Azure Enterprise felhőbeli fájlmegosztás

Ez a referenciaarchitektúra egy nagyvállalati szintű felhőbeli fájlmegosztási megoldást mutat be, amely Azure-szolgáltatásokat használ, beleértve az Azure Filest, az Azure File Syncet, az Azure saját DNS és az Azure Private Endpointet. A megoldás költségmegtakarítást eredményez a fájlkiszolgálók és az infrastruktúra felügyeletének kiszervezésével, az adatok felügyeletének megtartása mellett.

Architektúra

Az alábbi ábra bemutatja, hogyan férhetnek hozzá az ügyfelek az Azure-fájlmegosztásokhoz:

• Helyileg egy felhőalapú rétegzési fájlkiszolgálón keresztül.
• Távolról expressRoute-beli privát társviszony-létesítésen vagy VPN-alagutakon keresztül magánhálózati környezetben.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

A nagyvállalati szintű felhőalapú fájlmegosztási megoldás a következő módszerekkel biztosítja a hagyományos fájlmegosztással, de az Azure-fájlmegosztásokkal megegyező felhasználói élményt:

• Az Azure File Sync használatával szinkronizálja a fájl- és mappahozzáférés-vezérlési listákat (ACL) a helyszíni fájlkiszolgálók és az Azure-fájlmegosztások között.
• Az Azure File Sync-ügynök felhőbeli rétegzési funkciójával helyileg gyorsítótárazza a gyakran használt fájlokat.
• Az AD DS-hitelesítés kényszerítése Azure-fájlmegosztásokon keresztül.
• A fájlmegosztási és fájlszinkronizálási szolgáltatásokat privát IP-címen keresztül, privát kapcsolaton és privát végponton keresztül éri el egy ExpressRoute-beli privát társviszony-létesítésen vagy VPN-alagúton keresztül.

Az Azure-beli privát végpont Azure Fileson és Azure File Syncen való implementálásával a nyilvános végpontok hozzáférése le van tiltva, így az Azure Files és az Azure File Sync hozzáférése az Azure virtuális hálózatról korlátozva van.

Az ExpressRoute privát társviszony-létesítési VPN helyek közötti alagútja kiterjeszti a helyszíni hálózatot az Azure-beli virtuális hálózatra. Az Azure File Sync és a Server Message Block (SMB) helyszíni és Azure Files közötti adatforgalma és az Azure File Sync privát végpontjai csak privát kapcsolatra korlátozódnak. Az áttérés során az Azure Files csak akkor engedélyezi a kapcsolatot, ha az SMB 3.0+-val készült. Az Azure File Sync-ügynök és egy Azure-fájlmegosztás vagy a Storage Sync Szolgáltatás közötti kapcsolatok mindig titkosítva vannak. Inaktív állapotban az Azure Storage automatikusan titkosítja az adatokat, amikor azok megmaradnak a felhőben, akárcsak az Azure Files.

A dns-feloldó a megoldás kritikus összetevője. Minden Azure-szolgáltatás, ebben az esetben az Azure Files és az Azure File Sync teljes tartománynévvel (FQDN) rendelkezik. Az ilyen szolgáltatások teljes tartományneveit a rendszer az alábbi esetekben oldja fel a nyilvános IP-címére:

• Amikor egy ügyfél hozzáfér egy Azure Files-megosztáshoz.
• Amikor egy helyszíni fájlkiszolgálón üzembe helyezett Azure File Sync-ügynök hozzáfér az Azure File Sync szolgáltatáshoz.

A privát végpont engedélyezése után a privát IP-címek az Azure-beli virtuális hálózaton lesznek lefoglalva. Ezek a címek privát kapcsolaton keresztül teszik lehetővé a hozzáférést ezekhez a szolgáltatásokhoz, és ugyanezeket a teljes tartományneveket most magánhálózati IP-címekre kell feloldani. Ennek érdekében az Azure Files és az Azure File Sync létrehoz egy canonical name DNS-rekordot (CNAME), amely átirányítja a feloldást egy privát tartománynévre:

• Az Azure File Sync nyilvános tartományneve *.afs.azure.net CNAME-átirányítást kap a privát tartománynévhez *.<region>.privatelink.afs.azure.net.
• Az Azure Files nyilvános tartományneve <name>.file.core.windows.net CNAME-átirányítást kap a privát tartománynévhez <name>.privatelink.file.core.windows.net.

Az architektúrában bemutatott megoldás megfelelően konfigurálja a helyszíni DNS-beállításokat, hogy a magántartománynevek magánhálózati IP-címekre legyenek feloldva az alábbi módszerekkel:

• saját DNS zónák (11. és 12. összetevők) az Azure-ból jönnek létre, hogy privát névfeloldás legyen az Azure File Synchez és az Azure Fileshoz.
• saját DNS zónák az Azure-beli virtuális hálózathoz vannak csatolva, hogy a virtuális hálózaton üzembe helyezett DNS-kiszolgáló vagy az Azure privát DNS-feloldó (8. összetevő) fel tudja oldani a privát tartományneveket.
• A DNS A-rekordok az Azure Fileshoz és az Azure File Synchez jönnek létre privát DNS-zónákban. A végpontkonfiguráció lépéseit az Azure Files hálózati végpontjainak konfigurálása és az Azure File Sync hálózati végpontjainak konfigurálása című témakörben találja.
• A helyszíni DNS-kiszolgáló (3. összetevő) feltételes továbbítást állít be az Azure-beli virtuális hálózat DNS-lekérdezésének és domain afs.azure.net DNS-kiszolgálójának (8file.core.windows.net) továbbításához.
• Miután megkapta a továbbított DNS-lekérdezést a helyszíni DNS-kiszolgálóról, az Azure-beli virtuális hálózat DNS-kiszolgálója (8. összetevő) az Azure DNS rekurzív feloldóval oldja fel a magántartományneveket, és visszaadja a privát IP-címeket az ügyfélnek.

Összetevők

Az architektúradiagramon ábrázolt megoldás a következő összetevőket használja:

• Ügyfél (1. vagy 2. összetevő) – Az ügyfél általában windowsos, Linux vagy Mac OSX rendszerű asztal, amely az SMB protokollon keresztül tud beszélni egy fájlkiszolgálóval vagy az Azure Filesszal.

• DC- és DNS-kiszolgálók (3. összetevő) – A tartományvezérlő (DC) olyan kiszolgáló, amely válaszol a hitelesítési kérelmekre, és ellenőrzi a számítógép-hálózatok felhasználóit. A DNS-kiszolgáló számítógépnév-IP-címleképezési névfeloldási szolgáltatásokat biztosít a számítógépeknek és a felhasználóknak. A tartományvezérlő- és DNS-kiszolgálók egyetlen kiszolgálóra kombinálhatók, vagy különböző kiszolgálókra bonthatók.

• Fájlkiszolgáló (4. összetevő) – Fájlmegosztásokat üzemeltető és fájlmegosztási szolgáltatásokat nyújtó kiszolgáló.

• CE/VPN-eszköz (5. összetevő) – Az ügyfél peremhálózati útválasztója (CE) vagy VPN-eszköze expressRoute- vagy VPN-kapcsolat létesítésére szolgál az Azure-beli virtuális hálózathoz.

• Azure ExpressRoute vagy Azure VPN Gateway (6. összetevő) – Az Azure ExpressRoute egy olyan szolgáltatás, amely lehetővé teszi a helyszíni hálózat kiterjesztését a Microsoft-felhőbe egy kapcsolatszolgáltató által megkönnyített privát kapcsolaton keresztül. Az Azure VPN Gateway egy adott típusú virtuális hálózati átjáró, amely titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül. Az ExpressRoute vagy a VPN Gateway ExpressRoute- vagy VPN-kapcsolatot létesít a helyszíni hálózattal.

• Azure privát végpont (7. összetevő) – Olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. Ebben a megoldásban egy Azure File Sync privát végpont csatlakozik az Azure File Synchez (9), és egy Privát Azure Files-végpont csatlakozik az Azure Fileshoz (10).

• A DNS-kiszolgáló/Azure privát DNS-feloldó (8. összetevő) az Azure-beli virtuális hálózati példányban az Azure DNS rekurzív feloldóval oldja fel a privát tartománynevet, és egy privát IP-címet ad vissza az ügyfélnek, miután egy továbbított DNS-lekérdezést kapott egy helyszíni DNS-kiszolgálótól.

• Azure File Sync és felhőbeli rétegzés (9. összetevő) – Az Azure File Sync lehetővé teszi a szervezet fájlmegosztásainak központosítását az Azure-ban, miközben megtartja a helyszíni fájlkiszolgálók rugalmasságát, teljesítményét és kompatibilitását. A felhőalapú rétegzés az Azure File Sync opcionális funkciója, amelyben a gyakran használt fájlok helyileg gyorsítótárazva lesznek a kiszolgálón, míg az összes többi fájl az Azure Filesba van rétegzve a szabályzatbeállítások alapján.

• Azure Files (10. összetevő) – Teljes mértékben felügyelt szolgáltatás, amely fájlmegosztásokat kínál a felhőben, amelyek az iparági szabvány kiszolgálói üzenetblokk (SMB) protokollon keresztül érhetők el. Az Azure Files implementálja az SMB v3 protokollt, és támogatja a hitelesítést helyi Active Directory Domain Services (AD DS) és a Microsoft Entra Domain Services használatával. Az Azure Filesból származó fájlmegosztások egyidejűleg csatlakoztathatók a Windows, Linux és macOS felhőbeli vagy helyszíni üzemelő példányaihoz. Emellett az SMB Azure-fájlmegosztások gyorsítótárazhatók az adatok felhasználási helye közelében, a Windows Serveren és az Azure File Syncben a gyors hozzáférés érdekében.

• Azure saját DNS (11. és 12. összetevő) – Az Azure által kínált DNS-szolgáltatás, saját DNS felügyeli és feloldja a tartományneveket egy virtuális hálózaton anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia.

• Azure Backup (13. összetevő) – Az Azure Backup egy Azure-fájlmegosztási biztonsági mentési szolgáltatás, amely fájlmegosztási pillanatképeket használ egy felhőalapú biztonsági mentési megoldás biztosításához. További szempontok: Adatvesztés és biztonsági mentés.

Forgatókönyv részletei

Ez a megoldás lehetővé teszi az Azure-fájlmegosztások elérését hibrid munkahelyi környezetben egy virtuális magánhálózaton keresztül a helyszíni és az Azure-beli virtuális hálózatok között anélkül, hogy bejárja az internetet. Emellett lehetővé teszi a fájlhozzáférés szabályozását és korlátozását identitásalapú hitelesítéssel.

Lehetséges használati esetek

A felhőalapú fájlmegosztási megoldás a következő lehetséges használati eseteket támogatja:

• A fájlkiszolgáló vagy a fájlmegosztás emelése és váltása. Az adatok átstrukturálásának vagy újraformázásának szükségességét az emeléssel és az áthelyezéssel kiküszöbölheti. A régi alkalmazásokat a helyszínen is megtarthatja, miközben kihasználja a felhőbeli tárolás előnyeit.
• Felgyorsíthatja a felhőinnovációt a nagyobb működési hatékonysággal. Csökkenti a hardver és a fizikai terület fenntartásának költségeit, védelmet nyújt az adatsérülés és az adatvesztés ellen.
• Privát hozzáférés az Azure-fájlmegosztásokhoz. Védelmet nyújt az adatok kiszivárgása ellen.

Forgalmi folyamatok

Az Azure File Sync és az Azure Files engedélyezése után az Azure-fájlmegosztások két módban, helyi gyorsítótár módban vagy távoli módban érhetők el. Mindkét módban az ügyfél meglévő AD DS-hitelesítő adatokkal hitelesíti magát.

• Helyi gyorsítótár mód – Az ügyfél egy helyi fájlkiszolgálón keresztül fér hozzá a fájlokhoz és fájlmegosztásokhoz, és engedélyezve van a felhőbeli rétegzés. Amikor egy felhasználó megnyit egy fájlt a helyi fájlkiszolgálóról, a fájladatok a fájlkiszolgáló helyi gyorsítótárából lesznek kézbesítve, vagy az Azure File Sync-ügynök zökkenőmentesen visszahívja a fájladatokat az Azure Filesból. A megoldás architektúradiagramjában ez az 1. és a 4. összetevő között történik.

• Távoli mód – Az ügyfél közvetlenül egy távoli Azure-fájlmegosztásból fér hozzá a fájlokhoz és fájlmegosztásokhoz. A megoldás architektúradiagramjában a forgalom a 2., 5., 6., 7. és 10. összetevőn halad át.

Az Azure File Sync-forgalom a 4., 5., 6. és 7. összetevő között halad, egy ExpressRoute-kapcsolatcsoport használatával megbízható kapcsolatot biztosít.

A privát tartománynévfeloldási lekérdezések a 3., 5., 6., 8., 11. és 12. összetevőn haladnak végig az alábbi sorrendben:

1. Az ügyfél egy lekérdezést küld egy helyszíni DNS-kiszolgálónak az Azure Files vagy az Azure File Sync DNS-név feloldásához.
2. A helyszíni DNS-kiszolgáló rendelkezik egy feltételes továbbítóval, amely az Azure File és az Azure File Sync DNS-névfeloldását az Azure-beli virtuális hálózat dns-kiszolgálójára továbbítja.
3. A rendszer átirányítja a lekérdezést egy DNS-kiszolgálóra vagy az Azure-beli privát DNS-feloldóra az Azure-beli virtuális hálózaton.
4. A virtuális hálózat DNS-konfigurációjától függően:
   • Ha egyéni DNS-kiszolgáló van konfigurálva, az Azure-beli virtuális hálózat DNS-kiszolgálója név lekérdezést küld az Azure által biztosított DNS-nek (168.63.129.16) rekurzív feloldónak.
   • Ha az Azure-beli privát DNS-feloldó konfigurálva van, és a lekérdezés megfelel a virtuális hálózathoz csatolt privát DNS-zónáknak, a rendszer ezeket a zónákat is megtekinti.
5. A DNS-kiszolgáló/Azure privát DNS-feloldó egy privát IP-címet ad vissza, miután feloldotta a privát tartománynevet a megfelelő privát DNS-zónában. Az Azure-beli virtuális hálózat Azure Files DNS-zónához és az Azure File Sync privát DNS-zónához mutató hivatkozásait használja.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

A megoldás megvalósításakor vegye figyelembe az alábbi szempontokat.

Tervezés

• Az Azure File Sync tervezéséhez tekintse meg az Azure File Sync üzembe helyezésének tervezésével kapcsolatos témakört.
• Az Azure Files tervezéséhez tekintse meg az Azure Files üzembe helyezésének tervezésével kapcsolatos témakört.

Hálózat

• Az Azure File Sync hálózati szempontjaiért tekintse meg az Azure File Sync hálózatkezelési szempontjait.
• Az Azure Files hálózatkezelési szempontjaiért tekintse meg az Azure Files hálózatkezelési szempontjait.

DNS

A privát végpontok névfeloldásának kezelésekor az Azure Files és az Azure File Sync privát tartományneveit a következő módon oldjuk fel:

Az Azure-oldalról:

• Az Azure által biztosított névfeloldás használata esetén az Azure-beli virtuális hálózatnak csatlakoznia kell a kiépített privát DNS-zónákhoz.
• Ha a "saját DNS-kiszolgáló használata" lehetőség van használatban, a saját DNS-kiszolgálót üzembe helyező virtuális hálózatnak kapcsolódnia kell a kiépített privát DNS-zónákhoz.

A helyszíni oldalról a privát tartománynév egy privát IP-címre van leképezve az alábbi módok egyikével:

• Az Azure-beli virtuális hálózaton vagy az Azure privát DNS-feloldójában üzembe helyezett DNS-kiszolgálóra történő DNS-továbbításon keresztül, ahogyan az a diagramon látható.
• A helyszíni DNS-kiszolgálón keresztül, amely zónákat állít be a magántartományhoz <region>.privatelink.afs.azure.net és privatelink.file.core.windows.neta . A kiszolgáló DNS A rekordként regisztrálja az Azure Files és az Azure File Sync privát végpontjainak IP-címét a megfelelő DNS-zónákba. A helyszíni ügyfél közvetlenül a helyi helyszíni DNS-kiszolgálóról oldja fel a privát tartománynevet.

További információ: Magánfeloldó architektúrája.

Elosztott fájlrendszer (DFS)

Helyszíni fájlmegosztási megoldás esetén sok rendszergazda úgy dönt, hogy a hagyományos különálló fájlkiszolgáló helyett elosztott fájlrendszert használ. Az elosztott fájlrendszer lehetővé teszi a rendszergazdák számára, hogy egyesítsék a több kiszolgálón is létező fájlmegosztásokat, hogy úgy jelenjenek meg, mintha mind ugyanabban a helyen lennének, így a felhasználók a hálózat egyetlen pontjáról érhetik el őket. A felhőbeli fájlmegosztási megoldásra való áttérés során a hagyományos DFS-R üzembe helyezést lecserélheti az Azure File Sync üzembe helyezése. További információ: Elosztott fájlrendszerbeli replikációs (DFS-R) üzembe helyezés migrálása az Azure File Syncbe.

Adatvesztés és biztonsági mentés

Az adatvesztés komoly problémát jelent minden méretű vállalkozás számára. Az Azure-fájlmegosztás biztonsági mentése fájlmegosztási pillanatképekkel biztosít egy felhőalapú biztonsági mentési megoldást, amely védi a felhőben tárolt adatokat, és kiküszöböli a helyszíni biztonsági mentési megoldásokban felmerülő további karbantartási többletterhelést. Az Azure-fájlmegosztások biztonsági mentésének fő előnyei a következők:

• Nulla infrastruktúra
• Testre szabott megőrzés
• Beépített felügyeleti képességek
• Azonnali visszaállítások
• Riasztás és jelentéskészítés
• Védelem a fájlmegosztások véletlen törlésével szemben

További információ: Tudnivalók az Azure-fájlmegosztás biztonsági mentéséről

Hibrid identitások támogatása az Azure Filesban

Bár ez a cikk az Active Directoryt ismerteti az Azure Fileson való hitelesítéshez, a Microsoft Entra ID-t használhatja a hibrid felhasználói identitások hitelesítéséhez. Az Azure Files a Kerberos hitelesítési protokoll használatával támogatja az identitásalapú hitelesítést a Kiszolgálói üzenetblokk (SMB) használatával az alábbi módszerekkel:

• Helyszíni Active Directory tartományi szolgáltatások (AD DS)
• Microsoft Entra tartományi szolgáltatások
• Microsoft Entra Kerberos (csak hibrid felhasználói identitásokhoz)
• AD-hitelesítés Linux-ügyfelekhez

További információ: A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid identitásokhoz az Azure Filesban.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: Biztonságitervezési felülvizsgálati ellenőrzőlistája.

Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.

A biztonsági naplózás szükséges követelmény a vállalat biztonságának fenntartásához. Az iparági szabványok megkövetelik, hogy a vállalatok szigorúan betartják az adatbiztonságra és az adatvédelemre vonatkozó szabályokat.

Fájlhozzáférés naplózása

A fájlhozzáférés naplózása helyileg és távolról is engedélyezhető:

• Helyileg, dinamikus hozzáférés-vezérléssel. További információ: A fájlhozzáférés naplózásának megtervezése.
• Távolról, az Azure Storage-naplók Azure Monitorban való használatával az Azure Filesban. Az Azure Storage-naplók a StorageRead, a StorageWrite, a StorageDelete és a Transaction naplókat tartalmazzák. Az Azure-fájlhozzáférés naplózható tárfiókba, log analytics-munkaterületre, vagy külön streamelhető egy eseményközpontba. További információt az Azure Files monitorozása című témakörben talál.

Méretezhetőség és teljesítmény

Az Azure Files és az Azure File Sync méretezhetőségi és teljesítménycéljai különböző tényezőktől függenek, például az SMB-ügyfél viselkedésétől és a hálózati sávszélességtől. Egy fájl I/O-jának teljesítményét például befolyásolhatja az SMB-ügyfél viselkedése és a rendelkezésre álló hálózati sávszélesség. A használati minta tesztelése segít megállapítani, hogy megfelelnek-e az igényeinek. További információ: Az Azure Files és az Azure File Syncskálázhatósági és teljesítménycéljai.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Yingting Huang | Vezető felhőmegoldás-tervező

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Azure Files üzembe helyezésének tervezése
• Az Azure Files üzembe helyezése
• Az Azure Files hálózatkezelési szempontjai
• Az Azure Files hálózati végpontjainak konfigurálása
• Az Azure Files monitorozása
• A fájlhozzáférés naplózásának megtervezése
• Azure-fájlmegosztások biztonsági mentése
• Áttekintés – Helyi Active Directory Domain Services-hitelesítés SMB-en keresztül Azure-fájlmegosztásokhoz
• Az Azure File Sync üzembe helyezése
• Azure File Sync hálózati végpontok konfigurálása
• Felhőbeli rétegzés áttekintése
• Helyek közötti kapcsolat létrehozása az Azure Portalon
• ExpressRoute-kapcsolatcsoportok és -társviszonyok
• ExpressRoute-kapcsolatcsoport társviszonyának létrehozása és módosítása
• Tudnivalók az Azure-fájlmegosztás biztonsági mentéséről
• Mi az az Azure DNS Private Resolver?
• A Microsoft Entra Kerberos-hitelesítés engedélyezése hibrid identitásokhoz az Azure Filesban

Kapcsolódó erőforrások

• Azure enterprise cloud file share
• A helyszínen elérhető és az AD DS által védett Azure-fájlok
• Hibrid fájlszolgáltatások
• Azure-fájlmegosztások használata hibrid környezetben
• Hibrid fájlmegosztás vészhelyreállítással távoli és helyi fiókmunkások számára