編輯

混合式檔案服務

Microsoft Entra ID
Azure ExpressRoute
Azure 檔案
Azure 儲存體帳戶

此參考架構說明如何使用 Azure 檔案同步 和 Azure 檔案儲存體 來擴充跨雲端和內部部署檔案共用資源裝載功能的檔案服務。

架構

Azure 混合式檔案服務拓撲圖。

下載此架構的 Visio 檔案

工作流程

架構包含下列元件:

  • Azure 記憶體帳戶。 用來裝載檔案共享的記憶體帳戶。
  • Azure 檔案儲存體。 無伺服器雲端檔案共用,使用 Azure 檔案同步 提供同步關聯性的雲端端點。您可以使用伺服器訊息塊 (SMB) 或 FileREST 通訊協定直接存取 Azure 檔案共用中的檔案。
  • 同步群組。 執行 Windows Server 的 Azure 檔案共用和伺服器的邏輯群組。 同步群組會部署到同步處理服務 儲存體,此服務會註冊伺服器以搭配 Azure 檔案同步 使用,並包含同步群組關聯性。
  • Azure 檔案同步代理程式。 這會安裝在 Windows Server 機器上,以啟用及設定與雲端端點的同步處理。
  • Windows Server。 裝載與 Azure 檔案共用同步之檔案共用的內部部署或雲端式 Windows Server 機器。
  • Microsoft Entra ID。 用於跨 Azure 和內部部署環境的身分識別同步處理的 Microsoft Entra 租使用者。

元件

案例詳細資料

此結構的一般用法包括:

  • 裝載需要從雲端和內部部署環境存取的檔案共用。
  • 使用單一雲端式來源,同步處理多個內部部署數據存放區之間的數據。

建議

下列建議適用於大部分案例。 除非您有覆寫這些建議的需求,否則請遵循這些建議。

Azure 檔案儲存體 使用量和部署

您可以將檔案儲存在雲端的無伺服器 Azure 檔案共用中。 您可以使用兩種方式:直接掛接它們(SMB),或使用 Azure 檔案同步 在內部部署中快取它們。規劃部署時需要考慮的事項取決於您選擇的兩種方式之一。

  • 直接掛接 Azure 檔案共用。 由於 Azure 檔案儲存體 提供 SMB 存取,因此您可以使用 Windows、macOS 和 Linux 操作系統中可用的標準 SMB 用戶端,在內部部署或雲端掛接 Azure 檔案共用。 Azure 檔案共用是無伺服器,因此針對生產案例部署它們不需要管理檔伺服器或網路連接記憶體 (NAS) 裝置。 這表示您不需要套用軟體修補程式或交換實體磁碟。
  • 使用 Azure 檔案同步 快取內部部署的 Azure 檔案共用。Azure 檔案同步 可讓您將組織的檔案共用集中化 Azure 檔案儲存體,同時保持內部部署檔伺服器的彈性、效能和相容性。 Azure 檔案同步會將內部部署 (或雲端) Windows Server 轉換成 Azure 檔案共用的快速快取。

部署儲存體同步服務

將 儲存體 同步服務資源部署到所選訂用帳戶的資源群組,以開始 Azure 檔案同步 部署。 我們建議盡可能布建最少的 儲存體 Sync Service 物件。 您將建立伺服器與此資源之間的信任關係,而且伺服器只能註冊至一個 儲存體 同步服務。 因此,建議您視需要部署多個 儲存體 同步服務,以分隔伺服器群組。 請記住,來自不同 儲存體 同步服務的伺服器無法彼此同步。

向 Azure 檔案同步 代理程式註冊 Windows Server 機器

若要在 Windows Server 上啟用同步功能,您必須安裝 Azure 檔案同步的可下載代理程式。 Azure 檔案同步 代理程式提供兩個主要元件:

  • FileSyncSvc.exe. 負責監視伺服器端點變更以及起始同步會話的背景 Windows 服務。
  • StorageSync.sys. 文件系統篩選器,可啟用雲端階層處理和更快速的災害復原。

您可以從 Microsoft 下載中心 Azure 檔案同步 代理程式下載頁面下載代理程式。

作業系統需求

下表所列的 Windows Server 版本支援 Azure 檔案同步。

版本 支援的 SKU 支援的部署選項
Windows Server 2019 Datacenter、Standard 和 IoT Full 和 Core
Windows Server 2016 Datacenter、Standard 和 Storage Server Full 和 Core
Windows Server 2012 R2 Datacenter、Standard 和 Storage Server Full 和 Core

如需詳細資訊,請參閱 Windows 檔伺服器考慮

設定同步群組和雲端端點

「同步群組」定義一組檔案的同步拓撲。 位於同步群組內的端點會彼此保持同步。 同步群組必須包含一個 雲端端點,代表 Azure 檔案共用,以及一或多個伺服器端點。 伺服器端點代表已註冊伺服器上的路徑。 伺服器可以在多個同步群組中有多個伺服器端點。 您可以根據需要建立多個同步群組,以適當地描述您想要的同步拓撲。

雲端端點是 Azure 檔案共用的指標。 所有伺服器端點都會與雲端端點同步,使雲端端點成為中樞。 Azure 檔案共用的儲存體帳戶必須位於儲存體同步服務的所在區域。 系統會同步處理整個 Azure 檔案共用,但有一個例外:已布建與 NT 檔案系統 (NTFS) 磁碟區上隱藏 的系統磁碟區資訊 資料夾相當的特殊資料夾。 此目錄稱為 。SystemShareInformation,其中包含不會同步至其他端點的重要同步元數據。

設定伺服器端點

伺服器端點代表已註冊伺服器上的特定位置,例如伺服器磁碟區上的資料夾。 伺服器端點必須是已註冊伺服器上的路徑(而非已掛接的共用),而且必須使用雲端階層處理。 伺服器端點路徑必須位於非系統磁碟區上。 不支援 NAS。

Azure 檔案共用與 Windows 檔案共用關聯性

您應該盡可能使用 Windows 檔案共用來部署 Azure 檔案共用。 伺服器端點物件可讓您彈性地瞭解如何在同步關聯性的伺服器端設定同步拓撲。 若要簡化管理,請讓伺服器端點的路徑符合 Windows 檔案共享的路徑。

盡可能少使用 儲存體 Sync Services。 當您有包含多個伺服器端點的同步群組時,這可簡化管理,因為 Windows Server 一次只能註冊至一個 儲存體 同步服務。

當您部署 Azure 檔案共享時,請注意記憶體帳戶每秒的 I/O 作業限制。 理想的做法是使用記憶體帳戶對應檔案共用一對一。 由於貴組織與 Azure 的各種限制和限制,因此不一定可以這麼做。 如果不可能只有一個檔案共用部署在記憶體帳戶中,請確定您最活躍的檔案共用不在相同的記憶體帳戶中。

拓撲建議:防火牆、邊緣網路和 Proxy 連線能力

請考慮下列解決方案拓撲的建議。

防火牆和流量篩選

根據貴組織的原則或獨特的法規需求,您可能需要限制與 Azure 的通訊。 因此,Azure 檔案同步 提供數個機制來設定網路。 根據您的需求,您可以:

  • 透過 Azure ExpressRoute 或 Azure 虛擬專用網 (VPN) 信道同步處理和檔案上傳和下載流量。
  • 使用 Azure 檔案儲存體 和 Azure 網路功能,例如服務端點和私人端點。
  • 設定 Azure 檔案同步,以在您的環境中支援您的 Proxy。
  • 節流來自 Azure 檔案同步的網路活動。

若要深入了解 Azure 檔案同步和網路功能,請參閱 Azure 檔案同步網路功能考量

設定 Proxy 伺服器

許多組織都會使用 Proxy 伺服器,作為其內部部署網路內部資源與其網路外之資源 (例如在 Azure 中) 之間的媒介。 Proxy 伺服器適用於許多應用程式,例如網路隔離和安全性,以及監視和記錄。 Azure 檔案同步 可以與 Proxy 伺服器完全互通;不過,您必須使用 Azure 檔案同步 手動設定環境的 Proxy 端點設定。您可以使用 Azure PowerShell 中的 Azure 檔案同步 伺服器 Cmdlet 來執行此動作。

如需如何使用 Proxy 伺服器設定 Azure 檔案同步 的詳細資訊,請參閱 Azure 檔案同步 Proxy 和防火牆設定

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

可靠性

可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性要素概觀。

  • 您應該考慮用來裝載 Azure 檔案共用的記憶體帳戶類型和效能。 部署到儲存體帳戶的所有儲存體資源,都共用適用於該儲存體帳戶的限制。 若要深入瞭解如何判斷記憶體帳戶目前的限制,請參閱 Azure 檔案儲存體 延展性和效能目標
  • Azure 檔案儲存體 部署有兩種主要類型的記憶體帳戶:
    • 一般用途第 2 版 (GPv2) 記憶體帳戶。 GPv2 記憶體帳戶可讓您在標準硬碟型(HDD 型)硬體上部署 Azure 檔案共用。 除了儲存 Azure 檔案共用之外,GPv2 記憶體帳戶還可以儲存其他記憶體資源,例如 Blob 容器、佇列和數據表。
    • 檔案 儲存體 記憶體帳戶:檔案 儲存體 儲存體帳戶可讓您在進階、固態硬碟型(SSD 型)硬體上部署 Azure 檔案共用。 FileStorage 帳戶只能用來儲存 Azure 檔案共用。 您無法在檔案 儲存體 帳戶中部署其他記憶體資源,例如 Blob 容器、佇列和數據表。
  • 根據預設,標準檔案共用可以跨越不超過 5 TB(TiB),不過共用限制可以增加到 100 TiB。 若要這樣做,必須在記憶體帳戶層級啟用大型檔案共用功能。 進階版 記憶體帳戶(檔案 儲存體 記憶體帳戶)沒有大型檔案共用功能旗標,因為所有進階檔案共用都已啟用,最多可布建 100-TiB 容量。 您只能在本機備援或區域備援標準記憶體帳戶上啟用大型檔案共用。 啟用大型檔案共用功能旗標之後,您無法將備援層級變更為異地備援記憶體或異地區域備援記憶體。 若要在現有的記憶體帳戶上啟用大型檔案共用,請在相關聯記憶體帳戶的 [組態] 檢視中啟用 [大型檔案分享] 選項。
  • 您應該確定部署解決方案的區域支援 Azure 檔案同步。 如需詳細資訊,請參閱 Azure 檔案同步區域可用性
  • 您應該確定部署混合式檔案服務架構的區域支援 [架構] 區段中所參考的服務。
  • 為了保護 Azure 檔案共享中的數據免於數據遺失或損毀,所有 Azure 檔案共用都會在寫入時儲存每個檔案的多個複本。 視工作負載的需求而定,您可以選取更多程度的備援。
  • 舊版 是 Windows 功能,可讓您使用磁碟區的伺服器端磁碟區陰影複製服務 (VSS) 快照集,將檔案的可還原版本呈現給 SMB 用戶端。 VSS 快照集和早期版本與 Azure 檔案同步工作無關。不過,雲端階層處理必須設定為相容的模式。 許多 Azure 檔案同步伺服器端點都可存在於相同磁碟區上。 您必須對每個磁碟區進行下列 PowerShell 呼叫,該磁碟區甚至有一個伺服器端點,您可以在其中規劃或使用雲端階層處理。 如需舊版和 VSS 的詳細資訊,請參閱透過舊版和 VSS 自助式還原(磁碟區陰影複製服務)。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性要素概觀。

  • Azure 檔案同步 與您的標準 Active Directory 網域服務 (AD DS) 身分識別搭配運作,而不需要任何特殊設定,而不需要設定 Azure 檔案同步。當您使用 Azure 檔案同步 時,檔案存取通常會通過 Azure 檔案同步 快取伺服器,而不是透過 Azure 檔案共用。 由於伺服器端點位於 Windows Server 機器上,身分識別整合的唯一需求是使用已加入網域的 Windows 檔伺服器向 儲存體 Sync Service 註冊。 Azure 檔案同步 儲存 Azure 檔案共用中檔案的存取控制清單(ACL),並將其復寫至所有伺服器端點。
  • 即使直接對 Azure 檔案共用所做的變更需要較長的時間才能同步至同步群組中的伺服器端點,但您可能也想要確保您也可以直接在雲端中對檔案共用強制執行 AD DS 許可權。 若要這樣做,您必須將記憶體帳戶加入內部部署 AD DS 網域,就像您的 Windows 檔伺服器已加入網域一樣。 若要深入瞭解將記憶體帳戶加入客戶擁有 AD DS 實例的網域,請參閱 SMB 存取的 Azure 檔案儲存體 身分識別型驗證選項概觀。
  • 當您使用 Azure 檔案同步 時,有三個不同的加密層需要考慮:
    • 儲存在 Windows Server 中的數據待用加密。 有兩種策略通常會使用 Azure 檔案同步,在 Windows Server 上加密資料:檔案系統底下的加密,讓檔案系統及寫入其中的所有資料都會進行加密,以及檔案格式本身內的加密。 如有需要,這些方法可以一起使用,因為它們的目的不同。
    • Azure 檔案同步 代理程式與 Azure 之間的傳輸中加密。 Azure 檔案同步 代理程式會使用 Azure 檔案同步 REST 通訊協定和 FileREST 通訊協定來與 儲存體 同步服務和 Azure 檔案共享通訊,這兩者一律會透過埠 443 使用 HTTPS。 Azure 檔案同步不會透過 HTTP 傳送未加密的要求。
    • 待用加密儲存在 Azure 檔案共享中的數據。 儲存在 Azure 檔案儲存體 中的所有數據都會使用 Azure 記憶體服務加密 (SSE) 進行待用加密。 儲存體 服務加密的運作方式與 Windows 上的 BitLocker 類似:數據會在文件系統層級下加密。 由於數據會在 Azure 檔案共用的檔案系統下加密,因為數據會編碼為磁碟,因此您不需要存取用戶端上的基礎密鑰,即可讀取或寫入 Azure 檔案共用。

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素概觀。

卓越營運

卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱概觀。

  • Azure 檔案同步代理程式會定期更新,以新增功能和解決問題。 Microsoft 建議您設定 Microsoft Update,以在 Azure 檔案同步 代理程式可供使用時提供更新。 如需詳細資訊,請參閱 Azure 檔案同步 代理程式更新原則
  • Azure 儲存體 提供檔案共用的虛刪除功能,讓您可以在應用程式或其他記憶體帳戶使用者誤刪除數據時復原數據。 若要深入瞭解虛刪除,請參閱 在 Azure 檔案共享上啟用虛刪除。
  • 雲端階層處理是 Azure 檔案同步 選擇性功能,可在伺服器上本機快取經常存取的檔案,並將其他人分層以根據原則設定 Azure 檔案儲存體。 當檔案分層時,Azure 檔案同步 檔案系統篩選器 (儲存體 Sync.sys) 會將檔案取代為本機檔案的指標 Azure 檔案儲存體。 階層式檔案同時 具有離線 屬性和 NTFS中設定的 FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS 屬性,讓第三方應用程式可以安全地識別階層式檔案。 如需詳細資訊,請參閱 雲端階層處理概觀

下一步

相關的混合式指引:

相關架構: