Az Azure File Sync hálózattal kapcsolatos szempontjai
Az Azure-fájlmegosztásokhoz kétféleképpen csatlakozhat:
- A megosztás elérése közvetlenül az SMB vagy a FileREST protokollon keresztül. Ez a hozzáférési minta elsősorban a lehető legtöbb helyszíni kiszolgáló eltávolítására szolgál.
- Az Azure-fájlmegosztás gyorsítótárának létrehozása helyszíni kiszolgálón (vagy Azure-beli virtuális gépen) az Azure File Sync használatával, és a fájlmegosztás adatainak elérése a helyszíni kiszolgálóról az Ön által választott protokollal (SMB, NFS, FTPS stb.) a használati esethez. Ez a hozzáférési minta hasznos, mert a helyszíni teljesítmény, a felhőbeli skálázás és a kiszolgáló nélküli csatolható szolgáltatások, például az Azure Backup legjobbjait egyesíti.
Ez a cikk azt ismerteti, hogyan konfigurálhatja a hálózatkezelést, amikor a használati eset az Azure File Sync használatával kéri a helyszíni fájlok gyorsítótárazását, és nem közvetlenül csatlakoztatja az Azure-fájlmegosztást SMB-n keresztül. Az Azure Files üzembe helyezésével kapcsolatos hálózati szempontokról az Azure Files hálózatkezelési szempontjait ismertető cikkben talál további információt.
Az Azure File Sync hálózati konfigurációja két különböző Azure-objektumra terjed ki: a Storage Sync Szolgáltatásra és egy Azure Storage-fiókra. A tárfiókok olyan felügyeleti szerkezetek, amelyek egy megosztott tárolókészletet jelölnek, amelyben több fájlmegosztást, valamint más tárolási erőforrásokat, például blobtárolókat vagy üzenetsorokat helyezhet üzembe. A Társzinkronizálási szolgáltatás olyan felügyeleti szerkezet, amely a regisztrált kiszolgálókat jelöli, amelyek olyan Windows-fájlkiszolgálók, amelyek az Azure File Synctel fennálló megbízhatósági kapcsolatban állnak, és szinkronizálási csoportok, amelyek meghatározzák a szinkronizálási kapcsolat topológiáját.
Fontos
Az Azure File Sync nem támogatja az internetes útválasztást. Az Azure File Sync az alapértelmezett útválasztási beállítást, a Microsoft-útválasztás támogatja.
Windows-fájlkiszolgáló Csatlakozás azure-ba az Azure File Sync használatával
Az Azure Files és az Azure File Sync helyszíni Windows-fájlkiszolgálóval való beállításához és használatához nincs szükség az Azure-ba irányuló speciális hálózatkezelésre az alapszintű internetkapcsolaton túl. Az Azure File Sync üzembe helyezéséhez telepítse az Azure File Sync-ügynököt az Azure-ral szinkronizálni kívánt Windows-fájlkiszolgálóra. Az Azure File Sync-ügynök két csatornán keresztül éri el a szinkronizálást egy Azure-fájlmegosztással:
- Az Azure-fájlmegosztás eléréséhez használt HTTPS-alapú FileREST protokoll. Mivel a FileREST-protokoll a szabványos HTTPS-protokollt használja az adatátvitelhez, csak a 443-as portnak kell elérhetőnek lennie a kimenő kapcsolatokhoz. Az Azure File Sync nem használja az SMB protokollt az adatok átvitelére a helyszíni Windows-kiszolgálók és az Azure-fájlmegosztás között.
- Az Azure File Sync szinkronizálási protokollja, amely egy HTTPS-alapú protokoll, amely a szinkronizálási ismeretek cseréjére szolgál, azaz a környezet végpontjai közötti fájlokra és mappákra vonatkozó verzióinformációkra. Ez a protokoll a környezet fájljaival és mappáival kapcsolatos metaadatok cseréjére is használható, például időbélyegek és hozzáférés-vezérlési listák (ACL-ek).
Mivel az Azure Files közvetlen SMB-protokoll-hozzáférést biztosít az Azure-fájlmegosztásokhoz, az ügyfelek gyakran felmerülnek a kérdésben, hogy speciális hálózatkezelést kell-e konfigurálniuk az Azure-fájlmegosztások csatlakoztatásához az Azure File Sync-ügynök SMB-jét használva a hozzáféréshez. Ez nem kötelező, és a rendszergazdai forgatókönyvek kivételével elriasztja, mivel nem észlelhető gyors változásészlelés az Azure-fájlmegosztáson végrehajtott módosításokon (előfordulhat, hogy a módosítások az Azure-fájlmegosztás méretétől és számától függően 24 óránál hosszabb ideig nem észlelhetők). Ha közvetlenül az Azure-fájlmegosztást szeretné használni, azaz nem az Azure File Syncet használja a helyszíni gyorsítótárazáshoz, tekintse meg az Azure Files hálózatkezelési áttekintését.
Bár az Azure File Sync nem igényel speciális hálózati konfigurációt, egyes ügyfelek speciális hálózati beállításokat is konfigurálhatnak a következő forgatókönyvek engedélyezéséhez:
- Együttműködik a szervezet proxykiszolgálójának konfigurációjával.
- Nyissa meg a szervezet helyszíni tűzfalát az Azure Files és az Azure File Sync szolgáltatásban.
- Azure Files és Azure File Sync-forgalom bújtatása ExpressRoute-on vagy VPN-kapcsolaton keresztül.
Proxykiszolgálók konfigurálása
Számos szervezet proxykiszolgálót használ közvetítőként a helyszíni hálózatán belüli erőforrások és a hálózaton kívüli erőforrások között, például az Azure-ban. A proxykiszolgálók számos alkalmazáshoz hasznosak, például a hálózatelkülönítéshez és a biztonsághoz, valamint a figyeléshez és naplózáshoz. Az Azure File Sync teljes mértékben együttműködhet egy proxykiszolgálóval, azonban manuálisan kell konfigurálnia a környezet proxyvégpont-beállításait az Azure File Sync használatával. Ezt a PowerShell-lel kell elvégezni az Azure File Sync-kiszolgáló parancsmagjának Set-StorageSyncProxyConfigurationhasználatával.
További információ az Azure File Sync proxykiszolgálóval való konfigurálásáról: Az Azure File Sync konfigurálása proxykiszolgálóval.
Tűzfalak és szolgáltatáscímkék konfigurálása
Számos szervezet biztonsági okokból elkülöníti a fájlkiszolgálókat a legtöbb internetes helyről. Az Azure File Sync ilyen környezetben való használatához konfigurálnia kell a tűzfalat, hogy engedélyezze a kimenő hozzáférést az Azure-szolgáltatások kiválasztásához. Ezt úgy teheti meg, hogy engedélyezi a 443-os port kimenő elérését az adott Azure-szolgáltatásokat üzemeltető szükséges felhővégpontokhoz, ha a tűzfal támogatja az URL-címeket/tartományokat. Ha nem, a szolgáltatáscímkéken keresztül lekérheti ezeknek az Azure-szolgáltatásoknak az IP-címtartományait.
Az Azure File Synchez a következő szolgáltatások IP-címtartományai szükségesek, amelyeket a szolgáltatáscímkék azonosítanak:
| Szolgáltatás | Leírás | Szolgáltatáscímke |
|---|---|---|
| Azure File Sync | A Storage Sync Service objektum által képviselt Azure File Sync szolgáltatás felelős az adatok Azure-fájlmegosztások és Windows-fájlkiszolgálók közötti szinkronizálásának alapvető tevékenységéért. | StorageSyncService |
| Azure Files | Az Azure File Sync használatával szinkronizált összes adat az Azure-fájlmegosztásban van tárolva. A Windows-fájlkiszolgálókon módosított fájlok replikálódnak az Azure-fájlmegosztásba, a helyszíni fájlkiszolgálón rétegzett fájlok pedig zökkenőmentesen letöltődnek, amikor egy felhasználó kéri őket. | Storage |
| Azure Resource Manager | Az Azure Resource Manager az Azure felügyeleti felülete. Minden felügyeleti hívás, beleértve az Azure File Sync-kiszolgáló regisztrációt és a szinkronizálási kiszolgáló folyamatban lévő feladatait, az Azure Resource Manageren keresztül történik. | AzureResourceManager |
| Microsoft Entra ID | A Microsoft Entra ID (korábbi nevén Azure AD) tartalmazza azokat a felhasználói tagokat, amelyek szükségesek ahhoz, hogy a kiszolgálóregisztráció engedélyezhető legyen a Storage Sync szolgáltatáson, valamint azOkat a szolgáltatásneveket, amelyek szükségesek ahhoz, hogy az Azure File Sync hozzáférhessen a felhőbeli erőforrásokhoz. | AzureActiveDirectory |
Ha az Azure File Syncet használja az Azure-ban, még akkor is, ha az egy másik régióban található, a szolgáltatáscímke nevét közvetlenül a hálózati biztonsági csoportban is használhatja a szolgáltatás felé történő forgalom engedélyezéséhez. További tudnivalókért lásd: Hálózati biztonsági csoportok.
Ha helyszíni Azure File Syncet használ, a szolgáltatáscímke API-val konkrét IP-címtartományokat kérhet le a tűzfal engedélyezési listájához. Ez az információ két módon szerezhető be:
- A szolgáltatáscímkéket támogató összes Azure-szolgáltatás IP-címtartományainak aktuális listája hetente van közzétéve a Microsoft Letöltőközpontban, JSON-dokumentum formájában. Minden Azure-felhő saját JSON-dokumentummal rendelkezik, amely az adott felhőhöz kapcsolódó IP-címtartományokkal rendelkezik:
- A szolgáltatáscímke-felderítési API (előzetes verzió) segítségével programozottan lekérhető az szolgáltatáscímkék aktuális listája. Az előzetes verziójú szolgáltatáscímke-felderítési API által visszaadott információk esetenként kevésbé aktuálisak, mint a Microsoft Letöltőközpontban közzétett JSON-dokumentumokból származók. Az API-felületet az automatizálási beállítások alapján használhatja:
Ha többet szeretne megtudni arról, hogyan használhatja a szolgáltatáscímke API-t a szolgáltatások címeinek lekérésére, tekintse meg az Azure File Sync IP-címeinek engedélyezési listáját.
Forgalom bújtatása virtuális magánhálózaton vagy ExpressRoute-on keresztül
Egyes szervezetek megkövetelik az Azure-ral való kommunikációt egy hálózati alagúton, például egy virtuális magánhálózaton (VPN) vagy az ExpressRoute-on keresztül egy további biztonsági réteg biztosításához, vagy annak biztosításához, hogy az Azure-ral folytatott kommunikáció egy determinisztikus útvonalat kövessen.
Amikor hálózati alagutat hoz létre a helyszíni hálózat és az Azure között, a helyszíni hálózatot egy vagy több Azure-beli virtuális hálózattal társviszonyba hozza. A virtuális hálózatok vagy virtuális hálózatok hasonlóak a helyszínen üzemeltetett hagyományos hálózatokhoz. Az Azure Storage-fiókhoz vagy egy Azure-beli virtuális géphez hasonlóan a virtuális hálózat egy Azure-erőforrás, amely egy erőforráscsoportban van üzembe helyezve.
Az Azure Files és az Azure File Sync a következő mechanizmusokat támogatja a helyszíni kiszolgálók és az Azure közötti forgalom bújtatásához:
Azure VPN Gateway: A VPN-átjáró egy adott típusú virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy másik hely (például helyszíni) között az interneten keresztül. Az Azure VPN Gateway egy Azure-erőforrás, amely egy tárfiók vagy más Azure-erőforrás mellett üzembe helyezhető egy erőforráscsoportban. Mivel az Azure File Sync helyszíni Windows-fájlkiszolgálóval használható, általában helyek közötti (S2S) VPN-t használna, bár technikailag lehetséges pont–hely (P2S) VPN használata.
A helyek közötti (S2S) VPN-kapcsolatok összekapcsolják az Azure-beli virtuális hálózatot és a szervezet helyszíni hálózatát. Az S2S VPN-kapcsolat lehetővé teszi a VPN-kapcsolat egyszeri konfigurálását a szervezet hálózatán üzemeltetett VPN-kiszolgálóhoz vagy eszközhöz, ahelyett, hogy minden olyan ügyféleszközt használ, amelyhez hozzá kell férnie az Azure-fájlmegosztáshoz. Az S2S VPN-kapcsolat üzembe helyezésének egyszerűsítése érdekében lásd : Helyek közötti (S2S) VPN konfigurálása az Azure Fileshoz való használatra.
ExpressRoute, amely lehetővé teszi egy meghatározott útvonal (privát kapcsolat) létrehozását az Azure és a helyszíni hálózat között, amely nem lépi át az internetet. Mivel az ExpressRoute dedikált útvonalat biztosít a helyszíni adatközpont és az Azure között, az ExpressRoute hasznos lehet, ha a hálózati teljesítmény kulcsfontosságú szempont. Az ExpressRoute akkor is jó választás, ha a szervezet szabályzata vagy szabályozási követelményei determinisztikus elérési utat igényelnek a felhőbeli erőforrásokhoz.
Private endpoints
Az Azure Files és az Azure File Sync által a tárfiókon és a társzinkronizálási szolgáltatáson keresztül biztosított alapértelmezett nyilvános végpontokon kívül a szolgáltatások erőforrásonként egy vagy több privát végpont használatát is lehetővé teszik, amelyekkel privát módon és biztonságosan csatlakozhat az Azure-fájlmegosztásokhoz a helyszínről VPN vagy ExpressRoute használatával, illetve egy Azure-beli virtuális hálózatból. Amikor privát végpontot hoz létre egy Azure-erőforráshoz, az a virtuális hálózat címteréből kap egy privát IP-címet, hasonlóan ahhoz, ahogyan a helyszíni Windows-fájlkiszolgáló rendelkezik IP-címmel a helyszíni hálózat dedikált címterében.
Fontos
Ahhoz, hogy privát végpontokat használhasson a Storage Sync Service-erőforráson, az Azure File Sync-ügynök 10.1-es vagy újabb verzióját kell használnia. A 10.1-et megelőző ügynökverziók nem támogatják a privát végpontokat a Társzinkronizálási szolgáltatásban. Minden korábbi ügynökverzió támogatja a tárfiók-erőforrás privát végpontjait.
Egy egyéni privát végpont egy adott Azure-beli virtuális hálózati alhálózathoz van társítva. A tárfiókok és a Társzinkronizálási szolgáltatások több virtuális hálózaton is lehetnek privát végpontokkal.
A privát végpontok használata lehetővé teszi a következőket:
- Biztonságosan csatlakozhat azure-erőforrásaihoz helyszíni hálózatokról VPN- vagy ExpressRoute-kapcsolattal privát társviszony-létesítéssel.
- Az Azure-erőforrások védelme az Azure Files és a Fájlszinkronizálás nyilvános végpontjainak letiltásával. A privát végpontok létrehozása alapértelmezés szerint nem blokkolja a nyilvános végponttal létesített kapcsolatokat.
- A virtuális hálózat biztonságának növelése a virtuális hálózat (és a társhálózati határok) adatszivárgásának letiltásával.
Privát végpont létrehozásához lásd : Privát végpontok konfigurálása az Azure File Synchez.
Privát végpontok és DNS
Privát végpont létrehozásakor alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk (vagy frissítünk). A nyilvános felhőrégiók esetében ezek a DNS-zónák az Azure Fileshoz és privatelink.afs.azure.net az Azure File Synchez tartoznakprivatelink.file.core.windows.net.
Megjegyzés:
Ez a cikk a tárfiók DNS-utótagját használja az Azure nyilvános régióihoz. core.windows.net Ez a kommentár olyan Azure Szuverén felhőkre is vonatkozik, mint az Azure US Government felhő és a 21Vianet-felhő által üzemeltetett Microsoft Azure – csak cserélje le a környezetének megfelelő utótagokat.
Amikor privát végpontokat hoz létre egy tárfiókhoz és egy társzinkronizálási szolgáltatáshoz, létrehozunk számukra egy rekordot a saját privát DNS-zónáikban. A nyilvános DNS-bejegyzést úgy is frissítjük, hogy a normál teljes tartománynevek CNAME-k legyenek a megfelelő privatelink névhez. Ez lehetővé teszi, hogy a teljes tartománynevek a privát végpont IP-címére (ip-címére) mutasson, amikor a kérelmező a virtuális hálózaton belül van, és a nyilvános végpont IP-címére(ek) mutasson, amikor a kérelmező a virtuális hálózaton kívül van.
Az Azure Files esetében minden privát végpont egyetlen teljes tartománynévvel rendelkezik, a minta storageaccount.privatelink.file.core.windows.netalapján, amely a privát végpont egyetlen privát IP-címére van leképezve. Az Azure File Sync esetében minden privát végpont négy teljes tartománynévvel rendelkezik a négy különböző végponthoz, amelyeket az Azure File Sync elérhetővé tesz: felügyelet, szinkronizálás (elsődleges), szinkronizálás (másodlagos) és figyelés. A végpontok teljes tartománynevei általában a Storage Sync Service nevét követik, kivéve, ha a név nem ASCII-karaktereket tartalmaz. Ha például a Társzinkronizálási szolgáltatás neve az USA 2. nyugati régiójában találhatómysyncservice, az egyenértékű végpontok mysyncservicemanagement.westus2.afs.azure.neta , mysyncservicesyncp.westus2.afs.azure.netés mysyncservicesyncs.westus2.afs.azure.netmysyncservicemonitoring.westus2.afs.azure.net. A Társzinkronizálási szolgáltatás minden privát végpontja 4 különböző IP-címet tartalmaz.
Mivel az Azure privát DNS-zónája a privát végpontot tartalmazó virtuális hálózathoz csatlakozik, a DNS-konfigurációt akkor figyelheti meg, ha meghívja a Resolve-DnsName parancsmagot a PowerShellből egy Azure-beli virtuális gépen (alternatív megoldásként nslookup Windowsban és Linuxon):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Ebben a példában a tárfiók storageaccount.file.core.windows.net a privát végpont privát IP-címére kerül, amely történetesen az .192.168.0.4
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Ha ugyanazt a parancsot futtatja a helyszínen, látni fogja, hogy ugyanaz a tárfióknév a tárfiók nyilvános IP-címére lesz feloldva; storageaccount.file.core.windows.net egy CNAME rekord storageaccount.privatelink.file.core.windows.net, amely viszont a tárfiókot üzemeltető Azure Storage-fürt CNAME rekordja:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Ez azt a tényt tükrözi, hogy az Azure Files és az Azure File Sync közzéteheti a nyilvános végpontokat és az erőforrásonkénti egy vagy több privát végpontot is. Annak érdekében, hogy az erőforrások teljes tartománynevei feloldódjanak a privát végpontok privát IP-címeire, módosítania kell a konfigurációt a helyszíni DNS-kiszolgálókon. Ez többféleképpen is elvégezhető:
- Az ügyfelek gazdagépfájljának módosítása, hogy a tárfiókok és a Storage Sync Services teljes tartományneveit feloldja a kívánt magánhálózati IP-címekre. Ez éles környezetekben erősen elriasztja, mivel ezeket a módosításokat minden olyan ügyfélen végre kell hoznia, amelynek hozzá kell férnie a privát végpontokhoz. A rendszer nem kezeli automatikusan a privát végpontok/erőforrások módosításait (törléseket, módosításokat stb.).
- DNS-zónák létrehozása a helyszíni kiszolgálókon
privatelink.file.core.windows.netaz Azure-erőforrások A rekordjaihoz ésprivatelink.afs.azure.netrekordjaihoz. Ennek az az előnye, hogy a helyszíni környezetben lévő ügyfelek automatikusan fel tudják oldani az Azure-erőforrásokat anélkül, hogy minden ügyfelet konfigurálnia kellene, azonban ez a megoldás hasonlóan törékeny a gazdagépfájl módosításához, mert a módosítások nem jelennek meg. Bár ez a megoldás törékeny, egyes környezetekhez ez lehet a legjobb választás. - Továbbítsa a
core.windows.nethelyszíni DNS-kiszolgálókról aafs.azure.netzónákat az Azure privát DNS-zónájára. Az Azure privát DNS-gazdagépe egy speciális IP-címen (168.63.129.16) keresztül érhető el, amely csak az Azure privát DNS-zónához csatolt virtuális hálózatokon belül érhető el. A korlátozás megkerüléséhez további DNS-kiszolgálókat is futtathat a virtuális hálózaton belül, amelyek továbbítjákcore.windows.netésafs.azure.nettovábbítják az azure-beli privát DNS-zónákat. A beállítás egyszerűsítése érdekében olyan PowerShell-parancsmagokat biztosítottunk, amelyek automatikusan üzembe helyezik a DNS-kiszolgálókat az Azure-beli virtuális hálózaton, és igény szerint konfigurálják őket. A DNS-továbbítás beállításának megismeréséhez tekintse meg a DNS konfigurálása az Azure Files használatával című témakört.
Titkosítás az átvitel során
Csatlakozás Azure File Sync-ügynökből az Azure-fájlmegosztásba vagy a Storage Sync Service-be készült fájlok mindig titkosítva lesznek. Bár az Azure Storage-fiókok rendelkeznek olyan beállítással, amely letiltja a titkosítást az Azure Files felé irányuló kommunikációhoz (és a tárfiókon kívül felügyelt többi Azure Storage-szolgáltatáshoz), a beállítás letiltása nem befolyásolja az Azure File Sync titkosítását az Azure Files szolgáltatással folytatott kommunikáció során. Alapértelmezés szerint minden Azure Storage-fiók rendelkezik az átvitel közbeni titkosítással.
Az átvitel közbeni titkosítással kapcsolatos további információkért lásd : biztonságos átvitel megkövetelése az Azure Storage-ban.