Modifier

Services de fichiers hybrides

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Comptes Stockage Azure

Cette architecture de référence illustre comment utiliser Azure File Sync et Azure Files pour étendre les capacités d’hébergement des services de fichiers aux ressources de partage de fichiers locales et cloud.

Architecture

Diagramme de topologie des services de fichiers hybrides Azure.

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture est constituée des composants suivants :

  • Compte de stockage Azure. Compte de stockage utilisé pour héberger des partages de fichiers.
  • Azure Files . Partage de fichiers cloud serverless qui fournit le point de terminaison cloud d’une relation de synchronisation en utilisant Azure File Sync. Les fichiers d’un partage de fichiers Azure sont accessibles directement avec le protocole SMB ou FileREST.
  • Groupes de synchronisation. Regroupements logiques de partages de fichiers Azure et de serveurs exécutant Windows Server. Les groupes de synchronisation sont déployés dans le service de synchronisation de stockage, qui inscrit des serveurs pour les utiliser avec Azure File Sync et contient les relations des groupes de synchronisation.
  • Agent Azure File Sync. Il est installé sur les ordinateurs Windows Server pour activer et configurer la synchronisation avec les points de terminaison cloud.
  • Serveurs Windows. Ordinateurs Windows Server locaux ou informatiques qui hébergent un partage de fichiers synchronisé avec un partage de fichiers Azure.
  • Microsoft Entra ID. Locataire Microsoft Entra utilisé pour la synchronisation des identités dans les environnements Azure et locaux.

Composants

Détails du scénario

Utilisations courantes de cette architecture :

  • Hébergement des partages de fichiers qui doivent être accessibles à partir d’environnements cloud et locaux.
  • Synchronisation des données entre plusieurs magasins de données locaux avec une seule source informatique.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin qui vous oblige à les ignorer.

Utilisation et déploiement d’Azure Files

Vous stockez vos fichiers dans le cloud, dans des partages de fichiers Azure serverless. Vous pouvez les utiliser de deux façons : en les montant directement (SMB) ou en les mettant en cache localement en utilisant Azure File Sync. Ce que vous devez prendre en compte quand vous planifiez votre déploiement dépend de la méthode que vous choisissez.

  • Montage direct d’un partage de fichiers Azure. Étant donné qu’Azure Files fournit un accès SMB, vous pouvez monter des partages de fichiers Azure localement ou dans le cloud à l’aide du client SMB standard disponible dans les systèmes d’exploitation Windows, macOS et Linux. Dans la mesure où les partages de fichiers Azure sont serverless, vous n’avez aucun serveur de fichiers ou appareil NAS à gérer lors de leur déploiement dans des scénarios de production. Concrètement, cela signifie que vous n'avez aucun correctif logiciel à appliquer ni aucun disque physique à remplacer.
  • Mise en cache d’un partage de fichiers Azure localement avec Azure File Sync : Azure File Sync vous permet de centraliser les partages de fichiers de votre organisation dans Azure Files, tout en conservant la flexibilité, le niveau de performance et la compatibilité d’un serveur de fichiers local. Azure File Sync transforme une instance Windows Server locale (ou cloud) en cache rapide de votre partage de fichiers Azure.

Déployer le service de synchronisation de stockage

Commencez le déploiement d’Azure File Sync en déployant une ressource Service de synchronisation de stockage dans un groupe de ressources de l’abonnement de votre choix. Nous vous recommandons d’approvisionner le moins possible d’objets de service de synchronisation de stockage. Vous allez créer une relation de confiance entre vos serveurs et cette ressource, et un serveur ne peut être inscrit qu’auprès d’un seul service de synchronisation de stockage. Par conséquent, nous vous recommandons de déployer autant de services de synchronisation de stockage que nécessaire pour séparer les groupes de serveurs. Gardez à l’esprit que les serveurs de différents services de synchronisation du stockage ne peuvent pas être synchronisés entre eux.

Inscription d’ordinateurs Windows Server avec l’agent Azure File Sync

Pour activer la fonctionnalité de synchronisation sur Windows Server, vous devez installer l'agent téléchargeable Azure File Sync. L’agent Azure File Sync fournit deux composants principaux :

  • FileSyncSvc.exe. Service Windows d’arrière-plan chargé de superviser les modifications apportées aux points de terminaison de serveur et de lancer des sessions de synchronisation.
  • StorageSync.sys. Filtre de système de fichiers qui permet la hiérarchisation cloud et une récupération d’urgence plus rapide.

Vous pouvez télécharger l’agent à partir de la page de téléchargement de l’agent Azure File Sync sur le centre de téléchargement de Microsoft.

Système d'exploitation requis

Azure File Sync est pris en charge par les versions de Windows Server listées dans le tableau suivant.

Version Références prises en charge Options de déploiement prises en charge
Windows Server 2019 Datacenter, Standard et IoT Complète et Minimale
Windows Server 2016 Datacenter, Standard et Storage Server Complète et Minimale
Windows Server 2012 R2 Datacenter, Standard et Storage Server Complète et Minimale

Pour plus d’informations, consultez Considérations relatives aux serveurs de fichiers Windows.

Configuration des groupes de synchronisation et des points de terminaison cloud

Un groupe de synchronisation définit la topologie de synchronisation d’un ensemble de fichiers. Les points de terminaison dans un groupe de synchronisation sont synchronisés entre eux. Un groupe de synchronisation doit contenir un seul point de terminaison cloud, qui représente un partage de fichiers Azure, et un ou plusieurs points de terminaison de serveur. Un point de terminaison de serveur représente un chemin d’accès vers un serveur inscrit. Un serveur peut avoir des points de terminaison de serveur dans plusieurs groupes de synchronisation. Vous pouvez créer autant de groupes de synchronisation que nécessaire pour décrire de manière appropriée votre topologie de synchronisation.

Un point de terminaison cloud est un pointeur vers un partage de fichiers Azure. Tous les points de terminaison de serveur seront synchronisés avec un point de terminaison cloud, en faisant ainsi un concentrateur. Le compte de stockage pour le partage de fichiers Azure doit se trouver dans la même région que le service de synchronisation de stockage. L’intégralité du partage de fichiers Azure est synchronisée, à une exception près : un dossier spécial, comparable au dossier System Volume Information masqué sur un volume NTFS est provisionné. Ce répertoire est appelé .SystemShareInformation et contient des métadonnées de synchronisation importantes qui ne sont pas synchronisées avec les autres points de terminaison.

Configuration des points de terminaison de serveur

Un point de terminaison de serveur représente un emplacement spécifique sur un serveur inscrit, comme un dossier sur un volume de serveur. Un point de terminaison de serveur doit être un chemin sur un serveur inscrit (au lieu d’un partage monté) et utiliser la hiérarchisation cloud. Le chemin d’accès au point de terminaison de serveur doit être sur un volume non-système. NAS n’est pas pris en charge.

Relations entre un partage de fichiers Azure et un partage de fichiers Windows

Dans la mesure du possible, le déploiement d’un partage de fichiers Azure doit correspondre à un seul partage de fichiers Windows. L'objet point de terminaison de serveur vous offre une grande flexibilité pour configurer la topologie de synchronisation du côté serveur de la relation de synchronisation. Pour simplifier la gestion, faites correspondre le chemin du point de terminaison de serveur avec le chemin du partage de fichiers Windows.

Utilisez le moins de services de synchronisation de stockage possible. Ceci simplifie la gestion quand vous avez des groupes de synchronisation contenant plusieurs points de terminaison de serveur, car un serveur Windows ne peut être inscrit qu’auprès d’un seul service de synchronisation de stockage à la fois.

Lors du déploiement de partages de fichiers Azure, soyez attentif aux limitations des opérations d’entrée/sortie par seconde (IOPS) sur un compte de stockage. L’idéal est de mapper des partages de fichiers un-à-un avec des comptes de stockage. Il n’est pas toujours possible de le faire en raison de différentes limites et restrictions de votre organisation et d’Azure. Quand il n’est pas possible d’avoir un seul partage de fichiers déployé dans un compte de stockage, veillez à ce que vos partages de fichiers les plus actifs ne soient pas regroupés sur le même compte de stockage.

Recommandations en matière de topologie : pare-feu, réseaux de périmètre et connectivité proxy

Tenez compte des recommandations suivantes pour la topologie de la solution.

Pare-feu et filtrage du trafic

En fonction des stratégies de votre organisation ou d’exigences réglementaires uniques, il peut être nécessaire de restreindre la communication avec Azure. Par conséquent, Azure File Sync propose plusieurs mécanismes permettant de configurer la mise en réseau. En fonction de vos besoins, vous pouvez :

  • Utiliser un tunnel pour la synchronisation et le trafic de chargement/téléchargement des fichiers sur votre instance Azure ExpressRoute ou votre réseau privé virtuel (VPN) Azure.
  • Utiliser les fonctionnalités de la mise en réseau Azure et d’Azure Files telles que les points de terminaison de service et les points de terminaison privés
  • Configurer Azure File Sync de manière à prendre en charge votre proxy dans votre environnement
  • Limiter l'activité du réseau à partir d'Azure File Sync

Pour en savoir plus sur Azure File Sync et la mise en réseau, consultez Considérations relatives à la mise en réseau Azure File Sync.

Configuration de serveurs proxy

De nombreuses organisations utilisent un serveur proxy comme intermédiaire entre les ressources au sein de leur réseau local et les ressources en dehors de leur réseau, comme dans Azure. Les serveurs proxy sont utiles pour de nombreuses applications, telles que l’isolement réseau et la sécurité, ainsi que la supervision et la journalisation. Azure File Sync peut interopérer complètement avec un serveur proxy. Cependant, vous devez configurer manuellement les paramètres de point de terminaison proxy pour votre environnement avec Azure File Sync. Vous faites cela en utilisant les cmdlets de serveur Azure File Sync dans Azure PowerShell.

Pour plus d’informations sur la configuration d’Azure File Sync avec un serveur proxy, consultez Paramètres de proxy et de pare-feu d’Azure File Sync.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

  • Vous devez prendre en compte le type et les performances du compte de stockage utilisé pour héberger les partages de fichiers Azure. Toutes les ressources de stockage qui sont déployées dans un compte de stockage partagent les limites qui s’appliquent à ce compte de stockage. Pour plus d’informations sur la détermination des limites actuelles d’un compte de stockage, consultez Objectifs de scalabilité et de performance d’Azure Files.
  • Il existe deux types principaux de comptes de stockage pour les déploiements Azure Files :
    • Comptes de stockage version 2 universels (GPv2). Les comptes de stockage GPv2 vous permettent de déployer des partages de fichiers Azure sur du matériel standard avec des disques durs (HDD). En plus de stocker les partages de fichiers Azure, les comptes de stockage GPv2 peuvent stocker d’autres ressources de stockage, comme des conteneurs d’objets blob, des files d’attente et des tables.
    • Comptes de stockage FileStorage : Les comptes de stockage FileStorage vous permettent de déployer des partages de fichiers Azure sur du matériel Premium avec des disques SSD. Les comptes FileStorage peuvent uniquement être utilisés pour stocker des partages de fichiers Azure. Vous ne pouvez pas déployer d’autres ressources de stockage, comme des conteneurs d’objets blob, des files d’attente et des tables dans un compte FileStorage.
  • Par défaut, les partages de fichiers standard ne peuvent pas s’étendre au delà de 5 téraoctets (Tio), même si la limite du partage peut être augmentée jusqu’à 100 Tio. Pour ce faire, la fonctionnalité de partage de fichiers volumineux doit être activée au niveau du compte de stockage. Les comptes de stockage Premium (comptes de stockage FileStorage) ne disposent pas de l’indicateur de fonctionnalité de partage de grands fichiers, car tous les partages de fichiers Premium sont déjà activés pour provisionner jusqu’à la capacité totale de 100 Tio. Vous pouvez uniquement activer les partages de fichiers volumineux sur des comptes de stockage standard localement redondants ou redondants interzone. Une fois que vous avez activé l’indicateur de fonctionnalité de partage de grands fichiers, vous ne pouvez pas changer le niveau de redondance en stockage géoredondant ou en stockage géoredondant interzone. Pour activer les partages de fichiers volumineux sur un compte de stockage existant, activez l’option Partage de fichiers volumineux dans la vue Configuration du compte de stockage associé.
  • Vous devez vérifier qu’Azure File Sync est pris en charge dans les régions où vous déployez votre solution. Pour plus d’informations, consultez Disponibilité des régions de synchronisation de fichiers Azure.
  • Vous devez vérifier que les services référencés dans la section Architecture sont pris en charge dans la région où vous déployez l’architecture des services de fichiers hybrides.
  • Pour protéger les données de vos partages de fichiers Azure contre la perte ou l’altération des données, tous les partages de fichiers Azure stockent plusieurs copies de chaque fichier au fil de leur écriture. En fonction des exigences de votre charge de travail, vous pouvez sélectionner plus de degrés de redondance.
  • Versions précédentes est une fonctionnalité Windows qui vous offre la possibilité d’utiliser les instantanés VSS côté serveur d’un volume pour présenter les versions restaurables d’un fichier à un client SMB. Les instantanés VSS et Versions précédentes fonctionnent indépendamment d'Azure File Sync. Toutefois, la hiérarchisation cloud doit être définie sur un mode compatible. De nombreux points de terminaison de serveur Azure File Sync peuvent être présents sur le même volume. Vous devez effectuer l’appel PowerShell suivant par volume doté d’un point de terminaison de serveur, sur lequel vous envisagez d’utiliser ou utilisez la hiérarchisation cloud. Pour plus d’informations sur Versions précédentes et VSS, consultez Restauration en libre-service via Versions précédentes et Service VSS.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

  • Azure File Sync fonctionne avec votre identité Active Directory Domain Services (AD DS) standard sans aucune configuration particulière au delà de la configuration d’Azure File Sync. Quand vous utilisez Azure File Sync, l’accès aux fichiers passe généralement par les serveurs de mise en cache Azure File Sync plutôt que par le partage de fichiers Azure. Comme les points de terminaison de serveur se trouvent sur des machines Windows Server, la seule exigence pour l’intégration d’identité consiste est d’utiliser des serveurs de fichiers Windows joints à un domaine pour s’inscrire auprès du service de synchronisation de stockage. Azure File Sync stocke les listes de contrôle d’accès pour les fichiers du partage de fichiers Azure et les réplique sur tous les points de terminaison de serveur.
  • Même si les modifications apportées directement au partage de fichiers Azure mettent plus longtemps à se synchroniser avec les points de terminaison de serveur dans le groupe de synchronisation, vous pouvez aussi souhaiter appliquer vos autorisations AD DS sur votre partage de fichiers directement dans le cloud. Pour cela, vous devez effectuer une jonction de domaine de votre compte de stockage à votre domaine AD DS local, tout comme vos serveurs de fichiers Windows sont joints à un domaine. Pour en savoir plus sur la jonction à un domaine de votre compte de stockage à une instance AD DS appartenant au client, consultez Vue d’ensemble des options d’authentification basée sur l’identité Azure Files pour l’accès SMB.
  • Quand vous utilisez Azure File Sync, il existe trois couches différentes de chiffrement à prendre en compte :
    • Chiffrement au repos pour les données stockées dans Windows Server. Sur Windows Server, deux stratégies de chiffrement des données fonctionnent généralement avec Azure File Sync : le chiffrement sous le système de fichiers, de manière à chiffrer le système de fichiers et toutes les données qui y sont écrites, et le chiffrement au sein du format de fichier lui-même. Ces méthodes peuvent être utilisées ensemble si vous le souhaitez, car leurs objectifs diffèrent.
    • Chiffrement en transit entre l’agent Azure File Sync et Azure. L’agent Azure File Sync communique avec votre service de synchronisation de stockage et votre partage de fichiers Azure en utilisant le protocole REST d’Azure File Sync et le protocole FileREST, ces deux protocoles utilisant tous deux HTTPS sur le port 443. Azure File Sync n’envoie pas de requêtes non chiffrées sur HTTP.
    • Chiffrement au repos pour les données stockées dans le partage de fichiers Azure. Toutes les données stockées dans Azure Files sont chiffrées au repos avec Azure Storage Service Encryption (SSE). Storage Service Encryption fonctionne de la même façon que BitLocker sur Windows : les données sont chiffrées sous le niveau du système de fichiers. Comme les données sont chiffrées sous le système de fichiers du partage de fichiers Azure, les données étant codées sur le disque, il n’est pas nécessaire d’avoir accès à la clé sous-jacente sur le client pour lire ou écrire sur le partage de fichiers Azure.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

  • L’agent Azure File Sync est mis à jour régulièrement pour ajouter de nouvelles fonctionnalités et pour résoudre les problèmes. Microsoft vous recommande de configurer Microsoft Update afin de fournir des mises à jour pour l’agent Azure File Sync dès qu’elles deviennent disponibles. Pour plus d’informations, voir Stratégie de mise à jour de l’agent Azure File Sync.
  • Stockage Azure offre une fonctionnalité de suppression réversible pour les partages de fichiers, ce qui vous permet de récupérer vos données en cas de suppressions malencontreuses par une application ou par un autre utilisateur du compte de stockage. Pour en savoir plus sur la suppression réversible, consultez Activer la suppression réversible sur les partages de fichiers Azure.
  • La hiérarchisation cloud est une fonctionnalité facultative d’Azure File Sync, qui met en cache localement sur le serveur les fichiers faisant l’objet d’accès fréquents, les autres fichiers étant hiérarchisés sur Azure Files en fonction des paramètres de stratégie. Quand un fichier est hiérarchisé, le filtre du système de fichiers Azure File Sync (StorageSync.sys) remplace le fichier local par un pointeur vers le fichier dans Azure Files. Un fichier hiérarchisé a l’attribut offline (hors connexion), et son attribut FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS est défini dans le système de fichiers NTFS de façon à ce que des applications tierces puissent identifier en toute sécurité des fichiers hiérarchisés. Pour plus d’informations, consultez Vue d’ensemble de la hiérarchisation cloud.

Étapes suivantes

Conseils associés sur l’architecture hybride :

Architectures connexes :