Szerkesztés

Hibrid fájlszolgáltatások

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Ez a referenciaarchitektúra bemutatja, hogyan használható az Azure File Sync és az Azure Files a felhőbeli és helyszíni fájlmegosztási erőforrások fájlszolgáltatásainak kibővítésére.

Architektúra

Hibrid Azure-fájlszolgáltatások topológiadiagramja.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúra az alábbi összetevőkből áll:

  • Egy Azure Storage-fiók. Fájlmegosztások üzemeltetésére használt tárfiók.
  • Azure Files. Kiszolgáló nélküli felhőbeli fájlmegosztás, amely egy szinkronizálási kapcsolat felhővégpontját biztosítja az Azure File Sync használatával. Az Azure-fájlmegosztásokban lévő fájlok közvetlenül a Kiszolgálói üzenetblokk (SMB) vagy a FileREST protokoll használatával érhetők el.
  • Szinkronizálási csoportok. A Windows Servert futtató Azure-fájlmegosztások és -kiszolgálók logikai csoportosítása. A szinkronizálási csoportok üzembe helyezése a Storage Sync szolgáltatásban van, amely regisztrálja a kiszolgálókat az Azure File Synchez való használatra, és tartalmazza a szinkronizálási csoport kapcsolatait.
  • Azure File Sync-ügynök. Ez telepítve van a Windows Server-gépeken a felhővégpontokkal való szinkronizálás engedélyezéséhez és konfigurálásához.
  • Windows-kiszolgálók. Helyszíni vagy felhőalapú Windows Server-gépek, amelyek egy Azure-fájlmegosztással szinkronizált fájlmegosztást üzemeltetnek.
  • Microsoft Entra-azonosító. A Microsoft Entra-bérlő, amelyet az identitásszinkronizáláshoz használnak az Azure-ban és a helyszíni környezetekben.

Összetevők

Forgatókönyv részletei

Az architektúra gyakori használati módjai többek között a következők:

  • Olyan fájlmegosztások üzemeltetése, amelyeknek felhőből és helyszíni környezetekből kell elérhetőnek lenniük.
  • Adatok szinkronizálása több helyszíni adattár között egyetlen felhőalapú forrással.

Ajánlások

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, hacsak nincs olyan követelménye, amely felülírja őket.

Az Azure Files használata és üzembe helyezése

A fájlokat a felhőben tárolja kiszolgáló nélküli Azure-fájlmegosztásokban. Kétféleképpen használhatja őket: közvetlenül csatlakoztathatja őket (SMB), vagy gyorsítótárazhatja őket a helyszínen az Azure File Sync használatával. Az üzembe helyezés megtervezése során figyelembe kell vennie, hogy a két módszer közül melyiket választja.

  • Azure-fájlmegosztás közvetlen csatlakoztatása. Mivel az Azure Files SMB-hozzáférést biztosít, a Windows, macOS és Linux operációs rendszerekben elérhető standard SMB-ügyfél használatával csatlakoztathatja az Azure-fájlmegosztásokat a helyszínen vagy a felhőben. Az Azure-fájlmegosztások kiszolgáló nélküliek, ezért éles környezetben történő üzembe helyezésük nem igényel fájlkiszolgáló vagy hálózati tárolóeszköz kezelését. Ez azt jelenti, hogy nem kell szoftverjavításokat alkalmaznia vagy fizikai lemezeket felcserélnie.
  • Azure-fájlmegosztás gyorsítótárazása a helyszínen az Azure File Sync használatával. Az Azure File Sync lehetővé teszi a szervezet fájlmegosztásainak központosítását az Azure Filesban, miközben megőrzi a helyszíni fájlkiszolgálók rugalmasságát, teljesítményét és kompatibilitását. Az Azure File Sync egy helyszíni (vagy felhőbeli) Windows Servert alakít át az Azure-fájlmegosztás gyors gyorsítótárává.

A Társzinkronizálási szolgáltatás üzembe helyezése

Az Azure File Sync üzembe helyezésének megkezdéséhez helyezzen üzembe egy Storage Sync Service-erőforrást a kiválasztott előfizetés egy erőforráscsoportjába. Javasoljuk, hogy a lehető legkevesebb Storage Sync Service-objektumot építse ki. Megbízhatósági kapcsolatot fog létrehozni a kiszolgálók és az erőforrás között. Egy kiszolgáló csak egy Társzinkronizálási szolgáltatásban regisztrálható. Ennek eredményeképpen azt javasoljuk, hogy a kiszolgálócsoportok elkülönítéséhez annyi társzinkronizálási szolgáltatást telepítsen, amennyi szükséges. Ne feledje, hogy a különböző tárolási szinkronizálási szolgáltatások kiszolgálói nem tudnak szinkronizálni egymással.

Windows Server-gépek regisztrálása az Azure File Sync-ügynökkel

A szinkronizálási funkció Windows Serveren való engedélyezéséhez telepítenie kell az Azure File Sync letölthető ügynökét. Az Azure File Sync-ügynök két fő összetevőt biztosít:

  • FileSyncSvc.exe. A windowsos háttérszolgáltatás, amely a kiszolgálóvégpontok változásainak figyeléséért és a szinkronizálási munkamenetek elindításáért felelős.
  • StorageSync.sys. Fájlrendszerszűrő, amely lehetővé teszi a felhőbeli rétegzést és a gyorsabb vészhelyreállítást.

Az ügynököt az Azure File Sync Agent letöltési oldaláról töltheti le a Microsoft letöltőközpontjában.

Az operációs rendszerre vonatkozó követelmények

Az Azure File Syncet az alábbi táblázatban felsorolt Windows Server-verziók támogatják.

Verzió Támogatott termékváltozatok Támogatott üzembehelyezési lehetőségek
Windows Server 2022 Azure, Datacenter, Essentials, Standard és IoT Teljes és Core
Windows Server 2019 Adatközpont, Standard és IoT Teljes és Core
Windows Server 2016 Adatközpont, Standard és Storage-kiszolgáló Teljes és Core
Windows Server 2012 R2 Adatközpont, Standard és Storage-kiszolgáló Teljes és Core

További információkért tekintse meg a Windows fájlkiszolgálóval kapcsolatos szempontokat.

Szinkronizálási csoportok és felhővégpontok konfigurálása

A szinkronizálási csoport egy fájlkészlet szinkronizálási topológiáját határozza meg. A szinkronizálási csoporton belüli végpontokat a rendszer szinkronban tartja egymással. A szinkronizálási csoportnak tartalmaznia kell egy felhővégpontot, amely egy Azure-fájlmegosztást és egy vagy több kiszolgálóvégpontot jelöl. A kiszolgálóvégpontok egy regisztrált kiszolgálón lévő elérési utat jelölnek. Egy kiszolgáló több szinkronizálási csoportban is rendelkezhet kiszolgálóvégpontokkal. Annyi szinkronizálási csoportot hozhat létre, amennyi a kívánt szinkronizálási topológia megfelelő leírásához szükséges.

A felhővégpont egy Azure-fájlmegosztásra mutató mutató. Minden kiszolgálóvégpont szinkronizálódik egy felhővégponttal, így a felhővégpont lesz a központ. Az Azure-fájlmegosztás tárfiókjának ugyanabban a régióban kell lennie, mint a Storage Sync Service. Az Azure-fájlmegosztás teljes egésze szinkronizálva van, egyetlen kivétellel: ki van építve egy speciális mappa, amely az NT fájlrendszer (NTFS) kötetének rejtett System Volume Information mappájával hasonlítható össze. Ennek a könyvtárnak a neve . SystemShareInformation, és olyan fontos szinkronizálási metaadatokat tartalmaz, amelyek nem szinkronizálódnak más végpontokkal.

