Důležité informace o sítích pro Synchronizace souborů Azure
Ke sdílené složce Azure se můžete připojit dvěma způsoby:
- Ke sdílené složce se dostanete přímo přes protokoly SMB nebo FileREST. Tento model přístupu se primárně používá k odstranění co největšího počtu místních serverů.
- Vytvořte mezipaměť sdílené složky Azure na místním serveru (nebo virtuálním počítači Azure) s Synchronizace souborů Azure a získejte přístup k datům sdílené složky z místního serveru pomocí vašeho zvoleného protokolu (SMB, NFS, FTPS atd.). Tento vzor přístupu je užitečný, protože kombinuje to nejlepší z místního výkonu i cloudového škálování se službami přidanými hodnotami, jako je Azure Backup.
Tento článek se zaměřuje na druhý scénář: jak nakonfigurovat sítě, když váš případ použití volá použití Synchronizace souborů Azure k ukládání souborů do mezipaměti místně místo přímého připojení sdílené složky Azure přes protokol SMB. Další informace o aspektech sítí pro nasazení služby Azure Files najdete v tématu Důležité informace o sítích služby Azure Files.
Konfigurace sítě pro Synchronizace souborů Azure zahrnuje dva různé objekty Azure: službu synchronizace úložiště a účet úložiště Azure. Účet úložiště je konstruktor správy, který představuje sdílený fond úložiště, ve kterém můžete nasadit více sdílených složek a také další prostředky úložiště, jako jsou objekty blob nebo fronty. Služba synchronizace úložiště je konstruktor správy, který představuje registrované servery, což jsou souborové servery Windows se zavedeným vztahem důvěryhodnosti s Synchronizace souborů Azure a skupiny synchronizace, které definují topologii vztahu synchronizace.
Důležité
Synchronizace souborů Azure nepodporuje internetové směrování. Synchronizace souborů podporuje výchozí možnost síťového směrování, tedy směrování Microsoftu.
Připojení souborového serveru Windows k Azure pomocí Synchronizace souborů Azure
Pokud chcete nastavit a používat soubory Azure a Synchronizace souborů Azure s místním souborovým serverem Windows, nevyžaduje se kromě základního připojení k internetu žádné speciální sítě k Azure. Pokud chcete nasadit Synchronizace souborů Azure, nainstalujete agenta Synchronizace souborů Azure na souborový server Windows, který chcete synchronizovat s Azure. Agent Synchronizace souborů Azure dosahuje synchronizace se sdílenou složkou Azure prostřednictvím dvou kanálů:
- Protokol FileREST, což je protokol založený na protokolu HTTPS, který se používá pro přístup ke sdílené složce Azure. Vzhledem k tomu, že protokol FileREST používá pro přenos dat standardní protokol HTTPS, musí být port 443 přístupný pro odchozí komunikaci. Synchronizace souborů Azure nepoužívá protokol SMB k přenosu dat mezi místními servery Windows a sdílenou složkou Azure.
- Synchronizační protokol Synchronizace souborů Azure, což je protokol založený na protokolu HTTPS, který se používá pro výměnu znalostí synchronizace, konkrétně informace o verzi souborů a složek mezi koncovými body ve vašem prostředí. Tento protokol se používá také k výměně metadat o souborech a složkách, jako jsou časové razítka a seznamy řízení přístupu (ACL).
Vzhledem k tomu, že Azure Files nabízí přímý přístup protokolu SMB ke sdíleným složkám Azure, zákazníci se často ptají, jestli potřebují nakonfigurovat speciální sítě pro připojení sdílených složek Azure pomocí protokolu SMB pro přístup agenta Synchronizace souborů Azure. To není povinné a ve skutečnosti se nedoporučuje s výjimkou scénářů správce, protože chybí rychlá detekce změn u změn provedených přímo ve sdílené složce Azure. Změny nemusí být zjištěny déle než 24 hodin v závislosti na velikosti a počtu položek ve sdílené složce Azure. Pokud chcete použít sdílenou složku Azure přímo místo použití Synchronizace souborů Azure k ukládání do místní mezipaměti, přečtěte si přehled sítí Azure Files.
I když Synchronizace souborů Azure nevyžaduje žádnou speciální konfiguraci sítě, někteří zákazníci můžou chtít nakonfigurovat upřesňující nastavení sítě tak, aby povolovali následující scénáře:
- Spolupracujte s konfigurací proxy serveru vaší organizace.
- Otevřete místní bránu firewall vaší organizace pro službu Azure Files a Synchronizace souborů Azure služby.
- Tunelování služby Azure Files a Synchronizace souborů Azure přenosy přes připojení ExpressRoute nebo virtuální privátní sítě (VPN).
Konfigurace proxy serverů
Mnoho organizací používá proxy server jako zprostředkující mezi prostředky uvnitř místní sítě a prostředky mimo svou síť, jako je například v Azure. Proxy servery jsou užitečné pro mnoho aplikací, jako je izolace sítě a zabezpečení, monitorování a protokolování. Synchronizace souborů Azure může plně spolupracovat s proxy serverem, musíte ale ručně nakonfigurovat nastavení koncového bodu proxy pro vaše prostředí pomocí Synchronizace souborů Azure. To je nutné provést přes PowerShell pomocí rutiny Set-StorageSyncProxyConfiguration
serveru Synchronizace souborů Azure .
Další informace o tom, jak nakonfigurovat Synchronizace souborů Azure s proxy serverem, najdete v tématu Konfigurace Synchronizace souborů Azure pomocí proxy serveru.
Konfigurace bran firewall a značek služeb
Mnoho organizací izoluje své souborové servery od většiny internetových umístění pro účely zabezpečení. Pokud chcete v takovém prostředí používat Synchronizace souborů Azure, musíte nakonfigurovat bránu firewall tak, aby umožňovala odchozí přístup k vybraným službám Azure. Můžete to udělat tak, že povolíte odchozí přístup portu 443 k požadovaným koncovým bodům cloudu, které hostují konkrétní služby Azure, pokud vaše brána firewall podporuje adresu URL/domény. Pokud ne, můžete rozsahy IP adres pro tyto služby Azure načíst prostřednictvím značek služeb.
Synchronizace souborů Azure vyžaduje rozsahy IP adres pro následující služby, jak jsou identifikovány jejich značkami služeb:
Služba | Popis | Značka služby |
---|---|---|
Synchronizace souborů Azure | Služba Synchronizace souborů Azure reprezentovaná objektem služby synchronizace úložiště zodpovídá za základní aktivitu synchronizace dat mezi sdílenou složkou Azure a souborovým serverem Windows. | StorageSyncService |
Soubory Azure | Všechna data synchronizovaná prostřednictvím Synchronizace souborů Azure jsou uložená ve sdílené složce Azure. Soubory změněné na souborových serverech s Windows se replikují do sdílené složky Azure a soubory vrstvené na místním souborovém serveru se bez problémů stáhnou, když je uživatel požádá. | Storage |
Azure Resource Manager | Azure Resource Manager je rozhraní pro správu Pro Azure. Všechna volání správy, včetně registrace Synchronizace souborů Azure serveru a probíhajících úloh synchronizačního serveru, se provádějí prostřednictvím Azure Resource Manageru. | AzureResourceManager |
Microsoft Entra ID | Microsoft Entra ID (dříve Azure AD) obsahuje instanční objekty potřebné k autorizaci registrace serveru vůči službě synchronizace úložiště a instanční objekty potřebné k tomu, aby Synchronizace souborů Azure byly autorizované pro přístup k vašim cloudovým prostředkům. | AzureActiveDirectory |
Pokud používáte Synchronizace souborů Azure v Rámci Azure, i když je v jiné oblasti, můžete použít název značky služby přímo ve skupině zabezpečení sítě a povolit tak provoz do této služby. Další informace najdete v tématu popisujícím skupiny zabezpečení sítě.
Pokud používáte Synchronizace souborů Azure místně, můžete pomocí rozhraní API značek služeb získat konkrétní rozsahy IP adres pro seznam povolených adres vaší brány firewall. Tyto informace můžete získat dvěma způsoby:
- Aktuální seznam rozsahů IP adres pro všechny služby Azure podporující značky služeb se publikuje každý týden na webu Stažení softwaru společnosti Microsoft ve formě dokumentu JSON. Každý cloud Azure má svůj vlastní dokument JSON s rozsahy IP adres relevantními pro tento cloud:
- Rozhraní API pro zjišťování značek služeb (Preview) umožňuje programově načítat aktuální seznam značek služeb. Ve verzi Preview může rozhraní API pro zjišťování značek služeb vracet informace, které nejsou natolik aktuální jako informace v dokumentech JSON publikovaných na webu Stažení softwaru společnosti Microsoft. Povrch rozhraní API můžete použít na základě vašich předvoleb automatizace:
Další informace o tom, jak pomocí rozhraní API značek služeb načíst adresy vašich služeb, najdete v seznamu povolených adres pro Synchronizace souborů Azure IP adresy.
Tunelování provozu přes virtuální privátní síť nebo ExpressRoute
Některé organizace vyžadují komunikaci s Azure, aby přešly přes síťový tunel, například VPN nebo ExpressRoute, pro další vrstvu zabezpečení nebo aby se zajistila komunikace s Azure pomocí deterministické trasy.
Když vytváříte síťový tunel mezi místní sítí a Azure, vytváříte partnerský vztah místní sítě s jednou nebo více virtuálními sítěmi v Azure. Virtuální síť neboli virtuální síť se podobá tradiční síti, kterou byste provozli místně. Podobně jako účet úložiště Azure nebo virtuální počítač Azure je virtuální síť prostředek Azure, který je nasazený ve skupině prostředků.
Azure Files a Synchronizace souborů Azure podporují následující mechanismy pro tunelování provozu mezi místními servery a Azure:
Azure VPN Gateway: Brána VPN je konkrétní typ brány virtuální sítě, která se používá k odesílání šifrovaného provozu mezi virtuální sítí Azure a alternativním umístěním (například místně) přes internet. Azure VPN Gateway je prostředek Azure, který je možné nasadit ve skupině prostředků vedle účtu úložiště nebo jiných prostředků Azure. Vzhledem k tomu, že Synchronizace souborů Azure je určená k použití s místním souborovým serverem Windows, normálně byste používali síť VPN typu Site-to-Site (S2S), i když je technicky možné použít síť VPN typu Point-to-Site (P2S).
Připojení VPN typu Site-to-Site (S2S) připojují vaši virtuální síť Azure a místní síť vaší organizace. Připojení VPN typu S2S umožňuje nakonfigurovat připojení VPN jednou pro server VPN nebo zařízení hostované v síti vaší organizace, a ne pro každé klientské zařízení, které potřebuje přístup ke sdílené složce Azure. Pokud chcete zjednodušit nasazení připojení S2S VPN, přečtěte si téma Konfigurace sítě VPN typu Site-to-Site (S2S) pro použití se službou Azure Files.
ExpressRoute, která umožňuje vytvořit definovanou trasu (privátní připojení) mezi Azure a vaší místní sítí, která neprochází internetem. Vzhledem k tomu, že ExpressRoute poskytuje vyhrazenou cestu mezi místním datacentrem a Azure, může být ExpressRoute užitečná v případě, že je klíčovým aspektem výkonu sítě. ExpressRoute je také dobrou volbou, když zásady nebo zákonné požadavky vaší organizace vyžadují deterministický přístup k vašim prostředkům v cloudu.
Privátní koncové body
Kromě výchozích veřejných koncových bodů Azure Files a Synchronizace souborů Azure poskytují prostřednictvím účtu úložiště a služby synchronizace úložiště možnost mít jeden nebo více privátních koncových bodů na prostředek. To vám umožní privátní a bezpečné připojení ke sdíleným složkám Azure z místního prostředí pomocí sítě VPN nebo ExpressRoute a z virtuální sítě Azure. Když vytvoříte privátní koncový bod pro prostředek Azure, získá privátní IP adresu z adresního prostoru vaší virtuální sítě, podobně jako místní souborový server Windows má IP adresu v rámci vyhrazeného adresního prostoru vaší místní sítě.
Jednotlivý privátní koncový bod je přidružený ke konkrétní podsíti virtuální sítě Azure. Účty úložiště a služby synchronizace úložiště můžou mít privátní koncové body ve více než jedné virtuální síti.
Použití privátních koncových bodů umožňuje:
- Bezpečně se připojte k prostředkům Azure z místních sítí pomocí připojení VPN nebo ExpressRoute s privátním partnerským vztahem.
- Zabezpečte své prostředky Azure zakázáním veřejných koncových bodů pro Azure Files a Synchronizace souborů. Vytvoření privátního koncového bodu ve výchozím nastavení neblokuje připojení k veřejnému koncovému bodu.
- Zvyšte zabezpečení virtuální sítě tím, že umožníte blokování exfiltrace dat z virtuální sítě (a hranic partnerského vztahu).
Pokud chcete vytvořit privátní koncový bod, přečtěte si téma Konfigurace privátních koncových bodů pro Synchronizace souborů Azure.
Privátní koncové body a DNS
Při vytváření privátního koncového bodu ve výchozím nastavení také vytvoříme (nebo aktualizujeme existující) privátní zónu privatelink
DNS odpovídající subdoméně. Pro oblasti veřejného cloudu jsou privatelink.file.core.windows.net
tyto zóny DNS určené pro Soubory Azure a privatelink.afs.azure.net
pro Synchronizace souborů Azure.
Poznámka:
Tento článek používá příponu DNS účtu úložiště pro veřejné oblasti Azure. core.windows.net
To platí také pro suverénní cloudy Azure, jako je cloud Azure US Government a Microsoft Azure provozovaný cloudem 21Vianet, a stačí nahradit příslušné přípony pro vaše prostředí.
Když vytváříte privátní koncové body pro účet úložiště a službu synchronizace úložiště, vytvoříme pro ně záznamy A v příslušných privátních zónách DNS. Aktualizujeme také veřejnou položku DNS tak, aby běžné plně kvalifikované názvy domén byly CNAMEs pro příslušný privatelink
název. To umožňuje plně kvalifikovaným názvům domén odkazovat na IP adresy privátního koncového bodu, když je žadatel uvnitř virtuální sítě a aby ukazoval na IP adresy veřejného koncového bodu, když je žadatel mimo virtuální síť.
U služby Azure Files má každý privátní koncový bod jeden plně kvalifikovaný název domény podle vzoru storageaccount.privatelink.file.core.windows.net
, který je namapovaný na jednu privátní IP adresu privátního koncového bodu. Pro Synchronizace souborů Azure má každý privátní koncový bod čtyři plně kvalifikované názvy domén pro čtyři různé koncové body, které Synchronizace souborů Azure zveřejňuje: správu, synchronizaci (primární), synchronizaci (sekundární) a monitorování. Plně kvalifikované názvy domén pro tyto koncové body se obvykle řídí názvem služby synchronizace úložiště, pokud název neobsahuje znaky jiné než ASCII. Pokud je mysyncservice
například název služby synchronizace úložiště v oblasti USA – západ 2, budou ekvivalentní koncové body mysyncservicemanagement.westus2.afs.azure.net
: , mysyncservicesyncp.westus2.afs.azure.net
a mysyncservicesyncs.westus2.afs.azure.net
mysyncservicemonitoring.westus2.afs.azure.net
. Každý privátní koncový bod služby synchronizace úložiště bude obsahovat čtyři odlišné IP adresy.
Vzhledem k tomu, že vaše privátní zóna DNS Azure je připojená k virtuální síti obsahující privátní koncový bod, můžete při volání rutiny z PowerShellu Resolve-DnsName
na virtuálním počítači nslookup
Azure (případně ve Windows a Linuxu) sledovat konfiguraci DNS:
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
V tomto příkladu se účet storageaccount.file.core.windows.net
úložiště přeloží na privátní IP adresu privátního koncového bodu, který se 192.168.0.4
stane .
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Pokud spustíte stejný příkaz z místního prostředí, uvidíte, že stejný název účtu úložiště se místo toho přeloží na veřejnou IP adresu účtu úložiště; storageaccount.file.core.windows.net
je záznam CNAME , storageaccount.privatelink.file.core.windows.net
který je zase záznamem CNAME pro cluster úložiště Azure, který je hostitelem účtu úložiště:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
To odráží skutečnost, že soubory Azure a Synchronizace souborů Azure můžou zveřejnit své veřejné koncové body i jeden nebo více privátních koncových bodů na prostředek. Pokud chcete zajistit, aby se plně kvalifikované názvy domén pro vaše prostředky přeložily na privátní IP adresy privátních koncových bodů, musíte změnit konfiguraci na místních serverech DNS. Toho lze dosáhnout několika způsoby:
- Úprava souboru hostitelů na vašich klientech tak, aby se plně kvalifikované názvy domén pro účty úložiště a Služby synchronizace úložiště přeložily na požadované privátní IP adresy. To se důrazně nedoporučuje pro produkční prostředí, protože tyto změny budete muset provést u každého klienta, který potřebuje přístup k vašim privátním koncovým bodům. Změny privátních koncových bodů nebo prostředků (odstranění, úpravy atd.) se nezpracují automaticky.
- Vytváření zón DNS na místních serverech pro
privatelink.file.core.windows.net
aprivatelink.afs.azure.net
se záznamy A pro vaše prostředky Azure To má výhodu, že klienti ve vašem místním prostředí budou moct automaticky překládat prostředky Azure bez nutnosti konfigurovat jednotlivé klienty. Toto řešení se ale podobá úpravě souboru hostitelů, protože se neprojeví změny. I když je toto řešení křehké, může být pro některá prostředí nejlepší volbou. - Přesměrovávat
core.windows.net
zóny aafs.azure.net
zóny z místních serverů DNS do privátní zóny DNS Azure. Privátního hostitele DNS Azure je možné dosáhnout prostřednictvím speciální IP adresy (168.63.129.16
), která je přístupná pouze ve virtuálních sítích propojených se zónou Azure Private DNS. Pokud chcete toto omezení obejít, můžete ve virtuální síti spustit další servery DNS, které budou předávatcore.windows.net
aafs.azure.net
do ekvivalentních zón Azure Private DNS. Abychom tuto konfiguraci zjednodušili, poskytli jsme rutiny PowerShellu, které automaticky nasadí servery DNS ve vaší virtuální síti Azure a nakonfigurují je podle potřeby. Informace o nastavení předávání DNS najdete v tématu Konfigurace DNS se službou Azure Files.
Šifrování během přenosu
Připojení z agenta Synchronizace souborů Azure ke sdílené složce Azure nebo službě synchronizace úložiště se vždy šifrují. I když účty úložiště Azure mají nastavení, které zakáže vyžadování šifrování při přenosu komunikace se službou Azure Files (a další služby úložiště Azure spravované mimo účet úložiště), zakázání tohoto nastavení nebude mít vliv na šifrování Synchronizace souborů Azure při komunikaci se službou Azure Files. Ve výchozím nastavení mají všechny účty úložiště Azure povolené šifrování během přenosu.
Další informace o šifrování během přenosu najdete v tématu vyžadování zabezpečeného přenosu v úložišti Azure.