Azure Dosya Eşitleme için ağ konusunda dikkat edilmesi gerekenler
Azure dosya paylaşımına iki şekilde bağlanabilirsiniz:
- Paylaşıma doğrudan SMB veya FileREST protokolleri aracılığıyla erişin. Bu erişim düzeni öncelikle mümkün olduğunca çok şirket içi sunucuyu ortadan kaldırmak için kullanılır.
- Azure Dosya Eşitleme ile bir şirket içi sunucuda (veya Azure sanal makinesinde) Azure dosya paylaşımının önbelleğini oluşturun ve seçtiğiniz protokolle (SMB, NFS, FTPS vb.) şirket içi sunucudan dosya paylaşımının verilerine erişin. Bu erişim düzeni, hem şirket içi performansın hem de bulut ölçeğinin en iyilerini Azure Backup gibi katma değerli hizmetlerle birleştirdiğinden kullanışlıdır.
Bu makale ikinci senaryoya odaklanır: Kullanım örneğiniz, Azure dosya paylaşımını doğrudan SMB üzerinden bağlamak yerine şirket içi dosyaları önbelleğe almak için Azure Dosya Eşitleme kullanmayı çağırdığında ağ yapılandırması. Azure Dosyalar dağıtımıyla ilgili ağ konuları hakkında daha fazla bilgi için bkz. ağ konusunda dikkat edilmesi gerekenler Azure Dosyalar.
Azure Dosya Eşitleme için ağ yapılandırması iki farklı Azure nesnesine yayılmıştır: Depolama Eşitleme Hizmeti ve azure depolama hesabı. Depolama hesabı, birden çok dosya paylaşımının yanı sıra bloblar veya kuyruklar gibi diğer depolama kaynaklarını dağıtabileceğiniz paylaşılan bir depolama havuzunu temsil eden bir yönetim yapısıdır. Depolama Eşitleme Hizmeti, Azure Dosya Eşitleme ile yerleşik güven ilişkisine sahip Windows dosya sunucuları ve eşitleme ilişkisinin topolojisini tanımlayan eşitleme grupları olan kayıtlı sunucuları temsil eden bir yönetim yapısıdır.
Önemli
Azure Dosya Eşitleme internet yönlendirmesini desteklemez. Varsayılan ağ yönlendirmesi seçeneği olan Microsoft yönlendirmesi, Azure Dosya Eşitleme tarafından desteklenir.
Azure Dosya Eşitleme ile Windows dosya sunucusunu Azure'a bağlama
şirket içi Windows dosya sunucusuyla Azure Dosyalar ve Azure Dosya Eşitleme ayarlamak ve kullanmak için, temel bir İnternet bağlantısının ötesinde Azure'a özel ağ gerekmez. Azure Dosya Eşitleme dağıtmak için Azure ile eşitlemek istediğiniz Windows dosya sunucusuna Azure Dosya Eşitleme aracısını yüklersiniz. Azure Dosya Eşitleme aracısı, iki kanal aracılığıyla bir Azure dosya paylaşımıyla eşitlemeye ulaşır:
- Azure dosya paylaşımınıza erişmek için kullanılan HTTPS tabanlı bir protokol olan FileREST protokolü. FileREST protokolü veri aktarımı için standart HTTPS kullandığından 443 numaralı bağlantı noktasına giden erişilebilir olmalıdır. Azure Dosya Eşitleme, şirket içi Windows Sunucularınız ile Azure dosya paylaşımınız arasında veri aktarmak için SMB protokolunu kullanmaz.
- Eşitleme bilgisi alışverişinde kullanılan HTTPS tabanlı bir protokol olan Azure Dosya Eşitleme eşitleme protokolü, yani ortamınızdaki uç noktalar arasındaki dosyalar ve klasörler hakkındaki sürüm bilgileri. Bu protokol ayrıca zaman damgaları ve erişim denetimi listeleri (ACL' ler) gibi dosya ve klasörler hakkında meta veriler almak için de kullanılır.
Azure Dosyalar Azure dosya paylaşımlarında doğrudan SMB protokolü erişimi sunduğundan, müşteriler genellikle Azure Dosya Eşitleme aracısının erişmesi için SMB kullanarak Azure dosya paylaşımlarını bağlamak için özel ağ yapılandırması gerekip gerekmediğini merak eder. Bu gerekli değildir ve doğrudan Azure dosya paylaşımında yapılan değişikliklerde hızlı değişiklik algılama olmaması nedeniyle yönetici senaryoları dışında önerilmez. Değişiklikler, Azure dosya paylaşımındaki öğelerin boyutuna ve sayısına bağlı olarak 24 saatten uzun süre bulunamayabilir. Şirket içinde önbelleğe almak için Azure Dosya Eşitleme kullanmak yerine doğrudan Azure dosya paylaşımını kullanmak istiyorsanız bkz. Azure Dosyalar ağa genel bakış.
Azure Dosya Eşitleme herhangi bir özel ağ yapılandırması gerektirmese de, bazı müşteriler aşağıdaki senaryoları etkinleştirmek için gelişmiş ağ ayarlarını yapılandırmak isteyebilir:
- Kuruluşunuzun proxy sunucu yapılandırmasıyla birlikte çalışma.
- Kuruluşunuzun şirket içi güvenlik duvarını Azure Dosyalar ve Azure Dosya Eşitleme hizmetlerinde açın.
- ExpressRoute veya sanal özel ağ (VPN) bağlantısı üzerinden trafiği tünel Azure Dosyalar ve Azure Dosya Eşitleme.
Proxy sunucularını yapılandırma
Birçok kuruluş, şirket içi ağlarındaki kaynaklarla Azure gibi ağlarının dışındaki kaynaklar arasında aracı olarak bir ara sunucu kullanır. Ara sunucu, ağ yalıtımı ve güvenlik, izleme ve günlüğe kaydetme gibi birçok uygulama için kullanışlıdır. Azure Dosya Eşitleme bir ara sunucuyla tam olarak birlikte çalışabilir, ancak ortamınız için ara sunucu uç noktası ayarlarını Azure Dosya Eşitleme ile el ile yapılandırmanız gerekir. Bu, Azure Dosya Eşitleme sunucusu cmdlet'i Set-StorageSyncProxyConfigurationkullanılarak PowerShell aracılığıyla yapılmalıdır.
Ara sunucuyla Azure Dosya Eşitleme yapılandırma hakkında daha fazla bilgi için bkz. Ara sunucuyla Azure Dosya Eşitleme yapılandırma.
Güvenlik duvarlarını ve hizmet etiketlerini yapılandırma
Birçok kuruluş, dosya sunucularını güvenlik amacıyla çoğu İnternet konumundan yalıtıyor. Azure Dosya Eşitleme böyle bir ortamda kullanmak için güvenlik duvarınızı, belirli Azure hizmetlerine giden erişime izin verecek şekilde yapılandırmanız gerekir. Güvenlik duvarınız URL/etki alanlarını destekliyorsa, bu belirli Azure hizmetlerini barındıran gerekli bulut uç noktalarına 443 numaralı bağlantı noktası giden erişimine izin vererek bunu yapabilirsiniz. Aksi takdirde, hizmet etiketleri aracılığıyla bu Azure hizmetlerinin IP adresi aralıklarını alabilirsiniz.
Azure Dosya Eşitleme, hizmet etiketleri tarafından tanımlanan aşağıdaki hizmetler için IP adresi aralıklarını gerektirir:
| Hizmet | Açıklama | Hizmet etiketi |
|---|---|---|
| Azure Dosya Eşitleme | Depolama Eşitleme Hizmeti nesnesi tarafından temsil edilen Azure Dosya Eşitleme hizmeti, Azure dosya paylaşımı ile Windows dosya sunucusu arasında veri eşitlemenin temel etkinliğinden sorumludur. | StorageSyncService |
| Azure Dosyaları | Azure Dosya Eşitleme aracılığıyla eşitlenen tüm veriler Azure dosya paylaşımında depolanır. Windows dosya sunucularınızda değiştirilen dosyalar Azure dosya paylaşımınıza çoğaltılır ve bir kullanıcı bunları istediğinde şirket içi dosya sunucunuzda katmanlanmış dosyalar sorunsuz bir şekilde indirilir. | Storage |
| Azure Resource Manager | Azure Resource Manager, Azure için yönetim arabirimidir. Azure Dosya Eşitleme sunucu kaydı ve devam eden eşitleme sunucusu görevleri dahil olmak üzere tüm yönetim çağrıları Azure Resource Manager aracılığıyla yapılır. | AzureResourceManager |
| Microsoft Entra Kimlik | Microsoft Entra Id (eski adı Azure AD), bir Depolama Eşitleme Hizmeti'ne karşı sunucu kaydını yetkilendirmek için gereken kullanıcı sorumlularını ve Azure Dosya Eşitleme bulut kaynaklarınıza erişim yetkisine sahip olması için gereken hizmet sorumlularını içerir. | AzureActiveDirectory |
Azure'da Azure Dosya Eşitleme kullanıyorsanız, farklı bir bölgede olsa bile hizmet etiketinin adını doğrudan ağ güvenlik grubunuzda kullanarak hizmete giden trafiğe izin vekleyebilirsiniz. Daha fazla bilgi için bkz. Ağ güvenlik grupları.
Şirket içi Azure Dosya Eşitleme kullanıyorsanız, güvenlik duvarınızın izin verilenler listesine yönelik belirli IP adresi aralıklarını almak için hizmet etiketi API'sini kullanabilirsiniz. Bu bilgileri almak için iki yöntem vardır:
- Hizmet etiketlerini destekleyen tüm Azure hizmetlerinin geçerli IP adresi aralıkları listesi, Microsoft İndirme Merkezi'nde haftalık olarak JSON belgesi biçiminde yayımlanır. Her Azure bulutunun, ilgili bulutla ilgili IP adresi aralıklarına sahip kendi JSON belgesi vardır:
- Hizmet etiketi bulma API'si (önizleme), geçerli hizmet etiketleri listesinin program aracılığıyla alınmasına olanak tanır. Önizlemede, hizmet etiketi bulma API'si Microsoft İndirme Merkezi'nde yayımlanan JSON belgelerinden döndürülen bilgilerden daha az güncel bilgiler döndürebilir. API yüzeyini otomasyon tercihinize göre kullanabilirsiniz:
Hizmet etiketi API'sini kullanarak hizmetlerinizin adreslerini alma hakkında daha fazla bilgi edinmek için bkz. Azure Dosya Eşitleme IP adresleri için İzin Verilenler listesi.
Sanal özel ağ veya ExpressRoute üzerinden trafiği tünelleme
Bazı kuruluşlar, ek bir güvenlik katmanı için VPN veya ExpressRoute gibi bir ağ tüneli üzerinden geçmek veya Azure ile iletişimin belirleyici bir yol izlediğinden emin olmak için Azure ile iletişime ihtiyaç duyar.
Şirket içi ağınızla Azure arasında bir ağ tüneli kurduğunuzda, şirket içi ağınızı Azure'daki bir veya daha fazla sanal ağ ile eşlersiniz. Sanal ağ veya sanal ağ, şirket içinde çalıştıracağınız geleneksel bir ağa benzer. Azure depolama hesabı veya Azure VM gibi sanal ağ da bir kaynak grubunda dağıtılan bir Azure kaynağıdır.
Azure Dosyalar ve Azure Dosya Eşitleme, şirket içi sunucularınız ile Azure arasındaki trafiği tünelleyen aşağıdaki mekanizmaları destekler:
Azure VPN Gateway: VPN ağ geçidi, bir Azure sanal ağı ile alternatif bir konum (şirket içi gibi) arasında İnternet üzerinden şifrelenmiş trafik göndermek için kullanılan belirli bir sanal ağ geçidi türüdür. Azure VPN Gateway, bir depolama hesabının veya diğer Azure kaynaklarının yanı sıra bir kaynak grubunda dağıtılabilir bir Azure kaynağıdır. Azure Dosya Eşitleme bir şirket içi Windows dosya sunucusuyla kullanılması amaçlandığından, noktadan siteye (P2S) VPN kullanmak teknik olarak mümkün olsa da normalde Siteden Siteye (S2S) VPN kullanırsınız.
Siteden Siteye (S2S) VPN bağlantıları, Azure sanal ağınızı ve kuruluşunuzun şirket içi ağını bağlar. S2S VPN bağlantısı, Azure dosya paylaşımınıza erişmesi gereken her istemci cihazı için yapmak yerine kuruluşunuzun ağında barındırılan bir VPN sunucusu veya cihaz için bir kez VPN bağlantısı yapılandırmanıza olanak tanır. S2S VPN bağlantısının dağıtımını basitleştirmek için bkz. Azure Dosyalar ile kullanmak üzere Siteden Siteye (S2S) VPN yapılandırma.
ExpressRoute, Azure ile şirket içi ağınız arasında İnternet'ten geçmeyen tanımlı bir yol (özel bağlantı) oluşturmanıza olanak tanır. ExpressRoute, şirket içi veri merkezinizle Azure arasında ayrılmış bir yol sağladığından, ağ performansı önemli bir nokta olduğunda ExpressRoute yararlı olabilir. Kuruluşunuzun ilke veya mevzuat gereksinimleri, buluttaki kaynaklarınıza yönelik belirleyici bir yol gerektirdiğinde ExpressRoute da iyi bir seçenektir.
Özel uç noktalar
Depolama hesabı ve Depolama Eşitleme Hizmeti aracılığıyla Azure Dosyalar ve Azure Dosya Eşitleme varsayılan genel uç noktalara ek olarak, her kaynak için bir veya daha fazla özel uç nokta seçeneği sunar. Bu, VPN veya ExpressRoute kullanarak şirket içinden ve azure sanal ağı içinden Azure dosya paylaşımlarına özel ve güvenli bir şekilde bağlanmanızı sağlar. Bir Azure kaynağı için özel uç nokta oluşturduğunuzda, şirket içi Windows dosya sunucunuzun şirket içi ağınızın ayrılmış adres alanı içinde bir IP adresi olması gibi sanal ağınızın adres alanından özel bir IP adresi alır.
Tek bir özel uç nokta belirli bir Azure sanal ağ alt ağıyla ilişkilendirilir. Depolama hesapları ve Depolama Eşitleme Hizmetleri birden fazla sanal ağda özel uç noktalara sahip olabilir.
Özel uç noktaları kullanmak şunları kullanmanızı sağlar:
- Özel eşleme ile VPN veya ExpressRoute bağlantısı kullanarak şirket içi ağlardan Azure kaynaklarınıza güvenli bir şekilde bağlanın.
- Azure Dosyalar ve Dosya Eşitleme için genel uç noktaları devre dışı bırakarak Azure kaynaklarınızın güvenliğini sağlayın. Varsayılan olarak, özel uç nokta oluşturmak genel uç noktaya bağlantıları engellemez.
- Sanal ağdan (ve eşleme sınırlarından) veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırır.
Özel uç nokta oluşturmak için bkz. Azure Dosya Eşitleme için özel uç noktaları yapılandırma.
Özel uç noktalar ve DNS
Özel uç nokta oluşturduğunuzda, varsayılan olarak alt etki alanına karşılık gelen privatelink özel dns bölgesini de oluştururuz (veya güncelleştiririz). Genel bulut bölgeleri için bu DNS bölgeleri privatelink.file.core.windows.net Azure Dosyalar ve privatelink.afs.azure.net Azure Dosya Eşitleme içindir.
Not
Bu makalede, Azure Genel bölgeleri core.windows.netiçin depolama hesabı DNS son eki kullanılır. Bu, Azure ABD Kamu bulutu ve 21Vianet bulutu tarafından sağlanan Microsoft Azure gibi Azure Bağımsız bulutları için de geçerlidir. Ortamınız için uygun son ekleri değiştirmeniz gerekir.
Depolama hesabı ve Depolama Eşitleme Hizmeti için özel uç noktalar oluşturduğunuzda, bunlar için ilgili özel DNS bölgelerinde A kayıtları oluştururuz. Ayrıca, genel DNS girişini, normal tam etki alanı adları ilgili privatelink ad için CNAMEs olacak şekilde güncelleştiririz. Bu, tam etki alanı adlarının, istekte bulunan sanal ağın içindeyken özel uç nokta IP adreslerini (ler) ve istek sahibi sanal ağın dışında olduğunda genel uç nokta IP adreslerini (ler) işaret etmelerini sağlar.
Azure Dosyalar için her özel uç noktanın, özel uç nokta için bir özel IP adresine eşlenen desenini storageaccount.privatelink.file.core.windows.netizleyen tek bir tam etki alanı adı vardır. Azure Dosya Eşitleme için her özel uç noktanın, Azure Dosya Eşitleme kullanıma sunan dört farklı uç nokta için dört tam etki alanı adı vardır: yönetim, eşitleme (birincil), eşitleme (ikincil) ve izleme. Ad ASCII olmayan karakterler içermediği sürece, bu uç noktaların tam etki alanı adları normalde Depolama Eşitleme Hizmeti'nin adını izler. Örneğin, Depolama Eşitleme Hizmetinizin adı mysyncservice Batı ABD 2 bölgesindeyse, eşdeğer uç noktalar , , mysyncservicesyncp.westus2.afs.azure.netmysyncservicesyncs.westus2.afs.azure.netve mysyncservicemonitoring.westus2.afs.azure.netolacaktırmysyncservicemanagement.westus2.afs.azure.net. Depolama Eşitleme Hizmeti için her özel uç nokta dört ayrı IP adresi içerir.
Azure özel DNS bölgeniz özel uç noktayı içeren sanal ağa bağlı olduğundan, Azure VM'de (alternatif olarak Windows ve Linux'ta) nslookup PowerShell'den cmdlet'ini çağırarak Resolve-DnsName DNS yapılandırmasını gözlemleyebilirsiniz:
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Bu örnekte depolama hesabı storageaccount.file.core.windows.net , özel uç noktanın özel IP adresine çözümlenecektir ve bu da olur 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Şirket içinden aynı komutu çalıştırırsanız, aynı depolama hesabı adının bunun yerine depolama hesabının genel IP adresine çözümlendiğini görürsünüz; storageaccount.file.core.windows.net için bir CNAME kaydıdır storageaccount.privatelink.file.core.windows.netve bu da depolama hesabını barındıran Azure depolama kümesi için bir CNAME kaydıdır:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Bu, Azure Dosyalar ve Azure Dosya Eşitleme hem genel uç noktalarını hem de kaynak başına bir veya daha fazla özel uç noktayı kullanıma sunma gerçeğini yansıtır. Kaynaklarınızın tam etki alanı adlarının özel uç noktalar özel IP adreslerine çözümlenmesi için, şirket içi DNS sunucularınızdaki yapılandırmayı değiştirmeniz gerekir. Bu, çeşitli yollarla gerçekleştirilebilir:
- İstemcilerinizdeki hosts dosyasını değiştirerek depolama hesaplarınız için tam etki alanı adlarının ve Depolama Eşitleme Hizmetleri'nin istenen özel IP adreslerine çözümlenmesini sağlama. Özel uç noktalarınıza erişmesi gereken her istemcide bu değişiklikleri yapmanız gerekeceğinden, bu durum üretim ortamları için kesinlikle önerilmez. Özel uç noktalarınızda/kaynaklarınızda (silmeler, değişiklikler vb.) yapılan değişiklikler otomatik olarak işlenmez.
- Azure kaynaklarınızın A kayıtlarıyla ve için şirket içi sunucularınızda
privatelink.file.core.windows.netprivatelink.afs.azure.netDNS bölgeleri oluşturma. Bu, şirket içi ortamınızdaki istemcilerin her istemciyi yapılandırmaya gerek kalmadan Azure kaynaklarını otomatik olarak çözümleyebilme avantajına sahiptir. Ancak bu çözüm, değişiklikler yansıtılmadığından konak dosyasını değiştirmeye benzer şekilde kısıtlanır. Bu çözüm kırılgan olsa da, bazı ortamlar için en iyi seçenek olabilir. core.windows.netafs.azure.netve bölgelerini şirket içi DNS sunucularınızdan Azure özel DNS bölgenize iletin. Azure özel DNS ana bilgisayarına yalnızca Azure özel DNS bölgesine bağlı sanal ağlar içinde erişilebilen özel bir IP adresi (168.63.129.16) üzerinden ulaşılabilir. Bu sınırlamayı geçici olarak çözmek için, sanal ağınızda eşdeğer Azure özel DNS bölgelerine iletecekcore.windows.netafs.azure.netek DNS sunucuları çalıştırabilirsiniz. Bu yapılandırmayı basitleştirmek için Azure sanal ağınızda DNS sunucularını otomatik olarak dağıtacak ve bunları istediğiniz şekilde yapılandıracak PowerShell cmdlet'leri sağladık. DNS iletmeyi ayarlamayı öğrenmek için bkz. dns'yi Azure Dosyalar ile yapılandırma.
Aktarım sırasında şifreleme
Azure Dosya Eşitleme aracısından Azure dosya paylaşımınıza veya Depolama Eşitleme Hizmeti'ne yapılan bağlantılar her zaman şifrelenir. Azure depolama hesaplarının Azure Dosyalar (ve depolama hesabı dışında yönetilen diğer Azure depolama hizmetleri) iletişimleri için aktarım sırasında şifreleme gerektirmeyi devre dışı bırakma ayarı olsa da, bu ayarın devre dışı bırakılması Azure Dosyalar ile iletişim kurarken Azure Dosya Eşitleme şifrelemesini etkilemez. Varsayılan olarak, tüm Azure depolama hesaplarında aktarımda şifreleme etkindir.
Aktarımdaki şifreleme hakkında daha fazla bilgi için bkz . Azure depolamada güvenli aktarım gerektirme.