Planification d’un déploiement Azure FilesPlanning for an Azure Files deployment

Le service Azure Files peut être déployé principalement de deux façons : en montant directement les partages de fichiers Azure serverless, ou en mettant en cache les partages de fichiers Azure en local avec Azure File Sync. L'option de déploiement que vous choisissez détermine les éléments à prendre en compte lors de la planification de votre déploiement.Azure Files can be deployed in two main ways: by directly mounting the serverless Azure file shares or by caching Azure file shares on-premises using Azure File Sync. Which deployment option you choose changes the things you need to consider as you plan for your deployment.

  • Montage direct d'un partage de fichiers Azure : Étant donné qu’Azure Files fournit un accès SMB (Server Message Block) ou NFS (Network File System), vous pouvez monter des partages de fichiers Azure localement ou dans le cloud à l’aide des clients SMB ou NFS standard disponibles dans votre système d’exploitation.Direct mount of an Azure file share: Since Azure Files provides either Server Message Block (SMB) or Network File System (NFS) access, you can mount Azure file shares on-premises or in the cloud using the standard SMB or NFS clients available in your OS. Dans la mesure où les partages de fichiers Azure sont serverless, vous n'avez aucun serveur de fichiers ou appareil NAS à gérer lors des déploiements liés à des scénarios de production.Because Azure file shares are serverless, deploying for production scenarios does not require managing a file server or NAS device. Concrètement, cela signifie que vous n'avez aucun correctif logiciel à appliquer ni aucun disque physique à remplacer.This means you don't have to apply software patches or swap out physical disks.

  • Mise en cache d'un partage de fichiers Azure localement à l'aide d'Azure File Sync : Azure File Sync vous permet de centraliser les partages de fichiers de votre organisation dans Azure Files, tout en conservant la flexibilité, le niveau de performance et la compatibilité d'un serveur de fichiers local.Cache Azure file share on-premises with Azure File Sync: Azure File Sync enables you to centralize your organization's file shares in Azure Files, while keeping the flexibility, performance, and compatibility of an on-premises file server. Azure File Sync transforme une instance Windows Server locale (ou cloud) en un cache rapide de votre partage de fichiers SMB Azure.Azure File Sync transforms an on-premises (or cloud) Windows Server into a quick cache of your Azure SMB file share.

Cet article traite principalement de considérations relatives au déploiement, afin de déployer un partage de fichiers Azure en vue de son montage directement par un client local ou un client cloud.This article primarily addresses deployment considerations for deploying an Azure file share to be directly mounted by an on-premises or cloud client. Pour planifier un déploiement d’Azure File Sync, consultez Planification d’un déploiement Azure File Sync.To plan for an Azure File Sync deployment, see Planning for an Azure File Sync deployment.

Protocoles disponiblesAvailable protocols

Azure Files offre deux protocoles pouvant être utilisés lors du montage de vos partages de fichiers, SMB et NFS (Network File System).Azure Files offers two protocols which may be used when mounting your file shares, SMB and Network File System (NFS). Pour plus d’informations sur ces protocoles, consultez Protocoles de partage de fichiers Azure.For details on these protocols, see Azure file share protocols.

Importante

L’essentiel du contenu de cet article s’applique uniquement aux partages SMB.Most of the content of this article only applies to SMB shares. Tout ce qui s’applique aux partages NFS indique spécifiquement être applicable.Anything that applies to NFS shares will specifically state it is applicable.

Concepts de gestionManagement concepts

Les partages de fichiers Azure sont déployés dans des comptes de stockage, qui sont des objets de niveau supérieur représentant un pool de stockage partagé.Azure file shares are deployed into storage accounts, which are top-level objects that represent a shared pool of storage. Ce pool de stockage peut être utilisé pour déployer plusieurs partages de fichiers ainsi que d’autres ressources de stockage, telles que des conteneurs d’objets blob, des files d’attente ou des tables.This pool of storage can be used to deploy multiple file shares, as well as other storage resources such as blob containers, queues, or tables. Toutes les ressources de stockage qui sont déployées dans un compte de stockage partagent les limites qui s’appliquent à ce compte de stockage.All storage resources that are deployed into a storage account share the limits that apply to that storage account. Pour voir les limites actuelles d’un compte de stockage, consultez Objectifs de scalabilité et de performances d’Azure Files.To see the current limits for a storage account, see Azure Files scalability and performance targets.

Il existe deux principaux types de comptes de stockage que vous allez utiliser pour les déploiements d’Azure Files :There are two main types of storage accounts you will use for Azure Files deployments:

  • Comptes de stockage version 2 (GPv2) universels : Les comptes de stockage GPv2 vous permettent de déployer des partages de fichiers Azure sur du matériel Standard/sur disque dur (HDD).General purpose version 2 (GPv2) storage accounts: GPv2 storage accounts allow you to deploy Azure file shares on standard/hard disk-based (HDD-based) hardware. En plus de stocker les partages de fichiers Azure, les comptes de stockage GPv2 peuvent stocker d’autres ressources de stockage, telles que des conteneurs d’objets blob, des files d’attente ou des tables.In addition to storing Azure file shares, GPv2 storage accounts can store other storage resources such as blob containers, queues, or tables.
  • Comptes de stockage FileStorage : Les comptes de stockage FileStorage vous permettent de déployer des partages de fichiers Azure sur du matériel Premium/sur disque SSD.FileStorage storage accounts: FileStorage storage accounts allow you to deploy Azure file shares on premium/solid-state disk-based (SSD-based) hardware. Les comptes FileStorage peuvent uniquement être utilisés pour stocker des partages de fichiers Azure. Aucune autre ressource de stockage (conteneurs d’objets blob, files d’attente, tables, etc.) ne peut être déployée dans un compte FileStorage.FileStorage accounts can only be used to store Azure file shares; no other storage resources (blob containers, queues, tables, etc.) can be deployed in a FileStorage account. Seuls les comptes FileStorage peuvent déployer des partages de fichiers SMB et NFS.Only FileStorage accounts can deploy both SMB and NFS file shares.

Il existe plusieurs autres types de comptes de stockage que vous pouvez rencontrer dans le portail Azure, PowerShell ou l’interface CLI.There are several other storage account types you may come across in the Azure portal, PowerShell, or CLI. Deux types de comptes de stockage, BlockBlobStorage et BlobStorage, ne peuvent pas contenir de partages de fichiers Azure.Two storage account types, BlockBlobStorage and BlobStorage storage accounts, cannot contain Azure file shares. Les deux autres types de comptes de stockage que vous pouvez voir sont les comptes version 1 (GPv1) universels et les comptes classiques, qui peuvent tous deux contenir des partages de fichiers Azure.The other two storage account types you may see are general purpose version 1 (GPv1) and classic storage accounts, both of which can contain Azure file shares. Bien que les comptes de stockage GPv1 et classiques puissent contenir des partages de fichiers Azure, la plupart des nouvelles fonctionnalités d’Azure Files sont disponibles uniquement dans les comptes de stockage GPv2 et FileStorage.Although GPv1 and classic storage accounts may contain Azure file shares, most new features of Azure Files are available only in GPv2 and FileStorage storage accounts. Nous vous recommandons donc d’utiliser uniquement les comptes de stockage GPv2 et FileStorage pour les nouveaux déploiements ainsi que pour mettre à niveau les comptes de stockage GPv1 et classiques s’ils existent déjà dans votre environnement.We therefore recommend to only use GPv2 and FileStorage storage accounts for new deployments, and to upgrade GPv1 and classic storage accounts if they already exist in your environment.

Lorsque vous déployez des partages de fichiers Azure dans des comptes de stockage, tenez compte des recommandations suivantes :When deploying Azure file shares into storage accounts, we recommend:

  • Déployez uniquement des partages de fichiers Azure dans des comptes de stockage ayant d’autres partages de fichiers Azure.Only deploying Azure file shares into storage accounts with other Azure file shares. Bien que les comptes de stockage GPv2 vous permettent de disposer de comptes de stockage mixte, à partir du moment où les ressources de stockage (telles que les partages de fichiers Azure et les conteneurs d’objets BLOB) partagent les limites du compte de stockage, la combinaison des ressources peut compliquer la résolution des problèmes de performances par la suite.Although GPv2 storage accounts allow you to have mixed purpose storage accounts, since storage resources such as Azure file shares and blob containers share the storage account's limits, mixing resources together may make it more difficult to troubleshoot performance issues later on.

  • Faites attention aux limites d’IOPS d’un compte de stockage lors du déploiement des partages de fichiers Azure.Paying attention to a storage account's IOPS limitations when deploying Azure file shares. Dans l'idéal, une correspondance 1:1 doit être respectée entre les partages de fichiers et les comptes de stockage, mais cela n'est pas toujours possible en raison des différentes limites et restrictions imposées par votre organisation et Azure.Ideally, you would map file shares 1:1 with storage accounts, however this may not always be possible due to various limits and restrictions, both from your organization and from Azure. S’il n’est pas possible d’avoir un seul partage de fichiers déployé dans un compte de stockage, tenez compte des partages qui seront très actifs et des partages qui le seront moins, afin de garantir que les partages de fichiers les plus sollicités ne soient pas mis ensemble dans le même compte de stockage.When it is not possible to have only one file share deployed in one storage account, consider which shares will be highly active and which shares will be less active to ensure that the hottest file shares don't get put in the same storage account together.

  • Déployez uniquement des comptes GPv2 et FileStorage, et mettez à niveau les comptes de stockage GPv1 et Classic lorsque vous les trouvez dans votre environnement.Only deploy GPv2 and FileStorage accounts and upgrade GPv1 and classic storage accounts when you find them in your environment.

IdentitéIdentity

Pour accéder à un partage de fichiers Azure, l’utilisateur du partage de fichiers doit être authentifié et disposer de l’autorisation d’accéder au partage.To access an Azure file share, the user of the file share must be authenticated and have authorization to access the share. Cette opération s’effectue en fonction de l’identité de l’utilisateur accédant au partage de fichiers.This is done based on the identity of the user accessing the file share. Azure Files intègre trois fournisseurs d’identité principaux :Azure Files integrates with three main identity providers:

  • Active Directory Domain Services en local (AD DS ou AD DS en local)  : Les comptes de stockage Azure peuvent être joints à un domaine sur une instance Active Directory Domain Services appartenant à un client, exactement comme un serveur de fichiers Windows Server ou un appareil NAS.On-premises Active Directory Domain Services (AD DS, or on-premises AD DS): Azure storage accounts can be domain joined to a customer-owned, Active Directory Domain Services, just like a Windows Server file server or NAS device. Votre contrôleur de domaine peut être déployé localement, dans une machine virtuelle Azure, ou même en tant que machine virtuelle dans un autre fournisseur de cloud. Azure Files ne dépend pas de l’emplacement où votre contrôleur de domaine est hébergé.You can deploy a domain controller on-premises, in an Azure VM, or even as a VM in another cloud provider; Azure Files is agnostic to where your domain controller is hosted. Dès lors qu’un compte de stockage est joint à un domaine, l’utilisateur final peut monter un partage de fichiers avec le compte d’utilisateur dont il s’est servi pour se connecter à son PC.Once a storage account is domain-joined, the end user can mount a file share with the user account they signed into their PC with. L’authentification basée sur Active Directory utilise le protocole d’authentification Kerberos.AD-based authentication uses the Kerberos authentication protocol.
  • Azure Active Directory Domain Services (Azure AD DS) . Azure AD DS fournit un contrôleur de domaine géré par Microsoft et pouvant être utilisé pour les ressources Azure.Azure Active Directory Domain Services (Azure AD DS): Azure AD DS provides a Microsoft-managed domain controller that can be used for Azure resources. Joindre le domaine de votre compte de stockage à Azure AD DS offre des avantages similaires à le joindre à une instance Active Directory détenue par le client.Domain joining your storage account to Azure AD DS provides similar benefits to domain joining it to a customer-owned Active Directory. Cette option de déploiement est particulièrement utile pour les scénarios lift-and-shift d’application qui nécessitent des autorisations basées sur AD.This deployment option is most useful for application lift-and-shift scenarios that require AD-based permissions. Étant donné qu’Azure AD DS fournit une authentification basée sur Active Directory, cette option utilise également le protocole d’authentification Kerberos.Since Azure AD DS provides AD-based authentication, this option also uses the Kerberos authentication protocol.
  • Clé du compte de Stockage Azure : Les partages de fichiers Azure peuvent également être montés à l’aide d’une clé de compte de stockage Azure.Azure storage account key: Azure file shares may also be mounted with an Azure storage account key. Pour monter un partage de fichiers de cette façon, le nom du compte de stockage est utilisé comme nom d’utilisateur, et la clé du compte de stockage comme mot de passe.To mount a file share this way, the storage account name is used as the username and the storage account key is used as a password. L’utilisation de la clé de compte de stockage pour monter le partage de fichiers Azure est en fait une opération d’administrateur, car le partage de fichiers monté disposera d’autorisations complètes sur tous les fichiers et dossiers du partage, même s’ils ont des listes de contrôle d’accès.Using the storage account key to mount the Azure file share is effectively an administrator operation, since the mounted file share will have full permissions to all of the files and folders on the share, even if they have ACLs. Lors de l’utilisation de la clé de compte de stockage pour le montage sur SMB, le protocole d’authentification NTLMv2 est utilisé.When using the storage account key to mount over SMB, the NTLMv2 authentication protocol is used.

Pour les clients qui migrent à partir de serveurs de fichiers locaux, ou qui créent dans Azure Files de nouveaux partages de fichiers destinés à se comporter comme des serveurs de fichiers Windows ou des appliances NAS, le fait de joindre le domaine de votre compte de stockage à l’instance Active Directory appartenant au client représente l’option recommandée.For customers migrating from on-premises file servers, or creating new file shares in Azure Files intended to behave like Windows file servers or NAS appliances, domain joining your storage account to Customer-owned Active Directory is the recommended option. Pour en savoir plus sur la jonction du domaine de votre compte de stockage à une instance Active Directory détenue par le client, consultez Vue d’ensemble Azure Files Active Directory.To learn more about domain joining your storage account to a customer-owned Active Directory, see Azure Files Active Directory overview.

Si vous envisagez d’utiliser la clé de compte de stockage pour accéder à vos partages de fichiers Azure, nous vous recommandons d’utiliser des points de terminaison de service, comme décrit à la section Mise en réseau.If you intend to use the storage account key to access your Azure file shares, we recommend using service endpoints as described in the Networking section.

Mise en réseauNetworking

Les partages de fichiers Azure sont accessibles de n’importe quel endroit via le point de terminaison public du compte de stockage.Azure file shares are accessible from anywhere via the storage account's public endpoint. Ainsi, les demandes authentifiées, comme celles qui sont autorisées par l’identité d’ouverture de session d’un utilisateur, peuvent provenir de manière sécurisée, de l’intérieur comme de l’extérieur d’Azure.This means that authenticated requests, such as requests authorized by a user's logon identity, can originate securely from inside or outside of Azure. Dans de nombreux environnements de clients, un montage initial du partage de fichiers Azure sur votre station de travail locale échouera, alors même que les montages à partir de machines virtuelles Azure réussissent.In many customer environments, an initial mount of the Azure file share on your on-premises workstation will fail, even though mounts from Azure VMs succeed. L’explication tient au fait que de nombreuses organisations et autres fournisseurs de services Internet bloquent le port dont se sert SMB pour communiquer, à savoir le port 445.The reason for this is that many organizations and internet service providers (ISPs) block the port that SMB uses to communicate, port 445. Pour afficher le récapitulatif des FAI qui autorisent ou interdisent l’accès depuis le port 445, consultez TechNet.To see the summary of ISPs that allow or disallow access from port 445, go to TechNet.

Pour débloquer l’accès à votre partage de fichiers Azure, vous avez principalement deux options à votre disposition :To unblock access to your Azure file share, you have two main options:

  • Débloquer le port 445 pour le réseau local de votre organisation.Unblock port 445 for your organization's on-premises network. Les partages de fichiers Azure sont uniquement accessibles en externe, via le point de terminaison public, par le biais de protocoles sûrs, tels que SMB 3.0 et l’API FileREST.Azure file shares may only be externally accessed via the public endpoint using internet safe protocols such as SMB 3.0 and the FileREST API. Il s’agit du moyen le plus simple pour accéder à votre partage de fichiers Azure localement, car il ne nécessite pas de configuration réseau avancée au-delà de la modification des règles du port de sortie de votre organisation. Toutefois, nous vous recommandons de supprimer les versions héritées et dépréciées du protocole SMB, à savoir SMB 1.0.This is the easiest way to access your Azure file share from on-premises since it doesn't require advanced networking configuration beyond changing your organization's outbound port rules, however, we recommend you remove legacy and deprecated versions of the SMB protocol, namely SMB 1.0. Pour savoir comment faire, consultez Sécurisation de Windows/Windows Server et Sécurisation de Linux.To learn how to do this, see Securing Windows/Windows Server and Securing Linux.

  • Accéder aux partages de fichiers Azure via une connexion ExpressRoute ou VPN.Access Azure file shares over an ExpressRoute or VPN connection. Lorsque vous accédez à votre partage de fichiers Azure via un tunnel réseau, vous pouvez monter votre partage de fichiers Azure comme un partage de fichiers en local, car le trafic SMB ne traverse pas les limites de votre organisation.When you access your Azure file share via a network tunnel, you are able to mount your Azure file share like an on-premises file share since SMB traffic does not traverse your organizational boundary.

Bien que d’un point de vue technique il soit beaucoup plus facile de monter vos partages de fichiers Azure via le point de terminaison public, nous pensons que la plupart des clients choisiront de monter leurs partages de fichiers Azure sur une connexion ExpressRoute ou VPN.Although from a technical perspective it's considerably easier to mount your Azure file shares via the public endpoint, we expect most customers will opt to mount their Azure file shares over an ExpressRoute or VPN connection. Le montage avec ces options est possible avec les partages SMB et NFS.Mounting with these options is possible with both SMB and NFS shares. Pour ce faire, vous devez configurer les éléments suivants pour votre environnement :To do this, you will need to configure the following for your environment:

  • Tunneling réseau à l’aide d’un VPN ExpressRoute, de site à site ou de point à site. Le tunneling dans un réseau virtuel permet d’accéder aux partages de fichiers Azure depuis l’environnement local, même si le port 445 est bloqué.Network tunneling using ExpressRoute, Site-to-Site, or Point-to-Site VPN: Tunneling into a virtual network allows accessing Azure file shares from on-premises, even if port 445 is blocked.
  • Points de terminaison privés. Les points de terminaison privés attribuent à votre compte de stockage une adresse IP dédiée depuis l’espace d’adressage du réseau virtuel.Private endpoints: Private endpoints give your storage account a dedicated IP address from within the address space of the virtual network. Le tunneling réseau est ainsi possible sans avoir à ouvrir de réseaux locaux sur la totalité des plages d’adresses IP détenues par les clusters de stockage Azure.This enables network tunneling without needing to open on-premises networks up to all the of the IP address ranges owned by the Azure storage clusters.
  • Transfert DNS. Configurez votre DNS local afin de résoudre le nom de votre compte de stockage (c’est-à-dire storageaccount.file.core.windows.net pour les régions du cloud public) sur l’adresse IP de vos points de terminaison privés.DNS forwarding: Configure your on-premises DNS to resolve the name of your storage account (i.e. storageaccount.file.core.windows.net for the public cloud regions) to resolve to the IP address of your private endpoints.

Pour planifier la mise en réseau associée au déploiement d’un partage de fichiers Azure, consultez Considérations relatives à la mise en réseau Azure Files.To plan for the networking associated with deploying an Azure file share, see Azure Files networking considerations.

ChiffrementEncryption

Azure Files prend en charge deux types de chiffrement : le chiffrement en transit, qui se rapporte au chiffrement utilisé lors du montage/de l’accès au partage de fichiers Azure, et le chiffrement au repos, qui a trait à la façon dont les données sont chiffrées lorsqu’elles sont stockées sur le disque.Azure Files supports two different types of encryption: encryption in transit, which relates to the encryption used when mounting/accessing the Azure file share, and encryption at rest, which relates to how the data is encrypted when it is stored on disk.

Chiffrement en transitEncryption in transit

Importante

Cette section traite en détail du chiffrement en transit pour les partages SMB.This section covers encryption in transit details for SMB shares. Pour plus d’informations sur le chiffrement en transit avec les partages NFS, consultez Sécurité.For details regarding encryption in transit with NFS shares, see Security.

Par défaut, le chiffrement en transit est activé pour tous les comptes de stockage Azure.By default, all Azure storage accounts have encryption in transit enabled. Cela signifie que, lorsque vous montez un partage de fichiers sur SMB ou y accédez en utilisant le protocole FileREST (par exemple, via le portail Azure, PowerShell/CLI ou des kits de développement logiciel (SDK) Azure), Azure Files n’autorise la connexion que si elle est établie à l’aide des protocoles SMB 3.0+ avec chiffrement ou HTTPS.This means that when you mount a file share over SMB or access it via the FileREST protocol (such as through the Azure portal, PowerShell/CLI, or Azure SDKs), Azure Files will only allow the connection if it is made with SMB 3.0+ with encryption or HTTPS. Les clients qui ne prennent pas en charge le protocole SMB 3.0, ou qui prennent en charge le protocole SMB 3.0 mais pas le chiffrement SMB, ne peuvent pas monter le partage de fichiers Azure si le chiffrement en transit est activé.Clients that do not support SMB 3.0 or clients that support SMB 3.0 but not SMB encryption will not be able to mount the Azure file share if encryption in transit is enabled. Pour plus d’informations sur les systèmes d’exploitation prenant en charge SMB 3.0 avec chiffrement, consultez notre documentation détaillée pour Windows, macOS et Linux.For more information about which operating systems support SMB 3.0 with encryption, see our detailed documentation for Windows, macOS, and Linux. Toutes les versions actuelles de PowerShell, de CLI et des SDK prennent en charge le protocole HTTPS.All current versions of the PowerShell, CLI, and SDKs support HTTPS.

Vous pouvez désactiver le chiffrement en transit pour un compte de stockage Azure.You can disable encryption in transit for an Azure storage account. Lorsque le chiffrement est désactivé, Azure Files autorise également les protocoles SMB 2.1 et SMB 3.0 sans chiffrement, ainsi que les appels d’API FileREST non chiffrés via le protocole HTTP.When encryption is disabled, Azure Files will also allow SMB 2.1, SMB 3.0 without encryption, and unencrypted FileREST API calls over HTTP. La principale raison justifiant de désactiver le chiffrement en transit est la nécessité de prendre en charge une application héritée devant être exécutée sur un système d’exploitation plus ancien, tel que Windows Server 2008 R2 ou une distribution Linux non récente.The primary reason to disable encryption in transit is to support a legacy application that must be run on an older operating system, such as Windows Server 2008 R2 or older Linux distribution. Azure Files n’autorise que les connexions SMB 2.1 au sein de la même région Azure que le partage de fichiers Azure. Ainsi, un client SMB 2.1 situé en dehors de la région Azure dans laquelle se trouve le partage de fichiers Azure, par exemple, localement ou dans une autre région Azure, ne peut pas accéder au partage de fichiers.Azure Files only allows SMB 2.1 connections within the same Azure region as the Azure file share; an SMB 2.1 client outside of the Azure region of the Azure file share, such as on-premises or in a different Azure region, will not be able to access the file share.

Nous recommandons fortement de vérifier que le chiffrement des données en transit est activé.We strongly recommend ensuring encryption of data in-transit is enabled.

Pour plus d’informations sur le chiffrement en transit, voir Exiger un transfert sécurisé dans Stockage Azure.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Chiffrement au reposEncryption at rest

Toutes les données stockées dans Azure Files sont chiffrées au repos avec Azure Storage Service Encryption (SSE).All data stored in Azure Files is encrypted at rest using Azure storage service encryption (SSE). Cette fonctionnalité fonctionne de la même façon que BitLocker sur Windows : les données sont chiffrées sous le niveau du système de fichiers.Storage service encryption works similarly to BitLocker on Windows: data is encrypted beneath the file system level. Comme les données sont chiffrées sous le système de fichiers du partage de fichiers Azure, car codées sur le disque, il n’est pas nécessaire d’avoir accès à la clé sous-jacente sur le client pour lire ou écrire sur le partage de fichiers Azure.Because data is encrypted beneath the Azure file share's file system, as it's encoded to disk, you don't have to have access to the underlying key on the client to read or write to the Azure file share. Le chiffrement au repos s’applique aux protocoles SMB et NFS.Encryption at rest applies to both the SMB and NFS protocols.

Par défaut, les données stockées dans Azure Files sont chiffrées avec des clés managées par Microsoft.By default, data stored in Azure Files is encrypted with Microsoft-managed keys. Microsoft détient ainsi les clés permettant de chiffrer et de déchiffrer les données et se charge de les renouveler régulièrement.With Microsoft-managed keys, Microsoft holds the keys to encrypt/decrypt the data, and is responsible for rotating them on a regular basis. Vous pouvez également choisir de gérer vos propres clés, ce qui vous permet de contrôler le processus de renouvellement.You can also choose to manage your own keys, which gives you control over the rotation process. Si vous choisissez de chiffrer vos partages de fichiers avec des clés gérées par le client, Azure Files est autorisé à accéder à vos clés pour traiter les demandes de lecture et d’écriture de vos clients.If you choose to encrypt your file shares with customer-managed keys, Azure Files is authorized to access your keys to fulfill read and write requests from your clients. Vous pouvez révoquer cette autorisation à tout moment, mais dans ce cas votre partage de fichiers Azure ne sera plus accessible via SMB ou l’API FileREST.With customer-managed keys, you can revoke this authorization at any time, but this means that your Azure file share will no longer be accessible via SMB or the FileREST API.

Azure Files utilise le même schéma de chiffrement que les autres services de stockage Azure, comme le Stockage Blob Azure.Azure Files uses the same encryption scheme as the other Azure storage services such as Azure Blob storage. Pour plus d’informations sur Azure Storage Service Encryption (SSE), consultez Chiffrement du stockage Azure pour les données au repos.To learn more about Azure storage service encryption (SSE), see Azure storage encryption for data at rest.

Protection de donnéesData protection

Azure Files adopte une approche multicouche pour garantir que vos données sont sauvegardées, récupérables et protégées contre les menaces de sécurité.Azure Files has a multi-layered approach to ensuring your data is backed up, recoverable, and protected from security threats.

Suppression réversibleSoft delete

La suppression réversible pour les partages de fichiers (préversion) est un paramètre de niveau de compte de stockage qui vous permet de récupérer votre partage de fichiers en cas de suppression accidentelle.Soft delete for file shares (preview) is a storage-account level setting that allows you to recover your file share when it is accidentally deleted. Lors de la suppression d’un partage de fichiers, celui-ci passe par un état transitoire de suppression réversible au lieu d’être supprimé définitivement.When a file share is deleted, it transitions to a soft deleted state instead of being permanently erased. Vous pouvez configurer la durée pendant laquelle les données supprimées de manière réversible sont récupérables avant leur suppression définitive, et annuler la suppression du partage à tout moment lors de la période de rétention.You can configure the amount of time soft deleted data is recoverable before it's permanently deleted, and undelete the share anytime during this retention period.

Nous vous recommandons d’activer la suppression réversible pour la plupart des partages de fichiers.We recommend turning on soft delete for most file shares. Si vous avez un flux de travail dans lequel la suppression de partage est courante et attendue, vous pouvez décider de configurer une période de rétention très brève ou de ne pas activer la suppression réversible.If you have a workflow where share deletion is common and expected, you may decide to have a very short retention period or not have soft delete enabled at all.

Pour plus d’informations sur la suppression réversible, consultez Prévenir les suppressions de données accidentelles.For more information about soft delete, see Prevent accidental data deletion.

SauvegardeBackup

Vous pouvez sauvegarder votre partage de fichiers Azure via des captures instantanées de partage, qui sont des copies en lecture seule de votre partage à un instant dans le passé.You can back up your Azure file share via share snapshots, which are read-only, point-in-time copies of your share. Les captures instantanées sont incrémentielles, ce qui signifie qu’elles ne contiennent que les données modifiés depuis la capture instantanée précédente.Snapshots are incremental, meaning they they only contain as much data as has changed since the previous snapshot. Vous pouvez avoir jusqu’à 200 captures instantanées par partage de fichiers et les conserver pendant jusqu’à 10 ans.You can have up to 200 snapshots per file share and retain them for up to 10 years. Vous pouvez soit prendre manuellement ces captures instantanées dans le portail Azure, via PowerShell ou l’interface de ligne de commande (CLI), soit d’utiliser Sauvegarde Azure.You can either manually take these snapshots in the Azure portal, via PowerShell, or command-line interface (CLI), or you can use Azure Backup. Les captures instantanées sont stockées dans votre partage de fichiers, ce qui signifie que, si vous supprimez votre partage de fichiers, vos captures instantanées sont également supprimées.Snapshots are stored within your file share, meaning that if you delete your file share, your snapshots will also be deleted. Pour protéger vos sauvegardes de captures instantanées contre des suppressions accidentelles, assurez-vous que la suppression réversible est activée pour votre partage.To protect your snapshot backups from accidental deletion, ensure soft delete is enabled for your share.

La Sauvegarde Azure pour les partages de fichiers Azure gère la planification et la rétention des captures instantanées.Azure Backup for Azure file shares handles the scheduling and retention of snapshots. Ses fonctionnalités grand-père-père-fils vous permettent de prendre des captures instantanées quotidiennes, hebdomadaires, mensuelles et annuelles, dont les périodes de rétention diffèrent.Its grandfather-father-son (GFS) capabilities mean that you can take daily, weekly, monthly, and yearly snapshots, each with their own distinct retention period. Le service Sauvegarde Azure orchestre également l’activation de la suppression réversible, et pose un verrou de suppression sur un compte de stockage dès qu’un partage de fichiers dans celui-ci est configuré pour la sauvegarde.Azure Backup also orchestrates the enablement of soft delete and takes a delete lock on a storage account as soon as any file share within it is configured for backup. Enfin, le service Sauvegarde Azure offre certaines fonctionnalités de surveillance et d’alerte clés, qui permettent aux clients d’avoir une vue consolidée de leur parc de sauvegarde.Lastly, Azure Backup provides certain key monitoring and alerting capabilities that allow customers to have a consolidated view of their backup estate.

Sauvegarde Azure vous permet d’effectuer des restaurations au niveau élément et au niveau partage dans le portail Azure.You can perform both item-level and share-level restores in the Azure portal using Azure Backup. Il vous suffit de choisir le point de restauration (une capture instantanée particulière), le fichier ou répertoire particulier le cas échéant, puis l’emplacement (d’origine ou de remplacement) sur lequel vous souhaitez effectuer la restauration.All you need to do is choose the restore point (a particular snapshot), the particular file or directory if relevant, and then the location (original or alternate) you wish you restore to. Le service de sauvegarde gère la copie des données de captures instantanées et affiche la progression de la restauration dans le portail.The backup service handles copying the snapshot data over and shows your restore progress in the portal.

Pour plus d’informations sur la sauvegarde, consultez À propos de la sauvegarde des partages de fichiers Azure.For more information about backup, see About Azure file share backup.

Advanced Threat Protection pour Azure Files (préversion)Advanced Threat Protection for Azure Files (preview)

Advanced Threat Protection (ATP) pour Stockage Azure fournit une couche supplémentaire de renseignement sur la sécurité, qui génère des alertes quand elle détecte une activité anormale sur votre compte de stockage, par exemple, des tentatives inhabituelles d’accès au compte de stockage.Advanced Threat Protection (ATP) for Azure Storage provides an additional layer of security intelligence that provides alerts when it detects anomalous activity on your storage account, for example unusual attempts to access the storage account. ATP exécute également une analyse de réputation du hachage de programme malveillant et déclenche une alerte concernant les programmes malveillants connus.ATP also runs malware hash reputation analysis and will alert on known malware. Vous pouvez configurer ATP au niveau d’un abonnement ou d’un compte de stockage via Azure Security Center.You can configure ATP on a subscription or storage account level via Azure Security Center.

Pour plus d’informations, consultez Advanced Threat Protection pour Stockage Azure.For more information, see Advanced Threat protection for Azure Storage.

Niveaux de stockageStorage tiers

Azure Files offre quatre niveaux de stockage, premium, optimisé pour les transactions, chaud et froid, pour vous permettre de personnaliser vos partages en fonction des performances et du budget demandés par votre scénario :Azure Files offers four different tiers of storage, premium, transaction optimized, hot, and cool to allow you to tailor your shares to the performance and price requirements of your scenario:

  • Premium : Les partages de fichiers Premium reposent sur des disques SSD et offrent toujours un niveau de performance élevé et une faible latence (à un chiffre en millisecondes pour la plupart des opérations d’E/S) pour les charges de travail les plus gourmandes en E/S.Premium: Premium file shares are backed by solid-state drives (SSDs) and provide consistent high performance and low latency, within single-digit milliseconds for most IO operations, for IO-intensive workloads. Les partages de fichiers Premium sont adaptés à un vaste éventail de charges de travail, comme les bases de données, l’hébergement de site web et les environnements de développement.Premium file shares are suitable for a wide variety of workloads like databases, web site hosting, and development environments. Les partages de fichiers Premium peuvent être utilisés avec les protocoles SMB (Server Message Block) et NFS (Network File System).Premium file shares can be used with both Server Message Block (SMB) and Network File System (NFS) protocols.
  • Optimisé pour les transactions : Les partages de fichiers optimisés pour les transactions permettent d’avoir des charges de travail lourdes en transactions qui n’ont pas besoin de la latence offerte par les partages de fichiers premium.Transaction optimized: Transaction optimized file shares enable transaction heavy workloads that don't need the latency offered by premium file shares. Les partages de fichiers optimisés pour les transactions sont proposés sur le matériel de stockage standard reposant sur des lecteurs de disque dur (HDD).Transaction optimized file shares are offered on the standard storage hardware backed by hard disk drives (HDDs). Le niveau Optimisé pour les transactions était auparavant appelé « Standard », mais cela fait référence au type de support de stockage plutôt qu’au niveau lui-même (les niveaux chaud et froid sont également des niveaux « standard », car ils se trouvent sur du matériel de stockage standard).Transaction optimized has historically been called "standard", however this refers to the storage media type rather than the tier itself (the hot and cool are also "standard" tiers, because they are on standard storage hardware).
  • Hot : Les partages de fichiers chauds offrent un stockage optimisé pour les scénarios de partage de fichiers à usage général, tels que les partages d’équipe.Hot: Hot file shares offer storage optimized for general purpose file sharing scenarios such as team shares. Les partages de fichiers chauds sont proposés sur le matériel de stockage standard reposant sur des HDD.Hot file shares are offered on the standard storage hardware backed by HDDs.
  • Froid : Les partages de fichiers froids offrent un stockage abordable optimisé pour les scénarios de stockage d’archive en ligne.Cool: Cool file shares offer cost-efficient storage optimized for online archive storage scenarios. Les partages de fichiers froids sont proposés sur le matériel de stockage standard reposant sur des HDD.Cool file shares are offered on the standard storage hardware backed by HDDs.

Les partages de fichiers Premium sont déployés dans le type de compte de stockage FileStorage et sont disponibles uniquement dans un modèle de facturation provisionnée.Premium file shares are deployed in the FileStorage storage account kind and are only available in a provisioned billing model. Pour plus d’informations sur le modèle de facturation avec approvisionnement pour les partages de fichiers Premium, consultez Comprendre l’approvisionnement des partages de fichiers Premium.For more information on the provisioned billing model for premium file shares, see Understanding provisioning for premium file shares. Les partages de fichiers standard, notamment les partages de fichiers optimisés pour les transactions, chauds et froids, sont déployés dans le type de compte de stockage à usage générale version 2 (GPv2) et sont disponibles via une facturation avec paiement à l’utilisation.Standard file shares, including transaction optimized, hot, and cool file shares, are deployed in the general purpose version 2 (GPv2) storage account kind, and are available through pay as you go billing. Les partages de fichiers chauds et froids sont disponibles dans toutes les régions Azure publiques et Azure Government.Hot and cool file shares are available in all Azure Public and Azure Government regions. Les partages de fichiers optimisés pour les transactions sont disponibles dans toutes les régions Azure, y compris les régions Azure Chine et Azure Allemagne.Transaction optimized file shares are available in all Azure regions, including Azure China and Azure Germany regions.

Au moment de sélectionner un niveau de stockage pour votre charge de travail, tenez compte de vos besoins en matière de performances et d’utilisation.When selecting a storage tier for your workload, consider your performance and usage requirements. Si votre charge de travail nécessite une latence à un chiffre ou si vous utilisez un média de stockage SSD local, le niveau Premium est probablement le mieux adapté.If your workload requires single-digit latency, or you are using SSD storage media on-premises, the premium tier is probably the best fit. Si une faible latence ne constitue pas un problème, par exemple si vous avez des partages d’équipe montés localement à partir d’Azure ou mis en mémoire cache localement à l’aide d’Azure File Sync, le stockage standard est peut être plus indiqué du point de vue du coût.If low latency isn't as much of a concern, for example with team shares mounted on-premises from Azure or cached on-premises using Azure File Sync, standard storage may be a better fit from a cost perspective.

Une fois que vous avez créé un partage de fichiers dans un compte de stockage, vous ne pouvez plus le déplacer dans des niveaux réservés à différents types de compte de stockage.Once you've created a file share in a storage account, you cannot move it to tiers exclusive to different storage account kinds. Par exemple, pour déplacer un partage de fichiers optimisé pour les transactions vers le niveau Premium, vous devez créer un nouveau partage de fichiers dans un compte de stockage FileStorage et copier les données de votre partage d’origine vers un nouveau partage de fichiers dans le compte FileStorage.For example, to move a transaction optimized file share to the premium tier, you must create a new file share in a FileStorage storage account and copy the data from your original share to a new file share in the FileStorage account. Nous vous recommandons d’utiliser AzCopy pour copier des données entre différents partages de fichiers Azure, mais vous pouvez aussi utiliser des outils comme robocopy sur Windows ou rsync pour macOS et Linux.We recommend using AzCopy to copy data between Azure file shares, but you may also use tools like robocopy on Windows or rsync for macOS and Linux.

Les partages de fichiers déployés dans des comptes de stockage GPv2 peuvent être déplacés entre les différents niveaux standard (Optimisé pour les transactions, Chaud et Froid) sans qu’il soit nécessaire de créer un compte de stockage et de migrer les données. En revanche, le changement de niveau engendrera des coûts de transactions.File shares deployed within GPv2 storage accounts can be moved between the standard tiers (transaction optimized, hot, and cool) without creating a new storage account and migrating data, but you will incur transaction costs when you change your tier. Quand vous déplacez un partage d’un niveau chaud vers un niveau froid, vous vous exposez aux frais de transactions d’écriture du niveau froid pour chaque fichier du partage.When you move a share from a hotter tier to a cooler tier, you will incur the cooler tier's write transaction charge for each file in the share. Si vous déplacez un partage d’un niveau froid vers un niveau chaud, des frais de transactions de lecture du niveau froid vous seront imputés pour chaque fichier du partage.Moving a file share from a cooler tier to a hotter tier will incur the cool tier's read transaction charge for each file in the share.

Pour plus d’informations, consultez la présentation de la facturation Azure Files.See Understanding Azure Files billing for more information.

Activer les partages de fichiers Standard pour couvrir jusqu'à 100 TioEnable standard file shares to span up to 100 TiB

Par défaut, les partages de fichiers standard peuvent couvrir jusqu’à 5 Tio seulement, même si la limite de partage peut être augmentée jusqu’à 100 Tio.By default, standard file shares can span only up to 5 TiB, although the share limit can be increased to 100 TiB. Pour ce faire, la fonctionnalité de partage de fichiers volumineux doit être activée au niveau du compte de stockage.To do this, large file share feature must be enabled at the storage account-level. Les comptes de stockage Premium (comptes de stockage FileStorage) ne disposent pas de l’indicateur de fonctionnalité de partage de fichiers volumineux, car tous les partages de fichiers Premium sont déjà activés pour le provisionnement jusqu’à la capacité totale de 100 Tio.Premium storage accounts (FileStorage storage accounts) don't have the large file share feature flag as all premium file shares are already enabled for provisioning up to the full 100 TiB capacity.

Vous pouvez uniquement activer les partages de fichiers volumineux sur des comptes de stockage standard localement redondants ou redondants dans une zone.You can only enable large file shares on locally redundant or zone redundant standard storage accounts. Une fois que vous avez activé l’indicateur de fonctionnalité de partage de fichiers volumineux, vous ne pouvez pas modifier le niveau de redondance en stockage géoredondant ni géoredondant interzone.Once you have enabled the large file share feature flag, you can't change the redundancy level to geo-redundant or geo-zone-redundant storage.

Pour activer les partages de fichiers volumineux sur un compte de stockage existant, accédez à la vue Configuration dans la table des matières du compte de stockage, puis définissez le commutateur à bascule de partage de fichiers volumineux sur Activé :To enable large file shares on an existing storage account, navigate to the Configuration view in the storage account's table of contents, and switch the large file share rocker switch to enabled:

Capture d’écran du commutateur à bascule de partage de fichiers volumineux activé dans le portail Azure

Vous pouvez également activer les partages de fichiers de 100 Tio à l’aide de l’applet de commande PowerShell Set-AzStorageAccount et de la commande Azure CLI az storage account update.You can also enable 100 TiB file shares through the Set-AzStorageAccount PowerShell cmdlet and the az storage account update Azure CLI command. Pour des instructions détaillées sur l’activation des partages de fichiers volumineux, consultez Activer et créer des partages de fichiers volumineux.For detailed instructions on enabling large files shares, see enable and create large file shares.

Pour en savoir plus sur la création de partages de fichiers sur de nouveaux comptes de stockage, consultez Création d’un partage de fichiers Azure.To learn more about how to create file shares on new storage accounts, see creating an Azure file share.

LimitesLimitations

Les partages de fichiers standard d’une capacité de 100 Tio présentent certaines limitations.Standard file shares with 100 TiB capacity have certain limitations.

  • Actuellement, seuls les comptes de stockage localement redondant (LRS) et de stockage redondant interzone (ZRS) sont pris en charge.Currently, only locally redundant storage (LRS) and zone redundant storage (ZRS) accounts are supported.
  • Après avoir activé les partages de fichiers volumineux, vous ne pouvez plus convertir de comptes de stockage en comptes de stockage géoredondant (GRS) ou de stockage géoredondant interzone (GZRS).Once you enable large file shares, you cannot convert storage accounts to geo-redundant storage (GRS) or geo-zone-redundant storage (GZRS) accounts.
  • Après avoir activé les partages de fichiers volumineux, vous ne pouvez plus les désactiver.Once you enable large file shares, you can't disable it.

RedondanceRedundancy

Pour protéger les données de vos partages de fichiers Azure contre la perte ou l’altération des données, tous les partages de fichiers Azure stockent plusieurs copies de chaque fichier au fur et à mesure de leur écriture.To protect the data in your Azure file shares against data loss or corruption, all Azure file shares store multiple copies of each file as they are written. En fonction des exigences de votre charge de travail, vous pouvez sélectionner des degrés de redondance supplémentaires.Depending on the requirements of your workload, you can select additional degrees of redundancy. Azure Files prend actuellement en charge les options de redondance des données suivantes :Azure Files currently supports the following data redundancy options:

  • Localement redondant : Le stockage localement redondant, souvent appelé LRS, signifie que chaque fichier est stocké trois fois au sein d’un cluster de stockage Azure.Locally redundant: Locally redundant storage, often referred to as LRS, means that every file is stored three times within an Azure storage cluster. Cela le protège de la perte de données due à des défaillances matérielles, telles qu’un lecteur de disque défectueux.This protects against loss of data due to hardware faults, such as a bad disk drive.
  • Redondant interzone : Le stockage redondant interzone, souvent appelé ZRS, signifie que chaque fichier est stocké trois fois sur trois clusters de stockage Azure distincts.Zone redundant: Zone redundant storage, often referred to as ZRS, means that every file is stored three times across three distinct Azure storage clusters. À l’instar du stockage localement redondant, la redondance de zone offre trois copies de chaque fichier. Celles-ci sont toutefois isolées physiquement dans trois clusters de stockage distincts situés au sein de différentes zones de disponibilité Azure.Just like with locally redundant storage, zone redundancy gives you three copies of each file, however these copies are physically isolated in three distinct storage clusters in different Azure availability zones. Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure.Availability zones are unique physical locations within an Azure region. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Une écriture sur le stockage n’est pas acceptée tant qu’elle n’est pas écrite dans les clusters de stockage dans les trois zones de disponibilité.A write to storage is not accepted until it is written to the storage clusters in all three availability zones.
  • Géoredondant : Le stockage géoredondant, souvent appelé GRS, est comparable au stockage localement redondant, car un fichier est stocké trois fois au sein d’un cluster de stockage Azure dans la région primaire.Geo-redundant: Geo-redundant storage, often referred to as GRS, is like locally redundant storage, in that a file is stored three times within an Azure storage cluster in the primary region. Toutes les écritures sont ensuite répliquées de façon asynchrone dans une région secondaire définie par Microsoft.All writes are then asynchronously replicated to a Microsoft-defined secondary region. Le stockage géoredondant fournit six copies de vos données réparties entre deux régions Azure.Geo-redundant storage provides 6 copies of your data spread between two Azure regions. En cas de sinistre majeur, tel que la perte permanente d’une région Azure en raison d’une catastrophe naturelle ou d’un autre événement similaire, Microsoft effectue un basculement afin que la région secondaire en vigueur devienne la région primaire, assurant toutes les opérations.In the event of a major disaster such as the permanent loss of an Azure region due to a natural disaster or other similar event, Microsoft will perform a failover so that the secondary in effect becomes the primary, serving all operations. Étant donné que la réplication entre les régions primaire et secondaire est asynchrone, en cas de sinistre majeur, les données qui ne sont pas encore répliquées dans la région secondaire seront perdues.Since the replication between the primary and secondary regions are asynchronous, in the event of a major disaster, data not yet replicated to the secondary region will be lost. Vous pouvez également effectuer le basculement manuel d’un compte de stockage géoredondant.You can also perform a manual failover of a geo-redundant storage account.
  • Géoredondant interzone : Le stockage géoredondant interzone, souvent appelé GZRS, est comparable au stockage redondant interzone, car un fichier est stocké trois fois sur trois clusters de stockage distincts dans la région primaire.Geo-zone redundant: Geo-zone redundant storage, often referred to as GZRS, is like zone redundant storage, in that a file is stored three times across three distinct storage clusters in the primary region. Toutes les écritures sont ensuite répliquées de façon asynchrone dans une région secondaire définie par Microsoft.All writes are then asynchronously replicated to a Microsoft-defined secondary region. Le processus de basculement pour le stockage géoredondant interzone fonctionne de la même façon que pour le stockage géoredondant.The failover process for geo-zone-redundant storage works the same as it does for geo-redundant storage.

Les partages de fichiers Azure Standard prennent en charge les quatre types de redondance, tandis que les partages de fichiers Azure Premium prennent uniquement en charge les stockages redondant localement et redondant interzone.Standard Azure file shares support all four redundancy types, while premium Azure file shares only support locally redundant and zone redundant storage.

Les comptes de stockage v2 universels (GPv2) fournissent deux options de redondance supplémentaires qui ne sont pas prises en charge par Azure Files : le stockage géographiquement redondant avec accès en lecture, souvent appelé RA-GRS, et le stockage géographiquement redondant interzone avec accès en lecture, souvent appelé RA-GZRS.General purpose version 2 (GPv2) storage accounts provide two additional redundancy options that are not supported by Azure Files: read accessible geo-redundant storage, often referred to as RA-GRS, and read accessible geo-zone-redundant storage, often referred to as RA-GZRS. Vous pouvez approvisionner des partages de fichiers Azure dans des comptes de stockage avec ces options définies, mais Azure Files ne prend pas en charge la lecture de la région secondaire.You can provision Azure file shares in storage accounts with these options set, however Azure Files does not support reading from the secondary region. Les partages de fichiers Azure déployés dans des comptes de stockage géographiquement redondant ou géographiquement redondant interzone avec accès en lecture sont facturés en tant que stockage géoredondant ou géoredondant interzone, respectivement.Azure file shares deployed into read-accessible geo- or geo-zone redundant storage accounts will be billed as geo-redundant or geo-zone-redundant storage, respectively.

MigrationMigration

Dans de nombreux cas, vous n’établirez pas de nouveau partage de fichiers net pour votre organisation, mais migrerez plutôt un partage de fichiers existant, depuis un serveur de fichiers local ou un appareil NAS, vers Azure Files.In many cases, you will not be establishing a net new file share for your organization, but instead migrating an existing file share from an on-premises file server or NAS device to Azure Files. Le choix de la stratégie et de l’outil de migration appropriés pour votre scénario est important pour la réussite de votre migration.Picking the right migration strategy and tool for your scenario is important for the success of your migration.

L’article vue d’ensemble de la migration aborde brièvement les bases et contient un tableau qui vous amène à des guides de migration susceptibles de couvrir votre scénario.The migration overview article briefly covers the basics and contains a table that leads you to migration guides that likely cover your scenario.

Étapes suivantesNext steps