Szerkesztés

Azure-fájlmegosztások használata hibrid környezetben

Microsoft Entra ID
Azure Files

Ez az architektúra bemutatja, hogyan foglalhatja bele az Azure-fájlmegosztásokat a hibrid környezetbe. Az Azure-fájlmegosztások kiszolgáló nélküli fájlmegosztásokként használhatók. Az Active Directory Directory Services (AD DS) használatával szabályozhatja és korlátozhatja az AD DS-felhasználók hozzáférését. Az Azure-fájlmegosztások ezután lecserélhetik a hagyományos fájlkiszolgálókat.

Architektúra

Az Azure-fájlmegosztások architektúradiagramja, amely bemutatja, hogy az ügyfelek hogyan férhetnek hozzá közvetlenül az Azure-fájlmegosztáshoz a 445-ös TCP-porton (SMB 3.0) keresztül vagy először VPN-kapcsolat létrehozásával.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúra az alábbi összetevőkből áll:

  • Microsoft Entra-bérlő. Ez az összetevő a Szervezet által létrehozott Microsoft Entra-példány. A felhőalkalmazások címtárszolgáltatásaként működik a helyi Active Directory másolt objektumok tárolásával. Identitásszolgáltatásokat is biztosít az Azure-fájlmegosztások elérésekor.
  • AD DS-kiszolgáló. Ez az összetevő egy helyszíni címtár- és identitásszolgáltatás. Az AD DS-címtár szinkronizálva van a Microsoft Entra-azonosítóval, hogy lehetővé tegye a helyszíni felhasználók hitelesítését.
  • Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló. Ez az összetevő egy helyszíni kiszolgáló, amely a Microsoft Entra Csatlakozás Sync szolgáltatást futtatja. Ez a szolgáltatás szinkronizálja a helyi Active Directory tárolt adatokat a Microsoft Entra-azonosítóval.
  • Virtuális hálózati átjáró. Ez az opcionális összetevő titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között az interneten keresztül.
  • Azure-fájlmegosztások. Az Azure-fájlmegosztások tárolót biztosítanak a kiszolgálói üzenetblokk (SMB), a hálózati fájlrendszer (NFS) és a HYPERTEXT Transfer Protocol (HTTP) protokollon keresztül elérhető fájlokhoz és mappákhoz. A fájlmegosztások azure-tárfiókokban vannak üzembe helyezve.
  • Recovery Services-tároló. Ez az opcionális összetevő azure-fájlmegosztások biztonsági mentését biztosítja.
  • Ügyfelek. Ezek az összetevők AD DS-tagszámítógépek, amelyekről a felhasználók hozzáférhetnek az Azure-fájlmegosztásokhoz.

Összetevők

Az architektúra implementálásához használt főbb technológiák:

  • A Microsoft Entra ID egy vállalati identitásszolgáltatás, amely egyszeri bejelentkezést, többtényezős hitelesítést és feltételes hozzáférést biztosít.
  • Az Azure Files teljes mértékben felügyelt fájlmegosztásokat kínál a felhőben, amelyek az iparági szabvány protokollok használatával érhetők el.
  • A VPN Gateway VPN Gateway titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül.

Forgatókönyv részletei

Lehetséges használati esetek

Az architektúra gyakori használati módjai többek között a következők:

  • A helyszíni fájlkiszolgálók cseréje vagy kiegészítése. Az Azure Files teljes mértékben lecserélheti vagy kiegészítheti a hagyományos helyszíni fájlkiszolgálókat vagy a hálózathoz csatlakoztatott tárolóeszközöket. Az Azure-fájlmegosztásokkal és az AD DS-hitelesítéssel adatokat migrálhat az Azure Filesba. Ez az áttelepítés kihasználhatja a magas rendelkezésre állás és a méretezhetőség előnyeit, miközben minimalizálja az ügyfél módosításait.
  • Emeljen és váltson. Az Azure Files megkönnyíti az olyan alkalmazások "átemelését és áthelyezését", amelyek elvárják, hogy egy fájlmegosztás alkalmazás- vagy felhasználói adatokat tároljon a felhőben.
  • Biztonsági mentés és vészhelyreállítás. Az Üzletmenet folytonosságának javítása érdekében az Azure Files tárolóként használható biztonsági mentésekhez vagy vészhelyreállításhoz. Az Azure Files használatával biztonsági másolatot készíthet az adatokról a meglévő fájlkiszolgálókról, miközben megőrizheti a windowsos diszkréciós hozzáférés-vezérlési listákat. Az Azure-fájlmegosztásokon tárolt adatokat nem érintik a helyszíni helyeket érintő katasztrófák.
  • Azure File Sync. Az Azure File Sync használatával az Azure-fájlmegosztások replikálhatók a Windows Serverre a helyszínen vagy a felhőben. Ez a replikáció javítja a teljesítményt, és elosztja az adatok gyorsítótárazását a használt helyre.

Ajánlások

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Általános célú v2 (GPv2) vagy FileStorage storage-fiókok használata Azure-fájlmegosztásokhoz

Azure-fájlmegosztást különböző tárfiókokban hozhat létre. Bár az általános célú v1 (GPv1) és a klasszikus tárfiókok Azure-fájlmegosztásokat tartalmazhatnak, az Azure Files legtöbb új funkciója csak GPv2- és FileStorage-tárfiókokban érhető el. Míg az Azure-fájlmegosztások merevlemez-alapú (HDD-alapú) hardveren tárolják a GPv2-tárfiókok adatait, a FileStorage storage-fiókok adatait szilárd állapotú meghajtóalapú (SSD-alapú) hardvereken tárolja. További információ: Azure-fájlmegosztás létrehozása.

Azure-fájlmegosztások létrehozása olyan tárfiókokban, amelyek csak Azure-fájlmegosztásokat tartalmaznak

A tárfiókok lehetővé teszik, hogy ugyanabban a tárfiókban különböző tárolási szolgáltatásokat használjon. Ezek a tárolási szolgáltatások közé tartoznak az Azure-fájlmegosztások, a blobtárolók és a táblák. Egy tárfiók összes tárolási szolgáltatása azonos tárfiókkorlátokkal rendelkezik. A tárolási szolgáltatások ugyanabban a tárfiókban való keverése megnehezíti a teljesítményproblémák elhárítását.

Feljegyzés

Ha lehetséges, helyezzen üzembe minden Azure-fájlmegosztást a saját külön tárfiókjában. Ha több Azure-fájlmegosztás van üzembe helyezve ugyanabban a tárfiókban, mindegyiknek meg kell osztania a tárfiók korlátait.

Prémium szintű fájlmegosztások használata magas átviteli sebességet igénylő számítási feladatokhoz

A prémium szintű fájlmegosztások a FileStorage tárfiókokban vannak üzembe helyezve, és szilárdtest-meghajtóalapú (SSD-alapú) hardveren vannak tárolva. Ez a beállítás alkalmassá teszi őket olyan adatok tárolására és elérésére, amelyek konzisztens teljesítményt, nagy átviteli sebességet és alacsony késést igényelnek. (Ezek a prémium szintű fájlmegosztások például jól működnek az adatbázisokkal.) A standard fájlmegosztások teljesítményingadozására kevésbé érzékeny számítási feladatokat is tárolhat. Ezek a számítási feladatok közé tartoznak az általános célú fájlmegosztások és a fejlesztői/tesztelési környezetek. További információ: Azure-fájlmegosztás létrehozása.

SMB Azure-fájlmegosztások elérésekor mindig titkosításra van szükség

Az SMB Azure-fájlmegosztásokban lévő adatok elérésekor mindig használjon átvitel közbeni titkosítást. Az átvitel közbeni titkosítás alapértelmezés szerint engedélyezve van. Az Azure Files csak akkor engedélyezi a kapcsolatot, ha titkosítást használó protokollal( például SMB 3.0) készült. Az SMB 3.0-t nem támogató ügyfelek nem tudják csatlakoztatni az Azure-fájlmegosztást, ha átvitel közben titkosításra van szükség.

VPN használata, ha az SMB által használt port (445-ös port) le van tiltva

Számos internetszolgáltató blokkolja a 445-ös TCP-portot, amely az Azure-fájlmegosztások elérésére szolgál. Ha a 445-ös TCP-port blokkolásának feloldása nem lehetséges, az Azure-fájlmegosztásokat ExpressRoute-on vagy virtuális magánhálózati (VPN-) kapcsolaton (helyek közötti vagy pont–hely) keresztül érheti el a forgalom blokkolásának elkerülése érdekében. További információ: Pont–hely (P2S) VPN konfigurálása Windows rendszeren az Azure Fileshoz való használatra, valamint helyek közötti VPN konfigurálása az Azure Fileshoz való használatra.

Fontolja meg az Azure File Sync azure-fájlmegosztásokkal való használatát

Az Azure File Sync szolgáltatással azure-fájlmegosztásokat gyorsítótárazhat egy helyszíni Windows Server-fájlkiszolgálón. A felhőbeli rétegzés engedélyezésekor a Fájlszinkronizálás segít biztosítani, hogy a fájlkiszolgálók mindig szabad területtel rendelkezzenek, még akkor is, ha több fájlt tesz elérhetővé, mint amennyit egy fájlkiszolgáló helyileg tárolhat. Ha helyszíni Windows Server-fájlkiszolgálókkal rendelkezik, fontolja meg a fájlkiszolgálók Azure-fájlmegosztásokkal való integrálását az Azure File Sync használatával. További információt az Azure File Sync üzembe helyezésének tervezése című témakörben talál.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Méretezhetőség

  • Az Azure-fájlmegosztás mérete legfeljebb 100 terbájt (TiB) lehet. Nincs minimális fájlmegosztási méret, és nincs korlátozva az Azure-fájlmegosztások száma.
  • A fájlmegosztásokban lévő fájlok maximális mérete 1 TiB, és nincs korlátozva a fájlmegosztásban lévő fájlok száma.
  • Az IOPS és az átviteli sebesség korlátai Azure-tárfiókonként vannak megosztva az ugyanabban a tárfiókban található Azure-fájlmegosztások között.

További információ: Azure Files skálázhatósági és teljesítménycélok.

Elérhetőség

Feljegyzés

Az Azure Storage-fiók az Azure-fájlmegosztások szülőerőforrása. Az Azure-fájlmegosztás rendelkezik a megosztást tartalmazó tárfiók által biztosított redundanciával.

  • Az Azure-fájlmegosztások jelenleg a következő adatredundancia-beállításokat támogatják:
    • Helyileg redundáns tárolás (LRS). Az adatok szinkronizálása háromszor történik az elsődleges régió egyetlen fizikai helyén. Ez a gyakorlat hardverhibák, például rossz lemezmeghajtók miatt védelmet nyújt az adatvesztés ellen.
    • Zónaredundáns tárolás (ZRS). Az adatok szinkron módon lesznek átmásolva az elsődleges régió három Azure rendelkezésre állási zónájában. A rendelkezésre állási zónák egyedi fizikai helyek egy Azure-régión belül. Minden zóna egy vagy több, független energiaellátással, hűtéssel és hálózatkezeléssel felszerelt adatközpontból áll.
    • Georedundáns tárolás (GRS). Az adatok szinkronizálása háromszor történik az elsődleges régió egyetlen fizikai helyén az LRS használatával. Az adatok ezután aszinkron módon lesznek átmásolva a másodlagos régió egyetlen fizikai helyére. A georedundáns tárolás az adatok két Azure-régió közötti eloszlásának hat példányát biztosítja.
    • Geo-zónaredundáns tárolás (GZRS). Az adatok szinkron módon lesznek átmásolva az elsődleges régió három Azure rendelkezésre állási zónájában a ZRS használatával. Az adatok ezután aszinkron módon lesznek átmásolva a másodlagos régió egyetlen fizikai helyére.
  • A prémium szintű fájlmegosztások csak helyileg redundáns tárolásban (LRS) és zónaredundáns tárolóban (ZRS) tárolhatók. A standard fájlmegosztások tárolhatók LRS-ben, ZRS-ben, georedundáns tárolásban (GRS) és geozónára redundáns tárolásban (GZRS). További információ: Azure Files-telepítés és Azure Storage-redundancia tervezése.
  • Az Azure Files egy felhőszolgáltatás, és mint minden felhőszolgáltatás esetében, internetkapcsolattal kell rendelkeznie az Azure-fájlmegosztások eléréséhez. A megszakítások elkerülése érdekében erősen ajánlott redundáns internetkapcsolati megoldás használata.

Kezelhetőség

  • Az Azure-fájlmegosztásokat ugyanazokkal az eszközökkel kezelheti, mint bármely más Azure-szolgáltatás. Ezek közé az eszközök közé tartozik az Azure Portal, az Azure Parancssori felület és az Azure PowerShell.
  • Az Azure-fájlmegosztások szabványos Windows-fájlengedélyeket kényszerítenek ki. A címtár- vagy fájlszintű engedélyek konfigurálásához csatlakoztathat egy Azure-fájlmegosztást, és konfigurálhatja az engedélyeket Fájlkezelő, a Windows icacls.exe paranccsal vagy a Set-Acl Windows PowerShell-parancsmaggal.
  • Az Azure-fájlmegosztás pillanatképét használhatja az Azure-fájlmegosztási adatok időponthoz kötött, írásvédett másolatának létrehozásához. Megosztási pillanatképet a fájlmegosztás szintjén hozhat létre. Ezután visszaállíthatja az egyes fájlokat az Azure Portalon vagy a Fájlkezelő, ahol egy teljes megosztást is visszaállíthat. Megosztásonként legfeljebb 200 pillanatképet készíthet, amely lehetővé teszi a fájlok visszaállítását különböző időponthoz kötött verziókra. Ha töröl egy megosztást, annak pillanatképei is törlődnek. A megosztási pillanatképek növekményesek. Csak a legutóbbi megosztási pillanatkép mentése után megváltozott adatok. Ez a gyakorlat minimálisra csökkenti a megosztási pillanatkép létrehozásához szükséges időt, és megtakarítja a tárolási költségeket. Az Azure-fájlmegosztások pillanatképei akkor is használhatók, ha az Azure-fájlmegosztásokat az Azure Backuppal védi. További információ: Az Azure Files megosztási pillanatképeinek áttekintése.
  • A fájlmegosztások helyreállítható törlésének engedélyezésével megakadályozhatja az Azure-fájlmegosztások véletlen törlését. Ha töröl egy fájlmegosztást, amikor engedélyezve van a helyreállítható törlés, a fájlmegosztás a végleges törlés helyett helyreállíthatóan törölt állapotba kerül. Konfigurálhatja, hogy a helyreállíthatóan törölt adatok mennyi ideig állíthatók helyre, mielőtt véglegesen törölve lesznek, és bármikor visszaállíthatja a megosztást ebben a megőrzési időszakban. További információ: Helyreállítható törlés engedélyezése Azure-fájlmegosztásokon.

Feljegyzés

Az Azure Backup lehetővé teszi a tárfiókban lévő összes fájlmegosztás helyreállítható törlését, amikor a megfelelő tárfiók első Azure-fájlmegosztásának biztonsági mentését konfigurálja.

Feljegyzés

A standard és a prémium szintű fájlmegosztások a helyreállítható törlés esetén a használt kapacitásra lesznek kiszámlázva a kiépített kapacitás helyett.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

  • Az Azure-fájlmegosztások eléréséhez használjon AD DS-hitelesítést SMB-n keresztül. Ez a beállítás ugyanazt a zökkenőmentes egyszeri bejelentkezést (SSO) biztosítja az Azure-fájlmegosztások elérésekor, mint a helyszíni fájlmegosztások elérésekor. További információt a Működés és a funkció-engedélyezés lépései című témakörben talál. Az ügyfélnek tartományhoz kell csatlakoznia az AD DS-hez, mert a hitelesítést továbbra is az AD DS tartományvezérlő végzi. Emellett a megosztási és a fájl-/könyvtárszintű engedélyeket is hozzá kell rendelnie az adatokhoz való hozzáféréshez. A megosztási szintű engedély-hozzárendelés az Azure RBAC-modellen megy keresztül. A fájl-/címtárszintű engedély Windows ACL-ként van kezelve.

    Feljegyzés

    Az Azure-fájlmegosztásokhoz való hozzáférés mindig hitelesítve van. Az Azure-fájlmegosztások nem támogatják a névtelen hozzáférést. Az identitásalapú SMB-hitelesítés mellett a felhasználók a tárelérési kulcs és a közös hozzáférésű jogosultságkód használatával is hitelesíthetik magukat az Azure-fájlmegosztásban.

  • Az Azure-fájlmegosztásban tárolt összes adat titkosítva van az Azure Storage Service titkosításával (S Standard kiadás). Az S Standard kiadás a Windows BitLocker meghajtótitkosításához hasonlóan működik, ahol az adatok titkosítása a fájlrendszer szintjén történik. Az Azure Filesban tárolt adatok alapértelmezés szerint Microsoft által felügyelt kulcsokkal lesznek titkosítva. A Microsoft által felügyelt kulcsokkal a Microsoft kezeli az adatok titkosításához/visszafejtéséhez és rendszeres rotálásuk kezeléséhez szükséges kulcsokat. Saját kulcsokat is kezelhet, így szabályozhatja a forgatási folyamatot.

  • Minden Azure Storage-fiók alapértelmezés szerint engedélyezve van az átvitel közbeni titkosítással. Ez a beállítás azt jelenti, hogy az Azure-fájlmegosztásokkal folytatott összes kommunikáció titkosítva van. Azok az ügyfelek, amelyek nem támogatják a titkosítást, nem tudnak csatlakozni az Azure-fájlmegosztásokhoz. Ha az átvitel közben letiltja a titkosítást, a régebbi operációs rendszereket futtató ügyfelek, például a Windows Server 2008 R2 vagy a régebbi Linux is csatlakozhatnak. Ilyen esetekben az adatok nem lesznek titkosítva az Azure-fájlmegosztásokból való átvitel során.

  • Alapértelmezés szerint az ügyfelek bárhonnan csatlakozhatnak az Azure-fájlmegosztáshoz. Ha korlátozni szeretné azokat a hálózatokat, amelyekből az ügyfelek azure-fájlmegosztásokhoz csatlakozhatnak, konfigurálja a tűzfalat, a virtuális hálózatokat és a privát végpontkapcsolatokat. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása, valamint Az Azure Files hálózati végpontjainak konfigurálása.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése és az Azure Files számlázásának ismertetése.

  • Az Azure Files két tárolási szinttel és két tarifamodellel rendelkezik:
    • Standard tárolás: HDD-alapú tárolást használ. Nincs minimális fájlmegosztási méret, és csak a használt tárterületért kell fizetnie. Emellett fizetnie kell a fájlműveletekért, például a címtárak számbavételéért vagy egy fájl olvasásáért.
    • Prémium szintű tárolás: SSD-alapú tárolást használ. A prémium szintű fájlmegosztások minimális mérete 100 gibibyte, és kiépített tárterületenként kell fizetnie. Prémium szintű tárolás használatakor minden fájlművelet ingyenes.
  • A további költségek a fájlmegosztás pillanatképeivel és a kimenő adatátvitelekkel vannak társítva. (Az Azure-fájlmegosztások adatainak átvitele esetén a bejövő adatátvitel ingyenes.) Az adatátviteli költségek az átvitt adatok mennyiségétől és a virtuális hálózati átjáró készletmegőrzési egységétől (SKU) függnek, ha használ egyet. A költségekkel kapcsolatos további információkért tekintse meg az Azure Files díjszabását és az Azure Díjszabás kalkulátorát. A tényleges költség az Azure-régiótól és az ön egyedi szerződésétől függően változik. Az árakkal kapcsolatos további információkért lépjen kapcsolatba a Microsoft értékesítési képviselőjével.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

További információ az összetevők technológiáiról:

  • Azure-fájlmegosztás létrehozása az SMB-megosztás használatának megkezdéséhez.
  • NFS-megosztás létrehozása az NFS-csatlakoztatási megosztás használatának első lépéseihez.

Ismerkedjen meg a kapcsolódó architektúrákkal: