規劃 Azure 檔案服務部署 (機器翻譯)
部署 Azure 檔案儲存體有兩種主要方式:直接裝載無伺服器 Azure 檔案共用,或使用 Azure 檔案同步快取內部部署的 Azure 檔案共用。部署考量會根據您選擇的選項而有所不同。
直接裝載 Azure 檔案共用:因為 Azure 檔案儲存體可提供伺服器訊息區 (SMB) 或網路檔案系統 (NFS) 存取權,所以您可以使用作業系統適用的標準 SMB 或 NFS 用戶端,在內部部署或在雲端裝載 Azure 檔案共用。 由於 Azure 檔案共用是無伺服器的,因此針對生產案例進行部署並不需要管理檔案伺服器或 NAS 裝置。 這表示您不需要套用軟體修補程式或交換實體磁碟。
使用 Azure 檔案同步快取內部部署的 Azure 檔案共用:Azure 檔案同步可讓您將組織的檔案共用集中在 Azure 檔案服務中,同時保有內部部署檔案伺服器的靈活度、效能及相容性。 Azure 檔案同步會將內部部署 (或雲端) Windows Server 轉換成 SMB Azure 檔案共用的快速快取。
本文主要說明部署要由內部部署或雲端用戶端直接裝載的 Azure 檔案共用時的部署考量。 若要規劃 Azure 檔案同步部署,請參閱規劃 Azure 檔案同步部署。
可用的通訊協定
Azure 檔案儲存體提供兩種業界標準的檔案系統通訊協定來裝載 Azure 檔案共用:伺服器訊息區 (SMB) 通訊協定和網路檔案系統 (NFS) 通訊協定,可讓您選擇最適合您工作負載的通訊協定。 雖然您可以在相同的儲存體帳戶內建立 SMB 和 NFS Azure 檔案共用,但 Azure 檔案共用不支援在相同的檔案共用中同時使用 SMB 和 NFS 通訊協定。 目前只有新的 FileStorage 儲存體帳戶類型支援 NFS 4.1 (僅限進階檔案共用)。
有了 SMB 和 NFS 檔案共用,Azure 檔案儲存體就能提供可以擴大規模的企業級檔案共用,以滿足您的儲存體需求且可由數千個用戶端並行存取。
| 功能 | SMB | NFS |
|---|---|---|
| 支援的通訊協定版本 | SMB 3.1.1、SMB 3.0、SMB 2.1 | NFS 4.1 |
| 建議的作業系統 |
|
Linux 核心版本 4.3+ |
| 可用階層 | 進階、交易最佳化、經常性存取層和非經常性存取層 | 進階 |
| 計費模型 | 佈建的容量 | |
| Azure DNS 區域端點 (預覽版) | 支援 | 支援 |
| 備援 | LRS、ZRS、GRS、GZRS | LRS、ZRS |
| 檔案系統語義 | Win32 | POSIX |
| 驗證 | 以身分識別為基礎的驗證 (Kerberos)、共用金鑰驗證 (NTLMv2) | 主機型驗證 |
| 授權 | Win32 樣式存取控制清單 (ACL) | UNIX 樣式權限 |
| 區分大小寫 | 不區分大小寫,但保留大小寫 | 區分大小寫 |
| 刪除或修改開啟的檔案 | 僅限使用鎖定時 | Yes |
| 檔案共用 | Windows 共用模式 | 位元組範圍諮詢網路鎖定管理員 |
| 硬連結支援 | 不支援 | 支援 |
| 符號連結支援 | 不支援 | 支援 |
| 可選擇性存取網際網路 | 是 (僅限 SMB 3.0+) | No |
| 支援 FileREST | Yes | 子集: |
| 強制位元組範圍鎖定 | 支援 | 不支援 |
| 諮詢位元組範圍鎖定 | 不支援 | 支援 |
| 擴充/具名屬性 | 不支援 | 不支援 |
| 替代資料流 | 不支援 | N/A |
| 物件識別碼 | 不支援 | N/A |
| 重新剖析點 | 不支援 | N/A |
| 疏鬆檔案 | 不支援 | N/A |
| 壓縮 | 不支援 | N/A |
| 具名管道 | 不支援 | N/A |
| SMB 直接傳輸 | 不支援 | N/A |
| SMB 目錄租用 | 不支援 | N/A |
| 磁碟區陰影複製 | 不支援 | N/A |
| 簡短檔案名稱 (8.3 別名) | 不支援 | N/A |
| 伺服器服務 | 不支援 | N/A |
| 檔案系統交易 (TxF) | 不支援 | N/A |
管理概念
Azure 檔案共用已部署到儲存體帳戶,這是代表共用儲存體集區的最上層物件。 此儲存體集區可用來部署多個檔案共用,以及其他儲存體資源 (例如 Blob 容器、佇列或資料表)。 部署到儲存體帳戶的所有儲存體資源,都共用適用於該儲存體帳戶的限制。 如需目前的儲存體帳戶限制,請參閱 Azure 檔案儲存體的可擴縮性和效能目標。
要用於 Azure 檔案儲存體部署的儲存體帳戶有兩種主要類型:
- 一般用途第 2 版 (GPv2) 儲存體帳戶:GPv2 儲存體帳戶可讓您在標準/硬碟型 (HDD 型) 硬體上部署 Azure 檔案共用。 除了儲存 Azure 檔案共用之外,GPv2 儲存體帳戶還可以儲存其他儲存體資源,例如 Blob 容器、佇列或資料表。
- FileStorage 儲存體帳戶:FileStorage 儲存體帳戶可讓您在進階/固態磁碟型 (SSD 型) 硬體上部署 Azure 檔案共用。 FileStorage 帳戶只能用來儲存 Azure 檔案共用;無法將其他儲存體資源 (Blob 容器、佇列、資料表等) 部署在 FileStorage 帳戶中。 只有 FileStorage 帳戶可以部署 SMB 和 NFS 檔案共用。
在 Azure 入口網站、PowerShell 或 CLI 中,可能會遇到數個其他儲存體帳戶類型。 BlockBlobStorage 和 BlobStorage 這兩個儲存體帳戶類型,不能包含 Azure 檔案共用。 您可能會看到其他兩個儲存體帳戶類型為一般用途第 1 版 (GPv1) 和傳統儲存體帳戶,這兩者都可以包含 Azure 檔案共用。 雖然 GPv1 和傳統儲存體帳戶可能包含 Azure 檔案共用,但 Azure 檔案儲存體的大部分新功能僅適用於 GPv2 和 FileStorage 儲存體帳戶。 因此,我們建議僅將 GPv2 和 FileStorage 儲存體帳戶用於新的部署,若環境中已存在 GPv1 和傳統儲存體帳戶時,則建議對其進行升級。
將 Azure 檔案共用部署至儲存體帳戶時,建議您:
只將 Azure 檔案共用部署到有其他 Azure 檔案共用的儲存體帳戶。 雖然 GPv2 儲存體帳戶可讓您擁有混合用途的儲存體帳戶,但因為 Azure 檔案共用和 blob 容器等儲存體資源共用儲存體帳戶限制,因此將資源結合在一起可能會讓您日後更難對效能問題進行疑難排解。
部署 Azure 檔案共用時,請注意儲存體帳戶的 IOPS 限制。 在理想的情況下,您會使檔案共用與儲存體帳戶 1:1 對應。 不過,由於來自您組織和 Azure 的各種限制和制約,這種情況不一定始終可行。 當一個儲存體帳戶中不可能只部署一個檔案共用時,請考慮哪些共用高度活躍、哪些共用較不活躍,以確保最熱門的檔案共用不會放在同一個儲存體帳戶中。
只部署 GPv2 和 FileStorage 帳戶,且當您在環境中找到 GPv1 和傳統儲存體帳戶時進行升級。
身分識別
若要存取 Azure 檔案共用,檔案共用的使用者必須經過驗證,且獲得授權可存取共用。 驗證和授權會依據存取檔案共用的使用者身分識別執行。 Azure 檔案支援下列驗證方法:
- 內部部署 Active Directory Domain Services (AD DS,或內部部署 AD DS):Azure 儲存體帳戶可以加入客戶擁有的 Active Directory Domain Services 所使用的網域,就像 Windows Server 檔案伺服器或 NAS 裝置一樣。 您可以在內部部署、Azure VM,甚或是另一個雲端提供者的 VM 中部署網域控制站;Azure 檔案儲存體與您的網域控制站裝載位置無關。 一旦儲存體帳戶加入網域,終端使用者就可以使用登入電腦所使用的使用者帳戶來裝載檔案共用。 AD 型驗證使用 Kerberos 驗證通訊協定。
- Microsoft Entra Domain Services:Microsoft Entra Domain Services 提供的 Microsoft 自控網域控制站可用於 Azure 資源。 將儲存體帳戶加入 Microsoft Entra Domain Services 的網域,其優點與加入客戶擁有的 AD DS 網域類似。 此部署選項最適合用在需要 AD 型權限的應用程式隨即轉移案例。 由於 Microsoft Entra Domain Services 提供 AD 型驗證,因此此選項也會使用 Kerberos 驗證通訊協定。
- 適用於混合式身分識別的 Microsoft Entra Kerberos:Microsoft Entra Kerberos 可讓您使用 Microsoft Entra ID 來驗證混合式使用者身分識別,這是同步至雲端的內部部署 AD 身分識別。 此設定使用 Microsoft Entra ID 發出 Kerberos 票證,存取採用 SMB 通訊協定的檔案共用。 這表示您的終端使用者可以透過網際網路存取 Azure 檔案共用,而不需要從已加入 Microsoft Entra 混合式和已加入 Microsoft Entra 的 VM,對網域控制站進行網路連線。
- 透過適用於 Linux 用戶端的 SMB 進行 AD DS 驗證:Azure 檔案儲存體支援透過 Kerberos 驗證通訊協定透過 AD DS 或 Microsoft Entra Domain Services,透過適用於 Linux 用戶端的 SMB 進行身分識別型驗證。
- Azure 儲存體帳戶金鑰:您也可以使用 Azure 儲存體帳戶金鑰裝載 Azure 檔案共用。 若要以這種方式裝載檔案共用,請使用儲存體帳戶名稱作為使用者名稱,並使用儲存體帳戶金鑰作為密碼。 使用儲存體帳戶金鑰來裝載 Azure 檔案共用其實是一項系統管理員作業,因為裝載的檔案共用將取得共用中所有檔案和資料夾的完整使用權限,即使有 ACL 也一樣。 使用儲存體帳戶金鑰透過 SMB 進行裝載時,會使用 NTLMv2 驗證通訊協定。 如果您想要使用儲存體帳戶金鑰來存取 Azure 檔案共用,建議您使用網路一節所述的私人端點或服務端點。
若客戶從內部部署檔案伺服器移轉,或在 Azure 檔案儲存體中建立新的檔案共用,想要像 Windows 檔案伺服器或 NAS 設備一樣作用,則將儲存體帳戶加入客戶擁有的 AS DS 網域是建議選項。 若要深入瞭解將儲存體帳戶加入客戶擁有 AD DS 的網域,請參閱 概觀 - 透過 SMB 對 Azure 檔案共用進行內部部署 Active Directory Domain Services 驗證。
網路
直接裝載您的 Azure 檔案共用通常需要一些與網路設定相關的考量事項,原因如下:
- SMB 檔案共用用於通訊的連接埠 (連接埠 445),常遭許多組織和網際網路服務提供者 (ISP) 封鎖外部 (網際網路) 流量。
- NFS 檔案共用依賴網路層級驗證,因此只能透過受限制的網路存取。 使用 NFS 檔案共用一律會需要某種層級的網路設定。
為設定網路功能,Azure 檔案儲存體會提供網際網路可存取的公用端點,並與服務端點 (協助將公用端點限制為指定的虛擬網路) 以及私人端點 (向儲存體帳戶提供來自虛擬網路 IP 位址空間的私人 IP 位址) 等 Azure 網路功能整合。 雖然使用公用端點或服務端點不需要額外費用,但標準資料處理費率適用於私人端點。
這表示您必須考慮下列網路組態:
- 如果所需的通訊協定是 SMB,且透過 SMB 的所有存取均來自 Azure 中的用戶端,則無需任何特殊的網路設定。
- 如果所需的通訊協定是 SMB,且存取來自內部部署的用戶端,則需要從內部部署連線至 Azure 網路的 VPN 或 ExpressRoute 連線,且該連線必須使用私人端點在內部網路上公開 Azure 檔案儲存體。
- 如果所需的通訊協定是 NFS,您可以使用服務端點或私人端點,將網路限制為指定的虛擬網路。 如果您需要靜態 IP 位址和/或工作負載需要高可用性,請使用私人端點。 使用服務端點時,區域性中斷之類的罕見事件可能會導致記憶體帳戶的基礎IP位址變更。 雖然檔案共用上仍可使用數據,但用戶端需要重新掛接共用。
若要深入了解如何設定 Azure 檔案儲存體的網路功能,請參閱 Azure 檔案儲存體網路考量。
除了使用公用端點來直接連線至檔案共用,或使用具私人端點的 VPN/ExpressRoute 連線,SMB 還提供額外的用戶端存取策略:透過 QUIC 的 SMB。 透過 QUIC 的 SMB 針對透過 QUIC 傳輸通訊協定的 SMB 存取權提供無需設定的 "SMB VPN"。 雖然 Azure 檔案儲存體無法直接支援透過 QUIC 的 SMB ,但您可以使用 Azure 檔案同步,在 Windows Server 2022 Azure 版本 VM 上建立 Azure 檔案共用的輕量型快取。若要深入瞭解此選項,請參閱 SMB over QUIC 與 Azure 檔案同步。
加密
Azure 檔案服務支援兩種不同類型的加密:
- 傳輸中加密,這與掛接/存取 Azure 檔案共用時所使用的加密有關
- 靜態加密,這與資料儲存在磁碟上的加密方式有關
傳輸中加密
重要
本節會詳細說明 SMB 共用的傳輸中加密。 如需 NFS 共用的傳輸中加密詳細資訊,請參閱安全性和網路服務。
根據預設,所有 Azure 儲存體帳戶都會啟用傳輸中加密。 這表示當您透過 SMB 掛接檔案共用或透過 FileREST 通訊協定 (例如,透過 Azure 入口網站、PowerShell/CLI 或 Azure SDK) 來存取檔案共用時,Azure 檔案儲存體只會在使用了 SMB 3.x 以上 (有加密功能) 或 HTTPS 來進行連線時,才會允許您建立連線。 不支援 SMB 3.x 的用戶端,或雖支援 SMB 3.x 但不支援 SMB 加密的用戶端,將無法在啟用了傳輸中加密的情況下掛接 Azure 檔案共用。 如需哪些作業系統支援 SMB 3.x (有加密功能) 的詳細資訊,請參閱適用於 Windows、macOS 和 Linux 的文件。 所有目前版本的 PowerShell、CLI 和 SDK 都支援 HTTPS。
您可以為 Azure 儲存體帳戶停用傳輸中加密。 停用加密時,Azure 檔案儲存體也會允許 SMB 2.1 和 SMB 3.x (沒有加密功能) 以及透過 HTTP 的未加密 FileREST API 呼叫。 會停用傳輸中加密的主要原因,是為了支援必須在舊版作業系統上執行的繼承應用程式,例如 Windows Server 2008 R2 或舊版 Linux 散發套件。 Azure 檔案儲存體只會在與 Azure 檔案共用相同的 Azure 區域內允許 SMB 2.1 連線;Azure 檔案共用所在的 Azure 區域外 (例如,內部部署或不同 Azure 區域) 的 SMB 2.1 用戶端,則無法存取檔案共用。
我們強烈建議您確保傳輸中資料加密已啟用。
如需傳輸中加密的詳細資訊,請參閱在 Azure 儲存體中需要安全傳輸。
待用加密
使用 Azure 儲存體服務加密 (SSE) 將儲存在 Azure 檔案儲存體中的所有資料進行待用加密。 儲存體服務加密的運作方式與 Windows 上的 BitLocker 相似:資料會在檔案系統層級下加密。 由於資料是在 Azure 檔案共用的檔案系統下加密,因此當其編碼為磁碟時,不需要存取用戶端上的基礎金鑰,即可讀取或寫入 Azure 檔案共用。 待用加密同時適用於 SMB 和 NFS 通訊協定。
根據預設,儲存於 Azure 檔案儲存體中的資料是以使用 Microsoft 管理的金鑰加密。 使用 Microsoft 管理的金鑰時,Microsoft 會保存金鑰來加密/解密資料,並負責定期輪替。 您也可以選擇管理自己的金鑰,這可讓您控制輪替的程序。 如果您選擇使用客戶管理的金鑰來對檔案共用進行加密,則 Azure 檔案儲存體會獲授權存取您的金鑰,以滿足用戶端的讀取和寫入要求。 使用客戶管理的金鑰時,可以隨時撤銷此授權,但這表示您的 Azure 檔案共用將無法再透過 SMB 或 FileREST API 來進行存取。
Azure 檔案儲存體使用與其他 Azure 儲存體服務 (例如 Azure Blob 儲存體) 相同的加密配置。 如需深入了解 Azure 儲存體服務加密 (SSE) 的詳細資訊,請參閱待用資料的 Azure 儲存體加密。
資料保護
Azure 檔案儲存體可讓您使用多層處理方法,確保資料的備份和復原能力,防止遭受安全性威脅。 請參閱 Azure 檔案儲存體資料保護概觀。
虛刪除
虛刪除是 SMB 檔案共用的一個儲存體帳戶層級設定,可讓您在意外刪除檔案共用時進行復原。 檔案共用遭到刪除後,即會轉換為虛刪除狀態,而不是永久清除。 您可以設定已虛刪除檔案共用在遭到永久刪除之前可進行復原的時間長度,並在此保留期間內隨時取消刪除共用。
從 2021 年 1 月起,新的儲存體帳戶預設會啟用虛刪除,建議針對大部分的 SMB 檔案共用保留此預設。 如果在您的工作流程中共用刪除是常見和預期的情況,則您可以設定短保留期限,或完全不啟用虛刪除。 虛刪除不適用於 NFS 共用,即使已針對儲存體帳戶啟用也一樣。
如需虛刪除的詳細資訊,請參閱防止資料意外刪除。
Backup
您可以透過共用快照集來備份 Azure 檔案共用,建立共用的唯讀、時間點複本。 快照集是累加的,表示其中只包含前一個快照集後變更的資料量。 每個檔案共用最多可以有 200 個快照集,且最多保留 10 年。 您可以透過 PowerShell 或命令列介面 (CLI),在 Azure 入口網站手動取得快照集,也可以使用 Azure 備份。
適用於 Azure 檔案共用的 Azure 備份會處理快照集的排程和保留期。 其三代 (GFS) 功能意味著您可以每日、每週、每月和每年建立快照集,每個快照集都有各自不同的保留期限。 Azure 備份也會協調虛刪除啟用,並在儲存體帳戶中的任何檔案共用設定備份後,即在儲存體帳戶進行刪除鎖定。 最後,Azure 備份還提供了一些重要的監視和警示功能,可讓客戶取得其備份資產的合併檢視。
您可以在 Azure 入口網站使用 Azure 備份,執行項目層級和共用層級還原。 您只需要選擇還原點 (特定的快照集)、特定檔案或目錄(如果相關),然後選取還原的目的地位置 (原始或替代位置)。 備份服務會處理快照集資料的複製作業,並在入口網站顯示還原進度。
使用適用於儲存體的 Microsoft Defender 保護 Azure 檔案儲存體
適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 它藉由分析 Azure 檔案服務所產生的資料平面和控制平面遙測,以提供完整的安全性。 它會使用由 Microsoft 威脅情報提供的進階威脅偵測功能來提供內容相關的安全性警示,包括降低偵測到的威脅並防止未來攻擊的步驟。
適用於儲存體的 Defender 會持續分析 Azure 檔案產生的遙測串流。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Microsoft Defender 中,以及可疑活動的詳細資料、調查步驟、補救動作和安全性建議。
適用於儲存體的 Defender 會偵測已知的惡意程式碼,例如勒索軟體、病毒、間諜軟體和其他根據完整檔案雜湊上傳至儲存體帳戶的惡意程式碼 (僅支援 REST API)。 這有助於防止惡意程式碼進入組織,並散佈給更多使用者和資源。 請參閱瞭解惡意程式碼掃描與雜湊信譽分析之間的差異。
適用於儲存體 的 Defender 不會存取儲存體帳戶資料,而且不會影響其效能。 您可以在訂閱等級 (建議) 或資源等級啟用適用於儲存體的 Microsoft Defender。
儲存層
Azure 檔案儲存體 提供兩種不同的儲存層 SSD 和 HDD,可讓您根據案例的效能和價格需求量身打造共用:
SSD (進階版):進階版 固態硬碟使用的檔案共用,併為大部分 IO 作業提供一致的高效能和低延遲,適用於 IO 密集工作負載。 進階檔案共用適合各種不同的工作負載,例如資料庫、網站託管以及開發環境等等。 進階檔案共用可以同時與伺服器訊息 (SMB) 和網路檔案系統 (NFS) 通訊協定搭配使用。 進階檔案共用以 FileStorage 儲存體帳戶類型進行部署,而且僅適用於已佈建的計費模型。 如需進階檔案共用佈建計費模型的詳細資訊,請參閱了解如何佈建進階檔案共用。 進階版 檔案共用提供比標準檔案共用更高的可用性 SLA(請參閱「Azure 檔案儲存體 進階版 層」。
HDD (標準):標準檔案共用使用硬碟(HDD),併為一般用途的檔案共用提供符合成本效益的儲存選項。 標準檔案共用會部署在 一般用途第 2 版 (GPv2) 記憶體帳戶 種類中。 如需 SLA 的相關信息,請參閱 Azure 服務等級協定頁面(請參閱<儲存體 帳戶>。 標準檔案共用會使用提供使用量型定價的隨用隨付模型。 檔案 共用的存取層 可讓您根據 IOPS 成本調整記憶體成本,以優化總帳單:
- 交易優化 檔案共用針對不需要進階檔案共用所提供的低延遲的交易繁重工作負載,提供最低的成本交易價格。 將數據遷移至 Azure 檔案儲存體 時建議。
- 經常性 檔案共享會針對同時具有良好測量值的工作負載,提供平衡的記憶體和交易定價。
- 非經常 性存取檔案共享為記憶體密集型工作負載提供最符合成本效益的記憶體定價。
選取工作負載的媒體層時,請考慮您的效能和使用需求。 如果您的工作負載需要單一位數的延遲,或您使用 SSD 記憶體媒體內部部署,則進階層可能最適合。 如果低延遲不是最重要的考慮 (例如,從 Azure 裝載了內部部署的小組共用,或使用 Azure 檔案同步在內部部署環境中進行快取),則以成本的觀點來看,標準儲存體可能更適合。
在記憶體帳戶中建立檔案共享之後,就無法將它移至不同記憶體帳戶類型專屬的階層。 例如,若要將交易最佳化的檔案共用移至進階層,則必須在 FileStorage 儲存體帳戶中建立新的檔案共用,並將資料從原始共用複製到 FileStorage 帳戶中的新檔案共用。 我們建議使用 AzCopy 在 Azure 檔案共用之間複製資料,但是也可以使用 Windows 上的 robocopy 或 macOS 和 Linux 的 rsync 等工具進行複製。
如需詳細資訊,請參閱了解 Azure 檔案儲存體計費。
限制
目前,已啟用大型檔案共用 (最多100 TiB容量) 的標準檔案共用具有特定限制。
- 只支援本機備援儲存體 (LRS) 和區域備援儲存體 (ZRS) 帳戶。
- 一旦在儲存體帳戶上啟用大型檔案共用後,您就無法轉換儲存體帳戶以使用異地備援儲存體 (GRS) 或異地區域備援儲存體 (GZRS)。
- 一旦啟用大型檔案共用,您就無法予以停用。
如果您想要搭配標準 SMB Azure 檔案共用來使用 GRS 或 GZRS,請參閱適用於大型檔案共用預覽的 Azure 檔案儲存體異地備援。
備援
為了保護 Azure 檔案共用中的資料,避免資料遺失或損毀,Azure 檔案儲存體會在寫入時儲存每個檔案的多個複本。 根據您的需求,您可以選取不同程度的備援。 Azure 檔案儲存體目前支援下列資料備援選項:
- 本地備援儲存體 (LRS):使用 LRS 時,每個檔案會在 Azure 儲存體叢集內儲存三次。 這可防止因為硬體錯誤 (例如磁碟機損壞) 而遺失資料。 不過,如果在資料中心內發生火災或洪水之類的災害,則所有使用 LRS 的儲存體帳戶複本可能都會失去或無法復原。
- 區域備援儲存體 (ZRS):使用 ZRS 時,每個檔案會儲存三個複本。 不過,這些複本會實際隔離在不同 Azure 可用性區域中的三個不同儲存體叢集。 可用性區域是 Azure 地區內獨特的實體位置。 每個區域皆由一或多個配備獨立電源、冷卻系統及網路的資料中心組成。 直到寫入所有三個可用性區域中的儲存體叢集後,才會接受對儲存體的寫入。
- 異地複寫儲存體 (GRS):使用 GRS 時,您會有兩個區域,一個主要區域和一個次要區域。 檔案會在主要區域的 Azure 儲存體叢集中儲存三次。 寫入會以非同步方式複寫到 Microsoft 定義的次要區域。 GRS 提供六個資料複本,分散在兩個 Azure 區域之間。 在嚴重損壞的情況下 (例如因為自然災害或其他類似事件而永久遺失 Azure 區域),Microsoft 將會執行容錯移轉。 在此情況下,讓次要區域會成為主要區域,為所有作業提供服務。 由於主要與次要區域之間的複寫是非同步的,在嚴重損壞的情況下,尚未複寫到次要區域的資料將會遺失。 您也可以執行異地備援儲存體帳戶的手動容錯移轉。
- 異地區域備援儲存體 (GZRS):您可以將 GZRS 想成是 ZRS,但使用異地備援。 使用 GZRS 時,檔案會在主要區域中的三個不同儲存體叢集之間儲存三次。 接著,所有寫入都會以非同步方式複寫到 Microsoft 定義的次要區域。 GZRS 的容錯移轉運作方式與 GRS 相同。
最多 5 TiB 的標準 Azure 檔案共用可支援四個備援類型。 大於 5 TiB 的標準檔案共用僅支援 LRS 和 ZRS。 進階版 Azure 檔案共用僅支援 LRS 和 ZRS。
一般用途版本 2 (GPv2) 儲存體帳戶提供 Azure 檔案儲存體不支援的兩個其他備援選項:可讀取的異地備援儲存體 (RA-GRS),以及可讀取的異地區域備援儲存體 (RA-GZRS)。 您可以在已設定這些選項的儲存體帳戶中佈建 Azure 檔案共用,不過 Azure 檔案儲存體不支援從次要區域讀取。 部署至 RA-GRS 或 RA-GZRS 儲存體帳戶的 Azure 檔案共用會分別以 GRS 或 GZRS 來計費。
如需備援的詳細資訊,請參閱 Azure 檔案資料備援。
標準 ZRS 可用性
適用於標準常規用途 v2 儲存體帳戶的 ZRS 適用於 Azure 區域的子集。
進階 ZRS 可用性
進階檔案共用的 ZRS 適用於 Azure 區域的子集。
標準 GZRS 可用性
GZRS 適用於 Azure 區域的子集。
災害復原和容錯移轉
在非計劃性區域服務中斷的情況下,您應該為您的 Azure 檔案共用備妥災害復原 (DR) 方案。 若要了解災害復原和儲存體帳戶容錯移轉所涉及的概念和程序,請參閱Azure 檔案的災害復原和容錯移轉。
遷移
在許多情況下,您都不需要為組織建立全新的檔案共用,而是要將現有的檔案共用從內部部署檔案伺服器或 NAS 裝置移轉至 Azure 檔案儲存體。 針對您的案例挑選適合的移轉策略和工具,對移轉成功與否至關重要。
移轉概觀文章簡要說明基本概念,並提供一個表格,引導您前往可能涵蓋您案例的指南。