMB jsou povolené. Podporované šifrovací algoritmy jsou AES-256-GCM, AES-128-GCM a AES-128-CCM. Pokud vyberete jenom AES-256-GCM, budete muset klientům říct, aby ho používali, otevřením terminálu PowerShellu jako správce na každém klientovi a spuštěním Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Použití AES-256-GCM není podporováno u klientů s Windows starších než Windows 11 nebo Windows Server 2022.

Nastavení zabezpečení SMB můžete zobrazit a změnit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Vyberte požadovanou kartu, abyste viděli postup, jak získat a nastavit nastavení zabezpečení SMB.

Pokud chcete zobrazit nebo změnit nastavení zabezpečení SMB pomocí webu Azure Portal, postupujte takto:

  1. Vyhledejte účty úložiště a vyberte účet úložiště, pro který chcete zobrazit nastavení zabezpečení.

  2. Vyberte sdílené složky datového úložiště>.

  3. V části Nastavení sdílené složky vyberte hodnotu přidruženou k zabezpečení. Pokud jste nezměnili nastavení zabezpečení, tato hodnota se ve výchozím nastavení nastaví na Maximální kompatibilita.

    A screenshot showing where to change SMB security settings.

  4. V části Profil vyberte Maximální kompatibilita, Maximální zabezpečení nebo Vlastní. Výběr možnosti Vlastní umožňuje vytvořit vlastní profil pro verze protokolu SMB, šifrování kanálu SMB, mechanismy ověřování a šifrování lístku Kerberos.

    A screenshot showing the dialog to change the SMB security settings for SMB protocol versions, SMB channel encryption, authentication mechanisms, and Kerberos ticket encryption.

Po zadání požadovaných nastavení zabezpečení vyberte Uložit.

Omezení

Sdílené složky SMB v Azure Files podporují podmnožinu funkcí podporovaných protokolem SMB a systémem souborů NTFS. I když většina případů použití a aplikací tyto funkce nevyžadují, některé aplikace nemusí správně fungovat se službou Azure Files, pokud spoléhají na nepodporované funkce. Následující funkce nejsou podporovány:

Regionální dostupnost

Sdílené složky Azure SMB jsou dostupné v každé oblasti Azure, včetně všech veřejných a suverénních oblastí. Sdílené složky SMB úrovně Premium jsou dostupné v podmnožině oblastí.

Další kroky