Upravit

Sdílet prostřednictvím


Služba Azure Files přístupná z místního prostředí a zabezpečená službou AD DS v privátní síti

Azure Virtual Network
Azure ExpressRoute
Azure Storage Accounts
Azure Files
Azure DNS

Tato architektura ukazuje jeden ze způsobů, jak poskytnout sdílené složky v cloudu místním uživatelům a aplikacím, které přistupují k souborům na Windows Serveru prostřednictvím privátního koncového bodu.

Architektura

Architektura Azure, která poskytuje desktopy v místním i cloudovém prostředí pro společnost s mnoha větvemi.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

  1. Toto řešení synchronizuje místní službu AD DS a cloudové ID Microsoft Entra. Synchronizace zvyšuje produktivitu uživatelů tím, že poskytuje společnou identitu pro přístup ke cloudovým i místním prostředkům.

    Microsoft Entra Connect je místní aplikace Microsoftu, která provádí synchronizaci. Další informace o nástroji Microsoft Entra Connect naleznete v tématu Co je Microsoft Entra Connect? a Microsoft Entra Connect Sync: Principy a přizpůsobení synchronizace.

  2. Azure Virtual Network poskytuje virtuální síť v cloudu. Pro toto řešení má aspoň dvě podsítě, jednu pro Azure DNS a jednu pro privátní koncový bod pro přístup ke sdílené složce.

  3. Síť VPN nebo Azure ExpressRoute poskytuje zabezpečená připojení mezi místní sítí a virtuální sítí v cloudu. Pokud používáte VPN, vytvořte bránu pomocí služby Azure VPN Gateway. Pokud používáte ExpressRoute, vytvořte bránu virtuální sítě ExpressRoute. Další informace najdete v tématu Co je brána VPN Gateway? a o branách virtuální sítě ExpressRoute.

  4. Azure Files poskytuje sdílenou složku v cloudu. To vyžaduje účet Azure Storage. Další informace o sdílených složkách najdete v tématu Co je Azure Files?.

  5. Privátní koncový bod poskytuje přístup ke sdílené složce. Privátní koncový bod je jako síťová karta (NIC) v podsíti, která se připojuje ke službě Azure. V tomto případě je služba sdílenou složkou. Další informace o privátních koncovýchbodch

  6. Místní server DNS překládá IP adresy. Azure DNS ale přeloží plně kvalifikovaný název domény (FQDN) sdílené složky Azure. Všechny dotazy DNS na Azure DNS pocházejí z virtuální sítě. Ve virtuální síti je proxy SERVER DNS, který tyto dotazy směruje do Azure DNS. Další informace najdete v tématu Místní úlohy pomocí služby předávání DNS.

    Proxy DNS můžete zadat na serveru s Windows nebo Linuxem nebo můžete použít Azure Firewall. Informace o možnosti služby Azure Firewall, která má výhodu, že nemusíte spravovat virtuální počítač, najdete v nastavení DNS služby Azure Firewall.

  7. Místní vlastní DNS je nakonfigurovaný tak, aby předával provoz DNS do Azure DNS prostřednictvím podmíněného předávače. Informace o podmíněném předávání najdete také v místních úlohách pomocí služby předávání DNS.

  8. Místní služba AD DS ověřuje přístup ke sdílené složce. Toto je čtyřstupňový proces, jak je popsáno v první části: Povolení ověřování AD DS pro sdílené složky Azure

Komponenty

  • Azure Storage je sada široce škálovatelných a zabezpečených cloudových služeb pro data, aplikace a úlohy. Zahrnuje Azure Files, Azure Table Storage a Azure Queue Storage.
  • Azure Files nabízí plně spravované sdílené složky v účtu Azure Storage. Soubory jsou přístupné z cloudu nebo z místního prostředí. Nasazení windows, Linuxu a macOS můžou současně připojit sdílené složky Azure. Přístup k souborům používá standardní protokol SMB (Server Message Block).
  • Azure Virtual Network je základním stavebním blokem privátních sítí v Azure. Poskytuje prostředí pro prostředky Azure, jako jsou virtuální počítače, pro bezpečnou komunikaci mezi sebou, s internetem a s místními sítěmi.
  • Azure ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu přes privátní připojení.
  • Azure VPN Gateway připojuje místní sítě k Azure prostřednictvím sítí VPN typu site-to-site stejným způsobem jako připojení ke vzdálené pobočce. Připojení je zabezpečené a využívá standardní protokoly IPsec (Internet Protocol Security) a IKE (Internet Key Exchange).
  • Azure Private Link poskytuje privátní připojení z virtuální sítě k platformě Azure jako službě (PaaS), službám vlastněným zákazníkem nebo partnerským službám Microsoftu. Zjednodušuje architekturu sítě a zabezpečuje propojení mezi koncovými body v Azure díky eliminaci vystavení dat ve veřejném internetu.
  • Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z vaší virtuální sítě. Privátní koncové body pro účty Azure Storage můžete použít k tomu, aby klienti ve virtuální síti měli přístup k datům přes privátní propojení.
  • Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS. Proxy server DNS je zprostředkovatelem požadavků DNS z klientských virtuálních počítačů na server DNS.

Podrobnosti scénáře

Představte si následující běžný scénář: Místní počítač se systémem Windows Server se používá k poskytování sdílených složek pro uživatele a aplikace. služba Doména služby Active Directory Services (AD DS) slouží k zabezpečení souborů a místní server DNS spravuje síťové prostředky. Všechno funguje ve stejné privátní síti.

Teď předpokládejme, že potřebujete rozšířit sdílené složky do cloudu.

Architektura popsaná zde ukazuje, jak azure může tuto potřebu splnit nákladově efektivně a současně udržovat využití místní sítě, ad ds a DNS.

V tomto nastavení se služba Azure Files používá k hostování sdílených složek. Síť VPN typu site-to-site nebo Azure ExpressRoute poskytuje rozšířená připojení zabezpečení mezi místní sítí a službou Azure Virtual Network. Uživatelé a aplikace přistupují k souborům prostřednictvím těchto připojení. Microsoft Entra ID a Azure DNS spolupracují s místními službami AD DS a DNS, které pomáhají zajistit zabezpečený přístup.

Pokud se tento scénář týká vás, můžete svým místním uživatelům poskytnout cloudové sdílené složky s nízkými náklady a současně udržovat přístup k rozšířenému zabezpečení prostřednictvím stávající infrastruktury SLUŽBY AD DS a DNS.

Potenciální případy použití

  • Souborový server se přesune do cloudu, ale uživatelé musí zůstat místně.
  • Aplikace migrované do cloudu potřebují přístup k místním souborům a také k souborům migrovaným do cloudu.
  • Potřebujete snížit náklady přesunutím úložiště souborů do cloudu.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, aby vaše aplikace splňovala závazky, které jste udělali pro své zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

  • Azure Storage vždy ukládá několik kopií dat do stejné zóny, aby byla chráněná před plánovanými a neplánovanými výpadky. Existují možnosti pro vytváření dalších kopií v jiných zónách nebo oblastech. Další informace najdete v článku Možnosti redundance Azure Storage.
  • Azure Firewall má integrovanou vysokou dostupnost. Další informace najdete v tématu Standardní funkce služby Azure Firewall.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Tyto články obsahují informace o zabezpečení komponent Azure:

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Pokud chcete odhadnout náklady na produkty a konfigurace Azure, použijte cenovou kalkulačku Azure.

Tyto články obsahují informace o cenách komponent Azure:

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

  • Vaše účty Azure Storage obsahují všechny datové objekty Azure Storage, včetně sdílených složek. Účet úložiště poskytuje jedinečný obor názvů pro svá data, obor názvů, který je přístupný odkudkoli na světě přes PROTOKOL HTTP nebo HTTPS. Pro tuto architekturu váš účet úložiště obsahuje sdílené složky poskytované službou Azure Files. Pro zajištění nejlepšího výkonu doporučujeme následující:
    • Neukládejte databáze, objekty blob atd. do účtů úložiště, které obsahují sdílené složky.
    • Nemá více než jednu vysoce aktivní sdílenou složku na jeden účet úložiště. Sdílené složky, které jsou méně aktivní, můžete seskupit do stejného účtu úložiště.
    • Pokud vaše úloha vyžaduje velké objemy IOPS, extrémně rychlé rychlosti přenosu dat nebo velmi nízkou latenci, měli byste zvolit účty úložiště Premium (FileStorage). Standardní účet pro obecné účely verze 2 je vhodný pro většinu úloh sdílených složek SMB. Další informace o škálovatelnosti a výkonusdílenýchch
    • Nepoužívejte účet úložiště pro obecné účely verze 1, protože nemá důležité funkce. Místo toho upgradujte na účet úložiště pro obecné účely verze 2. Typy účtů úložiště jsou popsané v přehledu účtu úložiště.
    • Věnujte pozornost velikosti, rychlosti a dalším omezením. Projděte si limity, kvóty a omezení předplatného a služeb Azure.
  • K vylepšení výkonu komponent, které nejsou úložiště, můžete udělat jen málo, s výjimkou toho, že vaše nasazení splňuje limity, kvóty a omezení popsaná v omezeních předplatného a služeb Azure, kvótách a omezeních.
  • Informace o škálovatelnosti komponent Azure najdete v tématu Omezení, kvóty a omezení předplatného a služeb Azure.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další kroky