Kiszolgálóvégpontok konfigurálása

A kiszolgálói végpont a regisztrált kiszolgálón egy konkrét helyet jelöl, például egy mappát egy kiszolgálói köteten. A kiszolgálóvégpontnak egy regisztrált kiszolgálón (nem csatlakoztatott megosztáson) lévő elérési útnak kell lennie, és felhőalapú rétegzést kell használnia. A kiszolgálóvégpont elérési útjának nem rendszerköteten kell lennie. A NAS nem támogatott.

Azure-fájlmegosztás windowsos fájlmegosztási kapcsolatok

Az Azure-fájlmegosztásokat minden esetben windowsos fájlmegosztásokkal kell üzembe helyeznie, ahol csak lehetséges. A kiszolgálóvégpont objektum nagy rugalmasságot biztosít a szinkronizálási topológia beállításához a szinkronizálási kapcsolat kiszolgálóoldalán. A felügyelet egyszerűsítése érdekében állítsa a kiszolgálóvégpont elérési útját a Windows-fájlmegosztás elérési útjára.

Használja a lehető legkevesebb tárolási szinkronizálási szolgáltatást. Ez leegyszerűsíti a felügyeletet, ha több kiszolgálóvégpontot tartalmazó szinkronizálási csoportokkal rendelkezik, mivel a Windows Server egyszerre csak egy társzinkronizálási szolgáltatásban regisztrálható.

Az Azure-fájlmegosztások üzembe helyezésekor ügyeljen a tárfiókok másodpercenkénti I/O-műveleteire (IOPS) vonatkozó korlátozásokra. Az ideális megoldás a fájlmegosztások egy-az-egyhez hozzárendelése tárfiókokkal. Ezt a szervezet és az Azure különböző korlátai és korlátozásai miatt nem mindig lehet megtenni. Ha nem lehet csak egy fájlmegosztást üzembe helyezni egy tárfiókban, győződjön meg arról, hogy a legaktívabb fájlmegosztások nem ugyanabban a tárfiókban vannak.

Topológiajavaslatok: tűzfalak, peremhálózatok és proxykapcsolatok

Vegye figyelembe a következő megoldástopológiára vonatkozó javaslatokat.

Tűzfal és forgalomszűrés

A szervezet szabályzatai vagy egyedi szabályozási követelmények alapján lehetséges, hogy korlátoznia kell az Azure-ral való kommunikációt. Ezért az Azure File Sync számos mechanizmust biztosít a hálózatkezelés konfigurálásához. A követelményeknek megfelelően a következőt teheti:

  • A szinkronizálási és fájlfeltöltési és -letöltési forgalom bújtatása az Azure ExpressRoute-on vagy az Azure-beli virtuális magánhálózaton (VPN) keresztül.
  • Használja az Azure Files és az Azure hálózatkezelési funkcióit, például a szolgáltatásvégpontokat és a privát végpontokat.
  • Konfigurálja az Azure File Syncet a proxy támogatásához a környezetben.
  • A hálózati tevékenység szabályozása az Azure File Syncből.

Az Azure File Syncről és a hálózatkezelésről további információt az Azure File Sync hálózatkezelési szempontjai című témakörben talál.

Proxykiszolgálók konfigurálása

Számos szervezet proxykiszolgálót használ közvetítőként a helyszíni hálózatán belüli erőforrások és a hálózaton kívüli erőforrások között, például az Azure-ban. A proxykiszolgálók számos alkalmazáshoz hasznosak, például a hálózatelkülönítéshez és a biztonsághoz, valamint a figyeléshez és naplózáshoz. Az Azure File Sync teljes mértékben együttműködhet egy proxykiszolgálóval; Azonban manuálisan kell konfigurálnia a környezet proxyvégpont-beállításait az Azure File Sync használatával. Ezt az Azure File Sync-kiszolgáló parancsmagjaival teheti meg az Azure PowerShellben.

Az Azure File Sync proxykiszolgálóval való konfigurálásáról további információt az Azure File Sync proxy- és tűzfalbeállításai című témakörben talál.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információ: A megbízhatósági pillér áttekintése.

  • Vegye figyelembe az Azure-fájlmegosztások üzemeltetéséhez használt tárfiók típusát és teljesítményét. A tárfiókban üzembe helyezett összes tárolási erőforrás megosztja az adott tárfiókra vonatkozó korlátozásokat. A tárfiókok jelenlegi korlátainak meghatározásával kapcsolatos további információkért tekintse meg az Azure Files skálázhatósági és teljesítménycéljait.
  • Az Azure Files üzemelő példányaihoz két fő tárfióktípus létezik:
    • Általános célú 2. verzió (GPv2) tárfiókok. A GPv2-tárfiókokkal Azure-fájlmegosztásokat helyezhet üzembe standard, merevlemez-alapú (HDD-alapú) hardvereken. Az Azure-fájlmegosztások tárolása mellett a GPv2-tárfiókok más tárolási erőforrásokat is tárolhatnak, például blobtárolókat, üzenetsorokat és táblákat.
    • FileStorage storage-fiókok: A FileStorage storage-fiókok lehetővé teszik az Azure-fájlmegosztások üzembe helyezését prémium szintű, SSD-alapú hardvereken. A FileStorage-fiókok csak Azure-fájlmegosztások tárolására használhatók. A FileStorage-fiókban nem helyezhet üzembe más tárolási erőforrásokat, például blobtárolókat, üzenetsorokat és táblákat.
  • Győződjön meg arról, hogy az Azure File Sync támogatott azokban a régiókban, ahol a megoldást üzembe helyezi. További információ: Azure File Sync régió rendelkezésre állása.
  • Győződjön meg arról, hogy az Architektúra szakaszban hivatkozott szolgáltatások támogatottak abban a régióban, ahol a hibrid fájlszolgáltatások architektúrája üzembe van helyezve.
  • Az Azure-fájlmegosztásokban lévő adatok adatvesztéssel vagy sérüléssel szembeni védelme érdekében minden Azure-fájlmegosztás több példányt tárol az egyes fájlokból, ahogy meg van írva. A számítási feladat követelményeitől függően több redundanciafok közül választhat.
  • Az előző verziók egy Windows-funkció, amellyel egy kötet kiszolgálóoldali kötet árnyékmásolati szolgáltatásának (VSS) pillanatképeit használhatja egy fájl visszaállítható verzióinak SMB-ügyfélnek való bemutatásához. A VSS-pillanatképek és a korábbi verziók az Azure File Synctől függetlenül működnek. A felhőbeli rétegzést azonban kompatibilis módra kell állítani. Számos Azure File Sync-kiszolgálóvégpont létezhet ugyanazon a köteten. Kötetenként a következő PowerShell-hívást kell végrehajtania, amely akár egy kiszolgálóvégponttal is rendelkezik, ahol felhőbeli rétegzést tervez vagy használ. További információ a korábbi verziókról és a VSS-ről: Önkiszolgáló visszaállítás korábbi verziókon és VSS-n keresztül (kötet árnyékmásolata szolgáltatás).

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

  • Az Azure File Sync a standard Active Directory tartományi szolgáltatások (AD DS) identitással működik anélkül, hogy az Azure File Sync beállításán túl speciális beállításokat is beállítanánk. Az Azure File Sync használatakor a fájlhozzáférés általában az Azure File Sync gyorsítótárazási kiszolgálóin keresztül történik, nem pedig az Azure-fájlmegosztáson keresztül. Mivel a kiszolgálóvégpontok Windows Server-gépeken találhatók, az identitásintegráció egyetlen követelménye a tartományhoz csatlakoztatott Windows-fájlkiszolgálók használata a storage sync szolgáltatásban való regisztrációhoz. Az Azure File Sync az Azure-fájlmegosztás fájljaihoz tartozó hozzáférés-vezérlési listákat (ACL-eket) tárolja, és replikálja őket az összes kiszolgálóvégpontra.
  • Annak ellenére, hogy a közvetlenül az Azure-fájlmegosztáson végrehajtott módosítások szinkronizálása hosszabb időt vesz igénybe a szinkronizálási csoport kiszolgálóvégpontjaival, érdemes lehet gondoskodni arról, hogy az AD DS-engedélyeket közvetlenül a felhőben is kikényszerítse a fájlmegosztásra. Ehhez tartományt kell csatlakoztatnia a tárfiókhoz a helyszíni AD DS-tartományhoz, ugyanúgy, ahogy a Windows-fájlkiszolgálók tartományhoz csatlakoznak. Ha többet szeretne megtudni arról, hogy a tartomány hogyan csatlakozik a tárfiókhoz egy ügyfél tulajdonában lévő AD DS-példányhoz, tekintse át az Azure Files identitásalapú hitelesítési lehetőségeit az SMB-hozzáféréshez.
  • Az Azure File Sync használatakor három különböző titkosítási réteget érdemes figyelembe venni:
    • Inaktív titkosítás a Windows Serveren tárolt adatokhoz. A Windows Serveren az adatok titkosításának két stratégiája van, amelyek általában az Azure File Synctel működnek: a fájlrendszer alatti titkosítás, így a fájlrendszer és a hozzá írt összes adat titkosítva van, és a fájlformátumon belüli titkosítás. Ezek a módszerek szükség esetén együtt is használhatók, mivel a célok eltérnek egymástól.
    • Titkosítás az Azure File Sync-ügynök és az Azure közötti átvitel során. Az Azure File Sync-ügynök az Azure File Sync REST protokoll és a FileREST protokoll használatával kommunikál a Storage Sync szolgáltatással és az Azure-fájlmegosztással, amelyek mindegyike mindig HTTPS-t használ a 443-as porton keresztül. Az Azure File Sync nem küld titkosítatlan kéréseket HTTP-en keresztül.
    • Inaktív titkosítás az Azure-fájlmegosztásban tárolt adatokhoz. Az Azure Filesban tárolt összes adat titkosítva van az Azure Storage Service titkosításával (S Standard kiadás). A tárolási szolgáltatás titkosítása ugyanúgy működik, mint a BitLocker Windows rendszeren: az adatok titkosítása a fájlrendszer szintje alatt történik. Mivel az adatok titkosítva lesznek az Azure-fájlmegosztás fájlrendszere alatt, mivel az adatok lemezre van kódolva, nem kell hozzáférnie az ügyfél mögöttes kulcsához az Azure-fájlmegosztás olvasásához vagy írásához.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

Működésbeli kiválóság

Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.

  • Az Azure File Sync-ügynök rendszeresen frissül az új funkciók hozzáadása és a problémák kezelése érdekében. A Microsoft azt javasolja, hogy konfigurálja a Microsoft Update-et az Azure File Sync-ügynök frissítéseinek biztosítására, amint azok elérhetővé válnak. További információt az Azure File Sync-ügynök frissítési szabályzatában talál.
  • Az Azure Storage helyreállítható törlést biztosít a fájlmegosztásokhoz, így helyreállíthatja az adatokat, ha egy alkalmazás vagy egy másik tárfiók felhasználója tévesen törölte őket. A helyreállítható törlésről további információt az Azure-fájlmegosztások helyreállítható törlésének engedélyezése című témakörben talál.
  • A felhőalapú rétegzés az Azure File Sync opcionális funkciója, amely helyileg gyorsítótárazza a gyakran használt fájlokat, a többit pedig a szabályzatbeállítások alapján az Azure Filesba rétegzi. Rétegzett fájl esetén az Azure File Sync fájlrendszerszűrő (StorageSync.sys) helyileg lecseréli a fájlt egy, az Azure Filesban lévő fájlra mutató mutatóra. A rétegzett fájlok offline attribútummal és FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESSattribútummal is rendelkezik NTFS-ben, hogy a külső alkalmazások biztonságosan azonosíthassák a rétegzett fájlokat. További információ: Felhőbeli rétegzés áttekintése.

Következő lépések

Kapcsolódó hibrid útmutató:

Kapcsolódó architektúrák: