Udostępnij przez

Planowanie wdrażania usługi Azure Files

Usługę Azure Files można wdrożyć na dwa główne sposoby: bezpośrednio instalowania bezserwerowych udziałów plików platformy Azure lub buforowania udziałów plików lokalnie przy użyciu usługi Azure File Sync. Zagadnienia dotyczące wdrażania różnią się w zależności od wybranej opcji.

  • Bezpośrednie montowanie udziału plików platformy Azure: ponieważ Azure Files zapewnia dostęp za pomocą protokołów Server Message Block (SMB) lub Network File System (NFS), możesz zamontować udziały plików platformy Azure lokalnie lub w chmurze przy użyciu standardowych klientów SMB lub NFS dostępnych w twoim systemie operacyjnym. Ponieważ zasoby plików platformy Azure są bezserwerowe, wdrażanie w środowiskach produkcyjnych nie wymaga zarządzania serwerem plików ani macierzą NAS. Oznacza to, że nie trzeba stosować poprawek oprogramowania ani wymieniać dysków fizycznych. Jako model zarządzania możesz użyć klasycznych udziałów plików platformy Azure lub udziałów plików Microsoft.FileShares (wersja zapoznawcza).

  • Buforowanie lokalnych udziałów plików platformy Azure za pomocą usługi Azure File Sync: usługa Azure File Sync umożliwia scentralizowanie udziałów plików organizacji w usłudze Azure Files, zachowując jednocześnie elastyczność, wydajność i zgodność lokalnego serwera plików. Usługa Azure File Sync przekształca lokalny (lub w chmurze) serwer Windows w szybki bufor udziału plików platformy Azure SMB.

W tym artykule opisano głównie zagadnienia dotyczące wdrażania udostępniania plików Azure, które mają być bezpośrednio montowane przez klienta lokalnego lub w chmurze. Aby zaplanować wdrożenie usługi Azure File Sync, zobacz Planowanie wdrożenia usługi Azure File Sync.

Pojęcia dotyczące zarządzania

Na platformie Azure zasób jest elementem, którym można zarządzać, który można utworzyć i skonfigurować w ramach subskrypcji platformy Azure i grup zasobów. Zasoby są oferowane przez dostawców zasobów, które są usługami zarządzania, które dostarczają określone typy zasobów. Chociaż możesz pracować z wieloma zasobami w celu wdrożenia obciążenia na platformie Azure, usługa Azure Files koncentruje się na dwóch kluczowych zasobach:

  • Konta magazynu oferowane przez dostawcę Microsoft.Storage zasobów. Konta magazynu to zasoby najwyższego poziomu reprezentujące udostępnioną pulę magazynu, liczbę operacji we/wy na sekundę i przepływność, w których można wdrożyć klasyczne udziały plików lub inne zasoby magazynu, w zależności od rodzaju konta magazynu. Wszystkie zasoby magazynowe wdrożone w koncie przechowywania współdzielą limity, które obowiązują dla tego konta przechowywania. Klasyczne udziały plików obsługują protokoły udostępniania plików SMB i NFS.

  • Udziały plików (wersja zapoznawcza) oferowane przez dostawcę Microsoft.FileShares zasobów. Udziały plików to nowy zasób najwyższego poziomu, który upraszcza wdrażanie usługi Azure Files, eliminując konto magazynu. W przeciwieństwie do klasycznych udziałów plików, które należy wdrożyć na koncie magazynu, udziały plików są wdrażane bezpośrednio w grupie zasobów, takiej jak same konta magazynu, lub inne zasoby platformy Azure, które mogą być znane, takie jak maszyny wirtualne, dyski lub sieci wirtualne. Udziały plików obsługują protokół udostępniania plików NFS — jeśli potrzebujesz protokołu SMB, wybierz klasyczne udziały plików dla wdrożenia.

Obraz przedstawiający porównanie udziałów plików i klasycznych udziałów plików platformy Azure

To wideo zapewnia kompleksowy przegląd różnic między kontem magazynowym a modelami zarządzania udostępnianiem plików.

Klasyczne udziały plików (Microsoft.Storage)

Klasyczne udziały plików lub udziały plików wdrożone na kontach magazynu to tradycyjny sposób wdrażania udziałów plików dla usługi Azure Files. Obsługują one wszystkie kluczowe funkcje obsługiwane przez usługę Azure Files, w tym warstwy SMB i NFS, SSD i HDD, każdy typ nadmiarowości i w każdym regionie. Chociaż klasyczne udziały plików obsługują całą szerokość funkcji usługi Azure Files, mają one ważne kluczowe ograniczenia:

  • Planowanie pojemności: klasyczne udziały plików i obiekty podrzędne dla innych usług magazynu, takich jak kontenery obiektów blob, które działają na tym samym koncie magazynu, mają wspólną pulę magazynów, operacji we/wy na sekundę i przepływność. Oznacza to umieszczenie wielu klasycznych udziałów plików na koncie magazynu wymaga zaplanowania uniknięcia wąskich gardeł pojemności. Podczas planowania pojemności klasycznych udziałów plików należy rozważyć zarówno bieżące, jak i przyszłe potrzeby każdego klasycznego udziału plików umieszczonego na koncie magazynu, ponieważ wzrost jednego klasycznego udziału plików może wyprzeć inne udziały plików.

  • Ustawienia udostępnione: wiele ważnych ustawień, takich jak reguły sieci i zabezpieczeń, są stosowane na poziomie konta magazynu, dlatego umieszczenie klasycznych udziałów plików na tym samym koncie magazynu wymaga starannego rozważenia. Należy rozważyć, aby konto magazynu było granicą zaufania i umieścić tylko klasyczne udziały plików na tym samym koncie magazynu, jeśli masz takie same ustawienia zabezpieczeń.

  • Złożoność skalowania: wdrożenia usługi Azure Files na dużą skalę mogą wymagać zarządzania wieloma subskrypcjami platformy Azure ze względu na ograniczenia dotyczące kont magazynu od Microsoft.Storage dostawcy zasobów. Aby uzyskać więcej informacji, zobacz Limity kont magazynu .

Istnieją dwa główne rodzaje kont magazynu używanych do wdrożeń klasycznego udziału plików:

  • Aprowidowane konta magazynu: aprowidowane konta magazynu są rozróżniane przy użyciu FileStorage rodzaju konta magazynu. Aprowidowane konta magazynu umożliwiają wdrażanie zaaprowizowanych klasycznych udziałów plików na sprzęcie opartym na dyskach SSD lub HDD. Aprowizowania kont magazynu można używać tylko do przechowywania klasycznych udziałów plików i nie można ich używać w magazynie innych zasobów magazynu, takich jak kontenery obiektów blob, kolejki i tabele. Zalecamy używanie aprowizowanych kont magazynu dla wszystkich nowych wdrożeń klasycznego udziału plików.
  • Konta magazynu z płatnością zgodnie z rzeczywistym użyciem: konta magazynu z płatnością zgodnie z rzeczywistym użyciem są rozróżniane przy użyciu StorageV2 rodzaju konta magazynu. Konta magazynu z płatnością zgodnie z rzeczywistym użyciem umożliwiają wdrażanie udziałów plików z płatnością zgodnie z rzeczywistym użyciem na sprzęcie opartym na hdd. Konta magazynu z płatnością zgodnie z rzeczywistym użyciem mogą służyć do przechowywania klasycznych udziałów plików i innych zasobów magazynu, takich jak kontenery obiektów blob, kolejki lub tabele.

Aby dowiedzieć się więcej, zobacz Tworzenie klasycznego udziału plików.

Udziały plików (Microsoft.FileShares)

Udziały plików (wersja zapoznawcza) to nowy zasób platformy Azure najwyższego poziomu udostępniany przez dostawcę Microsoft.FileShares zasobów. Udziały plików oferują następujące korzyści w stosunku do klasycznych udziałów plików:

  • Uproszczone zarządzanie: udziały plików są tworzone bezpośrednio jako zasoby najwyższego poziomu w portalu lub za pośrednictwem interfejsów API zarządzania. Eliminuje to wymaganie dotyczące zarządzania kontem magazynu i usprawnia środowisko wdrażania.

  • Niezależna pojemność i wydajność: każdy udział plików ma własny dedykowany magazyn, operacje we/wy na sekundę i przepływność. Pozwala to uniknąć konieczności planowania pojemności na kontach magazynu ograniczonych zasobów i umożliwia swobodne zwiększanie się udziałów plików w miarę wzrostu zapotrzebowania na obciążenia.

  • Szczegółowa konfiguracja: Ustawienia sieci i zabezpieczeń są stosowane na poziomie udziału plików, co zapewnia dokładną kontrolę nad granicami dostępu i izolacją. Ułatwia to wymuszanie zasad zabezpieczeń dla określonych aplikacji, zespołów lub środowisk.

  • Przewidywalne, elastyczne rozliczenia: Udziały plików korzystają z przydziałowego modelu rozliczeń w wersji 2, który umożliwia niezależne aprowizowanie pamięci masowej, liczby operacji we/wy na sekundę oraz przepływności na udział. Ponieważ rozliczenia na platformie Azure są wykonywane dla zasobu platformy Azure najwyższego poziomu, użycie udziałów plików umożliwia łatwe śledzenie kosztów poszczególnych udziałów w celu przypisania kosztów z powrotem do projektu, zespołu lub klienta korzystającego z udziału plików.

  • Zwiększona skala i wydajność: udziały plików obsługują wyższe limity i niższe czasy wdrażania niż klasyczne udziały plików. Aby uzyskać więcej informacji, zobacz Cele dotyczące skalowalności i wydajności usługi Azure Files.

Dostępność regionalna

Obecnie tworzenie udziału plików za pomocą udziałów Microsoft.FileShares (wersja zapoznawcza) jest dostępne w następujących regionach:

  • Australia Wschodnia
  • Australia Środkowa
  • Australia Południowo-Wschodnia
  • Azja Wschodnia
  • Wschodnie stany USA
  • Niemcy Północne
  • Korea Południowa
  • Azja Południowo-Wschodnia
  • Europa Północna
  • Zachodnia Republika Południowej Afryki
  • Indie Południowe
  • Środkowe Zjednoczone Emiraty Arabskie

Obecnie obsługa prywatnego punktu końcowego dla udostępniania plików za pośrednictwem Microsoft.FileShares (wersja testowa) jest dostępna w ograniczonej liczbie regionów.

  • Wszystkie regiony chmury publicznej platformy Azure.

Porównywanie dostawców zasobów: Microsoft.Storage i Microsoft.FileShares

Funkcja Udziały plików klasycznych udziałów plikówklasicicon1 Udziały plików (Microsoft.FileShares) mfsicon
Gwarancja pomocy technicznej Dostępne ogólne Publiczna wersja zapoznawcza
Zasób najwyższego poziomu dla usługi Fileshareclassicicon2 konta magazynu Udziały plików mfsicon
Protokół SMB Tak Nie.
Protokół NFS Tak Tak
Obsługa usługi File Sync Tak Nie.
Wymagaj konta magazynu Tak Nie.
Model rozliczeń z płatnością zgodnie z rzeczywistym użyciem Tak Nie.
Aprowizowany model rozliczeń w wersji 1 Tak Nie.
Aprowizowany model rozliczeń w wersji 2 Tak Tak
Możliwość obsługi dysków HDD Tak Nie.
Możliwość obsługi dysków SSD Tak Tak
LRS Tak Tak
ZRS Tak Tak
GRS Tak Nie.
GZRS Tak Nie.
Rozliczenia na poziomie udziału, sieci i konfiguracje zabezpieczeń Nie. Tak
Konfiguracje pojedynczej sieci wirtualnej dla udziału plików Nie. Tak
Konfiguracja pojedynczej sieci wirtualnej dla wielu udziałów plików Tak Nie.
Sterownik AKS CSI Tak Nie.
Interfejsy API REST płaszczyzny danych Tak Nie.

Dostępne protokoły

Usługa Azure Files oferuje dwa standardowe w branży protokoły systemu plików do instalowania udziałów plików platformy Azure: protokół bloku komunikatów serwera (SMB) i protokół systemu plików sieciowych (NFS ), co pozwala wybrać protokół najlepiej dopasowany do obciążenia. Udostępnienia plików Azure nie obsługują protokołów SMB i NFS na tym samym udostępnieniu plików, chociaż można tworzyć Azure udostępnienia plików SMB i NFS w ramach tego samego konta magazynowego.

W przypadku udziałów plików SMB i NFS usługa Azure Files oferuje udziały plików klasy korporacyjnej, które można skalować w górę, aby spełnić potrzeby związane z przechowywaniem danych i mogą być dostępne jednocześnie przez tysiące klientów.

Funkcja SMB NFS
Obsługiwane wersje protokołów SMB 3.1.1, SMB 3.0, SMB 2.1 NFS 4.1
Zalecany system operacyjny
  • Windows 11, wersja 21H2+
  • Windows 10, wersja 21H1+
  • Windows Server 2019+
  • Jądro systemu Linux w wersji 5.3 lub nowszej
 Jądra systemu Linux w wersji 4.3 lub nowszej
Dostępne warstwy SSD i HDD Tylko ssd
Redundancja
  • Lokalna sieć (LRS)
  • Strefa (ZRS)
  • Geo (GRS)
  • Strefa geograficzna (GZRS)
  • Lokalna sieć (LRS)
  • Strefa (ZRS)
Semantyka systemu plików Win32 POSIX
Uwierzytelnianie Uwierzytelnianie oparte na tożsamościach (Kerberos), uwierzytelnianie za pomocą klucza współużytkowanego (NTLMv2) Uwierzytelnianie oparte na hoście
Autoryzacja Listy kontroli dostępu w stylu Win32 (ACL) Uprawnienia w stylu systemu UNIX
Uwzględnij wielkość liter Niezależność od wielkości liter, zachowanie oryginalnej wielkości liter Wielkość liter ma znaczenie
Usuwanie lub modyfikowanie otwartych plików Tylko z blokadą Tak
Udostępnianie plików Tryb udostępniania systemu Windows Menedżer blokad sieci z poradami dotyczącymi zakresu bajtów
Obsługa linków twardych Niewspierane Wsparte
Obsługa linków symbolicznych Niewspierane Wsparte
Opcjonalnie dostępny z Internetu Tak (tylko protokół SMB 3.0 lub nowszy) Nie.
Obsługuje FileREST Tak Tak (tylko Microsoft.Storage)
Obowiązkowe blokady zakresu bajtów Wsparte Niewspierane
Blokady doradcze zakresu bajtów Niewspierane Wsparte
Atrybuty nazwane/rozszerzone Niewspierane Niewspierane
Alternatywne strumienie danych Niewspierane N/A
Identyfikatory obiektów Niewspierane N/A
Punkty ponownej analizy Niewspierane N/A
Pliki rozrzedłe Niewspierane N/A
Kompresja Niewspierane N/A
Nazwane kanały Niewspierane N/A
SMB Direct Niewspierane N/A
Dzierżawa katalogów SMB Niewspierane N/A
Migawkowa kopia woluminu Niewspierane N/A
Krótkie nazwy plików (alias 8.3) Niewspierane N/A
Transakcje systemu plików (TxF) Niewspierane N/A

Tożsamość

Aby uzyskać dostęp do udziału plików w platformie Azure, użytkownik musi być uwierzytelniony i mieć autoryzowany dostęp do tego udziału. Odbywa się to na podstawie tożsamości użytkownika, który uzyskuje dostęp do współdzielonego zasobu plików. Usługa Azure Files obsługuje następujące metody uwierzytelniania:

  • Lokalne usługi domenowe Active Directory (AD DS lub lokalne AD DS): konta magazynu platformy Azure mogą być dołączone do usług domenowych Active Directory należących do klienta, podobnie jak serwer plików Windows Server lub urządzenie NAS. Kontroler domeny można wdrożyć lokalnie, na maszynie wirtualnej platformy Azure, a nawet jako maszyna wirtualna u innego dostawcy usług w chmurze; Usługa Azure Files jest niezależna od tego, gdzie jest hostowany kontroler domeny. Gdy konto magazynu jest przyłączone do domeny, użytkownik końcowy może zamontować zasób plików przy użyciu konta użytkownika, z którym się zalogował na komputerze. Uwierzytelnianie oparte na AD używa protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Domain Services: Microsoft Entra Domain Services udostępnia zarządzany przez firmę Microsoft kontroler domeny, który może być używany dla zasobów platformy Azure. Domena łącząca konto magazynu z usługami Microsoft Entra Domain Services zapewnia podobne korzyści, jak dołączenie domeny do usług AD DS należących do klienta. Ta opcja wdrażania jest najbardziej przydatna w scenariuszach migracji aplikacji, które wymagają uprawnień opartych na Active Directory. Ponieważ usługi Microsoft Entra Domain Services zapewniają uwierzytelnianie oparte na usłudze AD, ta opcja używa również protokołu uwierzytelniania Kerberos.
  • Microsoft Entra Kerberos: Microsoft Entra Kerberos umożliwia uwierzytelnianie tożsamości hybrydowych lub tożsamości tylko w chmurze (wersja zapoznawcza). Ta konfiguracja używa Microsoft Entra ID do wystawiania biletów Kerberos w celu uzyskania dostępu do zasobu plików przy użyciu protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure za pośrednictwem Internetu z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra.
  • Uwierzytelnianie usługi Active Directory za pośrednictwem protokołu SMB dla klientów z systemem Linux: usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamości za pośrednictwem protokołu SMB dla klientów z systemem Linux przy użyciu protokołu uwierzytelniania Kerberos za pośrednictwem usług AD DS lub Microsoft Entra Domain Services.
  • Klucz konta usługi Azure Storage: chociaż nie jest to zalecane ze względów bezpieczeństwa, można również zainstalować udziały plików platformy Azure przy użyciu klucza konta usługi Azure Storage zamiast używać tożsamości. Aby zainstalować udział plików przy użyciu klucza konta magazynu, nazwa konta magazynu jest używana jako nazwa użytkownika, a klucz konta magazynu jest używany jako hasło. Użycie klucza konta magazynu do zamontowania udziału plików platformy Azure jest operacją administratora, ponieważ zamontowany udział plików uzyskuje pełne uprawnienia do wszystkich plików i folderów w udziale, nawet jeśli mają listy kontroli dostępu (ACL). W przypadku instalowania za pośrednictwem protokołu SMB przy użyciu klucza konta magazynu używany jest protokół uwierzytelniania NTLMv2. W prawie wszystkich przypadkach zalecamy użycie uwierzytelniania opartego na tożsamości zamiast klucza konta magazynowego w celu uzyskania dostępu do udziałów plików SMB platformy Azure. Jeśli jednak musisz użyć klucza konta magazynu, zalecamy korzystanie z prywatnych punktów końcowych lub punktów końcowych usługi zgodnie z opisem w sekcji Sieci.

W przypadku klientów migrujących z lokalnych serwerów plików lub tworzących nowe udziały plików w usłudze Azure Files, które mają działać jak serwery plików Windows lub urządzenia NAS, zaleca się dołączenie konta magazynu do domeny usługi AD DS należącej do klienta. Aby dowiedzieć się więcej na temat dołączania konta magazynu do domeny należącej do klienta AD DS, zobacz Omówienie — lokalne uwierzytelnianie usługi Active Directory Domain Services za pośrednictwem protokołu SMB dla udziałów plików Azure.

Sieć

Bezpośrednie montowanie udziału plików na platformie Azure często wymaga przemyślenia konfiguracji sieci, ponieważ:

  • Port używany przez udziały plików SMB do komunikacji, port 445, jest często blokowanym przez wiele organizacji i dostawców usług internetowych (ISP) dla ruchu wychodzącego do internetu.
  • Udziały plików NFS korzystają z uwierzytelniania na poziomie sieci i dlatego są dostępne tylko za pośrednictwem sieci z ograniczeniami. Korzystanie z zasobu plików NFS zawsze wymaga pewnego poziomu konfiguracji sieci.

pl-PL: Aby skonfigurować sieciowość, usługa Azure Files zapewnia publiczny punkt końcowy dostępny z Internetu oraz integrację z funkcjami sieciowymi platformy Azure, takimi jak punkty końcowe usługi, które pomagają ograniczyć publiczny punkt końcowy do określonych sieci wirtualnych, oraz prywatne punkty końcowe, które przypisują dla konta magazynu prywatny adres IP pochodzący z przestrzeni adresowej IP sieci wirtualnej. Chociaż nie ma dodatkowych opłat za korzystanie z publicznych punktów końcowych lub punktów końcowych usługi, standardowe stawki przetwarzania danych dotyczą prywatnych punktów końcowych.

Oznacza to, że należy wziąć pod uwagę następujące konfiguracje sieci:

  • Jeśli wymagany protokół jest protokołem SMB, a cały dostęp za pośrednictwem protokołu SMB pochodzi z klientów na platformie Azure, nie jest wymagana żadna specjalna konfiguracja sieci.
  • Jeśli wymagany protokół to SMB, a dostęp pochodzi z klientów lokalnych, wtedy wymagane jest połączenie sieci VPN lub usługi ExpressRoute z sieci lokalnej do sieci Azure, a usługa Azure Files jest widoczna w sieci wewnętrznej przy użyciu prywatnych punktów końcowych.
  • Jeśli wymagany protokół to NFS, możesz użyć punktów końcowych usługi lub prywatnych punktów końcowych, aby ograniczyć sieć do określonych sieci wirtualnych. Jeśli potrzebujesz statycznego adresu IP i/lub obciążenia wymaga wysokiej dostępności, użyj prywatnego punktu końcowego. W przypadku punktów końcowych usługi rzadkie zdarzenie, takie jak awaria strefowa, może spowodować zmianę podstawowego adresu IP konta magazynowego. Chociaż dane są nadal dostępne w udziale plików, klient wymaga ponownego zainstalowania udziału.

Aby dowiedzieć się więcej na temat konfigurowania sieci dla usługi Azure Files, zobacz Zagadnienia dotyczące sieci usługi Azure Files.

Oprócz bezpośredniego nawiązywania połączenia z udziałem plików przy użyciu publicznego punktu końcowego lub połączenia VPN/ExpressRoute z prywatnym punktem końcowym, protokół SMB zapewnia dodatkową strategię dostępu klienta: SMB przez QUIC. Protokół SMB over QUIC oferuje „zerokonfiguracyjny” "SMB VPN" dla dostępu SMB za pośrednictwem protokołu transportowego QUIC. Chociaż usługa Azure Files nie obsługuje bezpośrednio SMB przez QUIC, możesz utworzyć uproszczoną pamięć podręczną udziałów plików platformy Azure na maszynie wirtualnej z systemem Windows Server 2022 Azure Edition przy użyciu usługi Azure File Sync. Aby dowiedzieć się więcej na temat tej opcji, zobacz SMB przez QUIC z Azure File Sync.

Szyfrowanie

Usługa Azure Files obsługuje dwa różne typy szyfrowania:

  • Szyfrowanie podczas przesyłania, które odnosi się do szyfrowania używanego podczas montowania lub uzyskiwania dostępu do udostępniania plików platformy Azure
  • Szyfrowanie danych w spoczynku odnosi się do sposobu szyfrowania danych, gdy są przechowywane na dysku

Szyfrowanie podczas transferu

Domyślnie wszystkie konta usługi Azure Storage mają włączone szyfrowanie podczas przesyłania. Oznacza to, że podczas instalowania udziału plików za pośrednictwem protokołu SMB lub uzyskiwania do niego dostępu za pośrednictwem protokołu FileREST (na przykład za pośrednictwem portalu Azure, PowerShell lub CLI albo zestawów SDK platformy Azure) usługa Azure Files zezwala na połączenie tylko wtedy, gdy jest ono nawiązywane z protokołem SMB 3.x z szyfrowaniem lub HTTPS. Klienci, którzy nie obsługują protokołu SMB 3.x lub którzy obsługują SMB 3.x, ale nie obsługują szyfrowania SMB, nie będą mogli zamontować udziału plików platformy Azure, jeśli szyfrowanie podczas przesyłania jest włączone. Aby uzyskać więcej informacji na temat systemów operacyjnych obsługujących protokół SMB 3.x z szyfrowaniem, zobacz naszą dokumentację dotyczącą systemów Windows, macOS i Linux. Wszystkie bieżące wersje programu PowerShell, interfejsu wiersza polecenia i zestawów SDK obsługują protokół HTTPS.

Szyfrowanie podczas przesyłania dla konta usługi Azure Storage można wyłączyć. Po wyłączeniu szyfrowania usługa Azure Files umożliwia również używanie protokołu SMB 2.1 i SMB 3.x bez szyfrowania oraz niezaszyfrowanych wywołań interfejsu API FileREST za pośrednictwem protokołu HTTP. Głównym powodem wyłączenia szyfrowania podczas przesyłania jest obsługa starszej aplikacji, która musi być uruchomiona w starszym systemie operacyjnym, takim jak Windows Server 2008 R2 lub starsza dystrybucja systemu Linux. Azure Files zezwala tylko na połączenia SMB 2.1 w tym samym regionie Azure co udział plików; Klient SMB 2.1 spoza regionu Azure, w którym znajduje się udział plików, na przykład lokalny lub znajdujący się w innym regionie Azure, nie będzie mógł uzyskać dostępu do udziału plików.

Zdecydowanie zalecamy włączenie szyfrowania przesyłanych danych.

Aby uzyskać więcej informacji na temat szyfrowania podczas przesyłania, zobacz Wymóg bezpiecznego transferu w Azure Storage i Szyfrowanie podczas przesyłania udziałów plików Azure przy użyciu NFS.

Szyfrowanie w spoczynku

Wszystkie dane przechowywane w usłudze Azure Files są szyfrowane w spoczynku za pomocą szyfrowania po stronie usługi Azure Storage (SSE). Funkcja SSE działa podobnie do funkcji BitLocker w systemie Windows: dane są szyfrowane poniżej poziomu systemu plików.

Ponieważ dane są szyfrowane pod systemem plików udziału plików platformy Azure, ponieważ są szyfrowane na dysku, nie musisz mieć dostępu do klucza bazowego na kliencie, aby odczytywać lub zapisywać w udziale plików platformy Azure. Szyfrowanie w stanie spoczynku dotyczy zarówno protokołów SMB, jak i NFS.

Domyślnie dane przechowywane w usłudze Azure Files są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. W przypadku kluczy zarządzanych przez firmę Microsoft firma Microsoft przechowuje klucze do szyfrowania i odszyfrowywania danych. Firma Microsoft jest odpowiedzialna za regularne obracanie tych kluczy.

Możesz również zarządzać własnymi kluczami, co zapewnia kontrolę nad procesem rotacji. Jeśli zdecydujesz się zaszyfrować udziały plików przy użyciu kluczy zarządzanych przez użytkownika, usługa Azure Files ma autoryzację dostępu do tych kluczy w celu realizacji żądań odczytu i zapisu od klientów. Za pomocą kluczy zarządzanych przez klienta można w dowolnym momencie odwołać tę autoryzację. Jednak bez tej autoryzacji udział plików platformy Azure nie jest już dostępny za pośrednictwem protokołu SMB ani interfejsu API FileREST.

Usługa Azure Files używa tego samego schematu szyfrowania co inne usługi Azure Storage, takie jak Azure Blob Storage. Aby dowiedzieć się więcej na temat usługi Azure Storage SSE, zobacz Szyfrowanie usługi Azure Storage dla danych magazynowanych.

Ochrona danych

Usługa Azure Files ma wielopoziomowe podejście do zapewnienia, że Twoje dane są tworzone w kopiach zapasowych, możliwe do odzyskania i chronione przed zagrożeniami bezpieczeństwa. Zobacz Omówienie ochrony danych usługi Azure Files.

Miękkie usuwanie

Usunięcie miękkie to ustawienie na poziomie konta magazynowego, które umożliwia odzyskanie udziału plikowego po przypadkowym usunięciu. Po usunięciu zasobu plików przechodzi on w stan nietrwałego usunięcia zamiast trwałego wymazania. Można skonfigurować czas, przez jaki wstępnie usunięte udziały są odzyskiwalne przed ich trwałym usunięciem, oraz przywrócić udział w dowolnym momencie tego okresu przechowywania.

Miękkie usuwanie jest domyślnie włączone dla nowych kont pamięci masowej. Jeśli masz proces roboczy, w którym usuwanie udziału jest częste i oczekiwane, możesz zdecydować się na krótki okres przechowywania lub nie włączać miękkiego usuwania.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Zapobieganie przypadkowemu usunięciu danych.

Backup

Możesz utworzyć kopię zapasową udziału plików platformy Azure za pomocą migawek udziałów, które są kopiami udziałów tylko do odczytu, o określonym punkcie w czasie. Migawki są przyrostowe, co oznacza, że zawierają tylko tyle danych, co zmieniło się od poprzedniej migawki. Można mieć do 200 migawek na udział plikowy i przechowywać je przez maksymalnie 10 lat. Migawki można wykonać ręcznie w portalu Azure, za pomocą programu PowerShell lub interfejsu wiersza polecenia (CLI), albo użyć usługi Azure Backup.

Usługa Azure Backup dla udziałów plikowych Azure zajmuje się planowaniem oraz przechowywaniem migawek. Jego możliwości dziadka-ojca-syna (GFS) oznaczają, że można wykonywać migawki dzienne, tygodniowe, miesięczne i roczne, z których każda ma własny odrębny okres przechowywania. Usługa Azure Backup organizuje również włączanie miękkiego usuwania i nakłada blokadę usuwania na konto magazynu natychmiast po skonfigurowaniu dowolnego udziału plików w ramach tego konta na potrzeby tworzenia kopii zapasowej. Ponadto usługa Azure Backup zapewnia pewne kluczowe funkcje monitorowania i zgłaszania alertów, które umożliwiają klientom skonsolidowany widok ich majątku kopii zapasowych.

Przywracanie zarówno na poziomie elementu, jak i udziału można wykonać w portalu Azure przy użyciu usługi Azure Backup. Wszystko, co musisz zrobić, to wybrać punkt przywracania (określoną migawkę), konkretny plik lub katalog, jeśli jest to istotne, a następnie lokalizację (oryginalną lub alternatywną), do której chcesz przywrócić. Usługa tworzenia kopii zapasowych obsługuje kopiowanie danych z migawki i pokazuje postęp przywracania w panelu.

Ochrona usługi Azure Files za pomocą usługi Microsoft Defender for Storage

Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Zapewnia ona kompleksowe zabezpieczenia, analizując telemetrię płaszczyzny danych i płaszczyzny sterowania wygenerowane przez usługę Azure Files. Używa zaawansowanych funkcji wykrywania zagrożeń obsługiwanych przez usługę Microsoft Threat Intelligence w celu zapewnienia kontekstowych alertów zabezpieczeń, w tym kroków w celu ograniczenia wykrytych zagrożeń i zapobiegania przyszłym atakom.

Usługa Defender for Storage stale analizuje strumień telemetrii generowany przez usługę Azure Files. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań, kroków badania, akcji korygowania i zaleceń dotyczących zabezpieczeń.

Usługa Defender for Storage wykrywa znane zagrożenia, takie jak ransomware, wirusy, programy szpiegujące i inne złośliwe oprogramowanie przekazywane na konto magazynu na podstawie pełnego skrótu pliku (obsługiwane tylko w przypadku interfejsu API REST). Pomaga to zapobiec wprowadzaniu złośliwego oprogramowania do organizacji i rozprzestrzenianiu się na więcej użytkowników i zasobów. Zobacz Omówienie różnic między skanowaniem złośliwego oprogramowania a analizą reputacji skrótów.

Usługa Defender for Storage nie uzyskuje dostępu do danych konta przechowywania i nie ma wpływu na jego wydajność. Usługę Microsoft Defender for Storage można włączyć na poziomie subskrypcji (zalecane) lub na poziomie zasobu.

Warstwy magazynowania

Usługa Azure Files oferuje dwie warstwy multimediów magazynu: dysk półprzewodnikowy (SSD) i dysk twardy (HDD). Te warstwy umożliwiają dostosowanie udziałów do wymagań dotyczących wydajności i cen w scenariuszu:

  • SSD (premium): udziały plików SSD zapewniają spójną wysoką wydajność i małe opóźnienia w milisekundach jednocyfrowych dla większości operacji we/wy na potrzeby obciążeń intensywnie korzystających z operacji we/wy. Udziały plików SSD są odpowiednie dla wielu różnych obciążeń, takich jak bazy danych, hosting witryn internetowych i środowiska programistyczne.

    Udziały plików SSD można używać zarówno z protokołami SMB, jak i NFS. Udziały plików SSD są dostępne w aprowizowanych modelach rozliczeń w wersji 2 i aprowizowanych w wersji 1 . Udziały plików SSD oferują umowę SLA o wyższej dostępności niż udziały plików HDD.

  • HDD (standard): Udziały plików HDD zapewniają ekonomiczną opcję magazynowania dla udziałów plików ogólnego przeznaczenia. Udziały plików HDD są dostępne w przypadku zaaprowizowanych modeli rozliczeń w wersji 2 i modelu rozliczeń z płatnością zgodnie z rzeczywistym użyciem , chociaż zalecamy aprowizowany model w wersji 2 dla nowych wdrożeń udziałów plików. Aby uzyskać informacje o umowie SLA, zobacz stronę umowy SLA platformy Azure dotyczącą usług online.

Podczas wybierania warstwy multimediów dla obciążenia należy wziąć pod uwagę wymagania dotyczące wydajności i użycia. Jeśli obciążenie wymaga bardzo niskiego opóźnienia lub używasz lokalnego nośnika pamięci SSD, udziały plików SSD są prawdopodobnie najlepszym rozwiązaniem. Jeśli małe opóźnienie nie jest tak duże, udziały plików HDD mogą być lepiej dopasowane z perspektywy kosztów. Na przykład małe opóźnienia mogą być mniej istotne w przypadku udziałów zespołu zainstalowanych lokalnie z platformy Azure lub buforowanych lokalnie za pośrednictwem usługi Azure File Sync.

Po utworzeniu udziału plików na koncie magazynu nie można bezpośrednio przenieść go do innej warstwy multimediów. Aby na przykład przenieść udział plików HDD do warstwy nośników SSD, należy utworzyć nowy udział plików SSD i skopiować dane z oryginalnego udziału do nowego udziału plików.

Więcej informacji o warstwach multimediów SSD i HDD można znaleźć w temacie Omówienie modeli rozliczeń usługi Azure Files oraz Omówienie i optymalizowanie wydajności udziału plików platformy Azure.

Redundancja

Aby chronić dane w udziałach plików platformy Azure przed utratą lub uszkodzeniem danych, usługa Azure Files przechowuje wiele kopii każdego pliku podczas ich zapisywania. W zależności od wymagań można wybrać stopnie nadmiarowości. Usługa Azure Files obsługuje obecnie następujące opcje nadmiarowości danych:

  • Magazyn lokalnie nadmiarowy (LRS): w przypadku nadmiarowości lokalnej każdy plik jest przechowywany trzy razy w klastrze usługi Azure Storage. Takie podejście pomaga chronić przed utratą danych z powodu błędów sprzętowych, takich jak zły dysk. Jeśli jednak w centrum danych wystąpi awaria, taka jak pożar lub powodzia, wszystkie repliki konta magazynu korzystającego z magazynu LRS mogą zostać utracone lub nieodwracalne.

  • Magazyn strefowo nadmiarowy (ZRS): dzięki nadmiarowości strefowej przechowywane są trzy kopie każdego pliku. Jednak te kopie są fizycznie izolowane w trzech odrębnych klastrach magazynu w strefach dostępności platformy Azure. Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Zapis do pamięci nie jest akceptowany, dopóki nie zostanie zapisany w klastrach pamięci we wszystkich trzech strefach dostępności.

  • Magazyn geograficznie nadmiarowy (GRS): w przypadku nadmiarowości geograficznej masz region podstawowy i region pomocniczy. Pliki są przechowywane trzy razy w klastrze usługi Azure Storage w regionie podstawowym. Zapisy są asynchroniczne replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft.

    Nadmiarowość geograficzna zapewnia sześć kopii danych rozmieszczonych między dwoma regionami świadczenia usługi Azure. Jeśli wystąpi poważna awaria, taka jak trwała utrata regionu świadczenia usługi Azure z powodu klęski żywiołowej lub innego podobnego zdarzenia, firma Microsoft wykonuje przejście w tryb failover. W takim przypadku pomocnicza staje się podstawowa i obsługuje wszystkie operacje.

    Ponieważ replikacja między regionami podstawowymi i pomocniczymi jest asynchroniczna, w przypadku wystąpienia poważnej awarii dane nie są jeszcze replikowane do regionu pomocniczego. Możesz również ręcznie przełączyć konto magazynu nadmiarowego geograficznie (geo-redundant) w tryb failover.

  • Magazyn geograficznie nadmiarowy (GZRS): w przypadku nadmiarowości strefy geograficznej pliki są przechowywane trzy razy w trzech odrębnych klastrach magazynu w regionie podstawowym. Wszystkie operacje zapisu są następnie asynchronicznie replikowane do regionu pomocniczego zdefiniowanego przez firmę Microsoft. Proces przełączania w tryb failover dla nadmiarowości strefy geograficznej działa tak samo, jak w przypadku nadmiarowości geograficznej.

Udziały plików HDD obsługują wszystkie cztery typy nadmiarowości. Udziały plików SSD obsługują tylko magazynY LRS i ZRS.

Konta magazynu z płatnością zgodnie z rzeczywistym użyciem zapewniają dwie inne opcje nadmiarowości, których usługa Azure Files nie obsługuje: magazyn geograficznie nadmiarowy dostępny do odczytu (RA-GRS) i magazyn geograficznie nadmiarowy dostępny do odczytu (RA-GZRS). Udziały plików platformy Azure można aprowizować na kontach magazynu przy użyciu tych opcji ustawionych, ale usługa Azure Files nie obsługuje odczytu z regionu pomocniczego. Udziały plików platformy Azure wdrożone na kontach magazynu RA-GRS lub RA-GZRS są rozliczane odpowiednio jako nadmiarowe geograficznie lub strefowo geograficznie nadmiarowe.

Aby uzyskać więcej informacji na temat nadmiarowości, zobacz Nadmiarowość danych usługi Azure Files.

Dostępność udostępnień plików SSD z strefową nadmiarowością

Strefowo nadmiarowe udziały plików SSD są dostępne dla podzestawu regionów platformy Azure.

Odzyskiwanie po awarii i przełączenie awaryjne

W przypadku nieplanowanej awarii regionalnej należy mieć plan odzyskiwania po awarii (DR) dla udziałów plików w Azure. Aby zrozumieć pojęcia i procesy związane z odzyskiwaniem po awarii i failoverem konta magazynu, zobacz Odzyskiwanie po awarii i tryb failover dla usługi Azure Files.

Migracja

W wielu przypadkach nie będziesz tworzyć nowego sieciowego udziału plików dla swojej organizacji, ale zamiast tego będziesz migrować istniejący udział plików z lokalnego serwera plików lub urządzenia NAS do Azure Files. Wybranie odpowiedniej strategii migracji i narzędzia dla danego scenariusza jest ważne dla sukcesu migracji.

Artykuł o migracji krótko omawia podstawy i zawiera tabelę, która prowadzi do przewodników dotyczących migracji, które prawdopodobnie opisują twój scenariusz.

Następne kroki

  • Last updated on