Använda Azure-filresurser i en hybridmiljö

Microsoft Entra ID
Azure Files

Den här arkitekturen visar hur du inkluderar Azure-filresurser i din hybridmiljö. Azure-filresurser används som serverlösa filresurser. Genom att integrera dem med Active Directory Directory Services (AD DS) kan du styra och begränsa åtkomsten till AD DS-användare. Azure-filresurser kan sedan ersätta traditionella filservrar.

Arkitektur

Arkitekturdiagram för Azure-filresurser som visar hur klienter kan komma åt Azure-filresurser direkt via TCP-port 445 (SMB 3.0) eller genom att upprätta VPN-anslutning först.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Arkitekturen består av följande komponenter:

  • Microsoft Entra-klientorganisation. Den här komponenten är en instans av Microsoft Entra som har skapats av din organisation. Den fungerar som en katalogtjänst för molnprogram genom att lagra objekt som kopieras från lokalni Active Directory. Den tillhandahåller även identitetstjänster vid åtkomst till Azure-filresurser.
  • AD DS-server. Den här komponenten är en lokal katalog- och identitetstjänst. AD DS-katalogen synkroniseras med Microsoft Entra-ID så att den kan autentisera lokala användare.
  • Microsoft Entra Connect Sync-server. Den här komponenten är en lokal server som kör Microsoft Entra Connect Sync-tjänsten. Den här tjänsten synkroniserar information som finns i lokalni Active Directory till Microsoft Entra-ID.
  • Virtuell nätverksgateway. Den här valfria komponenten används för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via Internet.
  • Azure-filresurser. Azure-filresurser tillhandahåller lagring för filer och mappar som du kan komma åt via SMB-protokoll (Server Message Block), NFS (Network File System) och HTTP-protokoll (Hypertext Transfer Protocol). Filresurser distribueras till Azure Storage-konton.
  • Recovery Services-valv. Den här valfria komponenten tillhandahåller säkerhetskopiering av Azure-filresurser.
  • Klienter. Dessa komponenter är AD DS-medlemsdatorer som användarna kan komma åt Azure-filresurser från.

Komponenter

Viktiga tekniker som används för att implementera den här arkitekturen:

  • Microsoft Entra ID är en företagsidentitetstjänst som tillhandahåller enkel inloggning, multifaktorautentisering och villkorlig åtkomst.
  • Azure Files erbjuder fullständigt hanterade filresurser i molnet som är tillgängliga med hjälp av branschstandardprotokollen.
  • VPN Gateway VPN Gateway skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet.

Information om scenario

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

  • Ersätt eller komplettera lokala filservrar. Azure Files kan helt ersätta eller komplettera traditionella lokala filservrar eller nätverksanslutna lagringsenheter. Med Azure-filresurser och AD DS-autentisering kan du migrera data till Azure Files. Den här migreringen kan dra nytta av hög tillgänglighet och skalbarhet samtidigt som klientändringar minimeras.
  • Lyft och flytta. Azure Files gör det enkelt att "lyfta och flytta" program som förväntar sig att en filresurs lagrar program- eller användardata i molnet.
  • Säkerhetskopiering och haveriberedskap. Du kan använda Azure Files som lagring för säkerhetskopior eller för haveriberedskap för att förbättra affärskontinuiteten. Du kan använda Azure Files för att säkerhetskopiera dina data från befintliga filservrar samtidigt som du bevarar konfigurerade Windows-listor för diskretionär åtkomstkontroll. Data som lagras på Azure-filresurser påverkas inte av katastrofer som kan påverka lokala platser.
  • Azure File Sync. Med Azure File Sync kan Azure-filresurser replikeras till Windows Server, antingen lokalt eller i molnet. Den här replikeringen förbättrar prestandan och distribuerar cachelagring av data till den där den används.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Använd GPv2- eller FileStorage-lagringskonton för Azure-filresurser

Du kan skapa en Azure-filresurs i olika lagringskonton. Även om allmänna v1-konton (GPv1) och klassiska lagringskonton kan innehålla Azure-filresurser är de flesta nya funktionerna i Azure Files endast tillgängliga i GPv2- och FileStorage-lagringskonton. Medan en Azure-filresurs lagrar GPv2-lagringskontodata på hårddiskbaserad (HDD-baserad) maskinvara, lagrar den FileStorage-lagringskontodata på SSD-baserad maskinvara (solid state drive-based). Mer information finns i Skapa en Azure-filresurs.

Skapa Azure-filresurser i lagringskonton som endast innehåller Azure-filresurser

Med lagringskonton kan du använda olika lagringstjänster i samma lagringskonto. Dessa lagringstjänster omfattar Azure-filresurser, blobcontainrar och tabeller. Alla lagringstjänster i ett enda lagringskonto delar samma lagringskontogränser. Om du blandar lagringstjänster i samma lagringskonto blir det svårare att felsöka prestandaproblem.

Kommentar

Distribuera varje Azure-filresurs i ett eget separat lagringskonto, om möjligt. Om flera Azure-filresurser distribueras till samma lagringskonto delar de alla lagringskontogränserna.

Använda premiumfilresurser för arbetsbelastningar som kräver högt dataflöde

Premium-filresurser distribueras till FileStorage-lagringskonton och lagras på SSD-baserad maskinvara (solid state drive-based). Den här konfigurationen gör dem lämpliga för att lagra och komma åt data som kräver konsekventa prestanda, högt dataflöde och låg svarstid. (Dessa premiumfilresurser fungerar till exempel bra med databaser.) Du kan lagra andra arbetsbelastningar som är mindre känsliga för prestandavariationer på standardfilresurser. Dessa arbetsbelastningstyper omfattar allmänna filresurser och utvecklings-/testmiljöer. Mer information finns i Skapa en Azure-filresurs.

Kräv alltid kryptering vid åtkomst till SMB Azure-filresurser

Använd alltid kryptering under överföring vid åtkomst till data i SMB Azure-filresurser. Kryptering under överföring är aktiverat som standard. Azure Files tillåter endast anslutningen om den görs med ett protokoll som använder kryptering, till exempel SMB 3.0. Klienter som inte stöder SMB 3.0 kan inte montera Azure-filresursen om kryptering under överföring krävs.

Använd VPN om porten som SMB använder (port 445) blockeras

Många internetleverantörer blockerar TCP-port (Transmission Control Protocol) port 445, som används för att komma åt Azure-filresurser. Om avblockering av TCP-port 445 inte är ett alternativ kan du komma åt Azure-filresurser via en ExpressRoute- eller VPN-anslutning (virtuellt privat nätverk) (plats-till-plats eller punkt-till-plats) för att undvika trafikblockering. Mer information finns i Konfigurera en punkt-till-plats-VPN (P2S) i Windows för användning med Azure Files och Konfigurera en plats-till-plats-VPN för användning med Azure Files.

Överväg att använda Azure File Sync med Azure-filresurser

Med Azure File Sync-tjänsten kan du cachelagrar Azure-filresurser på en lokal Windows Server-filserver. När du aktiverar molnnivåindelning säkerställer File Sync att en filserver alltid har ledigt ledigt utrymme, även om det gör fler filer tillgängliga än en filserver kan lagra lokalt. Om du har lokala Windows Server-filservrar kan du överväga att integrera filservrar med Azure-filresurser med hjälp av Azure File Sync. Mer information finns i Planera för en Azure File Sync-distribution.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Skalbarhet

  • Storleken på Azure-filresursen är begränsad till 100 tebibyte (TiB). Det finns ingen minsta filresursstorlek och ingen gräns för antalet Azure-filresurser.
  • Den maximala storleken på en fil i en filresurs är 1 TiB och det finns ingen gräns för antalet filer i en filresurs.
  • IOPS- och dataflödesgränser är per Azure-lagringskonto och delas mellan Azure-filresurser i samma lagringskonto.

Mer information finns i Skalbarhets- och prestandamål för Azure Files.

Tillgänglighet

Kommentar

Ett Azure Storage-konto är den överordnade resursen för Azure-filresurser. Azure-filresursen har den redundansnivå som tillhandahålls av lagringskontot som innehåller resursen.

  • Azure-filresurser stöder för närvarande följande alternativ för dataredundans:
    • Lokalt redundant lagring (LRS). Data kopieras synkront tre gånger på en enda fysisk plats i den primära regionen. Den här metoden skyddar mot dataförlust på grund av maskinvarufel, till exempel en felaktig diskenhet.
    • Zonredundant lagring (ZRS). Data kopieras synkront över tre Azure-tillgänglighetszoner i den primära regionen. Tillgänglighetszoner är unika fysiska platser i en Azure-region. Varje zon består av ett eller flera datacenter som är utrustade med oberoende ström, kylning och nätverk.
    • Geo-redundant lagring (GRS). Data kopieras synkront tre gånger på en enda fysisk plats i den primära regionen med hjälp av LRS. Dina data kopieras sedan asynkront till en enda fysisk plats i den sekundära regionen. Geo-redundant lagring innehåller sex kopior av dataspridningen mellan två Azure-regioner.
    • Geo-zonredundant lagring (GZRS). Data kopieras synkront över tre Azure-tillgänglighetszoner i den primära regionen med ZRS. Dina data kopieras sedan asynkront till en enda fysisk plats i den sekundära regionen.
  • Premium-filresurser kan endast lagras i lokalt redundant lagring (LRS) och zonredundant lagring (ZRS). Standardfilresurser kan lagras i LRS, ZRS, geo-redundant lagring (GRS) och geo-zonredundant lagring (GZRS). Mer information finns i Planera för en Azure Files-distribution och Azure Storage-redundans.
  • Azure Files är en molntjänst och precis som med alla molntjänster måste du ha internetanslutning för att få åtkomst till Azure-filresurser. En redundant internetanslutningslösning rekommenderas starkt för att undvika störningar.

Hanterbarhet

  • Du kan hantera Azure-filresurser med samma verktyg som andra Azure-tjänster. De här verktygen omfattar Azure Portal, Azure Command-Line Interface och Azure PowerShell.
  • Azure-filresurser tillämpar standardbehörigheter för Windows-filer. Du kan konfigurera behörigheter på katalog- eller filnivå genom att montera en Azure-filresurs och konfigurera behörigheter med hjälp av Istraživač datoteka, Windows icacls.exe-kommandot eller Windows PowerShell-cmdleten Set-Acl.
  • Du kan använda Ögonblicksbild av Azure-filresurser för att skapa en skrivskyddad kopia av Azure-filresursdata. Du skapar en resursögonblicksbild på filresursnivå. Du kan sedan återställa enskilda filer i Azure-portalen eller i Istraživač datoteka, där du också kan återställa en hel resurs. Du kan ha upp till 200 ögonblicksbilder per resurs, vilket gör att du kan återställa filer till olika tidpunktsversioner. Om du tar bort en resurs tas även dess ögonblicksbilder bort. Resursögonblicksbilder är inkrementella. Endast de data som har ändrats efter att din senaste resursögonblicksbild har sparats. Den här metoden minimerar den tid som krävs för att skapa resursögonblicksbilden och sparar på lagringskostnader. Ögonblicksbilder av Azure-filresurser används också när du skyddar Azure-filresurser med Azure Backup. Mer information finns i Översikt över resursögonblicksbilder för Azure Files.
  • Du kan förhindra oavsiktlig borttagning av Azure-filresurser genom att aktivera mjuk borttagning för filresurser. Om du tar bort en filresurs när en mjuk borttagning är aktiverad övergår filresursen till ett mjukt borttaget tillstånd i stället för att raderas permanent. Du kan konfigurera hur lång tid mjuk borttagna data kan återställas innan de tas bort permanent och återställa resursen när som helst under kvarhållningsperioden. Mer information finns i Aktivera mjuk borttagning på Azure-filresurser.

Kommentar

Azure Backup möjliggör mjuk borttagning för alla filresurser i lagringskontot när du konfigurerar säkerhetskopiering för den första Azure-filresursen i respektive lagringskonto.

Kommentar

Både standard- och premiumfilresurser faktureras på använd kapacitet när de tas bort mjukt i stället för etablerad kapacitet.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

  • Använd AD DS-autentisering via SMB för åtkomst till Azure-filresurser. Den här konfigurationen ger samma smidiga enkel inloggning (SSO) när du får åtkomst till Azure-filresurser som åtkomst till lokala filresurser. Mer information finns i Hur det fungerar och funktionsaktiveringssteg. Klienten måste vara domänansluten till AD DS eftersom autentiseringen fortfarande utförs av AD DS-domänkontrollanten. Du måste också tilldela behörigheter på både resursnivå och fil-/katalognivå för att få åtkomst till data. Behörighetstilldelning på resursnivå går via Azure RBAC-modellen. Behörighet på fil-/katalognivå hanteras som Windows-ACL:er.

    Kommentar

    Åtkomst till Azure-filresurser autentiseras alltid. Azure-filresurser stöder inte anonym åtkomst. Förutom identitetsbaserad autentisering via SMB kan användarna autentisera till Azure-filresursen också med hjälp av lagringsåtkomstnyckel och signatur för delad åtkomst.

  • Alla data som lagras på Azure-filresursen krypteras i vila med azure storage service encryption (SSE). SSE fungerar på samma sätt som BitLocker-diskkryptering i Windows, där data krypteras under filsystemnivån. Som standard krypteras data som lagras i Azure Files med Microsoft-hanterade nycklar. Med Microsoft-hanterade nycklar underhåller Microsoft nycklarna för att kryptera/dekryptera data och hanterar roterande dem regelbundet. Du kan också välja att hantera dina egna nycklar, vilket ger dig kontroll över rotationsprocessen.

  • Alla Azure Storage-konton har kryptering under överföring aktiverat som standard. Den här konfigurationen innebär att all kommunikation med Azure-filresurser krypteras. Klienter som inte stöder kryptering kan inte ansluta till Azure-filresurser. Om du inaktiverar kryptering under överföring kan klienter som kör äldre operativsystem, till exempel Windows Server 2008 R2 eller äldre Linux, också ansluta. I sådana fall krypteras inte data under överföring från Azure-filresurser.

  • Som standard kan klienter ansluta till Azure-filresurs var som helst. Om du vill begränsa de nätverk som klienter kan ansluta till Azure-filresurser från konfigurerar du brandväggen, virtuella nätverk och privata slutpunktsanslutningar. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk och Konfigurera Azure Files-nätverksslutpunkter.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare och Förstå Azure Files-fakturering.

  • Azure Files har två lagringsnivåer och två prismodeller:
    • Standardlagring: Använder HDD-baserad lagring. Det finns ingen minsta filresursstorlek och du betalar bara för använt lagringsutrymme. Dessutom betalar du för filåtgärder, till exempel att räkna upp en katalog eller läsa en fil.
    • Premium Storage: Använder SSD-baserad lagring. Den minsta storleken för en Premium-filresurs är 100 gibibyte och du betalar per etablerat lagringsutrymme. När du använder Premium Storage är alla filåtgärder kostnadsfria.
  • Extra kostnader är associerade med ögonblicksbilder av filresurser och utgående dataöverföringar. (När du överför data från Azure-filresurser är inkommande dataöverföring kostnadsfri.) Kostnaderna för dataöverföring beror på mängden överförda data och lagerhållningsenheten (SKU) för din virtuella nätverksgateway, om du använder en. Mer information om kostnader finns i Priskalkylatorn för Azure Files och Priskalkylatorn för Azure. Den faktiska kostnaden varierar beroende på Azure-region och ditt enskilda kontrakt. Kontakta en Microsoft-försäljare för ytterligare information om priser.

Nästa steg

Läs mer om komponentteknikerna:

Utforska relaterade arkitekturer: