Azure 企业云文件共享

此参考体系结构说明了使用包括 Azure 文件存储、Azure 文件同步、Azure 专用 DNS 和 Azure 专用终结点在内的 Azure 服务的企业级云文件共享解决方案。 该解决方案外包文件服务器和基础结构的管理，同时保留对数据的控制，从而节省成本。

体系结构

下图显示了客户端如何访问 Azure 文件共享：

• 通过云分层文件服务器在本地访问。
• 在专用网络环境中通过 ExpressRoute 专用对等互连或 VPN 隧道远程访问。

下载此体系结构的 Visio 文件。

Workflow

企业级云文件共享解决方案使用以下方法提供与传统文件共享相同的用户体验，但通过 Azure 文件共享：

• 使用 Azure 文件同步在本地文件服务器与 Azure 文件共享之间同步文件和文件夹访问控制列表 (ACL)。
• 使用 Azure 文件同步代理中的云分层功能在本地缓存经常访问的文件。
• 在 Azure 文件共享上强制实施 AD DS 身份验证。
• 通过 Azure 专用链接和专用终结点通过 ExpressRoute 专用对等互连或 VPN 隧道通过专用 IP 访问文件共享和文件同步服务。

通过在 Azure 文件存储和 Azure 文件同步上实现 Azure 专用终结点，将禁用公共终结点访问，从而限制为从 Azure 虚拟网络访问 Azure 文件存储和 Azure 文件同步。

ExpressRoute 专用对等互连 VPN 站点到站点隧道将本地网络扩展到 Azure 虚拟网络。 从本地到 Azure 文件存储和 Azure 文件同步专用终结点的 Azure 文件同步和服务器消息块 (SMB) 流量仅限于专用连接。 在转换期间，仅当使用 SMB 3.0+ 进行连接时，Azure 文件存储才会允许连接。 从 Azure 文件同步代理到 Azure 文件共享或存储同步服务建立的连接始终是加密的。 静态时，Azure 存储在将数据保存到云时会自动加密数据，Azure 文件存储也是如此。

域名系统 (DNS) 解析程序是该解决方案的一个关键组件。 每项 Azure 服务（在本例中为 Azure 文件存储和 Azure 文件同步）都有一个完全限定的域名 (FQDN)。 在以下情况下，这些服务的 FQDN 将解析为其公共 IP 地址：

• 当客户端访问 Azure 文件存储共享时。
• 当部署在本地文件服务器上的 Azure 文件同步代理访问 Azure 文件同步服务时。

启用专用终结点后，将在 Azure 虚拟网络中分配专用 IP 地址。 这些地址允许通过专用连接访问这些服务，并且同一 FQDN 现在必须解析为专用 IP 地址。 为此，Azure 文件存储和 Azure 文件同步将创建规范名称 DNS 记录 (CNAME)，以将解析重定向到专用域名：

• Azure 文件同步的公共域名 *.afs.azure.net 将 CNAME 重定向到专用域名 *.<region>.privatelink.afs.azure.net。
• Azure 文件存储的公共域名 <name>.file.core.windows.net 将 CNAME 重定向到专用域名 <name>.privatelink.file.core.windows.net。

此体系结构中显示的解决方案正确配置了本地 DNS 设置，以便它们使用以下方法将专用域名解析为专用 IP 地址：

• 专用 DNS 区域（组件 11 和 12）是从 Azure 创建的，用于为 Azure 文件同步和 Azure 文件存储提供专用名称解析。
• 专用 DNS 区域链接到 Azure 虚拟网络，以便部署在虚拟网络或 Azure DNS 专用解析程序（组件 8）中的 DNS 服务器可以解析专用域名。
• 在专用 DNS 区域中为 Azure 文件存储和 Azure 文件同步创建 DNS A 记录。 有关终结点配置步骤，请参阅配置 Azure 文件存储网络终结点和配置 Azure 文件同步网络终结点。
• 本地 DNS 服务器（组件 3）设置条件转发，以将 domain afs.azure.net 和 file.core.windows.net 的 DNS 查询转发到 Azure 虚拟网络（组件 8）中的 DNS 服务器。
• 收到来自本地 DNS 服务器的转发 DNS 查询后，Azure 虚拟网络中的 DNS 服务器（组件 8）使用 Azure DNS 递归解析程序解析专用域名并将专用 IP 地址返回给客户端。

组件

解决方案使用以下组件：

• 客户端（组件 1 或 2）通常是使用 SMB 协议访问文件共享的 Windows、Linux 或 macOS 桌面。 在此体系结构中，客户端可以直接通过专用网络或通过启用了 Azure 文件同步和云分层的本地文件服务器连接到 Azure 文件存储。

• 域控制器（DC）和 DNS 服务器（ 组件 3）包括处理身份验证的 DC 和解析名称到 IP 地址的 DNS 服务器。 可以将 DC 和 DNS 服务器合并为单个服务器，或将它们分成不同的服务器。 在此体系结构中，他们将用户进行身份验证，并将 Azure 文件和 Azure 文件同步的 DNS 查询转发到 Azure 中的 DNS 基础结构。

• 文件服务器（组件 4）是托管文件共享并与 Azure 文件同步集成的本地服务器。在此体系结构中，它支持频繁访问的文件的本地缓存，并将数据和 ACL 与 Azure 文件同步。

• 客户边缘路由器或 VPN 设备（组件 5）将本地网络连接到 Azure。 在此体系结构中，它会建立到 Azure 虚拟网络的安全 ExpressRoute 或 VPN 隧道，以便对 Azure 文件和 Azure 文件同步进行专用访问。

• ExpressRoute 或 Azure VPN 网关 （组件 6）提供本地网络与 Azure 之间的专用或加密连接。 在此体系结构中，它确保文件访问和同步流量的安全可靠通信。

• Azure 专用终结点（组件 7）是一个网络接口，通过专用链接私下连接到 Azure 服务。 在此解决方案中，Azure 文件同步专用终结点连接到 Azure 文件同步 (9)，Azure 文件存储专用终结点连接到 Azure 文件存储 (10)。 专用终结点通过将 FQDN 映射到专用 IP 地址来实现安全的专用访问。

• DNS 服务器或 Azure DNS 专用解析程序（组件 8）充当 Azure 虚拟网络中的 DNS 服务。 在此体系结构中，它使用 Azure DNS 递归解析程序解析专用域名，并将专用 IP 地址返回到客户端。 在从本地 DNS 服务器收到转发的 DNS 查询后，它会执行此作。

• Azure 文件同步 （组件 9）是一项服务，用于集中 Azure 中的文件共享，同时保持本地文件服务器的灵活性、性能和兼容性。 云分层是 Azure 文件同步的一项功能，其中经常访问的文件缓存在服务器上，而所有其他文件都基于策略设置分层到 Azure 文件。 在此体系结构中，此功能通过将本地文件服务器扩展到云来启用混合文件共享。

• Azure 文件 （组件 10）是一种托管文件共享服务，支持 SMB 访问并与本地 AD DS 和 Microsoft Entra 域服务集成。 在此体系结构中，Azure 文件存储充当用于企业文件共享的基于云的存储层，可从本地和云环境访问。

  可以通过云或 Windows、Linux 和 macOS 的本地部署，同时从 Azure 文件装载文件共享。 还可以在具有 Azure 文件同步的 Windows 服务器上缓存靠近使用数据的 SMB Azure 文件共享，以便快速访问。

• Azure 专用 DNS （组件 11 和 12）是解析虚拟网络中的域名的 DNS 服务。 在此体系结构中，它为 Azure 文件和 Azure 文件同步的专用终结点提供名称解析，这可确保流量保留在专用网络中。

• Azure 备份 （组件 13）是一种基于云的备份服务，它使用快照保护 Azure 文件共享。 在此体系结构中，它为 Azure 文件启用数据保护和恢复，而无需本地备份基础结构。 有关详细信息，请参阅 数据丢失和备份。

方案详细信息

此解决方案允许通过本地虚拟网络和 Azure 虚拟网络之间的虚拟专用网访问混合工作环境中的 Azure 文件共享，而无需遍历 Internet。 它还允许通过基于标识的身份验证来控制和限制文件访问。

可能的用例

云文件共享解决方案支持以下可能的用例：

• 文件服务器或文件共享直接迁移。 通过直接迁移，无需重新构造或重新格式化数据。 还可以在本地保留旧应用程序，同时从云存储中获益。
• 加快云创新，提高运营效率。 降低维护硬件和物理空间的成本，防止数据损坏和数据丢失。
• 对 Azure 文件共享的专用访问。 防止数据外泄。

流量流

启用 Azure 文件同步和 Azure 文件存储后，可以在两种模式（本地缓存模式或远程模式）下访问 Azure 文件共享。 在这两种模式下，客户端均使用现有的 AD DS 凭据对自身进行身份验证。

• 本地缓存模式 - 客户端通过启用了云分层的本地文件服务器访问文件和文件共享。 当用户从本地文件服务器打开文件时，要么从文件服务器本地缓存提供文件数据，要么 Azure 文件同步代理从 Azure 文件存储无缝撤回文件数据。 在此解决方案的体系结构图中，它发生在组件 1 和 4 之间。

• 远程模式 - 客户端直接从远程 Azure 文件共享访问文件和文件共享。 在此解决方案的体系结构图中，流量流通过组件 2、5、6、7 和 10。

Azure 文件同步流量在组件 4、5、6 和 7 之间传输，使用 ExpressRoute 线路实现可靠连接。

专用域名解析查询使用以下顺序通过组件 3、5、6、8、11 和 12：

1. 客户端将查询发送到本地 DNS 服务器，以解析 Azure 文件存储或 Azure 文件同步 DNS 名称。
2. 本地 DNS 服务器具有一个条件转发器，该转发器将 Azure 文件存储和 Azure 文件同步 DNS 名称解析指向 Azure 虚拟网络中的 DNS 服务器。
3. 查询被重定向到 Azure 虚拟网络中的 DNS 服务器或 Azure 专用 DNS 解析程序。
4. 视虚拟网络的 DNS 配置而定：
   • 如果配置了自定义 DNS 服务器，则 Azure 虚拟网络中的 DNS 服务器会将名称查询发送到 Azure 提供的 DNS (168.63.129.16) 递归解析程序。
   • 如果配置了 Azure DNS 专用解析程序，并且查询与链接到虚拟网络的专用 DNS 区域匹配，则会咨询这些区域。
5. DNS 服务器/Azure DNS 专用解析程序在将专用域名解析为相应的专用 DNS 区域后返回专用 IP。 它使用 Azure 虚拟网络到 Azure 文件存储 DNS 区域和 Azure 文件同步专用 DNS 区域的链接。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则，即一套可用于改善工作负荷质量的指导原则。 有关详细信息，请参阅 Microsoft Azure 架构良好的框架。

在实现此解决方案时，请考虑以下几点。

规划

• 有关 Azure 文件同步规划，请参阅规划 Azure 文件同步部署。
• 有关 Azure 文件存储规划，请参阅规划 Azure 文件存储部署。

网络

• 有关 Azure 文件同步网络注意事项，请参阅 Azure 文件同步网络注意事项。
• 有关 Azure 文件存储网络注意事项，请参阅 Azure 文件存储网络注意事项。

DNS

在管理专用终结点的名称解析时，按以下方式解析 Azure 文件存储和 Azure 文件同步的专用域名：

在 Azure 方面：

• 如果使用 Azure 提供的名称解析，Azure 虚拟网络必须链接到预配的专用 DNS 区域。
• 如果使用“自带 DNS 服务器”，则部署你自己的 DNS 服务器的虚拟网络必须链接到预配的专用 DNS 区域。

在本地方面，专用域名以下列方式之一映射到专用 IP 地址：

• 通过到 Azure 虚拟网络中部署的 DNS 服务器或 Azure 专用 DNS 解析程序的 DNS 转发，如图所示。
• 通过为专用域 <region>.privatelink.afs.azure.net 和 privatelink.file.core.windows.net 设置区域的本地 DNS 服务器。 服务器将 Azure 文件存储和 Azure 文件同步专用终结点的 IP 地址作为 DNS A 记录注册到各自的 DNS 区域。 本地客户端直接从本地 DNS 服务器解析专用域名。

有关详细信息，请参阅 专用解析程序体系结构。

分布式文件系统 (DFS)

