Azure：混合文件服務(wù)

此參考體系結(jié)構(gòu)演示了如何使用 Azure 文件同步和 Azure 文件來擴(kuò)展跨云和本地文件共享資源的文件服務(wù)承載功能。

下載此體系結(jié)構(gòu)的 Visio 文件。

此體系結(jié)構(gòu)的典型用途包括：

• 托管需要從云和本地環(huán)境訪問的文件共享。

• 使用單個(gè)基于云的源在多個(gè)本地?cái)?shù)據(jù)存儲之間同步數(shù)據(jù)。

體系結(jié)構(gòu)

該體系結(jié)構(gòu)包括以下組件：

• 存儲帳戶。 用于承載 Microsoft Azure 文件共享的 Azure 存儲帳戶。

• Azure 文件。 提供與 Azure 文件同步同步關(guān)系的云終結(jié)點(diǎn)的無服務(wù)器云文件共享。Azure 文件共享中的文件可以直接通過服務(wù)器消息塊 (SMB) 或 FileREST 協(xié)議進(jìn)行訪問。

• 同步組。 Azure 文件共享和運(yùn)行 Windows Server 的服務(wù)器的邏輯分組。 同步組部署到存儲同步服務(wù)中，該服務(wù)會注冊服務(wù)器以與 Azure 文件同步一起使用，并包含同步組關(guān)系。

• Azure 文件同步代理。 此設(shè)置安裝在 Windows Server 計(jì)算機(jī)上，用于啟用和配置與云終結(jié)點(diǎn)的同步。

• Windows server。 承載與 Azure 文件共享同步的文件共享的本地或基于云的 Windows Server 計(jì)算機(jī)。

• Azure Active Directory。 Azure Active Directory (在 Azure 和本地環(huán)境中用于標(biāo)識同步 Azure AD) 租戶。

建議

以下建議適用于大多數(shù)方案。 除非有優(yōu)先于這些建議的特定要求，否則請遵循這些建議。

Azure 文件使用情況和部署

你將文件存儲在 Azure 文件共享中的云中。 可以通過兩種方式使用 Azure 文件共享：通過直接將這些無服務(wù)器 Azure 文件共享裝入 (SMB) 或通過 Azure 文件同步本地緩存 Azure 文件共享。你選擇的部署選項(xiàng)會更改你在規(guī)劃部署時(shí)需要考慮的事項(xiàng)：

• 直接裝載 Azure 文件共享。 由于 Azure 文件提供 SMB 訪問，你可以在本地或在云中使用 Windows、macOS 和 Linux 操作系統(tǒng)中提供的標(biāo)準(zhǔn) SMB 客戶端裝載 Azure 文件共享。 Azure 文件共享是無服務(wù)器的，因此在生產(chǎn)方案中部署不需要管理文件服務(wù)器或網(wǎng)絡(luò)連接存儲 (NAS) 設(shè)備。 這意味著，無需應(yīng)用軟件修補(bǔ)程序或交換物理磁盤。

• 在本地緩存 Azure 文件共享，并 Azure 文件同步。Azure 文件同步使你能夠?qū)⒔M織的文件共享集中在 Azure 文件中，同時(shí)保持本地文件服務(wù)器的靈活性、性能和兼容性。 Azure 文件同步可將本地（或云中的）Windows Server 轉(zhuǎn)換為 Azure 文件共享的快速緩存。

部署存儲同步服務(wù)

開始 Azure 文件同步部署，方法是將存儲同步服務(wù)資源部署到所選訂閱的資源組中。 建議預(yù)配盡可能少的存儲同步服務(wù)對象。 你將在服務(wù)器和此資源之間創(chuàng)建信任關(guān)系，并且只能向一個(gè)存儲同步服務(wù)注冊服務(wù)器。 因此，我們建議你根據(jù)需要部署任意數(shù)量的存儲同步服務(wù)，以分離服務(wù)器組。 請記住，不同存儲同步服務(wù)中的服務(wù)器無法彼此同步。

向 Azure 文件同步代理注冊 Windows Server 計(jì)算機(jī)

若要在 Windows Server 上啟用同步功能，需要安裝可下載的 Azure 文件同步代理。 Azure 文件同步代理提供了兩個(gè)主要組件：

• FileSyncSvc.exe. 后臺 Windows 服務(wù)，負(fù)責(zé)監(jiān)視服務(wù)器端點(diǎn)的更改并啟動同步會話。

• StorageSync.sys. 一種文件系統(tǒng)篩選器，可實(shí)現(xiàn)云分層，實(shí)現(xiàn)更快的災(zāi)難恢復(fù)。

你可以從 Microsoft 下載中心的 Azure 文件同步代理下載 "頁下載代理。

操作系統(tǒng)要求

下表中的 Windows Server 版本支持 Azure 文件同步。

有關(guān)詳細(xì)信息，請參閱 Windows 文件服務(wù)器注意事項(xiàng)。

配置同步組和云終結(jié)點(diǎn)

同步組 定義一組文件的同步拓?fù)洹?同步組中的終結(jié)點(diǎn)保持彼此同步。 同步組必須包含一個(gè)表示 Azure 文件共享的 云終結(jié)點(diǎn) 和一個(gè)或多個(gè)服務(wù)器終結(jié)點(diǎn)。 服務(wù)器終結(jié)點(diǎn) 表示已注冊服務(wù)器上的路徑。 服務(wù)器可以包含多個(gè)同步組中的服務(wù)器終結(jié)點(diǎn)。 可以創(chuàng)建任意數(shù)量的同步組，以適當(dāng)?shù)孛枋鏊璧耐酵負(fù)洹?/p>

云終結(jié)點(diǎn) 是指向 Azure 文件共享的指針。 所有服務(wù)器終結(jié)點(diǎn)將與某個(gè)云終結(jié)點(diǎn)同步，使該云終結(jié)點(diǎn)成為中心。 Azure 文件共享的存儲帳戶必須位于存儲同步服務(wù)所在的同一個(gè)區(qū)域。 Azure 文件共享的所有內(nèi)容都將同步，但有一個(gè)例外：專用文件夾（與 NT 文件系統(tǒng) (NTFS) 卷上的 "隱藏的 系統(tǒng)卷信息 " 文件夾相似）將被設(shè)置。 此目錄稱為 。SystemShareInformation，它包含不會同步到其他終結(jié)點(diǎn)的重要同步元數(shù)據(jù)。

配置服務(wù)器終結(jié)點(diǎn)

服務(wù)器終結(jié)點(diǎn)代表已注冊服務(wù)器上的特定位置，例如服務(wù)器卷中的文件夾。 服務(wù)器終結(jié)點(diǎn)必須是已注冊服務(wù)器上的路徑 (而不是已裝載的共享) ，并使用云分層。 服務(wù)器終結(jié)點(diǎn)路徑必須在非系統(tǒng)卷上。 不支持 NAS。

Azure 文件共享到 Windows 文件共享的關(guān)系

應(yīng)盡可能將 Azure 文件共享1和 Windows 文件共享部署到1。 通過使用服務(wù)器終結(jié)點(diǎn)對象，能夠在具有同步關(guān)系的服務(wù)器端非常靈活地設(shè)置同步拓?fù)洹?為了簡化管理，請使服務(wù)器終結(jié)點(diǎn)的路徑與 Windows 文件共享的路徑匹配。

盡可能少地使用存儲同步服務(wù)。 如果有包含多個(gè)服務(wù)器終結(jié)點(diǎn)的同步組，這將簡化管理，因?yàn)橐淮沃荒芟蛞粋€(gè)存儲同步服務(wù)注冊一臺 Windows Server。

部署 Azure 文件共享時(shí)，請注意每秒存儲帳戶的每秒 i/o 操作數(shù) (IOPS) 限制。 理想情況下，會將文件共享1映射到1，并存儲帳戶。但是，這并不總是可能的，因?yàn)椴煌南拗坪拖拗凭鶃碜杂谀愕慕M織和 Azure。 如果無法在一個(gè)存儲帳戶中部署一個(gè)文件共享，請確保最活躍的文件共享不會同時(shí)放在同一存儲帳戶中。

拓?fù)浣ㄗh：防火墻、邊緣網(wǎng)絡(luò)和代理連接

請考慮以下解決方案拓?fù)浣ㄗh。

防火墻和流量篩選

根據(jù)組織的策略或獨(dú)特的法規(guī)要求，你可能需要與 Azure 進(jìn)行更嚴(yán)格的通信。 因此，Azure 文件同步提供了幾種用于配置網(wǎng)絡(luò)的機(jī)制。 根據(jù)你的要求，你可以：

• 隧道同步和文件上傳/下載通過 Azure ExpressRoute 或 Azure 虛擬專用網(wǎng)絡(luò)的流量 (VPN) 。

• 使用 Azure 文件和 Azure 網(wǎng)絡(luò)功能（如服務(wù)終結(jié)點(diǎn)和專用終結(jié)點(diǎn)）。

• 配置 Azure 文件同步以支持環(huán)境中的代理。

• 限制 Azure 文件同步的網(wǎng)絡(luò)活動。

若要詳細(xì)了解 Azure 文件同步和網(wǎng)絡(luò)，請參閱 Azure 文件同步網(wǎng)絡(luò)注意事項(xiàng)。

配置代理服務(wù)器

許多組織使用代理服務(wù)器作為其本地網(wǎng)絡(luò)中的資源與網(wǎng)絡(luò)外部資源（例如 Azure 中的資源）之間的媒介。 代理服務(wù)器適用于許多應(yīng)用程序，如網(wǎng)絡(luò)隔離和安全性，以及監(jiān)視和日志記錄。 Azure 文件同步可以與代理服務(wù)器完全互操作;但是，你必須為你的環(huán)境手動配置代理終結(jié)點(diǎn)設(shè)置，Azure 文件同步。必須通過 Azure PowerShell 使用 Azure 文件同步服務(wù)器 cmdlet 來完成此操作。

有關(guān)如何使用代理服務(wù)器配置 Azure 文件同步的詳細(xì)信息，請參閱 Azure 文件同步代理和防火墻設(shè)置。

可伸縮性注意事項(xiàng)

• 你應(yīng)考慮用于托管 Azure 文件共享的存儲帳戶的類型和性能。 部署到存儲帳戶中的所有存儲資源共享應(yīng)用于該存儲帳戶的限制。 若要了解有關(guān)確定存儲帳戶當(dāng)前限制的詳細(xì)信息，請參閱 Azure 文件可伸縮性和性能目標(biāo)。

• 對于 Azure 文件存儲部署，將使用兩種主要類型的存儲帳戶：

• 常規(guī)用途版本 2 (GPv2) 存儲帳戶。 GPv2 存儲帳戶允許你將 Azure 文件共享部署在基于標(biāo)準(zhǔn)/硬盤的基于 (磁盤的) 硬件上。 除了存儲 Azure 文件共享以外，GPv2 存儲帳戶還可以存儲其他存儲資源，例如 Blob 容器、隊(duì)列或表。

• FileStorage 存儲帳戶：使用 FileStorage 存儲帳戶可以在高級/基于固態(tài)磁盤（基于 SSD）的硬件上部署 Azure 文件共享。 FileStorage 帳戶只能用于存儲 Azure 文件共享;不能將任何其他存儲 (資源（例如 blob 容器、隊(duì)列和表）部署) FileStorage 帳戶中。

• 默認(rèn)情況下，盡管可以將共享限制增加到 100 TiB，但標(biāo)準(zhǔn)文件共享僅可跨越最多 5 tb (TiB) 。 為此，必須在存儲帳戶級別啟用大文件共享功能。 高級存儲帳戶 (FileStorage 存儲帳戶) 沒有大文件共享功能標(biāo)志，因?yàn)樗懈呒壩募蚕矶家褑⒂妙A(yù)配，最高可達(dá) 100 TiB 的容量。 只能在本地冗余或區(qū)域冗余的標(biāo)準(zhǔn)存儲帳戶上啟用大型文件共享。 啟用大文件共享功能標(biāo)志后，無法將冗余級別更改為異地冗余存儲或地理區(qū)域冗余存儲。 若要在現(xiàn)有存儲帳戶上啟用大型文件共享，請?jiān)陉P(guān)聯(lián)的存儲帳戶的 "配置" 視圖中啟用 "大文件共享" 選項(xiàng)。

可用性注意事項(xiàng)

• 應(yīng)確保在要將解決方案部署到的區(qū)域中支持 Azure 文件同步。 有關(guān)此內(nèi)容的詳細(xì)信息，請參閱 Azure 文件同步區(qū)域可用性。

• 你應(yīng)確保在 體系結(jié)構(gòu) 部分中引用的服務(wù)在你的混合文件服務(wù)體系結(jié)構(gòu)所部署到的區(qū)域中受支持。

• 為了在 Azure 文件共享中保護(hù)數(shù)據(jù)以防數(shù)據(jù)丟失或損壞，所有 Azure 文件共享都在寫入每個(gè)文件時(shí)存儲了該文件的多個(gè)副本。 可以根據(jù)工作負(fù)載的要求選擇額外的冗余度。

• 以前的版本 是一項(xiàng) Windows 功能，利用該功能，你可以利用卷的服務(wù)器端卷影復(fù)制服務(wù) (VSS) 卷的快照，以便向 SMB 客戶端提供文件的可恢復(fù)版本。 VSS 快照和先前版本的工作方式與 Azure 文件同步無關(guān)。但是，必須將云分層設(shè)置為兼容模式。 許多 Azure 文件同步服務(wù)器終結(jié)點(diǎn)可存在于同一個(gè)卷上。 你必須為每個(gè)卷進(jìn)行以下 PowerShell 調(diào)用，該終結(jié)點(diǎn)具有一個(gè)服務(wù)器終結(jié)點(diǎn)，你打算或使用云分層。 有關(guān)以前版本和 VSS 的詳細(xì)信息，請參閱 通過早期版本和 vss 進(jìn)行的自助還原 (卷影復(fù)制服務(wù)) 。

可管理性注意事項(xiàng)

• Azure 文件同步代理會定期更新，以添加新功能和解決問題。 建議將 Microsoft 更新配置為在 Azure 文件同步代理可用時(shí)立即獲取更新。 有關(guān)詳細(xì)信息，請參閱 Azure 文件同步代理更新策略。

• Azure 存儲為文件共享（預(yù)覽版）提供軟刪除，以便在應(yīng)用程序或其他存儲帳戶用戶誤刪除數(shù)據(jù)后，可以更輕松地恢復(fù)數(shù)據(jù)。 若要了解有關(guān)軟刪除的詳細(xì)信息，請參閱 在 Azure 文件共享上啟用軟刪除。

• 云分層是 Azure 文件同步的一項(xiàng)可選功能，其中經(jīng)常訪問的文件在服務(wù)器本地緩存，而所有其他文件根據(jù)策略設(shè)置分層到 Azure 文件。 當(dāng)文件分層時(shí)，Azure 文件同步文件系統(tǒng)篩選器 ( # A0) 會將文件本地替換為指向 Azure 文件中的文件的指針。 分層文件同時(shí)在 NTFS 中設(shè)置了 脫機(jī) 屬性和 FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS 屬性，以便第三方應(yīng)用程序可以安全地識別分層文件。 有關(guān)詳細(xì)信息，請參閱 云分層概述。

安全注意事項(xiàng)

• Azure 文件同步適用于標(biāo)準(zhǔn) Active Directory 域服務(wù) (AD DS 基于) 的標(biāo)識，無需設(shè)置 Azure 文件同步。使用 Azure 文件同步時(shí)，文件訪問通常會通過 Azure 文件同步緩存服務(wù)器，而不是通過 Azure 文件共享。 由于服務(wù)器終結(jié)點(diǎn)位于 Windows Server 計(jì)算機(jī)上，因此標(biāo)識集成的唯一要求是使用已加入域的 Windows 文件服務(wù)器向存儲同步服務(wù)進(jìn)行注冊。 Azure 文件同步會將訪問控制列表存儲在 Azure 文件共享中的文件 (Acl) ，并將其復(fù)制到所有服務(wù)器終結(jié)點(diǎn)。

• 即使直接對 Azure 文件共享所做的更改需要更長的時(shí)間才能同步到同步組中的服務(wù)器終結(jié)點(diǎn)，你可能還需要確保你可以直接在云中對文件共享強(qiáng)制實(shí)施 AD DS 權(quán)限。 為此，你必須將你的存儲帳戶加入到本地 AD DS 域中，就像 Windows 文件服務(wù)器加入域的方式一樣。 若要詳細(xì)了解有關(guān)將存儲帳戶加入到客戶擁有的 AD DS 實(shí)例的域，請參閱 Azure 文件基于標(biāo)識的身份驗(yàn)證選項(xiàng)概述 SMB 訪問。

• 使用 Azure 文件同步時(shí)，需要考慮三個(gè)不同的加密層：

• 對 Windows Server 中存儲的數(shù)據(jù)進(jìn)行靜態(tài)加密。 對于 Azure 文件同步，有兩個(gè)基本適用的關(guān)于 Windows Server 上加密數(shù)據(jù)的策略：一種是可對文件系統(tǒng)和寫入其中的所有數(shù)據(jù)進(jìn)行加密的文件系統(tǒng)下加密策略，另一種是文件格式內(nèi)部的加密策略。 這些方法不是互斥的；如果需要，可以將它們一起使用，因?yàn)榧用艿哪康牟煌?/p>

• 在 Azure 文件同步代理與 Azure 之間傳輸加密。 Azure 文件同步代理使用 Azure 文件同步 REST 協(xié)議和 FileREST 協(xié)議與存儲同步服務(wù)和 Azure 文件共享功能進(jìn)行通信，這兩種協(xié)議始終通過端口 443 使用 HTTPS。 Azure 文件同步不通過 HTTP 發(fā)送未加密的請求。

• 靜態(tài)加密用于存儲在 Azure 文件共享中的數(shù)據(jù)。 使用 Azure 存儲服務(wù)加密 (SSE) 對存儲在 Azure 文件存儲中的所有數(shù)據(jù)進(jìn)行靜態(tài)加密。 存儲服務(wù)加密的工作方式類似于 Windows 上的 BitLocker：在文件系統(tǒng)級別下對數(shù)據(jù)進(jìn)行加密。 由于數(shù)據(jù)在 Azure 文件共享的文件系統(tǒng)下加密，因此，在將數(shù)據(jù)編碼到磁盤時(shí)，無需訪問客戶端上的基礎(chǔ)密鑰即可讀取或?qū)懭?Azure 文件共享。

成本注意事項(xiàng)

• 有關(guān)成本優(yōu)化建議，請參閱 Azure Well-Architected 框架中 " 成本優(yōu)化 " 頁的原則。

• Azure 存儲定價(jià) 頁提供基于帳戶類型、存儲容量、復(fù)制和交易的詳細(xì)定價(jià)信息。

• 數(shù)據(jù)傳輸定價(jià)詳細(xì)信息 提供了針對數(shù)據(jù)流出量的詳細(xì)定價(jià)信息。

• 可以使用 Azure 存儲定價(jià)計(jì)算器 來幫助估算成本。