Azure 企業(yè)云文件共享

此參考體系結構演示了一個企業(yè)級云文件共享解決方案，該解決方案使用 Azure 服務（包括 Azure 文件、 Azure 文件同步、 Azure 專用 DNS和 azure 專用終結點）。 此解決方案通過將文件服務器和基礎結構的管理外包，同時保持對數(shù)據(jù)的控制，從而降低了成本。

此解決方案使你可以通過本地和 Azure 虛擬網絡之間的虛擬專用網絡訪問混合工作環(huán)境中的 Azure 文件共享，而無需遍歷 internet。 它還允許通過 Azure Active Directory 域服務 (AD DS) 身份驗證來控制和限制文件訪問。

可能的用例

云文件共享解決方案支持以下可能的用例：

• 文件服務器或文件共享提升。 通過抬起和移位，無需重新構建或重新設置數(shù)據(jù)的格式。 你還可以在本地保留舊的應用程序，同時從云存儲中獲益。

• 提高操作效率，加快云創(chuàng)新。 降低維護硬件和物理空間的成本，防止數(shù)據(jù)損壞和數(shù)據(jù)丟失。

• 對 Azure 文件共享的專用訪問。 防止數(shù)據(jù)滲透。

體系結構

下圖顯示了客戶端如何訪問 Azure 文件共享：

• 通過云分層文件服務器本地進行。

• 在專用網絡環(huán)境中通過 ExpressRoute 專用對等互連或 VPN 隧道遠程進行。

下載此體系結構的 Visio 文件。

企業(yè)級云文件共享解決方案使用以下方法來提供與傳統(tǒng)文件共享相同的用戶體驗，但使用 Azure 文件共享：

• 利用 Azure 文件同步來同步文件和文件夾訪問控制列表 (ACL) 本地文件服務器和 Azure 文件共享之間。

• 使用 Azure 文件同步代理中的云分層功能在本地緩存經常訪問的文件。

• 強制對 Azure 文件共享進行 AD DS 身份驗證。

• 通過專用連接到 ExpressRoute 專用對等互連或 VPN 隧道，通過專用 IP 訪問文件共享和文件同步服務。

通過在 Azure 文件和 Azure 文件同步上實現(xiàn) Azure 專用終結點，將禁用公共終結點訪問，以便從 Azure 虛擬網絡限制對 Azure 文件和 Azure 文件同步的訪問。

ExpressRoute 專用對等互連 VPN 站點到站點隧道將本地網絡擴展到 Azure 虛擬網絡。 Azure 文件同步和服務器消息塊 (SMB) 從本地到 Azure 文件的流量，Azure 文件同步專用終結點僅限于專用連接。 在轉換期間，Azure 文件僅允許連接到 SMB 3.0 +。 從 Azure 文件同步代理到 Azure 文件共享或存儲同步服務建立的連接始終是加密的。 靜態(tài)情況下，當你將數(shù)據(jù)保存到云中時，Azure 存儲會自動對其進行加密，就像 Azure 文件一樣。

域名系統(tǒng) (DNS) 服務器是解決方案的關鍵組件。 在這種情況下，每個 Azure 服務都具有完全限定的域名 (FQDN) Azure 文件同步。 在這些情況下，這些服務的 Fqdn 將解析為其公共 IP 地址：

• 當客戶端訪問 Azure 文件共享時。

• 部署在本地文件服務器上的 Azure 文件同步代理訪問 Azure 文件同步服務。

啟用專用終結點后，會在 Azure 虛擬網絡中分配專用 IP 地址。 這些地址允許通過專用連接訪問這些服務，相同的 Fqdn 現(xiàn)在必須解析為專用 IP 地址。 為實現(xiàn)此目的，Azure 文件和 Azure 文件同步會 (CNAME) 創(chuàng)建規(guī)范名稱 DNS 記錄，以將解析重定向到專用域名：

• Azure 文件同步的公共域名 *.afs.azure.net 獲取到專用域名的 CNAME 重定向 *.<region>.privatelink.afs.azure.net 。

• Azure 文件公共域名 <name>.file.core.windows.net 獲取到專用域名的 CNAME 重定向 <name>.privatelink.file.core.windows.net 。

此體系結構中所示的解決方案會正確配置本地 DNS 設置，以便使用以下方法將專用域名解析為專用 IP 地址：

• (組件 11 和 12) 專用 DNS 區(qū)域是從 Azure 創(chuàng)建的，以便為 Azure 文件同步和 Azure 文件提供專用名稱解析。

• 專用 DNS 區(qū)域鏈接到 Azure 虛擬網絡，以便在虛擬網絡中部署的 DNS 服務器 (組件 8) 可以解析專用域名。

• DNS A 記錄在專用 DNS 區(qū)域中為 Azure 文件和 Azure 文件同步創(chuàng)建。 有關終結點配置步驟，請參閱 配置 Azure 文件網絡終結點 和 配置 Azure 文件同步網絡終結點。

• 本地 DNS 服務器 (組件 3) 設置條件性轉發(fā)，以便將和的 dns 查詢轉發(fā) domain afs.azure.net file.core.windows.net 到 Azure 虛擬網絡 (組件 8) 中的 dns 服務器。

• 從本地 DNS 服務器接收轉發(fā)的 DNS 查詢后，Azure 虛擬網絡中的 DNS 服務器 (組件 8) 使用 Azure DNS 遞歸解析程序解析專用域名，并向客戶端返回專用 IP 地址。

組件

體系結構關系圖中描述的解決方案使用以下組件：

• 客戶端 (組件 1 或 2) -通常情況下，客戶端是 Windows、Linux 或 MAC OSX desktop，可以通過 SMB 協(xié)議與文件服務器或 Azure 文件 通信 。

• Dc 和 DNS 服務器 (組件 3) -域控制器 (DC) 是一個服務器，用于響應身份驗證請求并驗證計算機網絡上的用戶。 DNS 服務器為計算機和用戶提供計算機名稱到 IP 地址映射名稱解析服務。 可以將 DC 和 DNS 服務器合并為單個服務器，或將其分成不同的服務器。

• 文件服務器 (組件 4) -承載文件共享的服務器，通過 SMB 協(xié)議提供文件共享服務。

• Ce/VPN 設備 (組件 5) -客戶邊緣路由器 (CE) 或 vpn 設備用于建立與 Azure 虛擬網絡的 ExpressRoute 或 vpn 連接。

• Expressroute/VPN 網關 (組件 6) – ExpressRoute 是一項服務，它可讓你通過連接服務提供商所提供的專用連接將本地網絡擴展到 Microsoft 云。 VPN 網關是一種特定類型的虛擬網絡網關，用于通過公共 internet 在 Azure 虛擬網絡與本地位置之間發(fā)送加密流量。 ExpressRoute 或 VPN 網關建立到本地網絡的 ExpressRoute 或 VPN 連接。

• Azure 專用終結點 (組件 7) -一個網絡接口，該接口將你私下并安全地連接到由 Azure 專用鏈接提供支持的服務。 在此解決方案中，Azure 文件同步專用終結點連接到 Azure 文件同步 (9) ，azure 文件專用終結點連接到 azure 文件 (10) 。

• 從本地 DNS 服務器接收轉發(fā)的 DNS 查詢后，Azure 虛擬網絡中的 dns 服務器 (組件 8) 使用 Azure DNS 遞歸解析程序來解析專用域名，并向客戶端返回專用 IP 地址。

• Azure 文件同步和云分層 (組件 9) – Azure 文件同步是由 azure 提供的一項服務，用于在 azure 中集中組織的文件共享，同時保持本地文件服務器的靈活性、性能和兼容性。 云分層是 Azure 文件同步的一項可選功能，其中經常訪問的文件在服務器本地緩存，而所有其他文件根據(jù)策略設置分層到 Azure 文件。

• Azure 文件 (組件 10) -一項完全托管的服務，可提供云中的文件共享，這些共享可通過行業(yè)標準服務器消息塊 (SMB) 協(xié)議進行訪問。 Azure 文件實現(xiàn) SMB v3 協(xié)議，并支持通過本地 Active Directory 域服務的身份驗證 (AD DS) 和 Azure Active Directory (Azure AD DS) 的域服務。 Azure 文件中的文件共享可由云或者 Windows、Linux 和 macOS 的本地部署同時裝載。 此外，Azure 文件共享還可緩存到使用數(shù)據(jù)的位置，在 Windows 服務器上使用 Azure 文件同步進行快速訪問。

• Azure 專用 DNS (組件 11 和 12) -azure 提供的 DNS 服務，用于管理和解析虛擬網絡中的域名，無需添加自定義 DNS 解決方案。

• Azure 備份 (組件 13) -使用文件共享快照提供基于云的備份解決方案的 azure 文件共享備份。 有關注意事項，請參閱 數(shù)據(jù)丟失和備份。

流量流

啟用 Azure 文件同步和 Azure 文件后，可以在 本地緩存模式 或 遠程模式 下訪問 Azure 文件共享。 在這兩種模式下，客戶端都使用現(xiàn)有 AD DS 憑據(jù)對自己進行身份驗證。

• 本地緩存模式-客戶端通過啟用了云分層的本地文件服務器訪問文件和文件共享。 當用戶從本地文件服務器打開文件時，文件數(shù)據(jù)從文件服務器本地緩存中提供，或者 Azure 文件同步代理從 Azure 文件中無縫撤回文件數(shù)據(jù)。 在此解決方案的體系結構關系圖中，它發(fā)生在組件 1 和 4 之間。

• 遠程模式-客戶端直接從遠程 Azure 文件共享訪問文件和文件共享。 在此解決方案的體系結構關系圖中，流量流經組件 2、 5、 6、 7 和 10。

在組件 4、 5、 6 和 7 之間傳輸 Azure 文件同步流量，使用 ExpressRoute 線路 進行可靠連接。

使用以下順序，專用域名解析查詢會經歷組件 3、 5、 6、 8、 11 和 12 ：

1. 客戶端向本地 DNS 服務器發(fā)送查詢以解析 Azure 文件或 Azure 文件同步的 DNS 名稱。

2. 本地 DNS 服務器的條件轉發(fā)器將 Azure 文件和 Azure 文件同步 DNS 名稱解析指向 Azure 虛擬網絡中的 DNS 服務器。

3. 此查詢將重定向到 Azure 虛擬網絡中的 DNS 服務器。

4. Azure 虛擬網絡中的 DNS 服務器將名稱查詢發(fā)送到 Azure 提供的 DNS (168.63.129.16) 遞歸解析程序。

5. Azure 遞歸解析程序會在將專用域名解析到各自的專用 DNS 區(qū)域后返回專用 IP，使用 azure 虛擬網絡的鏈接連接到 Azure Files DNS 區(qū)域和 Azure 文件同步專用 DNS 區(qū)域。

注意事項

實現(xiàn)此解決方案時，請注意以下幾點：

規(guī)劃

• 有關 Azure 文件同步計劃，請參閱 規(guī)劃 Azure 文件同步部署。

• 有關 Azure 文件計劃，請參閱 規(guī)劃 Azure 文件部署。

網絡

• 有關 Azure 文件同步網絡注意事項，請參閱 Azure 文件同步網絡注意事項。

• 有關 Azure 文件網絡的注意事項，請參閱 Azure 文件網絡注意事項。

DNS

在管理專用終結點的名稱解析時，Azure 文件和 Azure 文件同步的專用域名將按以下方式解析：

從 Azure 端：

• 如果使用 Azure 提供的名稱解析，則 Azure 虛擬網絡必須鏈接到預配的專用 DNS 區(qū)域。

• 如果使用 "自帶 DNS 服務器"，則部署你自己的 DNS 服務器的虛擬網絡必須鏈接到預配的專用 DNS 區(qū)域。

從本地端，使用以下方法之一將專用域名映射到專用 IP 地址：

• 通過 DNS 轉發(fā)到部署在 Azure 虛擬網絡中的 DNS 服務器，如圖所示。

• 通過本地 DNS 服務器設置專用域和的區(qū)域 <region>.privatelink.afs.azure.net privatelink.file.core.windows.net 。 服務器將 Azure 文件的 IP 地址和 Azure 文件同步專用終結點作為 DNS A 記錄注冊到各自的 DNS 區(qū)域。 本地客戶端直接從本地 DNS 服務器解析專用域名。

分布式文件系統(tǒng) (DFS)

當涉及本地文件共享解決方案時，很多管理員選擇使用 DFS 而不是傳統(tǒng)的獨立文件服務器。 DFS 允許管理員合并可能存在于多個服務器上的文件共享，使其看起來就像它們都位于同一位置，從而允許用戶從網絡上的單個點訪問它們。 在移動到云文件共享解決方案時，可以 Azure 文件同步部署來替換傳統(tǒng)的 DFS R 部署。 有關詳細信息，請參閱將 DFS 復制 (DFS-R) 部署遷移至 Azure 文件同步。

數(shù)據(jù)丟失和備份

對于所有規(guī)模的企業(yè)而言，數(shù)據(jù)丟失是一個嚴重的問題。 Azure 文件共享備份使用文件共享快照提供基于云的備份解決方案，該解決方案可保護云中的數(shù)據(jù)，并消除本地備份解決方案所涉及的額外維護開銷。 Azure 文件共享備份的主要優(yōu)點包括：

• 零基礎結構

• 自定義保留

• 內置管理功能

• 即時還原

• 警報和報告

• 防止意外刪除文件共享

有關詳細信息，請參閱 關于 Azure 文件共享備份

安全和文件訪問審核

安全審核是幫助維護企業(yè)安全的必需要求。 行業(yè)標準要求企業(yè)遵循與數(shù)據(jù)安全和隱私相關的一組嚴格的規(guī)則。

可以在本地和遠程啟用文件訪問審核：

• 在本地，使用動態(tài)訪問控制。 有關詳細信息，請參閱 規(guī)劃文件訪問審核。

• 使用 azure 文件的 Azure Monitor 中的 Azure 存儲日志遠程進行。 Azure 存儲日志包含 StorageRead、StorageWrite、StorageDelete 和 Transaction 日志。 可以將 Azure 文件訪問記錄到存儲帳戶、log analytics 工作區(qū)，或單獨傳輸?shù)绞录行摹?nbsp;有關詳細信息，請參閱 監(jiān)視 Azure 存儲。