Azure 企业云文件共享
次
此参考体系结构演示了一个企业级云文件共享解决方案,该解决方案使用 Azure 服务(包括 Azure 文件、 Azure 文件同步、 Azure 专用 DNS和 azure 专用终结点)。 此解决方案通过将文件服务器和基础结构的管理外包,同时保持对数据的控制,从而降低了成本。
此解决方案使你可以通过本地和 Azure 虚拟网络之间的虚拟专用网络访问混合工作环境中的 Azure 文件共享,而无需遍历 internet。 它还允许通过 Azure Active Directory 域服务 (AD DS) 身份验证来控制和限制文件访问。
可能的用例
云文件共享解决方案支持以下可能的用例:
文件服务器或文件共享提升。 通过抬起和移位,无需重新构建或重新设置数据的格式。 你还可以在本地保留旧的应用程序,同时从云存储中获益。
提高操作效率,加快云创新。 降低维护硬件和物理空间的成本,防止数据损坏和数据丢失。
对 Azure 文件共享的专用访问。 防止数据渗透。
体系结构
下图显示了客户端如何访问 Azure 文件共享:
通过云分层文件服务器本地进行。
在专用网络环境中通过 ExpressRoute 专用对等互连或 VPN 隧道远程进行。
下载此体系结构的 Visio 文件。
企业级云文件共享解决方案使用以下方法来提供与传统文件共享相同的用户体验,但使用 Azure 文件共享:
利用 Azure 文件同步来同步文件和文件夹访问控制列表 (ACL) 本地文件服务器和 Azure 文件共享之间。
使用 Azure 文件同步代理中的云分层功能在本地缓存经常访问的文件。
强制对 Azure 文件共享进行 AD DS 身份验证。
通过专用连接到 ExpressRoute 专用对等互连或 VPN 隧道,通过专用 IP 访问文件共享和文件同步服务。
通过在 Azure 文件和 Azure 文件同步上实现 Azure 专用终结点,将禁用公共终结点访问,以便从 Azure 虚拟网络限制对 Azure 文件和 Azure 文件同步的访问。
ExpressRoute 专用对等互连 VPN 站点到站点隧道将本地网络扩展到 Azure 虚拟网络。 Azure 文件同步和服务器消息块 (SMB) 从本地到 Azure 文件的流量,Azure 文件同步专用终结点仅限于专用连接。 在转换期间,Azure 文件仅允许连接到 SMB 3.0 +。 从 Azure 文件同步代理到 Azure 文件共享或存储同步服务建立的连接始终是加密的。 静态情况下,当你将数据保存到云中时,Azure 存储会自动对其进行加密,就像 Azure 文件一样。
域名系统 (DNS) 服务器是解决方案的关键组件。 在这种情况下,每个 Azure 服务都具有完全限定的域名 (FQDN) Azure 文件同步。 在这些情况下,这些服务的 Fqdn 将解析为其公共 IP 地址:
当客户端访问 Azure 文件共享时。
部署在本地文件服务器上的 Azure 文件同步代理访问 Azure 文件同步服务。
启用专用终结点后,会在 Azure 虚拟网络中分配专用 IP 地址。 这些地址允许通过专用连接访问这些服务,相同的 Fqdn 现在必须解析为专用 IP 地址。 为实现此目的,Azure 文件和 Azure 文件同步会 (CNAME) 创建规范名称 DNS 记录,以将解析重定向到专用域名:
Azure 文件同步的公共域名
*.afs.azure.net获取到专用域名的 CNAME 重定向*.<region>.privatelink.afs.azure.net。Azure 文件公共域名
<name>.file.core.windows.net获取到专用域名的 CNAME 重定向<name>.privatelink.file.core.windows.net。
此体系结构中所示的解决方案会正确配置本地 DNS 设置,以便使用以下方法将专用域名解析为专用 IP 地址:
(组件 11 和 12) 专用 DNS 区域是从 Azure 创建的,以便为 Azure 文件同步和 Azure 文件提供专用名称解析。
专用 DNS 区域链接到 Azure 虚拟网络,以便在虚拟网络中部署的 DNS 服务器 (组件 8) 可以解析专用域名。
DNS A 记录在专用 DNS 区域中为 Azure 文件和 Azure 文件同步创建。 有关终结点配置步骤,请参阅 配置 Azure 文件网络终结点 和 配置 Azure 文件同步网络终结点。
本地 DNS 服务器 (组件 3) 设置条件性转发,以便将和的 dns 查询转发
domain afs.azure.netfile.core.windows.net到 Azure 虚拟网络 (组件 8) 中的 dns 服务器。从本地 DNS 服务器接收转发的 DNS 查询后,Azure 虚拟网络中的 DNS 服务器 (组件 8) 使用 Azure DNS 递归解析程序解析专用域名,并向客户端返回专用 IP 地址。
组件
体系结构关系图中描述的解决方案使用以下组件:
客户端 (组件 1 或 2) -通常情况下,客户端是 Windows、Linux 或 MAC OSX desktop,可以通过 SMB 协议与文件服务器或 Azure 文件 通信 。
Dc 和 DNS 服务器 (组件 3) -域控制器 (DC) 是一个服务器,用于响应身份验证请求并验证计算机网络上的用户。 DNS 服务器为计算机和用户提供计算机名称到 IP 地址映射名称解析服务。 可以将 DC 和 DNS 服务器合并为单个服务器,或将其分成不同的服务器。
文件服务器 (组件 4) -承载文件共享的服务器,通过 SMB 协议提供文件共享服务。
Ce/VPN 设备 (组件 5) -客户边缘路由器 (CE) 或 vpn 设备用于建立与 Azure 虚拟网络的 ExpressRoute 或 vpn 连接。
Expressroute/VPN 网关 (组件 6) – ExpressRoute 是一项服务,它可让你通过连接服务提供商所提供的专用连接将本地网络扩展到 Microsoft 云。 VPN 网关是一种特定类型的虚拟网络网关,用于通过公共 internet 在 Azure 虚拟网络与本地位置之间发送加密流量。 ExpressRoute 或 VPN 网关建立到本地网络的 ExpressRoute 或 VPN 连接。
Azure 专用终结点 (组件 7) -一个网络接口,该接口将你私下并安全地连接到由 Azure 专用链接提供支持的服务。 在此解决方案中,Azure 文件同步专用终结点连接到 Azure 文件同步 (9) ,azure 文件专用终结点连接到 azure 文件 (10) 。
从本地 DNS 服务器接收转发的 DNS 查询后,Azure 虚拟网络中的 dns 服务器 (组件 8) 使用 Azure DNS 递归解析程序来解析专用域名,并向客户端返回专用 IP 地址。
Azure 文件同步和云分层 (组件 9) – Azure 文件同步是由 azure 提供的一项服务,用于在 azure 中集中组织的文件共享,同时保持本地文件服务器的灵活性、性能和兼容性。 云分层是 Azure 文件同步的一项可选功能,其中经常访问的文件在服务器本地缓存,而所有其他文件根据策略设置分层到 Azure 文件。
Azure 文件 (组件 10) -一项完全托管的服务,可提供云中的文件共享,这些共享可通过行业标准服务器消息块 (SMB) 协议进行访问。 Azure 文件实现 SMB v3 协议,并支持通过本地 Active Directory 域服务的身份验证 (AD DS) 和 Azure Active Directory (Azure AD DS) 的域服务。 Azure 文件中的文件共享可由云或者 Windows、Linux 和 macOS 的本地部署同时装载。 此外,Azure 文件共享还可缓存到使用数据的位置,在 Windows 服务器上使用 Azure 文件同步进行快速访问。
Azure 专用 DNS (组件 11 和 12) -azure 提供的 DNS 服务,用于管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。
Azure 备份 (组件 13) -使用文件共享快照提供基于云的备份解决方案的 azure 文件共享备份。 有关注意事项,请参阅 数据丢失和备份。
流量流
启用 Azure 文件同步和 Azure 文件后,可以在 本地缓存模式 或 远程模式 下访问 Azure 文件共享。 在这两种模式下,客户端都使用现有 AD DS 凭据对自己进行身份验证。
本地缓存模式-客户端通过启用了云分层的本地文件服务器访问文件和文件共享。 当用户从本地文件服务器打开文件时,文件数据从文件服务器本地缓存中提供,或者 Azure 文件同步代理从 Azure 文件中无缝撤回文件数据。 在此解决方案的体系结构关系图中,它发生在组件 1 和 4 之间。
远程模式-客户端直接从远程 Azure 文件共享访问文件和文件共享。 在此解决方案的体系结构关系图中,流量流经组件 2、 5、 6、 7 和 10。
在组件 4、 5、 6 和 7 之间传输 Azure 文件同步流量,使用 ExpressRoute 线路 进行可靠连接。
使用以下顺序,专用域名解析查询会经历组件 3、 5、 6、 8、 11 和 12 :
客户端向本地 DNS 服务器发送查询以解析 Azure 文件或 Azure 文件同步的 DNS 名称。
本地 DNS 服务器的条件转发器将 Azure 文件和 Azure 文件同步 DNS 名称解析指向 Azure 虚拟网络中的 DNS 服务器。
此查询将重定向到 Azure 虚拟网络中的 DNS 服务器。
Azure 虚拟网络中的 DNS 服务器将名称查询发送到 Azure 提供的 DNS (168.63.129.16) 递归解析程序。
Azure 递归解析程序会在将专用域名解析到各自的专用 DNS 区域后返回专用 IP,使用 azure 虚拟网络的链接连接到 Azure Files DNS 区域和 Azure 文件同步专用 DNS 区域。
注意事项
实现此解决方案时,请注意以下几点:
规划
有关 Azure 文件同步计划,请参阅 规划 Azure 文件同步部署。
有关 Azure 文件计划,请参阅 规划 Azure 文件部署。
网络
有关 Azure 文件同步网络注意事项,请参阅 Azure 文件同步网络注意事项。
有关 Azure 文件网络的注意事项,请参阅 Azure 文件网络注意事项。
DNS
在管理专用终结点的名称解析时,Azure 文件和 Azure 文件同步的专用域名将按以下方式解析:
从 Azure 端:
如果使用 Azure 提供的名称解析,则 Azure 虚拟网络必须链接到预配的专用 DNS 区域。
如果使用 "自带 DNS 服务器",则部署你自己的 DNS 服务器的虚拟网络必须链接到预配的专用 DNS 区域。
从本地端,使用以下方法之一将专用域名映射到专用 IP 地址:
通过 DNS 转发到部署在 Azure 虚拟网络中的 DNS 服务器,如图所示。
通过本地 DNS 服务器设置专用域和的区域
<region>.privatelink.afs.azure.netprivatelink.file.core.windows.net。 服务器将 Azure 文件的 IP 地址和 Azure 文件同步专用终结点作为 DNS A 记录注册到各自的 DNS 区域。 本地客户端直接从本地 DNS 服务器解析专用域名。
分布式文件系统 (DFS)
当涉及本地文件共享解决方案时,很多管理员选择使用 DFS 而不是传统的独立文件服务器。 DFS 允许管理员合并可能存在于多个服务器上的文件共享,使其看起来就像它们都位于同一位置,从而允许用户从网络上的单个点访问它们。 在移动到云文件共享解决方案时,可以 Azure 文件同步部署来替换传统的 DFS R 部署。 有关详细信息,请参阅将 DFS 复制 (DFS-R) 部署迁移至 Azure 文件同步。
数据丢失和备份
对于所有规模的企业而言,数据丢失是一个严重的问题。 Azure 文件共享备份使用文件共享快照提供基于云的备份解决方案,该解决方案可保护云中的数据,并消除本地备份解决方案所涉及的额外维护开销。 Azure 文件共享备份的主要优点包括:
零基础结构
自定义保留
内置管理功能
即时还原
警报和报告
防止意外删除文件共享
有关详细信息,请参阅 关于 Azure 文件共享备份
安全和文件访问审核
安全审核是帮助维护企业安全的必需要求。 行业标准要求企业遵循与数据安全和隐私相关的一组严格的规则。
可以在本地和远程启用文件访问审核:
在本地,使用动态访问控制。 有关详细信息,请参阅 规划文件访问审核。
使用 azure 文件的 Azure Monitor 中的 Azure 存储日志远程进行。 Azure 存储日志包含 StorageRead、StorageWrite、StorageDelete 和 Transaction 日志。 可以将 Azure 文件访问记录到存储帐户、log analytics 工作区,或单独传输到事件中心。 有关详细信息,请参阅 监视 Azure 存储。
