Upravit

Sdílet prostřednictvím


Hybridní souborové služby

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Tato referenční architektura ukazuje, jak používat Synchronizace souborů Azure a Azure Files k rozšíření možností hostování souborových služeb napříč cloudovými a místními sdílenými prostředky.

Architektura

Diagram topologie hybridních souborových služeb Azure

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Tato architektura se skládá z následujících součástí:

  • Účet služby Azure Storage. Účet úložiště, který se používá k hostování sdílených složek.
  • Azure Files. Bezserverová cloudová sdílená složka, která poskytuje koncový bod cloudu vztahu synchronizace pomocí Synchronizace souborů Azure. K souborům ve sdílené složce Azure je možné přistupovat přímo pomocí protokolu SMB (Server Message Block) nebo FileREST.
  • Synchronizujte skupiny. Logické seskupení sdílených složek Azure a serverů se systémem Windows Server Skupiny synchronizace se nasazují do služby synchronizace úložiště, která registruje servery pro použití s Synchronizace souborů Azure a obsahuje relace skupin synchronizace.
  • Synchronizace souborů Azure agenta. To je nainstalované na počítačích s Windows Serverem, aby bylo možné povolit a nakonfigurovat synchronizaci s koncovými body cloudu.
  • Windows Servery. Místní nebo cloudové počítače s Windows Serverem, které hostují sdílenou složku, která se synchronizuje se sdílenou složkou Azure.
  • Microsoft Entra ID. Tenant Microsoft Entra, který se používá k synchronizaci identit napříč Azure a místními prostředími.

Komponenty

Podrobnosti scénáře

Obvyklá využití pro tuto architekturu:

  • Hostování sdílenýchsch
  • Synchronizace dat mezi několika místními úložišti dat s jedním cloudovým zdrojem

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte požadavek, který je přepíše, postupujte podle těchto doporučení.

Využití a nasazení služby Azure Files

Soubory ukládáte v cloudu do bezserverových sdílených složek Azure. Můžete je použít dvěma způsoby: přímým připojením (SMB) nebo jejich ukládáním do místní mezipaměti pomocí Synchronizace souborů Azure. To, co je potřeba vzít v úvahu při plánování nasazení, závisí na tom, který ze dvou způsobů zvolíte.

  • Přímé připojení sdílené složky Azure Vzhledem k tomu, že Azure Files poskytuje přístup přes protokol SMB, můžete připojit sdílené složky Azure místně nebo v cloudu pomocí standardního klienta SMB dostupného v operačních systémech Windows, macOS a Linux. Sdílené složky Azure jsou bezserverové, takže jejich nasazení pro produkční scénáře nevyžaduje správu souborového serveru ani síťového úložiště (NAS). To znamená, že nemusíte používat softwarové opravy ani prohodit fyzické disky.
  • Ukládání sdílené složky Azure do mezipaměti místně pomocí Synchronizace souborů Azure Synchronizace souborů Azure umožňuje centralizovat sdílené složky vaší organizace ve službě Azure Files a zároveň zachovat flexibilitu, výkon a kompatibilitu místního souborového serveru. Synchronizace souborů Azure transformuje místní (nebo cloudový) Windows Server do rychlé mezipaměti sdílené složky Azure.

Nasazení služby synchronizace úložiště

Začněte Synchronizace souborů Azure nasazením prostředku služby synchronizace úložiště do skupiny prostředků vybraného předplatného. Doporučujeme zřídit co nejméně objektů služby synchronizace úložiště. Vytvoříte vztah důvěryhodnosti mezi vašimi servery a tímto prostředkem. Server je možné zaregistrovat pouze do jedné služby synchronizace úložiště. Proto doporučujeme nasadit tolik služeb synchronizace úložiště, kolik potřebujete k oddělení skupin serverů. Mějte na paměti, že servery z různých služeb synchronizace úložiště se mezi sebou nedají synchronizovat.

Registrace počítačů s Windows Serverem pomocí agenta Synchronizace souborů Azure

Pokud chcete povolit funkci synchronizace na Windows Serveru, musíte nainstalovat Synchronizace souborů Azure agenta ke stažení. Agent Synchronizace souborů Azure poskytuje dvě hlavní komponenty:

  • FileSyncSvc.exe. Služba windows na pozadí, která zodpovídá za monitorování změn na koncových bodech serveru a za inicializování synchronizačních relací.
  • StorageSync.sys. Filtr systému souborů, který umožňuje vrstvení cloudu a rychlejší zotavení po havárii.

Agenta si můžete stáhnout ze stránky stažení agenta Synchronizace souborů Azure na webu Stažení softwaru společnosti Microsoft.

Požadavky na operační systém

Synchronizace souborů Azure podporují verze Windows Serveru uvedené v následující tabulce.

Verze Podporované skladové položky Podporované možnosti nasazení
Windows Server 2022 Azure, Datacenter, Essentials, Standard a IoT Plná a základní
Windows Server 2019 Datacenter, Standard a IoT Plná a základní
Windows Server 2016 Datacentrum, Standard a Server úložiště Plná a základní
Windows Server 2012 R2 Datacentrum, Standard a Server úložiště Plná a základní

Další informace najdete v tématu Aspekty souborového serveru systému Windows.

Konfigurace skupin synchronizace a koncových bodů cloudu

Skupina synchronizace definuje topologii synchronizace pro sadu souborů. Koncové body v rámci skupiny synchronizace se mezi sebou synchronizují. Skupina synchronizace musí obsahovat jeden koncový bod cloudu, který představuje sdílenou složku Azure a jeden nebo více koncových bodů serveru. Koncový bod serveru představuje cestu na registrovaném serveru. Server může mít koncové body serveru ve více skupinách synchronizace. Můžete vytvořit tolik skupin synchronizace, kolik potřebujete k odpovídajícímu popisu požadované topologie synchronizace.

Koncový bod cloudu je ukazatel na sdílenou složku Azure. Všechny koncové body serveru se budou synchronizovat s koncovým bodem cloudu, takže koncový bod cloudu bude centrem. Účet úložiště sdílené složky Azure musí být umístěný ve stejné oblasti jako služba synchronizace úložiště. Celá sdílená složka Azure se synchronizuje s jednou výjimkou: je zřízena zvláštní složka, která je srovnatelná se skrytou složkou System Volume Information na svazku systému souborů NT (NTFS). Tento adresář se nazývá . SystemShareInformation a obsahuje důležitá metadata synchronizace, která se nesynchronizují s jinými koncovými body.

Konfigurace koncových bodů serveru

Koncový bod serveru představuje konkrétní umístění na zaregistrovaném serveru, například složku na svazku serveru. Koncový bod serveru musí být cesta na registrovaném serveru (nikoli připojené sdílené složce) a musí používat vrstvení cloudu. Cesta ke koncovému bodu serveru musí být na nesystémovém svazku. NAS se nepodporuje.

Relace sdílených složek Azure do sdílených složek Windows

Sdílené složky Azure byste měli nasadit 1:1 se sdílenými složkami Windows, kdykoli je to možné. Objekt koncového bodu serveru poskytuje velkou flexibilitu při nastavování topologie synchronizace na straně serveru vztahu synchronizace. Aby se zjednodušila správa, nastavte cestu koncového bodu serveru tak, aby odpovídala cestě sdílené složky Systému Windows.

Používejte co nejméně synchronizačních služeb úložiště. To zjednodušuje správu, pokud máte skupiny synchronizace, které obsahují více koncových bodů serveru, protože Windows Server je možné zaregistrovat pouze do jedné služby synchronizace úložiště najednou.

Při nasazování sdílených složek Azure věnujte pozornost omezením vstupně-výstupních operací za sekundu (IOPS) účtu úložiště. Ideální je namapovat sdílené složky 1:1 s účty úložiště. Není to vždy možné udělat kvůli různým omezením a omezením vaší organizace a Azure. Pokud není možné mít v účtu úložiště nasazenou jenom jednu sdílenou složku, ujistěte se, že vaše nejaktivnější sdílené složky nejsou ve stejném účtu úložiště.

Doporučení topologie: brány firewall, hraniční sítě a připojení proxy serveru

Zvažte následující doporučení pro topologii řešení.

Filtrování brány firewall a provozu

Na základě zásad vaší organizace nebo jedinečných zákonných požadavků možná budete muset omezit komunikaci s Azure. Proto Synchronizace souborů Azure poskytuje několik mechanismů pro konfiguraci sítí. Na základě vašich požadavků můžete:

  • Tunelujte synchronizaci a nahrávání souborů a stahujte provoz přes azure ExpressRoute nebo virtuální privátní síť Azure (VPN).
  • Využijte síťové funkce Azure Files a Azure, jako jsou koncové body služeb a privátní koncové body.
  • Nakonfigurujte Synchronizace souborů Azure pro podporu vašeho proxy serveru ve vašem prostředí.
  • Omezte síťovou aktivitu z Synchronizace souborů Azure.

Další informace o Synchronizace souborů Azure a sítích najdete v tématu Synchronizace souborů Azure aspekty sítí.

Konfigurace proxy serverů

Mnoho organizací používá proxy server jako zprostředkující mezi prostředky uvnitř místní sítě a prostředky mimo svou síť, jako je například v Azure. Proxy servery jsou užitečné pro mnoho aplikací, jako je izolace sítě a zabezpečení a monitorování a protokolování. Synchronizace souborů Azure může plně spolupracovat s proxy serverem. Musíte ale nakonfigurovat nastavení koncového bodu proxy ručně pro vaše prostředí pomocí Synchronizace souborů Azure. Provedete to pomocí rutin serveru Synchronizace souborů Azure v Azure PowerShellu.

Další informace o tom, jak nakonfigurovat Synchronizace souborů Azure s proxy serverem, najdete v tématu Synchronizace souborů Azure nastavení proxy serveru a brány firewall.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, aby vaše aplikace splňovala závazky, které uděláte pro své zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

  • Měli byste zvážit typ a výkon účtu úložiště, který používáte k hostování sdílených složek Azure. Všechny prostředky úložiště nasazené do účtu úložiště sdílejí limity, které platí pro tento účet úložiště. Další informace o určení aktuálních limitů pro účet úložiště najdete v tématu Škálovatelnost a výkonnostní cíle služby Azure Files.
  • Existují dva hlavní typy účtů úložiště pro nasazení služby Azure Files:
    • Účty úložiště pro obecné účely verze 2 (GPv2). Účty úložiště GPv2 umožňují nasadit sdílené složky Azure na hardwaru založeném na pevných discích (HDD). Kromě ukládání sdílených složek Azure můžou účty úložiště GPv2 ukládat další prostředky úložiště, jako jsou kontejnery objektů blob, fronty a tabulky.
    • Účty úložiště FileStorage: Účty úložiště FileStorage umožňují nasadit sdílené složky Azure na hardware založeném na disku SSD (Premium). Účty FileStorage je možné použít jenom k ukládání sdílených složek Azure. Do účtu FileStorage nemůžete nasadit další prostředky úložiště, jako jsou kontejnery objektů blob, fronty a tabulky.
  • Měli byste zajistit, aby Synchronizace souborů Azure byly podporovány v oblastech, ve kterých řešení nasazujete. Další informace najdete v tématu Synchronizace souborů Azure dostupnosti oblastí.
  • Měli byste zajistit, aby služby, na které odkazuje oddíl Architektura , byly podporovány v oblasti, ve které nasazujete architekturu hybridních souborových služeb.
  • Pokud chcete chránit data ve sdílených složkách Azure před ztrátou nebo poškozením dat, všechny sdílené složky Azure ukládají při zápisu několik kopií každého souboru. V závislosti na požadavcích vaší úlohy můžete vybrat více stupňů redundance.
  • Předchozí verze jsou funkce systému Windows, která umožňuje používat snímky služby Stínová kopie svazku na straně serveru (VSS) svazku k prezentaci obnovitelných verzí souboru klientovi SMB. Snímky VSS a předchozí verze fungují nezávisle na Synchronizace souborů Azure. Vrstvení cloudu ale musí být nastavené na kompatibilní režim. Na stejném svazku může existovat mnoho koncových bodů serveru Synchronizace souborů Azure. Musíte provést následující volání PowerShellu na svazek, který má dokonce jeden koncový bod serveru, do kterého plánujete nebo používáte vrstvení cloudu. Další informace o předchozích verzích a VSS naleznete v tématu Samoobslužné obnovení prostřednictvím předchozích verzí a stínové kopie svazku (služba Stínová kopie svazku).

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

  • Synchronizace souborů Azure funguje se standardní identitou Doména služby Active Directory Services (AD DS) bez jakéhokoli zvláštního nastavení nad rámec nastavení Synchronizace souborů Azure. Když používáte Synchronizace souborů Azure, přístup k souborům obvykle prochází servery Synchronizace souborů Azure ukládáním do mezipaměti, nikoli prostřednictvím sdílené složky Azure. Vzhledem k tomu, že koncové body serveru se nacházejí na počítačích s Windows Serverem, jediným požadavkem integrace identity je použití souborových serverů Windows připojených k doméně k registraci ve službě synchronizace úložiště. Synchronizace souborů Azure ukládá seznamy řízení přístupu (ACL) pro soubory ve sdílené složce Azure a replikuje je do všech koncových bodů serveru.
  • I když se změny provedené přímo ve sdílené složce Azure synchronizují s koncovými body serveru ve skupině synchronizace, možná budete chtít zajistit, abyste u sdílené složky přímo v cloudu vynutili svá oprávnění ad DS. K tomu musíte účet úložiště připojit k místní doméně služby AD DS, stejně jako jsou připojené k doméně souborových serverů Windows. Další informace o připojení domény k instanci AD DS vlastněné zákazníkem najdete v tématu Přehled možností ověřování na základě identit služby Azure Files pro přístup k protokolu SMB.
  • Při použití Synchronizace souborů Azure existují tři různé vrstvy šifrování, které je potřeba vzít v úvahu:
    • Šifrování neaktivních uložených dat ve Windows Serveru Existují dvě strategie šifrování dat na Windows Serveru, které obecně fungují s Synchronizace souborů Azure: šifrování pod systémem souborů, aby systém souborů a všechna data zapsaná do něj byla šifrovaná, a šifrování v samotném formátu souboru. Tyto metody lze v případě potřeby použít společně, protože jejich účely se liší.
    • Šifrování během přenosu mezi agentem Synchronizace souborů Azure a Azure Synchronizace souborů Azure agent komunikuje se službou synchronizace úložiště a sdílenou složkou Azure pomocí protokolu Synchronizace souborů Azure REST a protokolu FileREST, z nichž oba vždy používají HTTPS přes port 443. Synchronizace souborů Azure neodesílá nešifrované požadavky přes protokol HTTP.
    • Šifrování neaktivních uložených dat ve sdílené složce Azure Všechna data uložená ve službě Azure Files se šifrují v klidovém stavu pomocí šifrování služby Azure Storage (SSE). Šifrování služby Storage funguje podobně jako BitLocker ve Windows: data se šifrují pod úrovní systému souborů. Vzhledem k tomu, že data se šifrují pod systémem souborů sdílené složky Azure, protože jsou data zakódovaná na disk, nepotřebujete přístup k základnímu klíči v klientovi pro čtení nebo zápis do sdílené složky Azure.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Efektivita provozu

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

  • Agent Synchronizace souborů Azure se pravidelně aktualizuje, aby přidal nové funkce a vyřešil problémy. Společnost Microsoft doporučuje nakonfigurovat službu Microsoft Update tak, aby poskytovala aktualizace pro agenta Synchronizace souborů Azure, jakmile budou k dispozici. Další informace najdete v tématu Synchronizace souborů Azure zásady aktualizace agenta.
  • Azure Storage nabízí obnovitelné odstranění sdílených složek, abyste mohli obnovit data, když je omylem odstraní aplikace nebo jiný uživatel účtu úložiště. Další informace o obnovitelném odstranění najdete v tématu Povolení obnovitelného odstranění ve sdílených složkách Azure.
  • Vrstvení cloudu je volitelná funkce Synchronizace souborů Azure, která ukládá často používané soubory místně na serveru a vrství ostatní do služby Azure Files na základě nastavení zásad. Když je soubor vrstvený, filtr systému souborů Synchronizace souborů Azure (StorageSync.sys) nahradí soubor místně ukazatelem na soubor ve službě Azure Files. Vrstvený soubor má atribut offline i atribut FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS nastavený v systému souborů NTFS, aby aplikace třetích stran mohly bezpečně identifikovat vrstvené soubory. Další informace najdete v tématu Přehled vrstvení cloudu.

Další kroky

Související hybridní pokyny:

Související architektury: