編輯

Azure 檔案儲存體 存取內部部署且受AD DS保護

Azure 虛擬網路
Azure ExpressRoute
Azure 儲存體帳戶
Azure 檔案
Azure DNS

此架構示範將雲端中的檔案共用提供給同時存取 Windows Server 上檔案的內部部署使用者和應用程式的方法。

架構

Azure 架構,可為擁有許多分公司的公司提供內部部署和雲端式桌面。

下載此架構的 Visio 檔案

工作流程

  1. 此解決方案會同步處理內部部署AD DS和雲端式 Microsoft Entra ID。 同步處理可讓使用者更有效率,方法是提供存取雲端和內部部署資源的通用身分識別。

    Microsoft Entra 連線 是執行同步處理的內部部署 Microsoft 應用程式。 如需 Microsoft Entra 連線 的詳細資訊,請參閱什麼是 Microsoft Entra 連線?Microsoft Entra 連線 Sync:瞭解和自定義同步處理

  2. Azure 虛擬網絡 提供雲端中的虛擬網路。 針對此解決方案,它至少有兩個子網,一個用於 Azure DNS,另一個用於私人端點來存取檔案共用。

  3. VPN 或 Azure ExpressRoute 提供內部部署網路與雲端虛擬網路之間的安全連線。 如果您使用 VPN,請使用 Azure VPN 閘道 建立閘道。 如果您使用 ExpressRoute,請建立 ExpressRoute 虛擬網路閘道。 如需詳細資訊,請參閱什麼是 VPN 閘道?關於 ExpressRoute 虛擬網路網關

  4. Azure 檔案儲存體 提供雲端中的檔案共用。 這需要 Azure 儲存體 帳戶。 如需檔案共享的詳細資訊,請參閱什麼是 Azure 檔案儲存體?

  5. 私人端點提供檔案共享的存取權。 私人端點就像是連結至 Azure 服務的子網內的網路介面卡 (NIC)。 在此情況下,服務是檔案共用。 如需私人端點的詳細資訊,請參閱使用私人端點進行 Azure 儲存體

  6. 內部部署 DNS 伺服器會解析 IP 位址。 不過,Azure DNS 會解析 Azure 檔案共用完整域名 (FQDN)。 對 Azure DNS 的所有 DNS 查詢都是來自虛擬網路。 虛擬網路內有 DNS Proxy,可將這些查詢路由傳送至 Azure DNS。 如需詳細資訊,請參閱 使用 DNS 轉寄站的內部部署工作負載。

    您可以在 Windows 或 Linux 伺服器上提供 DNS Proxy,或使用 Azure 防火牆。 如需 Azure 防火牆 選項的資訊,其優點是您不需要管理虛擬機,請參閱 Azure 防火牆 DNS 設定

  7. 內部部署自定義 DNS 已設定為透過條件式轉寄站將 DNS 流量轉送至 Azure DNS。 使用 DNS 轉寄站的內部部署工作負載中也會找到條件式轉送的相關信息。

  8. 內部部署 AD DS 會驗證檔案共用的存取權。 這是四個步驟的程式,如第一部分所述 :為您的 Azure 檔案共用啟用 AD DS 驗證

元件

  • Azure 儲存體 是一組可大規模調整且安全的雲端服務,適用於數據、應用程式和工作負載。 其中包含 Azure 檔案儲存體Azure 數據表 儲存體Azure 佇列 儲存體
  • Azure 檔案儲存體 在 Azure 儲存體 帳戶中提供完全受控的檔案共用。 檔案可從雲端或內部部署存取。 Windows、Linux 和 macOS 部署可以同時掛接 Azure 檔案共用。 檔案存取使用業界標準伺服器消息塊 (SMB) 通訊協定。
  • Azure 虛擬網絡 是 Azure 中專用網的基本建置組塊。 它為 Azure 資源提供環境,例如虛擬機,以安全地彼此通訊、與因特網,以及內部部署網路。
  • Azure ExpressRoute 會透過私人連線,將內部部署網路延伸至 Microsoft 雲端。
  • Azure VPN 閘道 透過站對站 VPN 將內部部署網路連線至 Azure,方式與連線到遠端分公司的方式大致相同。 連線十分安全,採用的是業界標準通訊協定:網際網路通訊協定安全性 (IPsec) 及網際網路金鑰交換 (IKE)。
  • Azure Private Link 提供從虛擬網路到 Azure 平臺即服務(PaaS)、客戶擁有或 Microsoft 合作夥伴服務的私人連線。 其可簡化網路架構,並透過消除公用網際網路上的資料暴露,來保護 Azure 中端點之間的連線。
  • 私人端點是使用虛擬網路之私人 IP 位址的網路介面。 您可以針對 Azure 儲存體 帳戶使用私人端點,以允許虛擬網路上的用戶端透過私人連結存取數據。
  • Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 您可以將Azure 防火牆設定為 DNS Proxy 的角色。 DNS Proxy 是從用戶端虛擬機器對 DNS 伺服器發出 DNS 要求的媒介。

案例詳細資料

請考慮下列常見情況。 內部部署 Windows Server 會提供檔案給使用者和應用程式。 Windows Server Active Directory 網域服務 (AD DS) 會保護檔案,而且有內部部署 DNS 伺服器。 所有項目都位於相同的專用網上。

現在假設雲端中有檔案共用的需求。

此處所述的架構示範如何使用 Azure 來滿足此需求,以及如何以低成本執行,以及繼續使用內部部署網路、AD DS 和 DNS。

在此架構中,Azure 檔案儲存體 提供檔案共用。 站對站 VPN 或 Azure ExpressRoute 提供內部部署網路與 Azure 虛擬網路之間的安全連線。 使用者和應用程式會使用連線來存取檔案。 Microsoft Entra ID 和 Azure DNS 會與內部部署 AD DS 和 DNS 合作,以保護存取。

簡言之,如果您處於描述的情況,您可以以低成本提供雲端檔案給內部部署使用者,並繼續為您的內部部署 AD DS 和 DNS 提供安全的檔案存取。

潛在使用案例

  • 檔伺服器會移至雲端,但用戶必須保留在內部部署。
  • 移轉至雲端的應用程式需要存取內部部署檔案,以及移轉至雲端的檔案。
  • 您必須將檔案記憶體移至雲端來降低成本。

考量

這些考量能實作 Azure Well-Architected Framework 的要素,其為一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework (部分機器翻譯)。

可靠性

可靠性可確保您的應用程式可以符合您對客戶所做的承諾。 如需詳細資訊,請參閱可靠性要素的概觀 (部分機器翻譯)。

  • Azure 儲存體 一律會將數據的多個復本儲存在相同的區域中,使其不受計劃性和非計劃性中斷的影響。 有一些選項可用來在其他區域或區域中建立其他複本。 如需詳細資訊,請參閱 Azure 儲存體備援 \(部分機器翻譯\)。
  • Azure 防火牆 具有內建高可用性。 如需詳細資訊,請參閱 Azure 防火牆 標準功能

安全性

安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性要素的概觀

這些文章具有 Azure 元件的安全性資訊:

成本最佳化

成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化要素的概觀

若要估計 Azure 產品和組態的成本,請使用 Azure 定價計算機

這些文章具有 Azure 元件的定價資訊:

效能效益

效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率要件概觀

  • 您的 Azure 儲存體 帳戶包含所有 Azure 儲存體 數據物件,包括檔案共用。 儲存體帳戶會為其數據提供唯一的命名空間,這是可從世界各地透過 HTTP 或 HTTPS 存取的命名空間。 針對此架構,您的記憶體帳戶包含由 Azure 檔案儲存體 提供的檔案共用。 為了獲得最佳效能,我們建議下列各項:
    • 請勿將資料庫、Blob 等放在包含檔案共享的記憶體帳戶中。
    • 每個記憶體帳戶沒有一個以上的高度使用中檔案共用。 您可以將較不作用中的檔案共享分組到相同的記憶體帳戶。
    • 如果您的工作負載需要大量的 IOPS、極快的數據傳送速率或非常低的延遲,則您應該選擇進階 (檔案 儲存體) 記憶體帳戶。 標準一般用途 v2 帳戶適用於大部分的SMB檔案共用工作負載。 如需檔案共用延展性和效能的詳細資訊,請參閱 Azure 檔案儲存體 延展性和效能目標
    • 請勿使用一般用途 v1 儲存體帳戶,因為它缺少重要的功能。 請改為升級至一般用途 v2 儲存體帳戶。 記憶體帳戶類型會在 儲存體 帳戶概觀說明。
    • 請注意大小、速度和其他限制。 請參閱 Azure 訂用帳戶和服務限制、配額和條件約束
  • 除了確定您的部署遵守 Azure 訂用帳戶和服務限制、配額和服務限制、配額和限制中所述 的限制、配額和條件約束之外,您幾乎無法改善非記憶體元件的效能。
  • 如需 Azure 元件的延展性資訊,請參閱 Azure 訂用帳戶和服務限制、配額和條件約束

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

下一步