Considerazioni di rete per Sincronizzazione file di AzureAzure File Sync networking considerations

È possibile connettersi a una condivisione file di Azure in due modi:You can connect to an Azure file share in two ways:

  • Accedendo direttamente alla condivisione tramite protocolli SMB o FileREST.Accessing the share directly via the SMB or FileREST protocols. Questo modello di accesso viene usato principalmente per eliminare il maggior numero possibile di server locali.This access pattern is primarily employed when to eliminate as many on-premises servers as possible.
  • Creando una cache della condivisione file di Azure in un server locale o in una VM di Azure con Sincronizzazione file di Azure e accedendo ai dati della condivisione file dal server locale con un protocollo a scelta (SMB, NFS, FTPS e così via) in base al caso d'uso specifico.Creating a cache of the Azure file share on an on-premises server (or on an Azure VM) with Azure File Sync, and accessing the file share's data from the on-premises server with your protocol of choice (SMB, NFS, FTPS, etc.) for your use case. Questo modello di accesso è utile perché rappresenta la combinazione ideale tra prestazioni locali, scalabilità del cloud e servizi collegabili in modalità serverless, ad esempio Backup di Azure.This access pattern is handy because it combines the best of both on-premises performance and cloud scale and serverless attachable services, such as Azure Backup.

Questo articolo è incentrato sulla configurazione della rete per i casi d'uso che richiedono l'uso di Sincronizzazione file di Azure per memorizzare i file nella cache in locale invece di montare direttamente la condivisione file di Azure tramite SMB.This article focuses on how to configure networking for when your use case calls for using Azure File Sync to cache files on-premises rather than directly mounting the Azure file share over SMB. Per altre informazioni sulle considerazioni di rete per una distribuzione di File di Azure, vedere Considerazioni sulla rete per File di Azure.For more information about networking considerations for an Azure Files deployment, see Azure Files networking considerations.

La configurazione di rete per Sincronizzazione file di Azure riguarda due oggetti di Azure diversi, ovvero un servizio di sincronizzazione archiviazione e un account di archiviazione di Azure.Networking configuration for Azure File Sync spans two different Azure objects: a Storage Sync Service and an Azure storage account. Un account di archiviazione è un costrutto di gestione che rappresenta un pool di archiviazione condiviso in cui è possibile distribuire più condivisioni file oltre ad altre risorse di archiviazione, ad esempio contenitori BLOB o code.A storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Il servizio di sincronizzazione archiviazione è un costrutto di gestione che rappresenta i server registrati, ovvero file server Windows con una relazione di trust stabilita con Sincronizzazione file di Azure, e i gruppi di sincronizzazione, che definiscono la topologia della relazione di sincronizzazione.A Storage Sync Service is a management construct that represents registered servers, which are Windows file servers with an established trust relationship with Azure File Sync, and sync groups, which define the topology of the sync relationship.

Connessione del file server Windows ad Azure con Sincronizzazione file di AzureConnecting Windows file server to Azure with Azure File Sync

Per configurare e usare File di Azure e Sincronizzazione file di Azure con un file server Windows locale, non è necessaria alcuna rete speciale in Azure oltre a una connessione Internet di base.To set up and use Azure Files and Azure File Sync with an on-premises Windows file server, no special networking to Azure is required beyond a basic internet connection. Per distribuire Sincronizzazione file di Azure, installare il relativo agente nel file server Windows da sincronizzare con Azure.To deploy Azure File Sync, you install the Azure File Sync agent on the Windows file server you would like to sync with Azure. L'agente di Sincronizzazione file di Azure esegue la sincronizzazione con una condivisione file di Azure tramite due canali:The Azure File Sync agent achieves synchronization with an Azure file share via two channels:

  • Il protocollo FileREST, basato su HTTPS, per l'accesso alla condivisione file di Azure.The FileREST protocol, which is an HTTPS-based protocol for accessing your Azure file share. Poiché il protocollo FileREST usa HTTPS standard per il trasferimento dei dati, solo la porta 443 deve essere accessibile in uscita.Because the FileREST protocol is uses standard HTTPS for data transfer, only port 443 must be accessible outbound. Sincronizzazione file di Azure non usa il protocollo SMB per trasferire i dati dai server Windows locali alla condivisione file di Azure.Azure File Sync does not use the SMB protocol to transfer data from your on-premises Windows Servers to your Azure file share.
  • Il protocollo di Sincronizzazione file di Azure, basato su HTTPS, per lo scambio di informazioni di sincronizzazione, ovvero informazioni sulle versioni di file e cartelle dell'ambiente, tra gli endpoint dell'ambiente.The Azure File Sync sync protocol, which is an HTTPS-based protocol for exchanging synchronization knowledge, i.e. the version information about the files and folders in your environment, between endpoints in your environment. Questo protocollo viene usato anche per scambiare i metadati su file e cartelle dell'ambiente, ad esempio timestamp ed elenchi di controllo di accesso (ACL).This protocol is also used to exchange metadata about the files and folders in your environment, such as timestamps and access control lists (ACLs).

Poiché File di Azure offre accesso diretto tramite protocollo SMB nelle condivisioni file di Azure, i clienti spesso si chiedono se è necessario configurare una rete speciale per montare le condivisioni file di Azure con SMB per consentire l'accesso dell'agente di Sincronizzazione file di Azure.Because Azure Files offers direct SMB protocol access on Azure file shares, customers often wonder if they need to configure special networking to mount the Azure file shares with SMB for the Azure File Sync agent to access. Questa operazione non solo non è necessaria, ma è anche sconsigliata, tranne che per scenari di amministrazione, perché non è possibile rilevare rapidamente le modifiche apportate direttamente alla condivisione file di Azure. Le modifiche potrebbero non essere rilevate per più di 24 ore, a seconda delle dimensioni e del numero di elementi della condivisione file di Azure.This is not only not required, but is also discouraged, except for administrator scenarios, due to the lack of quick change detection on changes made directly to the Azure file share (changes may not be discovered for more than 24 hours depending on the size and number of items in the Azure file share). Per usare direttamente la condivisione file di Azure, ovvero senza usare Sincronizzazione file di Azure per la memorizzazione nella cache in locale, vedere Panoramica della rete di File di Azure per altre informazioni sulle considerazioni di rete per l'accesso diretto.If you desire to use the Azure file share directly, i.e. not use Azure File Sync to cache on-premises, you can learn more about the networking considerations for direct access by consulting Azure Files networking overview.

Anche se Sincronizzazione file di Azure non richiede alcuna configurazione di rete speciale, i clienti potrebbero scegliere di configurare impostazioni di rete avanzate per gli scenari seguenti:Although Azure File Sync does not require any special networking configuration, some customers may wish to configure advanced networking settings to enable the following scenarios:

  • Interoperabilità con la configurazione del server proxy dell'organizzazione.Interoperating with your organization's proxy server configuration.
  • Aprire il firewall locale dell'organizzazione per i servizi File di Azure e Sincronizzazione file di Azure.Open your organization's on-premises firewall to the Azure Files and Azure File Sync services.
  • Impostare il tunneling di File di Azure e Sincronizzazione file di Azure tramite ExpressRoute o una connessione VPN.Tunnel Azure Files and Azure File Sync over ExpressRoute or a VPN connection.

Configurazione dei server proxyConfiguring proxy servers

Molte organizzazioni usano un server proxy come intermediario tra le risorse interne alla rete locale e le risorse esterne, ad esempio in Azure.Many organizations use a proxy server as an intermediary between resources inside their on-premises network and resources outside their network, such as in Azure. I server proxy sono utili per molte applicazioni, ad esempio l'isolamento e la sicurezza della rete, oltre al monitoraggio e alla registrazione.Proxy servers are useful for many applications such as network isolation and security, and monitoring and logging. Sincronizzazione file di Azure è completamente interoperabile con un server proxy, ma è necessario configurare manualmente le impostazioni dell'endpoint proxy per l'ambiente con Sincronizzazione file di Azure. Questa operazione deve essere eseguita tramite PowerShell usando i cmdlet server di Sincronizzazione file di Azure.Azure File Sync can interoperate fully with a proxy server, however you must manually configure the proxy endpoint settings for your environment with Azure File Sync. This must be done via PowerShell using the Azure File Sync server cmdlets.

Per altre informazioni su come configurare Sincronizzazione file di Azure con un server proxy, vedere Configurazione di Sincronizzazione file di Azure con un server proxy.For more information on how to configure Azure File Sync with a proxy server, see Configuring Azure File Sync with a proxy server.

Configurazione di firewall e tag di servizioConfiguring firewalls and service tags

È possibile isolare i file server dalla maggior parte dei percorsi Internet per motivi di sicurezza.You may isolate your file servers from most internet location for security purposes. Per usare Sincronizzazione file di Azure nell'ambiente, è necessario modificare il firewall per aprirlo per determinati servizi di Azure.To use Azure File Sync in your environment, you need to adjust your firewall to open it up to select Azure services. A tale scopo, è possibile recuperare gli intervalli di indirizzi IP per i servizi richiesti tramite il meccanismo dei tag di servizio.You can do this by retrieving the IP address ranges for the services you required through a mechanism called service tags.

Sincronizzazione file di Azure richiede gli intervalli di indirizzi IP per i servizi seguenti, identificati dai rispettivi tag del servizio:Azure File Sync requires the IP address ranges for the following services, as identified by their service tags:

ServiceService DescrizioneDescription Tag di servizioService tag
Sincronizzazione file di AzureAzure File Sync Il servizio Sincronizzazione file di Azure, rappresentato dall'oggetto servizio di sincronizzazione archiviazione, è responsabile dell'attività principale di sincronizzazione dei dati tra una condivisione file di Azure e una file server Windows.The Azure File Sync service, as represented by the Storage Sync Service object, is responsible for the core activity of syncing data between an Azure file share and a Windows file server. StorageSyncService
File di AzureAzure Files Tutti i dati sincronizzati tramite Sincronizzazione file di Azure vengono archiviati nella condivisione file di Azure.All data synchronized via Azure File Sync is stored in Azure file share. I file cambiati nei file server Windows vengono replicati nella condivisione file di Azure e i file suddivisi in livelli nel file server locale vengono scaricati facilmente quando un utente li richiede.Files changed on your Windows file servers are replicated to your Azure file share, and files tiered on your on-premises file server are seamlessly downloaded when a user requests them. Storage
Azure Resource ManagerAzure Resource Manager Azure Resource Manager è l'interfaccia di gestione per Azure.The Azure Resource Manager is the management interface for Azure. Tutte le chiamate di gestione, incluse le attività di registrazione e sincronizzazione ricorrente del server di Sincronizzazione file di Azure, vengono effettuate tramite Azure Resource Manager.All management calls, including Azure File Sync server registration and ongoing sync server tasks, are made through the Azure Resource Manager. AzureResourceManager
Azure Active DirectoryAzure Active Directory Azure Active Directory, o Azure AD, contiene le entità utente necessarie per autorizzare la registrazione server per un servizio di sincronizzazione archiviazione, oltre alle entità servizio necessarie per autorizzare l'accesso di Sincronizzazione file di Azure alle risorse cloud.Azure Active Directory, or Azure AD, contains the user principals required to authorize server registration against a Storage Sync Service, and the service principals required for Azure File Sync to be authorized to access your cloud resources. AzureActiveDirectory

Se si usa Sincronizzazione file di Azure all'interno di Azure, anche in un'area diversa, è possibile usare il nome del tag di servizio direttamente nel gruppo di sicurezza di rete per consentire il traffico verso tale servizio.If you are using Azure File Sync within Azure, even if its a different region, you can use the name of the service tag directly in your network security group to allow traffic to that service. Per altre informazioni, vedere Gruppi di sicurezza di rete.To learn more about how to do this, see Network security groups.

Se si usa Sincronizzazione file di Azure in locale, è possibile usare l'API dei tag di servizio per ottenere gli specifici intervalli di indirizzi IP per l'elenco di elementi consentiti del firewall.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Per recuperare queste informazioni, sono disponibili due metodi:There are two methods for getting this information:

  • L'elenco corrente degli intervalli di indirizzi IP per tutti i servizi di Azure che supportano i tag di servizio viene pubblicato settimanalmente nell'Area download Microsoft sotto forma di documento JSON.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Ogni cloud di Azure è associato a uno specifico documento JSON con gli intervalli di indirizzi IP pertinenti:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • L'API di individuazione di tag di servizio (anteprima) consente il recupero a livello di codice dell'elenco corrente di tag di servizio.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. Nella versione di anteprima questa API potrebbe restituire informazioni meno aggiornate di quelle restituite dai documenti JSON pubblicati nell'Area download Microsoft.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. È possibile usare la superficie dell'API in base alle preferenze di automazione:You can use the API surface based on your automation preference:

Per altre informazioni su come usare l'API dei tag di servizio per recuperare gli indirizzi dei servizi, vedere Elenco di elementi consentiti per gli indirizzi IP di Sincronizzazione file di Azure.To learn more about how to use the service tag API to retrieve the addresses of your services, see Allow list for Azure File Sync IP addresses.

Tunneling del traffico su una rete privata virtuale o ExpressRouteTunneling traffic over a virtual private network or ExpressRoute

Alcune organizzazioni richiedono che la comunicazione con Azure passi attraverso un tunnel di rete, ad esempio una VPN virtuale o ExpressRoute, per avere un livello aggiuntivo di sicurezza o per fare in modo che la comunicazione con Azure segua una route deterministica.Some organizations require communication with Azure to go over a network tunnel, such as a virtual private private network (VPN) or ExpressRoute, for an additional layer of security or to ensure communication with Azure follows a deterministic route.

Quando si stabilisce un tunnel di rete tra la rete locale e Azure, si esegue il peering della rete locale con una o più reti virtuali in Azure.When you establish a network tunnel between your on-premises network and Azure, you are peering your on-premises network with one or more virtual networks in Azure. Una rete virtuale è simile a una rete tradizionale gestita in locale.A virtual network, or VNet, is similar to a traditional network that you'd operate on-premises. Analogamente a un account di archiviazione o a una VM di Azure, una rete virtuale è una risorsa di Azure distribuita in un gruppo di risorse.Like an Azure storage account or an Azure VM, a VNet is an Azure resource that is deployed in a resource group.

File di Azure e Sincronizzazione file di Azure supportano i meccanismi seguenti per il tunneling del traffico tra server locali e Azure:Azure Files and File Sync support the following mechanisms to tunnel traffic between your on-premises servers and Azure:

  • Gateway VPN di Azure: un gateway VPN è un tipo specifico di gateway di rete virtuale, usato per inviare traffico crittografato tra una rete virtuale di Azure e una posizione alternativa, ad esempio l'ambiente locale, attraverso Internet.Azure VPN Gateway: A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an alternate location (such as on-premises) over the internet. Un gateway VPN di Azure è una risorsa di Azure che può essere distribuita in un gruppo di risorse insieme a un account di archiviazione o ad altre risorse di Azure.An Azure VPN Gateway is an Azure resource that can be deployed in a resource group along side of a storage account or other Azure resources. Poiché Sincronizzazione file di Azure è destinato a essere usato con un file server Windows locale, in genere si usa una VPN da sito a sito, anche se tecnicamente è possibile usare una VPN da punto a sito.Because Azure File Sync is meant to be used with an on-premises Windows file server, you would normally use a Site-to-Site (S2S) VPN, although it is technically possible to use a Point-to-Site (P2S) VPN.

    Le VPN da sito a sito connettono la rete virtuale di Azure e la rete locale dell'organizzazione.Site-to-Site (S2S) VPN connections connect your Azure virtual network and your organization's on-premises network. Una connessione VPN da sito a sito consente di configurare una connessione VPN una sola volta, per un dispositivo o un server VPN ospitato nella rete dell'organizzazione, invece che per ogni dispositivo client che ha la necessità di accedere alla condivisione file di Azure.A S2S VPN connection enables you to configure a VPN connection once, for a VPN server or device hosted on your organization's network, rather than doing for every client device that needs to access your Azure file share. Per semplificare la distribuzione di una connessione VPN da sito a sito, vedere Configurare una VPN da sito a sito per l'uso con File di Azure.To simplify the deployment of a S2S VPN connection, see Configure a Site-to-Site (S2S) VPN for use with Azure Files.

  • ExpressRoute, che consente di creare una route definita tra Azure e la rete locale che non attraversa Internet.ExpressRoute, which enables you to create a defined route between Azure and your on-premises network that doesn't traverse the internet. Fornendo un percorso dedicato tra il data center locale e Azure, ExpressRoute può risultare utile quando le prestazioni di rete rappresentano un aspetto da considerare.Because ExpressRoute provides a dedicated path between your on-premises datacenter and Azure, ExpressRoute may be useful when network performance is a consideration. ExpressRoute è un'opzione valida anche laddove i criteri dell'organizzazione o i requisiti ambientali impongono un percorso deterministico verso le risorse nel cloud.ExpressRoute is also a good option when your organization's policy or regulatory requirements require a deterministic path to your resources in the cloud.

Endpoint privatiPrivate endpoints

Oltre agli endpoint pubblici predefiniti forniti tramite l'account di archiviazione e il servizio di sincronizzazione archiviazione, File di Azure e Sincronizzazione file offrono la possibilità di avere uno o più endpoint privati per ogni risorsa.In addition to the default public endpoints Azure Files and File Sync provide through the storage account and Storage Sync Service, Azure Files and File Sync provides the option to have one or more private endpoints per resource. Un endpoint privato creato per una risorsa di Azure ottiene un indirizzo IP privato dallo spazio di indirizzi della rete virtuale, in modo simile a un file server Windows locale che riceve un indirizzo IP all'interno dello spazio di indirizzi dedicato della rete locale.When you create a private endpoint for an Azure resource, it gets a private IP address from within the address space of your virtual network, much like how your on-premises Windows file server has an IP address within the dedicated address space of your on-premises network.

Importante

Per usare endpoint privati nella risorsa servizio di sincronizzazione archiviazione, è necessario usare l'agente di Sincronizzazione file di Azure versione 10.1 o successiva.In order to use private endpoints on the Storage Sync Service resource, you must use Azure File Sync agent version 10.1 or greater. Le versioni dell'agente precedenti alla 10.1 non supportano gli endpoint privati nel servizio di sincronizzazione archiviazione.Agent versions prior to 10.1 do not support private endpoints on the Storage Sync Service. Tutte le versioni precedenti degli agenti supportano gli endpoint privati nella risorsa account di archiviazione.All prior agent versions support private endpoints on the storage account resource.

Un singolo endpoint privato è associato a una specifica subnet di rete virtuale di Azure.An individual private endpoint is associated with a specific Azure virtual network subnet. Un account di archiviazione e i servizi di sincronizzazione archiviazione possono avere endpoint privati in più reti virtuali.Storage accounts and Storage Sync Services may have private endpoints in more than one virtual network.

L'uso di endpoint privati consente di:Using private endpoints enables you to:

  • Connettersi in modo sicuro alle risorse di Azure da reti locali tramite una connessione VPN o ExpressRoute con peering privato.Securely connect to your Azure resources from on-premises networks using a VPN or ExpressRoute connection with private-peering.
  • Proteggere le risorse di Azure disabilitando gli endpoint pubblici per File di Azure e Sincronizzazione file. Per impostazione predefinita, la creazione di un endpoint privato non blocca le connessioni all'endpoint pubblico.Secure your Azure resources by disabling the the public endpoints for Azure Files and File Sync. By default, creating a private endpoint does not block connections to the public endpoint.
  • Aumentare la sicurezza per la rete virtuale consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale e dai limiti di peering.Increase security for the virtual network by enabling you to block exfiltration of data from the virtual network (and peering boundaries).

Per creare un endpoint privato, vedere Configurazione di endpoint privati per Sincronizzazione file di Azure.To create a private endpoint, see Configuring private endpoints for Azure File Sync.

Endpoint privati e DNSPrivate endpoints and DNS

Quando si crea un endpoint privato, per impostazione predefinita si crea anche una zona DNS privato (o se ne aggiorna una esistente) corrispondente al sottodominio privatelink.When you create a private endpoint, by default we also create a (or update an existing) private DNS zone corresponding to the privatelink subdomain. Per le aree del cloud pubblico, queste zone DNS sono privatelink.file.core.windows.net per File di Azure e privatelink.afs.azure.net per Sincronizzazione file di Azure.For public cloud regions, these DNS zones are privatelink.file.core.windows.net for Azure Files and privatelink.afs.azure.net for Azure File Sync.

Nota

Questo articolo usa il suffisso DNS dell'account di archiviazione per le aree pubbliche di Azure, core.windows.net.This article uses the storage account DNS suffix for the Azure Public regions, core.windows.net. Questo commento si applica anche ai cloud sovrani di Azure, ad esempio il cloud di Azure per il governo degli Stati Uniti e il cloud di Azure Cina. È sufficiente sostituire i suffissi appropriati per l'ambiente in uso.This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud and the Azure China cloud - just substitute the the appropriate suffixes for your environment.

Quando si creano endpoint privati per un account di archiviazione e un servizio di sincronizzazione archiviazione, viene creato un record A per le rispettive zone DNS privato.When you create private endpoints for a storage account and a Storage Sync Service, we create A records for them in their respective private DNS zones. Viene inoltre aggiornata la voce del DNS pubblico in modo che i nomi di dominio completi regolari siano di tipo CNAME per il nome di privatelink pertinente.We also update the public DNS entry such that the regular fully qualified domain names are CNAMEs for the relevant privatelink name. In questo modo i nomi di dominio completo puntano agli indirizzi IP degli endpoint privati quando il richiedente si trova all'interno della rete virtuale e agli indirizzi IP degli endpoint pubblici quando il richiedente si trova all'esterno.This enables the fully qualified domain names to point at the private endpoint IP address(es) when the requester is inside of the virtual network and to point at the public endpoint IP address(es) when the requester is outside of the virtual network.

Per File di Azure, ogni endpoint privato ha un singolo nome di dominio completo, seguendo il modello storageaccount.privatelink.file.core.windows.net, mappato a un indirizzo IP privato per l'endpoint privato.For Azure Files, each private endpoint has a single fully qualified domain name, following the pattern storageaccount.privatelink.file.core.windows.net, mapped to one private IP address for the private endpoint. Per Sincronizzazione file di Azure, ogni endpoint privato ha quattro nomi di dominio completi, per i quattro endpoint diversi esposti da Sincronizzazione file di Azure, ossia gestione, sincronizzazione (primaria), sincronizzazione (secondaria) e monitoraggio.For Azure File Sync, each private endpoint has four fully qualified domain names, for the four different endpoints that Azure File Sync exposes: management, sync (primary), sync (secondary), and monitoring. I nomi di dominio completi per questi endpoint seguiranno in genere il nome del servizio di sincronizzazione archiviazione, a meno che non contenga caratteri non ASCII.The fully qualified domain names for these endpoints will normally follow the the name of the Storage Sync Service unless the name contains non-ASCII characters. Se ad esempio il nome del servizio di sincronizzazione archiviazione è mysyncservice nell'area Stati Uniti occidentali 2, gli endpoint equivalenti saranno mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net e mysyncservicemonitoring.westus2.afs.azure.net.For example, if your Storage Sync Service name is mysyncservice in the West US 2 region, the equivalent endpoints would be mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net, and mysyncservicemonitoring.westus2.afs.azure.net. Ogni endpoint privato per un servizio di sincronizzazione archiviazione conterrà 4 indirizzi IP distinti.Each private endpoint for a Storage Sync Service will contain 4 distinct IP addresses.

Poiché la zona DNS privato di Azure è connessa alla rete virtuale contenente l'endpoint privato, è possibile osservare la configurazione DNS chiamando il cmdlet Resolve-DnsName da PowerShell in una VM di Azure (in alternativa nslookup in Windows e Linux):Since your Azure private DNS zone is connected to the virtual network containing the private endpoint, you can observe the DNS configuration when by calling the Resolve-DnsName cmdlet from PowerShell in an Azure VM (alternately nslookup in Windows and Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Per questo esempio, l'account di archiviazione storageaccount.file.core.windows.net viene risolto nell'indirizzo IP privato dell'endpoint privato, che è 192.168.0.4.For this example, the storage account storageaccount.file.core.windows.net resolves to the private IP address of the private endpoint, which happens to be 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Se si esegue lo stesso comando dall'ambiente locale, si noterà che lo stesso nome dell'account di archiviazione viene invece risolto nell'indirizzo IP pubblico dell'account di archiviazione; storageaccount.file.core.windows.net è un record CNAME per storageaccount.privatelink.file.core.windows.net, che a sua volta è un record CNAME per il cluster di archiviazione di Azure che ospita l'account di archiviazione:If you run the same command from on-premises, you'll see that the same storage account name resolves to the public IP address of the storage account instead; storageaccount.file.core.windows.net is a CNAME record for storageaccount.privatelink.file.core.windows.net, which in turn is a CNAME record for the Azure storage cluster hosting the storage account:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Ciò riflette il fatto che File di Azure e Sincronizzazione file di Azure possono esporre sia gli endpoint pubblici che uno o più endpoint privati per ogni risorsa.This reflects the fact that the Azure Files and Azure File Sync can expose both their public endpoints and one or more private endpoints per resource. Per assicurarsi che i nomi di dominio completi delle risorse si risolvano negli indirizzi IP privati degli endpoint privati, è necessario cambiare la configurazione nei server DNS locali.To ensure that the fully qualified domain names for your resources resolve to the private endpoints private IP addresses, you must change the configuration on your on-premises DNS servers. A questo scopo è possibile procedere in vari modi:This can be accomplished in several ways:

  • Modificare il file hosts nei client per risolvere i nomi di dominio completi per gli account di archiviazione e i servizi di sincronizzazione archiviazione negli indirizzi IP privati desiderati.Modifying the hosts file on your clients to make the fully qualified domain names for your storage accounts and Storage Sync Services resolve to the desired private IP addresses. Questa procedura è fortemente sconsigliata per gli ambienti di produzione, perché sarà necessario apportare le modifiche in ogni client che richiede l'accesso agli endpoint privati.This is strongly discouraged for production environments, since you will need make these changes to every client that needs to access your private endpoints. Le modifiche apportate alle risorse e agli endpoint privati (eliminazioni, modifiche e così via) non verranno gestite automaticamente.Changes to your private endpoints/resources (deletions, modifications, etc.) will not be automatically handled.
  • Creare zone DNS nei server locali per privatelink.file.core.windows.net e privatelink.afs.azure.net con i record A per le risorse di Azure.Creating DNS zones on your on-premises servers for privatelink.file.core.windows.net and privatelink.afs.azure.net with A records for your Azure resources. Questa opzione offre il vantaggio che è possibile risolvere automaticamente le risorse di Azure per i client nell'ambiente locale senza la necessità di configurarli singolarmente. Tuttavia, questa soluzione è altrettanto debole della modifica del file hosts, perché le modifiche non vengono rispecchiate.This has the advantage that clients in your on-premises environment will be able to automatically resolve Azure resources without needing to configure each client, however this solution is similarly brittle to modifying the hosts file because changes are not reflected. Ciononostante, potrebbe rivelarsi la scelta migliore per alcuni ambienti.Although this solution is brittle, it may be the best choice for some environments.
  • Inoltrare le zone core.windows.net e afs.azure.net dai server DNS locali alla zona DNS privato di Azure.Forward the core.windows.net and afs.azure.net zones from your on-premises DNS servers to your Azure private DNS zone. L'host DNS privato di Azure è raggiungibile tramite un indirizzo IP speciale (168.63.129.16) accessibile solo all'interno delle reti virtuali collegate alla zona DNS privato di Azure.The Azure private DNS host can be reached through a special IP address (168.63.129.16) that is only accessible inside virtual networks that are linked to the Azure private DNS zone. Per aggirare questa limitazione, è possibile eseguire ulteriori server DNS all'interno della rete virtuale che inoltreranno core.windows.net e afs.azure.net alla zona DNS privato di Azure equivalenti.To workaround this limitation, you can run additional DNS servers within your virtual network that will forward core.windows.net and afs.azure.net on to the equivalent Azure private DNS zones. Per semplificare questa configurazione, sono disponibili cmdlet di PowerShell che distribuiscono automaticamente i server DNS nella rete virtuale di Azure e li configurano come si desidera.To simplify this set up, we have provided PowerShell cmdlets that will auto-deploy DNS servers in your Azure virtual network and configure them as desired. Per informazioni su come configurare l'inoltro DNS, vedere Configurazione di DNS con File di Azure.To learn how to set up DNS forwarding, see Configuring DNS with Azure Files.

Crittografia dei dati in transitoEncryption in-transit

Le connessioni effettuate dall'agente di Sincronizzazione file di Azure alla condivisione file di Azure o al servizio di sincronizzazione archiviazione sono sempre crittografate.Connections made from the Azure File Sync agent to your Azure file share or Storage Sync Service are always encrypted. Anche se gli account di archiviazione di Azure includono un'impostazione per disabilitare l'obbligo della crittografia in transito per le comunicazioni con File di Azure (e con gli altri servizi di archiviazione di Azure gestiti al di fuori dell'account di archiviazione), la disabilitazione di questa impostazione non influisce sulla crittografia di Sincronizzazione file di Azure per le comunicazioni con File di Azure.Although Azure storage accounts have a setting to disable requiring encryption in transit for communications to Azure Files (and the other Azure storage services that are managed out of the storage account), disabling this setting will not affect Azure File Sync's encryption when communicating with the Azure Files. Per impostazione predefinita, la crittografia in transito è abilitata per tutti gli account di archiviazione di Azure.By default, all Azure storage accounts have encryption in transit enabled.

Per altre informazioni sulla crittografia in transito, vedere Richiedere il trasferimento sicuro in Archiviazione di Azure.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Vedere ancheSee also