Файлы Azure доступ к локальной среде и защищенному AD DS

Эта архитектура демонстрирует способ предоставления общих папок в облаке локальным пользователям и приложениям, которые также получают доступ к файлам в Windows Server.

Архитектура

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

1. Это решение синхронизирует локальные доменные службы ACTIVE DS и идентификатор Microsoft Entra на основе облака. Синхронизация повышает эффективность работы пользователей, предоставляя общее удостоверение для доступа как к облачным, так и к локальным ресурсам.

   Microsoft Entra Подключение — это локальное приложение Майкрософт, которое выполняет синхронизацию. Дополнительные сведения о Microsoft Entra Подключение см. в разделе "Что такое Microsoft Entra Подключение?" и Microsoft Entra Подключение Sync: общие сведения о синхронизации и настройке.

2. Azure виртуальная сеть предоставляет виртуальную сеть в облаке. Для этого решения имеется по крайней мере две подсети, одна для Azure DNS и одна для частной конечной точки для доступа к общей папке.

3. VPN или Azure ExpressRoute обеспечивают безопасные подключения между локальной сетью и виртуальной сетью в облаке. При использовании VPN создайте шлюз с помощью Azure VPN-шлюз. При использовании ExpressRoute создайте шлюз виртуальной сети ExpressRoute. Дополнительные сведения см. в статье "Что такое VPN-шлюз" и "О шлюзах виртуальной сети ExpressRoute".

4. Файлы Azure предоставляет общую папку в облаке. Для этого требуется учетная запись служба хранилища Azure. Дополнительные сведения о общих папках см. в разделе "Что такое Файлы Azure?".

5. Частная конечная точка предоставляет доступ к общей папке. Частная конечная точка похожа на сетевой интерфейс карта (сетевой адаптер) в подсети, которая подключается к службе Azure. В этом случае служба представляет собой общую папку. Дополнительные сведения о частных конечных точках см. в разделе "Использование частных конечных точек для служба хранилища Azure".

6. Локальный DNS-сервер разрешает IP-адреса. Однако Azure DNS разрешает полное доменное имя общей папки Azure (FQDN). Все запросы DNS к Azure DNS исходят из виртуальной сети. В виртуальной сети есть DNS-прокси для маршрутизации этих запросов в Azure DNS. Дополнительные сведения см. в локальных рабочих нагрузках с помощью DNS-сервера пересылки.

   Вы можете предоставить DNS-прокси на сервере Windows или Linux или использовать Брандмауэр Azure. Сведения о параметре Брандмауэр Azure, который имеет преимущество, которое не требуется управлять виртуальной машиной, см. в Брандмауэр Azure параметрах DNS.

7. Локальная пользовательская СЛУЖБА DNS настроена для пересылки трафика DNS в Azure DNS с помощью условного сервера пересылки. Сведения об условной пересылке также находятся в локальных рабочих нагрузках с помощью dns-пересылки.

8. Локальные службы AD DS проходят проверку подлинности доступа к общей папке. Это четырехэтапный процесс, как описано в первой части: включение проверки подлинности AD DS для общих папок Azure

Компоненты

• Служба хранилища Azure — это набор высокомасштабируемых и безопасных облачных служб для данных, приложений и рабочих нагрузок. Она включает Файлы Azure, Хранилище таблиц Azure и Хранилище очередей Azure.
• Файлы Azure предлагает полностью управляемые файловые ресурсы в учетной записи служба хранилища Azure. Файлы доступны из облака или локальной среды. Развертывания Windows, Linux и macOS могут одновременно подключать общие папки Azure. Доступ к файлам использует стандартный протокол блока сообщений сервера (S МБ).
• Виртуальная сеть Azure — это фундаментальный стандартный блок для частных сетей в Azure. Она предоставляет среду для ресурсов Azure, таких как виртуальные машины, для безопасного взаимодействия друг с другом, с Интернетом и с локальными сетями.
• Azure ExpressRoute расширяет локальные сети в облако Майкрософт по частному подключению.
• Azure VPN-шлюз подключает локальные сети к Azure через виртуальные сети типа "сеть — сеть" так же, как и подключение к удаленному филиалу. Безопасность подключения обеспечивается за счет использования таких стандартных отраслевых протоколов, как IPsec и IKE.
• Приватный канал Azure обеспечивает частное подключение из виртуальной сети к платформе Azure как услуга (PaaS), клиентским службам или партнерским службам Майкрософт. Эта служба упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure, устраняя проблему незащищенности данных в общедоступном Интернете.
• Частная конечная точка — это сетевой интерфейс, который использует частный IP-адрес из виртуальной сети. Для учетных записей служба хранилища Azure можно использовать частные конечные точки, чтобы клиенты в виртуальной сети могли получать доступ к данным через приватный канал.
• Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Вы можете настроить Брандмауэр Azure так, чтобы он действовал в качестве DNS-прокси. DNS-прокси — это посредник для обработки запросов DNS, направляемых от клиентских виртуальных машин к DNS-серверу.

Подробности сценария

Рассмотрим следующую общую ситуацию. Локальный Windows Server предоставляет файлы пользователям и приложениям. Windows Server домен Active Directory Services (AD DS) защищает файлы и локальный DNS-сервер. Все находится в одной частной сети.

Теперь предположим, что необходимо иметь общие папки в облаке.

В описанной здесь архитектуре показано, как использовать Azure для удовлетворения этой потребности и как это сделать с низкой стоимостью, а также продолжать использовать локальную сеть, AD DS и DNS.

В этой архитектуре Файлы Azure предоставляет общую папку. VPN типа "сеть — сеть" или Azure ExpressRoute обеспечивают безопасные подключения между локальной сетью и виртуальной сетью Azure. Пользователи и приложения используют подключения для доступа к файлам. Идентификатор Microsoft Entra и Azure DNS сотрудничают с локальными AD DS и DNS для защиты доступа.

Короче говоря, если вы находитесь в описанной ситуации, вы можете предоставить облачные файлы локальным пользователям с низкой стоимостью и продолжать предоставлять безопасный доступ к файлам с помощью локальных доменных служб AD DS и DNS.

Потенциальные варианты использования

• Файловый сервер перемещается в облако, но пользователи должны оставаться в локальной среде.
• Приложения, перенесенные в облако, должны получить доступ к локальным файлам, а также файлам, перенесенным в облако.
• Необходимо сократить затраты, переместив хранилище файлов в облако.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете вашим клиентам. Дополнительные сведения см. в разделе "Обзор основы надежности".

• служба хранилища Azure всегда хранит несколько копий данных в одной зоне, чтобы он был защищен от запланированных и незапланированных сбоев. Существуют варианты создания дополнительных копий в других зонах или регионах. Дополнительные сведения см. в статье Репликация службы хранилища Azure.
• Брандмауэр Azure имеет встроенную высокую доступность. Дополнительные сведения см. в разделе Брандмауэр Azure Стандартные функции.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

В этих статьях содержатся сведения о безопасности для компонентов Azure:

• Базовые показатели безопасности Azure для служба хранилища Azure
• Базовые показатели безопасности Azure для Приватный канал Azure
• Базовые показатели безопасности Azure для виртуальная сеть
• Базовые показатели безопасности Azure для Брандмауэр Azure

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Чтобы оценить стоимость продуктов и конфигураций Azure, используйте калькулятор цен Azure.

В этих статьях содержатся сведения о ценах для компонентов Azure:

• Цены на Файлы Azure
• Цены на Приватный канал Azure
• Цены на Виртуальную сеть
• Цены на брандмауэр Azure

Оптимизация производительности

Уровень производительности — это способность вашей рабочей нагрузки эффективно масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями. Дополнительные сведения см. в разделе "Общие сведения о эффективности производительности".

• Учетные записи служба хранилища Azure содержат все объекты данных служба хранилища Azure, включая общие папки. Учетная запись хранения предоставляет уникальное пространство имен для своих данных, пространство имен, доступное из любой точки мира по протоколу HTTP или HTTPS. Для этой архитектуры ваша учетная запись хранения содержит общие папки, предоставляемые Файлы Azure. Для обеспечения оптимальной производительности рекомендуется следующее:
  • Не помещайте базы данных, большие двоичные объекты и т. д. в учетные записи хранения, содержащие общие папки.
  • Не более одной активной общей папки для каждой учетной записи хранения. Вы можете группировать общие папки, которые менее активны в той же учетной записи хранения.
  • Если для рабочей нагрузки требуется большое количество операций ввода-вывода в секунду, очень быстрая скорость передачи данных или очень низкая задержка, то следует выбрать учетные записи хранения класса Premium (Файл служба хранилища). Стандартная учетная запись общего назначения версии 2 подходит для большинства рабочих нагрузок общей папки S МБ. Дополнительные сведения о масштабируемости и производительности общих папок см. в Файлы Azure целевых показателей масштабируемости и производительности.
  • Не используйте учетную запись хранения общего назначения версии 1, так как она не имеет важных функций. Вместо этого обновите учетную запись хранения общего назначения версии 2. Типы учетных записей хранения описаны в служба хранилища обзоре учетной записи.
  • Обратите внимание на размер, скорость и другие ограничения. Ознакомьтесь с ограничениями подписки и службы Azure, квотами и ограничениями.
• Для повышения производительности компонентов, отличных от хранилища, мало, кроме того, чтобы убедиться, что развертывание учитывает ограничения, квоты и ограничения, описанные в подписке Azure и ограничениях, квотах и ограничениях.
• Сведения о масштабируемости компонентов Azure см. в статье об ограничениях подписки и службы Azure, квотах и ограничениях.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Руднеи Оливейра | Старший инженер клиента

Следующие шаги

• Краткое руководство. Создание виртуальной сети с помощью портал Azure
• Что такое VPN-шлюз?
• Руководство. Создание VPN-шлюза и управление ими с помощью портал Azure
• Общей папке облачного облака Azure
• Основные понятия и рекомендации по azure виртуальная сеть
• Планирование развертывания Файлов Azure
• Использование частных конечных точек для службы хранилища Azure
• Конфигурация DNS частной конечной точки Azure
• Параметры DNS брандмауэра Azure
• Сравнение самоуправляемых служб домен Active Directory, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra

Связанные ресурсы

• Гибридная общая папка с функцией аварийного восстановления для удаленных и локальных рабочих ролей филиалов
• Общей папке облачного облака Azure
• Использование общих папок Azure в гибридной среде
• Гибридные службы файлов