Изменить

Использование гибридных служб файлов

Microsoft Entra ID
Azure ExpressRoute
Файлы Azure
Учетные записи службы хранилища Azure

В этой эталонной архитектуре показано, как использовать Синхронизация файлов Azure и Файлы Azure для расширения возможностей размещения файловых служб в облачных и локальных ресурсах общей папки.

Архитектура

Схема топологии гибридных служб файлов Azure.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Она состоит из следующих компонентов:

  • Учетная запись хранения Azure. Учетная запись хранения, используемая для размещения общих папок.
  • Файлы Azure. Бессерверный облачный файловый ресурс, предоставляющий облачную конечную точку связи синхронизации с помощью Синхронизация файлов Azure. Доступ к файлам в общей папке Azure можно получить непосредственно с помощью протокола S МБ или FileREST.
  • Группы синхронизации. Логические группировки общих папок и серверов Azure под управлением Windows Server. Группы синхронизации развертываются в службе синхронизации служба хранилища, которая регистрирует серверы для использования с Синхронизация файлов Azure и содержит связи группы синхронизации.
  • Агент службы Синхронизации файлов Azure. Это устанавливается на компьютерах Windows Server для включения и настройки синхронизации с облачными конечными точками.
  • Серверы Windows. Локальные или облачные компьютеры Windows Server, на которых размещен общий файловый ресурс, синхронизированный с общей папкой Azure.
  • Идентификатор Microsoft Entra. Клиент Microsoft Entra, используемый для синхронизации удостоверений в azure и локальных средах.

Компоненты

Подробности сценария

Типичные способы использования этой архитектуры:

  • Размещение общих папок, которые должны быть доступны из облачных и локальных сред.
  • Синхронизация данных между несколькими локальными хранилищами данных с одним облачным источником.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если у вас нет требования, которые переопределяют их.

Файлы Azure использование и развертывание

Файлы хранятся в облаке в бессерверных общих папках Azure. Их можно использовать двумя способами: путем непосредственного подключения (S МБ) или кэширования локально с помощью Синхронизация файлов Azure. Что необходимо учитывать при планировании развертывания, зависит от того, какие из двух способов вы выбираете.

  • Прямое подключение общей папки Azure. Так как Файлы Azure предоставляет S МБ доступ, вы можете подключить общие папки Azure локально или в облаке с помощью стандартного клиента S МБ, доступного в операционных системах Windows, macOS и Linux. Общие папки Azure бессерверны, поэтому их развертывание для рабочих сценариев не требует управления файловым сервером или устройством, подключенным к сети (NAS). Это означает, что вам не нужно применять исправления программного обеспечения или подключать физические диски.
  • Кэшируйте общую папку Azure в локальной среде с помощью Синхронизация файлов Azure. Синхронизация файлов Azure позволяет централизировать общие папки организации в Файлы Azure, сохраняя гибкость, производительность и совместимость локального файлового сервера. Это достигается путем преобразования локального или облачного Windows Server в быстрый кэш файлового ресурса Azure.

Развертывание службы синхронизации хранилища

Начните Синхронизация файлов Azure развертывание, развернув ресурс службы синхронизации служба хранилища в группу ресурсов выбранной подписки. Рекомендуется подготовить как можно меньше объектов службы синхронизации служба хранилища. Вы создадите отношение доверия между серверами и этим ресурсом. Сервер может быть зарегистрирован только в одной службе синхронизации хранилища. В результате рекомендуется развертывать столько служба хранилища службы синхронизации, сколько необходимо разделить группы серверов. Помните, что серверы из разных служб синхронизации служба хранилища не могут синхронизироваться друг с другом.

Регистрация компьютеров Windows Server с помощью агента Синхронизация файлов Azure

Чтобы включить функцию синхронизации в Windows Server, необходимо установить загружаемый агент Синхронизации файлов Azure. Агент Синхронизация файлов Azure предоставляет два основных компонента:

  • FileSyncSvc.exe. Фоновая служба Windows, которая отвечает за мониторинг изменений на конечных точках сервера и инициировании сеансов синхронизации.
  • StorageSync.sys. Фильтр файловой системы, позволяющий повысить уровень облака и ускорить аварийное восстановление.

Агент можно скачать на странице загрузки агента Синхронизация файлов Azure в Центре загрузки Майкрософт.

Требования к операционной системе

Синхронизация файлов Azure поддерживается версиями Windows Server, перечисленными в следующей таблице.

Версия Поддерживаемые номера SKU Поддерживаемые варианты развертывания
Windows Server 2022 Azure, Datacenter, Essentials, Standard и IoT Полный и базовый
Windows Server 2019 Центр обработки данных, Стандартный и Интернет вещей Полный и базовый
Windows Server 2016 Центр обработки данных, Стандартный и Сервер хранения Полный и базовый
Windows Server 2012 R2 Центр обработки данных, Стандартный и Сервер хранения Полный и базовый

Дополнительные сведения см. в рекомендациях по работе с файловыми серверами Windows.

Настройка групп синхронизации и облачных конечных точек

Группа синхронизации определяет топологию синхронизации для набора файлов. Конечные точки в группе синхронизации синхронизируются. Группа синхронизации должна содержать одну облачную конечную точку, которая представляет общую папку Azure и одну или несколько конечных точек сервера. Конечная точка сервера представляет путь на зарегистрированном сервере. У сервера конечные точки могут быть в нескольких группах синхронизации. Вы можете создать необходимое число групп синхронизации, чтобы соответствующим образом описать желаемую топологию синхронизации.

Облачная конечная точка — это указатель на общую папку Azure. Все конечные точки сервера будут синхронизироваться с облачной конечной точкой, превращая ее в центр. Учетная запись хранения файлового ресурса Azure должна располагаться в том же регионе, что и служба синхронизации хранилища. Выполняется синхронизация всей общей папки Azure с одним исключением: специальная папка, сравнимая с скрытой папкой сведений о томе тома системы на томе NT (NTFS). Этот каталог называется . SystemShareInformation и содержит важные метаданные синхронизации, которые не синхронизируются с другими конечными точками.

Настройка конечных точек сервера

Конечная точка сервера представляет собой определенное расположение на зарегистрированном сервере, например папку в томе сервера. Конечная точка сервера должна быть путем на зарегистрированном сервере (а не подключенной общей папке) и должна использовать распределение по уровням в облаке. Путь к конечной точке сервера должен находиться в томе, отличном от системы. NAS не поддерживается.

Общие папки Azure для связей файловых ресурсов Windows

Вы должны развернуть общие папки Azure один к одному с общими папками Windows, где это возможно. Объект конечной точки сервера обеспечивает высокую степень гибкости настройки топологии синхронизации на стороне сервера в отношении синхронизации. Чтобы упростить управление, необходимо, чтобы путь к конечной точке сервера совпадал с путем к файловому ресурсу Windows.

Использование минимального числа служб синхронизации хранилища. Это упрощает управление при наличии групп синхронизации, содержащих несколько конечных точек сервера, так как Windows Server может быть зарегистрирован только в одной службе синхронизации служба хранилища одновременно.

Обратите внимание на ограничения операций ввода-вывода в секунду (IOPS) для учетной записи хранения при развертывании общих папок Azure. Идеально подходит для сопоставления общих папок с учетными записями хранения. Это невозможно сделать из-за различных ограничений и ограничений из вашей организации и из Azure. Если невозможно развернуть только одну общую папку в учетной записи хранения, убедитесь, что наиболее активные общие папки не размещены в одной учетной записи хранения.

Рекомендации по топологии: брандмауэры, пограничные сети и прокси-подключение

Рассмотрим следующие рекомендации по топологии решения.

Фильтрация брандмауэра и трафика

В зависимости от политик вашей организации или уникальных нормативных требований может потребоваться ограничить связь с Azure. Поэтому Синхронизация файлов Azure предоставляет несколько механизмов настройки сети. В зависимости от требований вам доступны следующие возможности.

  • Туннелируйте синхронизацию и отправку и скачивание трафика через Azure ExpressRoute или виртуальную частную сеть Azure (VPN).
  • Используйте функции Файлы Azure и сети Azure, такие как конечные точки службы и частные конечные точки.
  • Настройка Синхронизации файлов Azure для поддержки прокси-сервера в вашей среде.
  • Регулирование сетевой активности в Синхронизации файлов Azure.

Дополнительные сведения о Синхронизации файлов Azure и работе в сети см. в статье Синхронизация файлов Azure, рекомендации по сетям.

настройка прокси-серверов;

Многие организации используют прокси-сервер в качестве посредника между ресурсами в своей локальной сети и ресурсами вне своей сети, например в Azure. Прокси-серверы полезны для многих приложений, таких как сетевая изоляция и безопасность, а также мониторинг и ведение журнала. Синхронизация файлов Azure может полностью взаимодействовать с прокси-сервером. Однако необходимо вручную настроить параметры конечной точки прокси-сервера для вашей среды с Синхронизация файлов Azure. Это можно сделать с помощью командлетов сервера Синхронизация файлов Azure в Azure PowerShell.

Дополнительные сведения о настройке Синхронизация файлов Azure с прокси-сервером см. в разделе Синхронизация файлов Azure параметры прокси-сервера и брандмауэра.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в разделе "Обзор основы надежности".

  • Следует учитывать тип и производительность учетной записи хранения, используемой для размещения общих папок Azure. На все ресурсы хранилища, развернутые в учетной записи хранения, распространяются ограничения, которые применяются к этой учетной записи хранения. Дополнительные сведения об определении текущих ограничений для учетной записи хранения см. в Файлы Azure целевых показателей масштабируемости и производительности.
  • Существует два основных типа учетных записей хранения для развертываний Файлы Azure:
    • Учетные записи хранения общего назначения версии 2 (GPv2). Учетные записи хранения GPv2 позволяют развертывать общие папки Azure на стандартном жестком диске (на основе HDD). Помимо хранения общих папок Azure, учетные записи хранения GPv2 могут хранить другие ресурсы хранилища, такие как контейнеры BLOB-объектов, очереди и таблицы.
    • Файлы служба хранилища учетные записи хранения: учетные записи хранения служба хранилища позволяют развертывать общие папки Azure на оборудовании на основе ssd(SSD) уровня "Премиум". Учетные записи FileStorage можно использовать только для хранения общих папок Azure. Вы не можете развернуть другие ресурсы хранилища, такие как контейнеры BLOB-объектов, очереди и таблицы в учетной записи File служба хранилища.
  • Убедитесь, что Синхронизация файлов Azure поддерживаются в регионах, где развертывается решение. Дополнительные сведения см. в разделе Синхронизация файлов Azure доступности региона.
  • Убедитесь, что службы, на которые ссылаются в разделе "Архитектура", поддерживаются в регионе, где развертывается архитектура гибридных файловых служб.
  • Чтобы защитить данные в общих папках Azure от потери или повреждения данных, все общие папки Azure хранят несколько копий каждого файла по мере записи. В зависимости от требований рабочей нагрузки можно выбрать больше степени избыточности.
  • Предыдущие версии — это функция Windows, которая позволяет использовать моментальные снимки службы теневого копирования тома на стороне сервера (VSS) для представления восстанавливаемых версий файла клиенту S МБ. Моментальные снимки VSS и предыдущие версии работают независимо от Синхронизации файлов Azure. Однако распределение по уровням в облаке должно быть установлено в совместимый режим. На одном томе может существовать множество конечных точек сервера Синхронизации файлов Azure. Для каждого тома необходимо выполнить следующий вызов PowerShell, имеющий даже одну конечную точку сервера, в которой планируется или используется распределение по уровням в облаке. Дополнительные сведения о предыдущих версиях и VSS см. в статье самостоятельное восстановление с помощью предыдущих версий и VSS (служба теневого копирования томов).

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

  • Синхронизация файлов Azure работает со стандартным удостоверением служб домен Active Directory (AD DS) без каких-либо специальных настроек за пределами настройки Синхронизация файлов Azure. При использовании Синхронизация файлов Azure доступ к файлам обычно проходит через серверы кэширования Синхронизация файлов Azure, а не через общую папку Azure. Так как конечные точки сервера находятся на компьютерах Windows Server, единственным требованием интеграции удостоверений является использование файловых серверов Windows, присоединенных к домену, для регистрации в службе синхронизации служба хранилища. Синхронизация файлов Azure хранит списки управления доступом (ACL) для файлов в общей папке Azure и реплика их ко всем конечным точкам сервера.
  • Несмотря на то, что изменения, внесенные непосредственно в общую папку Azure, занимают больше времени для синхронизации с конечными точками сервера в группе синхронизации, вам может потребоваться обеспечить принудительное применение разрешений AD DS в общей папке непосредственно в облаке. Для этого необходимо присоединить учетную запись хранения к локальному домену AD DS так же, как присоединены к домену Файловых серверов Windows. Дополнительные сведения о присоединении учетной записи хранения к экземпляру AD DS, принадлежащей клиенту, см. в статье "Общие сведения о Файлы Azure вариантах проверки подлинности на основе удостоверений" для S МБ доступа.
  • При использовании Синхронизация файлов Azure необходимо учитывать три различных уровня шифрования.
    • Шифрование неактивных данных, хранящихся в Windows Server. Существуют две стратегии шифрования данных на сервере Windows Server, которые обычно подходят для Синхронизации файлов Azure: шифрование под файловой системой, так что файловая система и все данные, записанные в нее, шифруются, и шифрование в самом формате файла. Эти методы можно использовать вместе при желании, так как их цели отличаются.
    • Шифрование между агентом Синхронизация файлов Azure и Azure. агент Синхронизация файлов Azure взаимодействует со службой синхронизации служба хранилища и общей папкой Azure с помощью протокола REST Синхронизация файлов Azure и протокола FileREST, оба из которых всегда используют HTTPS через порт 443. Синхронизация файлов Azure не отправляет незашифрованные запросы по протоколу HTTP.
    • Шифрование неактивных данных, хранящихся в общей папке Azure. Все данные, хранящиеся в Файлы Azure, шифруются неактивных с помощью шифрования службы хранилища Azure (SSE). служба хранилища шифрование службы работает так же, как BitLocker в Windows: данные шифруются под уровнем файловой системы. Так как данные шифруются под файловой системой Azure, так как данные кодируются на диск, доступ к базовому ключу клиента не требуется для чтения или записи в общую папку Azure.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

  • Агент службы синхронизации файлов Azure обновляется на регулярной основе. Это позволяет добавлять новые возможности и устранять ошибки. Корпорация Майкрософт рекомендует настроить Центр обновления Майкрософт для предоставления обновлений для агента Синхронизация файлов Azure по мере их доступности. Дополнительные сведения см. в разделе Политика обновления агента службы "Синхронизация файлов Azure".
  • служба хранилища Azure предлагает обратимое удаление для общих папок, чтобы можно было восстановить данные при ошибочном удалении приложением или другим пользователем учетной записи хранения. Дополнительные сведения о обратимом удалении см. в статье "Включение обратимого удаления" в общих папках Azure.
  • Распределение по уровням в облаке является необязательной функцией Синхронизация файлов Azure, которая кэширует часто доступ к файлам локально на сервере и уровнях других, чтобы Файлы Azure на основе параметров политики. При многоуровневом уровне файла фильтр файловой системы Синхронизация файлов Azure (служба хранилища Sync.sys) заменяет файл локально указателем на файл в Файлы Azure. Многоуровневый файл содержит как автономный атрибут, так и атрибут FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS, заданный в NTFS, чтобы сторонние приложения могли безопасно идентифицировать многоуровневые файлы. Дополнительные сведения см. в разделе "Общие сведения об уровне облака".

Следующие шаги

Связанные гибридные рекомендации:

Связанные архитектуры: