Azure Files nås lokalt och skyddas av AD DS i ett privat nätverk

Azure Virtual Network
Azure ExpressRoute
Azure Storage Accounts
Azure Files
Azure DNS

Den här arkitekturen visar ett sätt att tillhandahålla filresurser i molnet till lokala användare och program som också har åtkomst till filer på Windows Server via en privat slutpunkt.

Arkitektur

Azure-arkitektur för att tillhandahålla skrivbord, både lokalt och molnbaserat, för ett företag med många filialer.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

  1. Den här lösningen synkroniserar den lokala AD DS och det molnbaserade Microsoft Entra-ID:t. Synkronisering gör användarna mer produktiva genom att tillhandahålla en gemensam identitet för åtkomst till både molnresurser och lokala resurser.

    Microsoft Entra Connect är det lokala Microsoft-programmet som utför synkroniseringen. Mer information om Microsoft Entra Connect finns i Vad är Microsoft Entra Connect? och Microsoft Entra Connect Sync: Förstå och anpassa synkronisering.

  2. Azure Virtual Network tillhandahåller ett virtuellt nätverk i molnet. För den här lösningen har den minst två undernät, ett för Azure DNS och ett för en privat slutpunkt för åtkomst till filresursen.

  3. Vpn eller Azure ExpressRoute tillhandahåller säkra anslutningar mellan det lokala nätverket och det virtuella nätverket i molnet. Om du använder VPN skapar du en gateway med hjälp av Azure VPN Gateway. Om du använder ExpressRoute skapar du en virtuell ExpressRoute-nätverksgateway. Mer information finns i Vad är VPN Gateway? och Om virtuella ExpressRoute-nätverksgatewayer.

  4. Azure Files tillhandahåller en filresurs i molnet. Detta kräver ett Azure Storage-konto. Mer information om filresurser finns i Vad är Azure Files?.

  5. En privat slutpunkt ger åtkomst till filresursen. En privat slutpunkt är som ett nätverkskort (NIC) i ett undernät som ansluter till en Azure-tjänst. I det här fallet är tjänsten filresursen. Mer information om privata slutpunkter finns i Använda privata slutpunkter för Azure Storage.

  6. Den lokala DNS-servern löser IP-adresser. Azure DNS löser dock azure-filresursens fullständigt kvalificerade domännamn (FQDN). Alla DNS-frågor till Azure DNS kommer från det virtuella nätverket. Det finns en DNS-proxy i det virtuella nätverket för att dirigera dessa frågor till Azure DNS. Mer information finns i Lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare.

    Du kan ange DNS-proxyn på en Windows- eller Linux-server, eller så kan du använda Azure Firewall. Information om alternativet Azure Firewall, som har fördelen att du inte behöver hantera en virtuell dator, finns i DNS-inställningar för Azure Firewall.

  7. Den lokala anpassade DNS:en är konfigurerad för att vidarebefordra DNS-trafik till Azure DNS via en villkorlig vidarebefordrare. Information om villkorlig vidarebefordran finns också i lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare.

  8. Den lokala AD DS autentiserar åtkomsten till filresursen. Det här är en fyrastegsprocess enligt beskrivningen i del ett: aktivera AD DS-autentisering för dina Azure-filresurser

Komponenter

  • Azure Storage är en uppsättning massivt skalbara och säkra molntjänster för data, appar och arbetsbelastningar. Den innehåller Azure Files, Azure Table Storage och Azure Queue Storage.
  • Azure Files erbjuder fullständigt hanterade filresurser på ett Azure Storage-konto. Filerna är tillgängliga från molnet eller lokalt. Windows-, Linux- och macOS-distributioner kan montera Azure-filresurser samtidigt. Filåtkomst använder SMB-protokollet (Server Message Block).
  • Azure Virtual Network är den grundläggande byggstenen för privata nätverk i Azure. Den tillhandahåller miljön för Azure-resurser, till exempel virtuella datorer, för säker kommunikation med varandra, med Internet och med lokala nätverk.
  • Azure ExpressRoute utökar lokala nätverk till Microsoft-molnet via en privat anslutning.
  • Azure VPN Gateway ansluter lokala nätverk till Azure via plats-till-plats-VPN på ungefär samma sätt som du ansluter till ett fjärrkontor. Anslutningen är säker och använder IPsec (Internet Protocol Security) och IKE (Internet Key Exchange), som är standardprotokoll i branschen.
  • Azure Private Link tillhandahåller privata anslutningar från ett virtuellt nätverk till Azure Platform as a Service (PaaS), kundägda eller Microsoft-partnertjänster. Det förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure så att inte data exponeras för det offentliga Internet.
  • En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Du kan använda privata slutpunkter för dina Azure Storage-konton för att tillåta klienter i ett virtuellt nätverk att komma åt data via en privat länk.
  • Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Du kan konfigurera Azure Firewall så att den fungerar som en DNS-proxy. En DNS-proxy är en mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server.

Information om scenario

Tänk på följande vanliga scenario: en lokal Windows Server används för att tillhandahålla filresurser för användare och program. Active Directory-domän Services (AD DS) används för att skydda filerna och en lokal DNS-server hanterar nätverksresurser. Allt fungerar inom samma privata nätverk.

Tänk dig nu behovet av att utöka filresurser till molnet.

Arkitekturen som beskrivs här visar hur Azure kan uppfylla detta behov kostnadseffektivt och samtidigt upprätthålla användningen av ditt lokala nätverk, AD DS och DNS.

I den här konfigurationen används Azure Files som värd för filresurserna, medan ett plats-till-plats-VPN eller Azure ExpressRoute tillhandahåller säkra anslutningar mellan det lokala nätverket och det virtuella Azure-nätverket. Användare och program får åtkomst till filerna via dessa säkra anslutningar. Microsoft Entra ID och Azure DNS fungerar tillsammans med lokal AD DS och DNS för att säkerställa säker åtkomst.

Sammanfattningsvis kan du erbjuda molnbaserade filresurser till dina lokala användare till en låg kostnad och samtidigt upprätthålla säker åtkomst med hjälp av din befintliga AD DS- och DNS-infrastruktur.

Potentiella användningsfall

  • Filservern flyttas till molnet, men användarna måste vara kvar lokalt.
  • Program som migreras till molnet måste komma åt lokala filer och även filer som migreras till molnet.
  • Du måste minska kostnaderna genom att flytta fillagring till molnet.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

  • Azure Storage lagrar alltid flera kopior av dina data i samma zon, så att de skyddas mot planerade och oplanerade avbrott. Det finns alternativ för att skapa ytterligare kopior i andra zoner eller regioner. Läs mer i Redundansalternativ för Azure Storage.
  • Azure Firewall har inbyggd hög tillgänglighet. Mer information finns i Azure Firewall Standard-funktioner.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

De här artiklarna har säkerhetsinformation för Azure-komponenter:

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Om du vill beräkna kostnaden för Azure-produkter och -konfigurationer använder du Priskalkylatorn för Azure.

De här artiklarna har prisinformation för Azure-komponenter:

Prestandaeffektivitet

Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Mer information finns i Översikt över grundpelare för prestandaeffektivitet.

  • Dina Azure Storage-konton innehåller alla dina Azure Storage-dataobjekt, inklusive filresurser. Ett lagringskonto ger ett unikt namnområde för sina data, ett namnområde som är tillgängligt var som helst i världen via HTTP eller HTTPS. För den här arkitekturen innehåller ditt lagringskonto filresurser som tillhandahålls av Azure Files. För bästa prestanda rekommenderar vi följande:
    • Placera inte databaser, blobar och så vidare i lagringskonton som innehåller filresurser.
    • Ha högst en mycket aktiv filresurs per lagringskonto. Du kan gruppera filresurser som är mindre aktiva i samma lagringskonto.
    • Om din arbetsbelastning kräver stora mängder IOPS, extremt snabba dataöverföringshastigheter eller mycket låg svarstid bör du välja premiumlagringskonton (FileStorage). Ett standardkonto för generell användning v2 är lämpligt för de flesta SMB-filresursarbetsbelastningar. Mer information om skalbarhet och prestanda för filresurser finns i Skalbarhets- och prestandamål för Azure Files.
    • Använd inte ett allmänt v1-lagringskonto eftersom det saknar viktiga funktioner. Uppgradera i stället till ett allmänt v2-lagringskonto. Lagringskontotyperna beskrivs i Översikt över lagringskonto.
    • Var uppmärksam på storlek, hastighet och andra begränsningar. Se Azure-prenumerations - och tjänstbegränsningar, kvoter och begränsningar.
  • Det finns inte mycket du kan göra för att förbättra prestandan för icke-lagringskomponenter, förutom att se till att distributionen uppfyller de gränser, kvoter och begränsningar som beskrivs i Azure-prenumerations- och tjänstgränser, kvoter och begränsningar.
  • Information om skalbarhet för Azure-komponenter finns i Azure-prenumerations - och tjänstgränser, kvoter och begränsningar.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Nästa steg