Azure 企業(yè)云文件共享

此參考體系結(jié)構(gòu)演示了一個(gè)企業(yè)級(jí)云文件共享解決方案，該解決方案使用 Azure 服務(wù)（包括 Azure 文件、 Azure 文件同步、 Azure 專用 DNS和 azure 專用終結(jié)點(diǎn)）。 此解決方案通過將文件服務(wù)器和基礎(chǔ)結(jié)構(gòu)的管理外包，同時(shí)保持對(duì)數(shù)據(jù)的控制，從而降低了成本。

此解決方案使你可以通過本地和 Azure 虛擬網(wǎng)絡(luò)之間的虛擬專用網(wǎng)絡(luò)訪問混合工作環(huán)境中的 Azure 文件共享，而無需遍歷 internet。 它還允許通過 Azure Active Directory 域服務(wù) (AD DS) 身份驗(yàn)證來控制和限制文件訪問。

可能的用例

云文件共享解決方案支持以下可能的用例：

• 文件服務(wù)器或文件共享提升。 通過抬起和移位，無需重新構(gòu)建或重新設(shè)置數(shù)據(jù)的格式。 你還可以在本地保留舊的應(yīng)用程序，同時(shí)從云存儲(chǔ)中獲益。

• 提高操作效率，加快云創(chuàng)新。 降低維護(hù)硬件和物理空間的成本，防止數(shù)據(jù)損壞和數(shù)據(jù)丟失。

• 對(duì) Azure 文件共享的專用訪問。 防止數(shù)據(jù)滲透。

體系結(jié)構(gòu)

下圖顯示了客戶端如何訪問 Azure 文件共享：

• 通過云分層文件服務(wù)器本地進(jìn)行。

• 在專用網(wǎng)絡(luò)環(huán)境中通過 ExpressRoute 專用對(duì)等互連或 VPN 隧道遠(yuǎn)程進(jìn)行。

下載此體系結(jié)構(gòu)的 Visio 文件。

企業(yè)級(jí)云文件共享解決方案使用以下方法來提供與傳統(tǒng)文件共享相同的用戶體驗(yàn)，但使用 Azure 文件共享：

• 利用 Azure 文件同步來同步文件和文件夾訪問控制列表 (ACL) 本地文件服務(wù)器和 Azure 文件共享之間。

• 使用 Azure 文件同步代理中的云分層功能在本地緩存經(jīng)常訪問的文件。

• 強(qiáng)制對(duì) Azure 文件共享進(jìn)行 AD DS 身份驗(yàn)證。

• 通過專用連接到 ExpressRoute 專用對(duì)等互連或 VPN 隧道，通過專用 IP 訪問文件共享和文件同步服務(wù)。

通過在 Azure 文件和 Azure 文件同步上實(shí)現(xiàn) Azure 專用終結(jié)點(diǎn)，將禁用公共終結(jié)點(diǎn)訪問，以便從 Azure 虛擬網(wǎng)絡(luò)限制對(duì) Azure 文件和 Azure 文件同步的訪問。

ExpressRoute 專用對(duì)等互連 VPN 站點(diǎn)到站點(diǎn)隧道將本地網(wǎng)絡(luò)擴(kuò)展到 Azure 虛擬網(wǎng)絡(luò)。 Azure 文件同步和服務(wù)器消息塊 (SMB) 從本地到 Azure 文件的流量，Azure 文件同步專用終結(jié)點(diǎn)僅限于專用連接。 在轉(zhuǎn)換期間，Azure 文件僅允許連接到 SMB 3.0 +。 從 Azure 文件同步代理到 Azure 文件共享或存儲(chǔ)同步服務(wù)建立的連接始終是加密的。 靜態(tài)情況下，當(dāng)你將數(shù)據(jù)保存到云中時(shí)，Azure 存儲(chǔ)會(huì)自動(dòng)對(duì)其進(jìn)行加密，就像 Azure 文件一樣。

域名系統(tǒng) (DNS) 服務(wù)器是解決方案的關(guān)鍵組件。 在這種情況下，每個(gè) Azure 服務(wù)都具有完全限定的域名 (FQDN) Azure 文件同步。 在這些情況下，這些服務(wù)的 Fqdn 將解析為其公共 IP 地址：

• 當(dāng)客戶端訪問 Azure 文件共享時(shí)。

• 部署在本地文件服務(wù)器上的 Azure 文件同步代理訪問 Azure 文件同步服務(wù)。

啟用專用終結(jié)點(diǎn)后，會(huì)在 Azure 虛擬網(wǎng)絡(luò)中分配專用 IP 地址。 這些地址允許通過專用連接訪問這些服務(wù)，相同的 Fqdn 現(xiàn)在必須解析為專用 IP 地址。 為實(shí)現(xiàn)此目的，Azure 文件和 Azure 文件同步會(huì) (CNAME) 創(chuàng)建規(guī)范名稱 DNS 記錄，以將解析重定向到專用域名：

• Azure 文件同步的公共域名 *.afs.azure.net 獲取到專用域名的 CNAME 重定向 *.<region>.privatelink.afs.azure.net 。

• Azure 文件公共域名 <name>.file.core.windows.net 獲取到專用域名的 CNAME 重定向 <name>.privatelink.file.core.windows.net 。

此體系結(jié)構(gòu)中所示的解決方案會(huì)正確配置本地 DNS 設(shè)置，以便使用以下方法將專用域名解析為專用 IP 地址：

• (組件 11 和 12) 專用 DNS 區(qū)域是從 Azure 創(chuàng)建的，以便為 Azure 文件同步和 Azure 文件提供專用名稱解析。

• 專用 DNS 區(qū)域鏈接到 Azure 虛擬網(wǎng)絡(luò)，以便在虛擬網(wǎng)絡(luò)中部署的 DNS 服務(wù)器 (組件 8) 可以解析專用域名。

• DNS A 記錄在專用 DNS 區(qū)域中為 Azure 文件和 Azure 文件同步創(chuàng)建。 有關(guān)終結(jié)點(diǎn)配置步驟，請(qǐng)參閱 配置 Azure 文件網(wǎng)絡(luò)終結(jié)點(diǎn) 和 配置 Azure 文件同步網(wǎng)絡(luò)終結(jié)點(diǎn)。

• 本地 DNS 服務(wù)器 (組件 3) 設(shè)置條件性轉(zhuǎn)發(fā)，以便將和的 dns 查詢轉(zhuǎn)發(fā) domain afs.azure.net file.core.windows.net 到 Azure 虛擬網(wǎng)絡(luò) (組件 8) 中的 dns 服務(wù)器。

• 從本地 DNS 服務(wù)器接收轉(zhuǎn)發(fā)的 DNS 查詢后，Azure 虛擬網(wǎng)絡(luò)中的 DNS 服務(wù)器 (組件 8) 使用 Azure DNS 遞歸解析程序解析專用域名，并向客戶端返回專用 IP 地址。

組件

體系結(jié)構(gòu)關(guān)系圖中描述的解決方案使用以下組件：

• 客戶端 (組件 1 或 2) -通常情況下，客戶端是 Windows、Linux 或 MAC OSX desktop，可以通過 SMB 協(xié)議與文件服務(wù)器或 Azure 文件 通信 。

• Dc 和 DNS 服務(wù)器 (組件 3) -域控制器 (DC) 是一個(gè)服務(wù)器，用于響應(yīng)身份驗(yàn)證請(qǐng)求并驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)上的用戶。 DNS 服務(wù)器為計(jì)算機(jī)和用戶提供計(jì)算機(jī)名稱到 IP 地址映射名稱解析服務(wù)。 可以將 DC 和 DNS 服務(wù)器合并為單個(gè)服務(wù)器，或?qū)⑵浞殖刹煌姆?wù)器。

• 文件服務(wù)器 (組件 4) -承載文件共享的服務(wù)器，通過 SMB 協(xié)議提供文件共享服務(wù)。

• Ce/VPN 設(shè)備 (組件 5) -客戶邊緣路由器 (CE) 或 vpn 設(shè)備用于建立與 Azure 虛擬網(wǎng)絡(luò)的 ExpressRoute 或 vpn 連接。

• Expressroute/VPN 網(wǎng)關(guān) (組件 6) – ExpressRoute 是一項(xiàng)服務(wù)，它可讓你通過連接服務(wù)提供商所提供的專用連接將本地網(wǎng)絡(luò)擴(kuò)展到 Microsoft 云。 VPN 網(wǎng)關(guān)是一種特定類型的虛擬網(wǎng)絡(luò)網(wǎng)關(guān)，用于通過公共 internet 在 Azure 虛擬網(wǎng)絡(luò)與本地位置之間發(fā)送加密流量。 ExpressRoute 或 VPN 網(wǎng)關(guān)建立到本地網(wǎng)絡(luò)的 ExpressRoute 或 VPN 連接。

• Azure 專用終結(jié)點(diǎn) (組件 7) -一個(gè)網(wǎng)絡(luò)接口，該接口將你私下并安全地連接到由 Azure 專用鏈接提供支持的服務(wù)。 在此解決方案中，Azure 文件同步專用終結(jié)點(diǎn)連接到 Azure 文件同步 (9) ，azure 文件專用終結(jié)點(diǎn)連接到 azure 文件 (10) 。

• 從本地 DNS 服務(wù)器接收轉(zhuǎn)發(fā)的 DNS 查詢后，Azure 虛擬網(wǎng)絡(luò)中的 dns 服務(wù)器 (組件 8) 使用 Azure DNS 遞歸解析程序來解析專用域名，并向客戶端返回專用 IP 地址。

• Azure 文件同步和云分層 (組件 9) – Azure 文件同步是由 azure 提供的一項(xiàng)服務(wù)，用于在 azure 中集中組織的文件共享，同時(shí)保持本地文件服務(wù)器的靈活性、性能和兼容性。 云分層是 Azure 文件同步的一項(xiàng)可選功能，其中經(jīng)常訪問的文件在服務(wù)器本地緩存，而所有其他文件根據(jù)策略設(shè)置分層到 Azure 文件。

• Azure 文件 (組件 10) -一項(xiàng)完全托管的服務(wù)，可提供云中的文件共享，這些共享可通過行業(yè)標(biāo)準(zhǔn)服務(wù)器消息塊 (SMB) 協(xié)議進(jìn)行訪問。 Azure 文件實(shí)現(xiàn) SMB v3 協(xié)議，并支持通過本地 Active Directory 域服務(wù)的身份驗(yàn)證 (AD DS) 和 Azure Active Directory (Azure AD DS) 的域服務(wù)。 Azure 文件中的文件共享可由云或者 Windows、Linux 和 macOS 的本地部署同時(shí)裝載。 此外，Azure 文件共享還可緩存到使用數(shù)據(jù)的位置，在 Windows 服務(wù)器上使用 Azure 文件同步進(jìn)行快速訪問。

• Azure 專用 DNS (組件 11 和 12) -azure 提供的 DNS 服務(wù)，用于管理和解析虛擬網(wǎng)絡(luò)中的域名，無需添加自定義 DNS 解決方案。

• Azure 備份 (組件 13) -使用文件共享快照提供基于云的備份解決方案的 azure 文件共享備份。 有關(guān)注意事項(xiàng)，請(qǐng)參閱 數(shù)據(jù)丟失和備份。

流量流

啟用 Azure 文件同步和 Azure 文件后，可以在 本地緩存模式 或 遠(yuǎn)程模式 下訪問 Azure 文件共享。 在這兩種模式下，客戶端都使用現(xiàn)有 AD DS 憑據(jù)對(duì)自己進(jìn)行身份驗(yàn)證。

• 本地緩存模式-客戶端通過啟用了云分層的本地文件服務(wù)器訪問文件和文件共享。 當(dāng)用戶從本地文件服務(wù)器打開文件時(shí)，文件數(shù)據(jù)從文件服務(wù)器本地緩存中提供，或者 Azure 文件同步代理從 Azure 文件中無縫撤回文件數(shù)據(jù)。 在此解決方案的體系結(jié)構(gòu)關(guān)系圖中，它發(fā)生在組件 1 和 4 之間。

• 遠(yuǎn)程模式-客戶端直接從遠(yuǎn)程 Azure 文件共享訪問文件和文件共享。 在此解決方案的體系結(jié)構(gòu)關(guān)系圖中，流量流經(jīng)組件 2、 5、 6、 7 和 10。

在組件 4、 5、 6 和 7 之間傳輸 Azure 文件同步流量，使用 ExpressRoute 線路 進(jìn)行可靠連接。

使用以下順序，專用域名解析查詢會(huì)經(jīng)歷組件 3、 5、 6、 8、 11 和 12 ：

1. 客戶端向本地 DNS 服務(wù)器發(fā)送查詢以解析 Azure 文件或 Azure 文件同步的 DNS 名稱。

2. 本地 DNS 服務(wù)器的條件轉(zhuǎn)發(fā)器將 Azure 文件和 Azure 文件同步 DNS 名稱解析指向 Azure 虛擬網(wǎng)絡(luò)中的 DNS 服務(wù)器。

3. 此查詢將重定向到 Azure 虛擬網(wǎng)絡(luò)中的 DNS 服務(wù)器。

4. Azure 虛擬網(wǎng)絡(luò)中的 DNS 服務(wù)器將名稱查詢發(fā)送到 Azure 提供的 DNS (168.63.129.16) 遞歸解析程序。

5. Azure 遞歸解析程序會(huì)在將專用域名解析到各自的專用 DNS 區(qū)域后返回專用 IP，使用 azure 虛擬網(wǎng)絡(luò)的鏈接連接到 Azure Files DNS 區(qū)域和 Azure 文件同步專用 DNS 區(qū)域。

注意事項(xiàng)

實(shí)現(xiàn)此解決方案時(shí)，請(qǐng)注意以下幾點(diǎn)：

規(guī)劃

• 有關(guān) Azure 文件同步計(jì)劃，請(qǐng)參閱 規(guī)劃 Azure 文件同步部署。

• 有關(guān) Azure 文件計(jì)劃，請(qǐng)參閱 規(guī)劃 Azure 文件部署。

網(wǎng)絡(luò)

• 有關(guān) Azure 文件同步網(wǎng)絡(luò)注意事項(xiàng)，請(qǐng)參閱 Azure 文件同步網(wǎng)絡(luò)注意事項(xiàng)。

• 有關(guān) Azure 文件網(wǎng)絡(luò)的注意事項(xiàng)，請(qǐng)參閱 Azure 文件網(wǎng)絡(luò)注意事項(xiàng)。

DNS

在管理專用終結(jié)點(diǎn)的名稱解析時(shí)，Azure 文件和 Azure 文件同步的專用域名將按以下方式解析：

從 Azure 端：

• 如果使用 Azure 提供的名稱解析，則 Azure 虛擬網(wǎng)絡(luò)必須鏈接到預(yù)配的專用 DNS 區(qū)域。

• 如果使用 "自帶 DNS 服務(wù)器"，則部署你自己的 DNS 服務(wù)器的虛擬網(wǎng)絡(luò)必須鏈接到預(yù)配的專用 DNS 區(qū)域。

從本地端，使用以下方法之一將專用域名映射到專用 IP 地址：

• 通過 DNS 轉(zhuǎn)發(fā)到部署在 Azure 虛擬網(wǎng)絡(luò)中的 DNS 服務(wù)器，如圖所示。

• 通過本地 DNS 服務(wù)器設(shè)置專用域和的區(qū)域 <region>.privatelink.afs.azure.net privatelink.file.core.windows.net 。 服務(wù)器將 Azure 文件的 IP 地址和 Azure 文件同步專用終結(jié)點(diǎn)作為 DNS A 記錄注冊(cè)到各自的 DNS 區(qū)域。 本地客戶端直接從本地 DNS 服務(wù)器解析專用域名。

分布式文件系統(tǒng) (DFS)

當(dāng)涉及本地文件共享解決方案時(shí)，很多管理員選擇使用 DFS 而不是傳統(tǒng)的獨(dú)立文件服務(wù)器。 DFS 允許管理員合并可能存在于多個(gè)服務(wù)器上的文件共享，使其看起來就像它們都位于同一位置，從而允許用戶從網(wǎng)絡(luò)上的單個(gè)點(diǎn)訪問它們。 在移動(dòng)到云文件共享解決方案時(shí)，可以 Azure 文件同步部署來替換傳統(tǒng)的 DFS R 部署。 有關(guān)詳細(xì)信息，請(qǐng)參閱將 DFS 復(fù)制 (DFS-R) 部署遷移至 Azure 文件同步。

數(shù)據(jù)丟失和備份

對(duì)于所有規(guī)模的企業(yè)而言，數(shù)據(jù)丟失是一個(gè)嚴(yán)重的問題。 Azure 文件共享備份使用文件共享快照提供基于云的備份解決方案，該解決方案可保護(hù)云中的數(shù)據(jù)，并消除本地備份解決方案所涉及的額外維護(hù)開銷。 Azure 文件共享備份的主要優(yōu)點(diǎn)包括：

• 零基礎(chǔ)結(jié)構(gòu)

• 自定義保留

• 內(nèi)置管理功能

• 即時(shí)還原

• 警報(bào)和報(bào)告

• 防止意外刪除文件共享

有關(guān)詳細(xì)信息，請(qǐng)參閱 關(guān)于 Azure 文件共享備份

安全和文件訪問審核

安全審核是幫助維護(hù)企業(yè)安全的必需要求。 行業(yè)標(biāo)準(zhǔn)要求企業(yè)遵循與數(shù)據(jù)安全和隱私相關(guān)的一組嚴(yán)格的規(guī)則。

可以在本地和遠(yuǎn)程啟用文件訪問審核：

• 在本地，使用動(dòng)態(tài)訪問控制。 有關(guān)詳細(xì)信息，請(qǐng)參閱 規(guī)劃文件訪問審核。

• 使用 azure 文件的 Azure Monitor 中的 Azure 存儲(chǔ)日志遠(yuǎn)程進(jìn)行。 Azure 存儲(chǔ)日志包含 StorageRead、StorageWrite、StorageDelete 和 Transaction 日志。 可以將 Azure 文件訪問記錄到存儲(chǔ)帳戶、log analytics 工作區(qū)，或單獨(dú)傳輸?shù)绞录行摹?nbsp;有關(guān)詳細(xì)信息，請(qǐng)參閱 監(jiān)視 Azure 存儲(chǔ)。