当涉及到本地文件共享解决方案时，许多管理员都选择使用 DFS 而不是传统的独立文件服务器。 DFS 允许管理员合并可能存在于多个服务器上的文件共享，以便它们好像都位于同一位置，从而使用户能够从网络上的单个点访问它们。 迁移到云文件共享解决方案期间，Azure 文件同步可以替换传统的 DFS-R。 有关详细信息，请参阅将 DFS 复制 (DFS-R) 部署迁移至 Azure 文件同步。

数据丢失和备份

对于各种规模的企业来说，数据丢失都是一种严重问题。 Azure 文件共享备份使用文件共享快照提供基于云的备份解决方案，以保护云中的数据，并消除本地备份解决方案涉及的额外维护开销。 Azure 文件共享备份的主要优点包括：

• 零基础结构
• 自定义保留期
• 内置管理功能
• 即时还原
• 警报和报告
• 防止意外删除文件共享

有关详细信息，请参阅关于 Azure 文件共享备份

对 Azure 文件存储上的混合标识的支持

尽管本文介绍的是用于在 Azure 文件存储上进行身份验证的 Active Directory，但使用 Microsoft Entra ID 对混合用户标识进行身份验证也是可能的。 Azure 文件存储通过以下几种方法使用 Kerberos 身份验证协议来支持通过服务器消息块 (SMB) 进行基于标识的身份验证：

• 本地 Active Directory 域服务 (AD DS)
• Microsoft Entra 域服务
• Microsoft Entra Kerberos（仅限混合用户标识）
• Linux 客户端的 AD 身份验证

有关详细信息，请参阅为 Azure 文件存储上的混合标识启用 Microsoft Entra Kerberos 身份验证。

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息，请参阅 安全的设计评审清单。

Azure DDoS 防护与应用程序设计最佳做法相结合，提供增强的 DDoS 缓解功能来更全面地防御 DDoS 攻击。 应在任何外围虚拟网络上启用 Azure DDOS 防护。

安全审核是帮助维护企业安全性的必然要求。 行业标准要求企业遵守与数据安全和隐私相关的一组严格规则。

文件访问审核

可以在本地和远程启用文件访问审核：

• 使用动态访问控制在本地启用。 有关详细信息，请参阅计划文件访问审核。
• 使用 Azure 文件存储上 Azure Monitor 中的 Azure 存储日志远程启用。 Azure 存储日志包含 StorageRead、StorageWrite、StorageDelete 和事务日志。 可以将 Azure 文件访问记录到存储帐户、日志分析工作区，或单独流式传输到事件中心。 有关详细信息，请参阅监视 Azure 文件存储。

伸缩性和性能

Azure 文件和 Azure 文件同步的可伸缩性和性能目标取决于各种因素，例如 SMB 客户端行为和网络带宽。 例如，文件 I/O 的性能可能会受到 SMB 客户端的行为和可用网络带宽的影响。 测试使用模式有助于确定它们是否符合你的需求。 有关详细信息，请参阅 Azure 文件和 Azure 文件同步的可伸缩性和性能目标。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

首席作者：

• Yingting Huang | 高级云解决方案架构师

要查看非公开领英个人资料，请登录领英。

后续步骤

• 规划 Azure 文件部署
• 如何部署 Azure 文件
• Azure 文件存储的网络注意事项
• 配置 Azure 文件存储网络终结点
• 监视 Azure 文件存储
• 文件访问审核计划
• 备份 Azure 文件共享
• 概述 - 通过 SMB 为 Azure 文件共享启用本地 Active Directory 域服务身份验证
• 部署 Azure 文件同步
• 配置 Azure 文件同步网络终结点
• 云分层概述
• 在 Azure 门户中创建站点到站点连接
• ExpressRoute 线路和对等互连
• 创建和修改 ExpressRoute 线路的对等互连
• 关于 Azure 文件共享备份
• 什么是 Azure DNS 专用解析程序
• 为 Azure 文件存储上的混合标识启用 Microsoft Entra Kerberos 身份验证

相关资源

• Azure 企业云文件共享
• Azure 文件可在本地访问并由 AD DS 进行保护
• 混合文件服务