Redigera

Hybridfiltjänster

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Den här referensarkitekturen visar hur du använder Azure File Sync och Azure Files för att utöka filtjänsternas värdfunktioner mellan molnresurser och lokala filresursresurser.

Arkitektur

Ett topologidiagram för Azure-hybridfiltjänster.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Arkitekturen består av följande komponenter:

  • Azure Storage-konto. Ett lagringskonto som används som värd för filresurser.
  • Azure Files. En serverlös molnfilresurs som tillhandahåller molnslutpunkten för en synkroniseringsrelation med hjälp av Azure File Sync. Filer i en Azure-filresurs kan nås direkt med SMB (Server Message Block) eller FileREST-protokollet.
  • Synkronisera grupper. Logiska grupper av Azure-filresurser och -servrar som kör Windows Server. Synkroniseringsgrupper distribueras till Storage Sync Service, som registrerar servrar för användning med Azure File Sync och innehåller synkroniseringsgruppens relationer.
  • Azure File Sync-agent. Detta installeras på Windows Server-datorer för att aktivera och konfigurera synkronisering med molnslutpunkter.
  • Windows-servrar. Lokala eller molnbaserade Windows Server-datorer som är värdar för en filresurs som synkroniseras med en Azure-filresurs.
  • Microsoft Entra-ID. Microsoft Entra-klientorganisationen som används för identitetssynkronisering i Azure och lokala miljöer.

Komponenter

Information om scenario

Vanliga användningsområden för den här arkitekturen inkluderar:

  • Värd för filresurser som måste vara tillgängliga från molnmiljöer och lokala miljöer.
  • Synkronisera data mellan flera lokala datalager med en enda molnbaserad källa.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett krav som åsidosätter dem.

Användning och distribution av Azure Files

Du lagrar dina filer i molnet i serverlösa Azure-filresurser. Du kan använda dem på två sätt: genom att montera dem direkt (SMB) eller genom att cachelagra dem lokalt med hjälp av Azure File Sync. Vad du behöver tänka på när du planerar för distributionen beror på vilket av de två sätten du väljer.

  • Direkt montering av en Azure-filresurs. Eftersom Azure Files ger SMB-åtkomst kan du montera Azure-filresurser lokalt eller i molnet med hjälp av standard-SMB-klienten som är tillgänglig i operativsystemen Windows, macOS och Linux. Azure-filresurser är serverlösa, så distribution av dem för produktionsscenarier kräver inte hantering av en filserver eller en NAS-enhet (Network Attached Storage). Det innebär att du inte behöver tillämpa programkorrigeringar eller byta ut fysiska diskar.
  • Cachelagrar Azure-filresurs lokalt med Azure File Sync. Med Azure File Sync kan du centralisera organisationens filresurser i Azure Files, samtidigt som du behåller flexibiliteten, prestandan och kompatibiliteten hos en lokal filserver. Azure File Sync omvandlar en lokal (eller molnbaserad) Windows Server till en snabb cache av din Azure-filresurs.

Distribuera tjänsten för synkronisering av lagring

Påbörja Azure File Sync-distributionen genom att distribuera en Storage Sync Service-resurs till en resursgrupp i den valda prenumerationen. Vi rekommenderar att du etablerar så få Storage Sync Service-objekt som möjligt. Du skapar en förtroenderelation mellan dina servrar och den här resursen. En server kan bara registreras till en tjänst för synkronisering av lagring. Därför rekommenderar vi att du distribuerar så många Lagringssynkroniseringstjänster som du behöver för att separera grupper av servrar. Tänk på att servrar från olika Lagringssynkroniseringstjänster inte kan synkroniseras med varandra.

Registrera Windows Server-datorer med Azure File Sync-agenten

Om du vill aktivera synkroniseringsfunktionen på Windows Server måste du installera den nedladdningsbara agenten för Azure File Sync. Azure File Sync-agenten innehåller två huvudkomponenter:

  • FileSyncSvc.exe. Windows-bakgrundstjänsten som ansvarar för att övervaka ändringar på serverslutpunkterna och initiera synkroniseringssessioner.
  • StorageSync.sys. Ett filsystemfilter som möjliggör molnnivåindelning och snabbare haveriberedskap.

Du kan ladda ned agenten från nedladdningssidan för Azure File Sync Agent i Microsoft Download Center.

Operativsystemskrav

Azure File Sync stöds av Windows Server-versionerna som visas i följande tabell.

Version SKU:er som stöds Distributionsalternativ som stöds
Windows Server 2022 Azure, Datacenter, Essentials, Standard och IoT Full och Core
Windows Server 2019 Datacenter, Standard och IoT Full och Core
Windows Server 2016 Datacenter, standard och lagringsserver Full och Core
Windows Server 2012 R2 Datacenter, standard och lagringsserver Full och Core

Mer information finns i Överväganden för Windows-filserver.

Konfigurera synkroniseringsgrupper och molnslutpunkter

En synkroniseringsgrupp definierar synkroniseringstopologin för en uppsättning filer. Slutpunkter i en synkroniseringsgrupp synkroniseras med varandra. En synkroniseringsgrupp måste innehålla en molnslutpunkt som representerar en Azure-filresurs och en eller flera serverslutpunkter. En serverslutpunkt representerar en sökväg på en registrerad server. En server kan ha serverslutpunkter i flera synkroniseringsgrupper. Du kan skapa så många synkroniseringsgrupper som du behöver för att beskriva önskad synkroniseringstopologi.

En molnslutpunkt är en pekare till en Azure-filresurs. Alla serverslutpunkter synkroniseras med en molnslutpunkt, vilket gör molnslutpunkten till hubben. Lagringskontot för Azure-filresursen måste finnas i samma region som Storage Sync Service. Hela Azure-filresursen synkroniseras, med ett undantag: en särskild mapp som är jämförbar med den dolda mappen System Volume Information på en NT-filsystemvolym (NTFS) etableras. Den här katalogen heter . SystemShareInformation och innehåller viktiga synkroniseringsmetadata som inte synkroniseras till andra slutpunkter.

Konfigurera serverslutpunkter

En serverslutpunkt representerar en viss plats på en registrerad server, till exempel en mapp på en servervolym. En serverslutpunkt måste vara en sökväg på en registrerad server (i stället för en monterad resurs) och måste använda molnnivåindelning. Serverns slutpunktssökväg måste finnas på en volym som inte är en systemvolym. NAS stöds inte.

Relationer mellan Azure-filresurser och Windows-filresurser

Du bör distribuera Azure-filresurser en-till-en med Windows-filresurser där det är möjligt. Serverslutpunktsobjektet ger dig stor flexibilitet när det gäller hur du konfigurerar synkroniseringstopologin på serversidan av synkroniseringsrelationen. För att förenkla hanteringen gör du så att sökvägen till serverslutpunkten matchar sökvägen till Windows-filresursen.

Använd så få Synkroniseringstjänster för lagring som möjligt. Detta förenklar hanteringen när du har synkroniseringsgrupper som innehåller flera serverslutpunkter, eftersom en Windows Server bara kan registreras till en Synkroniseringstjänst för lagring i taget.

Var uppmärksam på I/O-åtgärder per sekund (IOPS) begränsningar för ett lagringskonto när du distribuerar Azure-filresurser. Idealet är att mappa filresurser en-till-en med lagringskonton. Det är inte alltid möjligt att göra det på grund av olika gränser och begränsningar från din organisation och från Azure. När det inte är möjligt att bara ha en filresurs distribuerad på ett lagringskonto kontrollerar du att dina mest aktiva filresurser inte finns i samma lagringskonto.

Topologirekommendationer: brandväggar, gränsnätverk och proxyanslutning

Överväg följande rekommendationer för lösningstopologi.

Brandväggs- och trafikfiltrering

Baserat på organisationens principer eller på unika regelkrav kan du behöva begränsa kommunikationen med Azure. Azure File Sync tillhandahåller därför flera mekanismer för att konfigurera nätverk. Baserat på dina krav kan du:

  • Tunnelsynkronisering och filuppladdning och nedladdning av trafik via ditt virtuella privata Azure ExpressRoute- eller Azure-nätverk (VPN).
  • Använd Azure Files- och Azure-nätverksfunktioner som tjänstslutpunkter och privata slutpunkter.
  • Konfigurera Azure File Sync för att stödja proxyn i din miljö.
  • Begränsa nätverksaktiviteten från Azure File Sync.

Mer information om Azure File Sync och nätverk finns i Nätverksöverväganden för Azure File Sync.

Konfigurera proxyservrar

Många organisationer använder en proxyserver som mellanhand mellan resurser i sitt lokala nätverk och resurser utanför nätverket, till exempel i Azure. Proxyservrar är användbara för många program, till exempel nätverksisolering och säkerhet samt övervakning och loggning. Azure File Sync kan samverka helt med en proxyserver. Du måste dock manuellt konfigurera proxyslutpunktsinställningarna för din miljö med Azure File Sync. Det gör du med hjälp av Azure File Sync-server-cmdletar i Azure PowerShell.

Mer information om hur du konfigurerar Azure File Sync med en proxyserver finns i Proxy- och brandväggsinställningar för Azure File Sync.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

  • Du bör överväga typ och prestanda för det lagringskonto som du använder för att vara värd för Azure-filresurser. Alla lagringsresurser som distribueras till ett lagringskonto delar de gränser som gäller för lagringskontot. Mer information om hur du fastställer de aktuella gränserna för ett lagringskonto finns i Skalbarhets- och prestandamål för Azure Files.
  • Det finns två huvudsakliga typer av lagringskonton för Azure Files-distributioner:
    • Lagringskonton för generell användning version 2 (GPv2). Med GPv2-lagringskonton kan du distribuera Azure-filresurser på standardhårddiskbaserad maskinvara (HDD-baserad). Förutom att lagra Azure-filresurser kan GPv2-lagringskonton lagra andra lagringsresurser, till exempel blobcontainrar, köer och tabeller.
    • FileStorage-lagringskonton: FileStorage-lagringskonton gör det möjligt för dig att distribuera Azure-filresurser på premiumdiskbaserad maskinvara (SSD-baserad). FileStorage-konton kan bara användas för att lagra Azure-filresurser. Du kan inte distribuera andra lagringsresurser, till exempel blobcontainrar, köer och tabeller i ett FileStorage-konto.
  • Du bör se till att Azure File Sync stöds i de regioner där du distribuerar din lösning. Mer information finns i Tillgänglighet för Azure File Sync-regionen.
  • Du bör se till att de tjänster som refereras i avsnittet Arkitektur stöds i den region där du distribuerar hybridfiltjänstarkitekturen.
  • För att skydda data i dina Azure-filresurser mot dataförlust eller skada lagrar alla Azure-filresurser flera kopior av varje fil när de skrivs. Beroende på kraven för din arbetsbelastning kan du välja fler redundansgrader.
  • Tidigare versioner är en Windows-funktion som gör att du kan använda vss-ögonblicksbilder (Volume Shadow Copy Service) på serversidan av en volym för att presentera återställningsbara versioner av en fil för en SMB-klient. VSS-ögonblicksbilder och tidigare versioner fungerar oberoende av Azure File Sync. Molnnivåindelning måste dock vara inställt på ett kompatibelt läge. Många Azure File Sync-serverslutpunkter kan finnas på samma volym. Du måste göra följande PowerShell-anrop per volym som till och med har en serverslutpunkt, där du planerar eller använder molnnivåindelning. Mer information om tidigare versioner och VSS finns i Självbetjäningsåterställning via tidigare versioner och VSS (Volume Shadow Copy Service).

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

  • Azure File Sync fungerar med din AD DS-standardidentitet (Active Directory-domän Services) utan någon särskild konfiguration utöver att konfigurera Azure File Sync. När du använder Azure File Sync går filåtkomst vanligtvis via Azure File Sync-cachelagringsservrarna i stället för via Azure-filresursen. Eftersom serverslutpunkterna finns på Windows Server-datorer är det enda kravet för identitetsintegrering att använda domänanslutna Windows-filservrar för att registrera sig med Tjänsten för synkronisering av lagring. Azure File Sync lagrar åtkomstkontrollistor (ACL: er) för filerna i Azure-filresursen och replikerar dem till alla serverslutpunkter.
  • Även om ändringar som görs direkt till Azure-filresursen tar längre tid att synkronisera till serverslutpunkterna i synkroniseringsgruppen, kanske du vill se till att du kan framtvinga AD DS-behörigheter för din filresurs direkt i molnet också. För att göra detta måste du domänansluta ditt lagringskonto till din lokala AD DS-domän, precis som dina Windows-filservrar är domänanslutna. Mer information om domänanslutning till ditt lagringskonto till en kundägd AD DS-instans finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst.
  • När du använder Azure File Sync finns det tre olika krypteringslager att tänka på:
    • Kryptering i vila för data som lagras i Windows Server. Det finns två strategier för att kryptera data på Windows Server som fungerar vanligtvis med Azure File Sync: kryptering under filsystemet så att filsystemet och alla data som skrivs till det krypteras och kryptering i själva filformatet. Dessa metoder kan användas tillsammans om så önskas, eftersom deras syften skiljer sig åt.
    • Kryptering under överföring mellan Azure File Sync-agenten och Azure. Azure File Sync-agenten kommunicerar med lagringssynkroniseringstjänsten och Azure-filresursen med hjälp av REST-protokollet Azure File Sync och FileREST-protokollet, som båda alltid använder HTTPS via port 443. Azure File Sync skickar inte okrypterade begäranden via HTTP.
    • Kryptering i vila för data som lagras i Azure-filresursen. Alla data som lagras i Azure Files krypteras i vila med azure storage service encryption (SSE). Kryptering av lagringstjänst fungerar ungefär som BitLocker i Windows: data krypteras under filsystemnivån. Eftersom data krypteras under filsystemet i Azure-filresursen när data kodas till disken behöver du inte åtkomst till den underliggande nyckeln på klienten för att läsa eller skriva till Azure-filresursen.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Driftseffektivitet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

  • Azure File Sync-agenten uppdateras regelbundet för att lägga till nya funktioner och åtgärda problem. Microsoft rekommenderar att du konfigurerar Microsoft Update för att tillhandahålla uppdateringar för Azure File Sync-agenten när de blir tillgängliga. Mer information finns i Uppdateringsprincip för Azure File Sync-agenten.
  • Azure Storage erbjuder mjuk borttagning för filresurser så att du kan återställa dina data när de tas bort av misstag av ett program eller av en annan lagringskontoanvändare. Mer information om mjuk borttagning finns i Aktivera mjuk borttagning på Azure-filresurser.
  • Molnnivåindelning är en valfri funktion i Azure File Sync som cachelagrar filer som används ofta lokalt på servern och nivåindelar de andra till Azure Files baserat på principinställningar. När en fil är nivåindelad ersätter Azure File Sync-filsystemfiltret (StorageSync.sys) filen lokalt med en pekare till filen i Azure Files. En nivåindelad fil har både offlineattributet och attributet FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS i NTFS så att program från tredje part kan identifiera nivåindelade filer på ett säkert sätt. Mer information finns i Översikt över molnnivåindelning.

Nästa steg

Relaterad hybridvägledning:

Relaterade arkitekturer: