Параметры брандмауэра и прокси-сервера для компонента "Синхронизация файлов Azure"

Служба "Синхронизация файлов Azure" подключает локальные серверы к службе файлов Azure, обеспечивая синхронизацию нескольких сайтов и распределение данных по уровням облака. Таким образом локальный сервер должен быть подключен к Интернету. Администратор отдела ИТ должен выбрать наилучший путь подключения сервера к облачным службам Azure.

В этой статье приводятся сведения о конкретных требованиях и вариантах, доступных для успешного и безопасного подключения сервера к Синхронизация файлов Azure.

Перед изучением этого практического руководства рекомендуется ознакомиться с рекомендациями по настройке сети для службы "Синхронизация файлов Azure".

Обзор

Служба "Синхронизация файлов Azure" действует как служба оркестрации между Windows Server, вашим файловым ресурсом Azure и несколькими другими службами Azure, которая синхронизирует данные, как описано в группе синхронизации. Для правильной работы Синхронизация файлов Azure необходимо настроить серверы для взаимодействия со следующими службами Azure:

• Хранилище Azure
• Служба синхронизации файлов Azure
• Azure Resource Manager
• Службы аутентификации

Порты

Служба "Синхронизация файлов Azure" перемещает файлы данных и метаданные только по протоколу HTTPS, и порт 443 должен быть открыт для исходящего трафика. В результате шифруется весь трафик.

Сети и специальные подключения к Azure

Агент службы "Синхронизация файлов Azure" не накладывает какие-либо требования в отношении специальных каналов, например ExpressRoute, в Azure.

Синхронизация файлов Azure будет работать с любыми средствами, доступными для доступа к Azure, автоматически адаптируясь к сетевым характеристикам, таким как пропускная способность и задержка, а также предлагая управление администраторами для точной настройки.

Proxy (Прокси)

Служба "Синхронизация файлов Azure" поддерживает параметры прокси-сервера для конкретных приложений и для всего компьютера.

Параметры прокси-сервера для конкретных приложений позволяют настроить прокси-сервер специально для трафика службы "Синхронизация файлов Azure". Параметры прокси-сервера для конкретного приложения поддерживаются в агенте версии 4.0.1.0 или более поздней версии и могут быть настроены во время установки агента или с помощью командлета Set-StorageSyncProxyConfiguration PowerShell. Используйте Get-StorageSyncProxyConfiguration командлет для возврата всех параметров прокси-сервера, настроенных в данный момент. Пустой результат указывает, что параметры прокси-сервера не настроены. Чтобы удалить существующую конфигурацию прокси-сервера, используйте Remove-StorageSyncProxyConfiguration командлет.

Команды PowerShell для настройки параметров прокси-сервера для конкретных приложений:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Например, если прокси-сервер требует проверки подлинности с использованием имени пользователя и пароля, выполните следующие команды PowerShell.

# IP address or name of the proxy server.
$Address="http://127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Параметры прокси-сервера для компьютера являются прозрачными для агента службы "Синхронизация файлов Azure", так как весь трафик сервера направляется через этот прокси-сервер.

Чтобы настроить параметры прокси-сервера для компьютера, выполните следующие действия:

1. Настройте параметры прокси-сервера для приложений .NET

   • Измените следующие два файла:
     C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
     C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

   • Добавьте раздел <system.net> в файлы machine.config (под разделом <system.serviceModel>). Измените 127.0.01:8888 на IP-адрес и порт для прокси-сервера.

     <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
          <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
        </defaultProxy>
     </system.net>
     

2. Задайте параметры прокси-сервера WinHTTP

   Примечание.

   Доступно несколько методов (WPAD, PAC-файл, netsh и пр.) для настройки Windows Server на использование прокси-сервера. Ниже описано, как настроить параметры прокси-сервера с помощью любого netsh метода, указанного в разделе "Настройка параметров прокси-сервера" в документации Windows .

   • Выполните следующую команду в командной строке с повышенными привилегиями или в PowerShell, чтобы увидеть существующие параметры прокси-сервера:

     netsh winhttp show proxy

   • Выполните следующую команду в командной строке с повышенными привилегиями или PowerShell, чтобы задать параметры прокси-сервера (измените 127.0.01:8888 на IP-адрес и порт для прокси-сервера):

     netsh winhttp set proxy 127.0.0.1:8888

3. Перезапустите службу агента синхронизации хранилища, выполнив следующую команду в командной строке с повышенными привилегиями или PowerShell:

   net stop filesyncsvc

   Примечание. Служба агента синхронизации хранилища (filesyncsvc) автоматически запустится после остановки.

Брандмауэр

Как упоминалось в предыдущем разделе, порт 443 необходимо открыть для исходящего трафика. В зависимости от политик в центре обработки данных, филиале или регионе, возможно необязательное или обязательное наложение дополнительных ограничений трафика, проходящего через этот порт в определенные домены.

В следующей таблице описаны требуемые домены для обмена данными.

Если слишком широка функция *.afs.azure.net или *.one.microsoft.com, можно ограничить взаимодействие сервера, предоставив возможность обмена данными только с явными региональными экземплярами службы Синхронизация файлов Azure. Выбор экземпляров зависит от региона службы синхронизации хранилища, в котором развернут и зарегистрирован сервер. Этот регион называется "URL-адрес основной конечной точки" в таблице ниже.

Из соображений обеспечения непрерывности бизнес-процессов и аварийного восстановления (BCDR) вы, возможно, создали общие папки Azure в учетной записи хранения, настроенной для геоизбыточного хранилища (GRS). Если это так, то в случае продолжительного регионального сбоя будет выполнена отработка отказа общих папок Azure в связанный регион. Служба "Синхронизация файлов Azure" использует те же региональные связи, что и хранилище. Поэтому, если используются учетные записи хранения GRS, необходимо включить дополнительные URL-адреса, чтобы сервер мог взаимодействовать с парным регионом для синхронизации файлов Azure. В таблице ниже это называется "Парный регион". Кроме того, есть URL-адрес профиля диспетчера трафика, который также должен быть включен. Это гарантирует, что сетевой трафик можно легко перенаправить в парный регион в случае отработки отказа и называется URL-адрес обнаружения в таблице ниже.

• При использовании учетной записи хранения, настроенной для локально избыточного хранилища (LRS) или хранилища, избыточного между зонами (ZRS), необходимо включить только URL-адрес, указанный в разделе "URL-адрес основной конечной точки".

• Если вы используете учетную запись хранения, настроенную для GRS, включите три URL-адреса.

Пример. Вы развертываете службу синхронизации хранилища в "West US" и регистрируете свой сервер в ней. URL-адреса, позволяющие обмениваться данными с сервером для этого случая:

• https://westus01.afs.azure.net (основная конечная точка: "Западная часть США").
• https://eastus01.afs.azure.net (парный регион отработки отказа: восточная часть США)
• https://tm-westus01.afs.azure.net (URL-адрес обнаружения основного региона).

Список разрешенных IP-адресов службы синхронизации файлов Azure

Синхронизация файлов Azure поддерживает использование тегов служб, представляющих собой группу префиксов IP-адресов для данной службы Azure. Можно использовать теги служб для создания правил брандмауэра, которые позволяют взаимодействовать со службой синхронизации файлов Azure. Тегом службы для синхронизация файлов Azure является StorageSyncService.

Если вы используете Синхронизация файлов Azure в Azure, вы можете использовать имя тега службы непосредственно в группе безопасности сети, чтобы разрешить трафик. Дополнительные сведения о том, как это делается, см. в статье Группы безопасности сети.

Если вы используете Синхронизация файлов Azure локальной среде, вы можете использовать API тега службы для получения определенных диапазонов IP-адресов для списка разрешений брандмауэра. Существует два способа получения этой информации.

• Текущий список диапазонов IP-адресов для всех служб Azure, поддерживающих теги служб, публикуется еженедельно в Центре загрузки Майкрософт в виде документа JSON. В каждом облаке Azure есть собственный документ JSON с диапазонами IP-адресов, соответствующими этому облаку:
  • Azure Public
  • Azure для US Gov организаций.
  • Microsoft Azure, управляемый 21Vianet
  • Azure для Германии
• API обнаружения тегов службы позволяет программно получить текущий список тегов службы. Вы можете использовать область API на основе предпочтений службы автоматизации:
  • REST API
  • Azure PowerShell
  • Azure CLI

Так как API обнаружения тегов службы не может обновляться так часто, как документы JSON, опубликованные в Центре загрузки Майкрософт, рекомендуется использовать документ JSON для обновления списка разрешений локального брандмауэра. Это можно сделать следующим образом.

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Don't change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region isn't available. Either Azure File Sync isn't deployed there or the region doesn't exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://video2.skills-academy.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Можно использовать диапазоны IP-адресов в $ipAddressRanges для обновления брандмауэра. Посетите веб-сайт используемого брандмауэра/сетевого устройства для получения информации о том, как обновить брандмауэр.

Проверка сетевого подключения к конечным точкам службы

После регистрации сервера в службе Test-StorageSyncNetworkConnectivity Синхронизация файлов Azure командлет и ServerRegistration.exe можно использовать для проверки связи со всеми конечными точками (URL-адресами), зависящими от этого сервера. Этот командлет может помочь в устранении неполадок, когда незавершенная связь не позволяет серверу в полной мере использовать синхронизацию файлов Azure, и его можно использовать для точной настройки прокси-сервера и брандмауэра.

Чтобы запустить проверку возможности подключения к сети, выполните следующие команды PowerShell:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Если тест завершается ошибкой, соберите трассировки отладки WinHTTP, чтобы устранить неполадки: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024

Снова запустите проверку сетевого подключения, а затем остановите сбор трассировок: netsh trace stop

Поместите созданный NetTrace.etl файл в ZIP-архив, откройте вариант поддержки и поделитесь файлом с поддержкой.

Сводка и ограничение рисков

Списки, приведенные ранее в этом документе, содержат URL-адреса, с которыми в настоящее время взаимодействует служба "Синхронизация файлов Azure". Брандмауэры должны иметь возможность разрешить исходящий трафик для этих доменов. Корпорация Майкрософт прилагает все усилия, чтобы этот список был актуальным.

Настройка домена с ограничивающими правилами брандмауэра может служить мерой повышения безопасности. Если эти конфигурации брандмауэра используются, помните, что URL-адреса будут добавлены и могут даже меняться с течением времени. Периодически просматривайте эту статью.

Следующие шаги

• Планирование развертывания службы синхронизации файлов Azure (предварительная версия)
• Как развернуть службу синхронизации файлов Azure (предварительная версия)
• Мониторинг Синхронизации файлов Azure