Configurer la connectivité d’Azure Files
Les utilisateurs de Contoso vont probablement se connecter à Azure Files à l’aide du protocole SMB, bien que le protocole NFS soit également pris en charge. Le protocole SMB utilise le port TCP 445 pour établir les connexions. Un grand nombre d’entreprises et de fournisseurs de services Internet bloquent ce port, ce qui explique bien souvent pourquoi les utilisateurs ne peuvent pas accéder à Azure Files. Si le déblocage du port 445 n’est pas une option, vous pouvez toujours accéder à Azure Files en établissant d’abord un VPN (réseau privé virtuel) point à site (P2S), un VPN site à site (S2S) ou une connexion Azure ExpressRoute vers Azure. L’entreprise peut également utiliser Azure File Sync pour synchroniser un partage de fichiers Azure avec un serveur de fichiers local, auquel les utilisateurs peuvent toujours accéder.
Pare-feu et réseaux virtuels liés au service Stockage Azure
Stockage Azure, qui inclut Azure Files, fournit un modèle de sécurité en couches. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage en fonction du type et du sous-ensemble de réseaux d’où provient la requête. Par défaut, un pare-feu de compte de stockage autorise l’accès à partir de tous les réseaux. Toutefois, vous pouvez modifier sa configuration pour autoriser l’accès uniquement à partir d’adresses IP ou de plages IP spécifiques, ou à partir d’une liste de sous-réseaux d’un réseau virtuel Azure. La configuration du pare-feu vous permet également de sélectionner des services de plateforme Azure approuvés pour l’accès à un compte de stockage de manière sécurisée.
En plus du point de terminaison public par défaut, les comptes de stockage (qui incluent Azure Files) offrent la possibilité d’avoir un ou plusieurs points de terminaison privés. Un point de terminaison privé est un point de terminaison accessible uniquement dans un réseau virtuel Azure. Quand vous créez un point de terminaison privé pour un compte de stockage, ce dernier obtient une adresse IP privée à partir de l’espace d’adressage du réseau virtuel, de la même manière qu’un serveur de fichiers local ou un serveur NAS reçoit une adresse IP à partir de l’espace d’adressage dédié d’un réseau local. Cela permet de sécuriser la totalité du trafic entre le réseau virtuel et le compte de stockage via une liaison privée.
Conseil
Vous pouvez également vous servir du pare-feu du compte de stockage pour bloquer tous les accès via un point de terminaison public quand des points de terminaison privés sont utilisés.
Connexion à un partage de fichiers Azure
Pour utiliser un partage de fichiers Azure avec l’OS Windows, vous devez soit le monter (ce qui signifie lui affecter une lettre de lecteur ou un chemin de point de montage), soit y accéder via son chemin UNC (Universal Naming Convention). Le chemin UNC comprend le nom du compte Stockage Azure, le suffixe de domaine file.core.windows.net et le nom de partage. Par exemple, si le compte Stockage Azure se nomme storage1, et si le nom de partage est share1, le chemin UNC est \\storage1.file.core.windows.net\share1.
Si l’authentification basée sur l’identité est activée pour le compte de stockage et que vous vous connectez à un partage de fichiers Azure à partir d’un appareil Windows joint à un domaine, vous n’avez pas besoin de fournir manuellement les informations d’identification. Sinon, vous devez fournir des informations d’identification. Vous pouvez utiliser (AZURE\*<storage account name>*) en tant que nom d’utilisateur, et la clé d’accès de stockage en tant que mot de passe. Les mêmes informations d’identification sont utilisées si vous vous connectez à un partage de fichiers Azure à l’aide du script fourni par le portail Azure.
Attention
N’oubliez pas qu’une clé d’accès de stockage offre un accès illimité à un partage de fichiers Azure. À chaque fois que cela est possible, vous devez utiliser l’authentification basée sur l’identité à la place.
Instantanés de partage de fichiers Azure
Dans Windows Server, vous pouvez créer un cliché instantané d’un volume, qui capture l’état du volume à ce moment précis. Vous pouvez accéder plus tard au cliché instantané en réseau à l’aide de la fonctionnalité Versions précédentes de l’Explorateur de fichiers. Une fonctionnalité similaire est disponible avec les captures instantanées de partage de fichiers Azure. Une capture instantanée de partage est une copie en lecture seule, à un point dans le temps, des données du partage de fichiers Azure.
Vous créez une capture instantanée de partage au niveau du partage de fichiers. Vous pouvez ensuite restaurer des fichiers individuels à partir du portail Azure ou de l’Explorateur de fichiers, où vous pouvez également restaurer un partage entier. Vous pouvez avoir jusqu’à 200 captures instantanées par partage, ce qui vous permet de restaurer des fichiers vers différentes versions à un point dans le temps. Si vous supprimez un partage, toutes ses captures instantanées sont également supprimées.
Les captures instantanées de partage sont incrémentielles par nature. Seules les données qui ont changé depuis le dernier instantané de partage sont enregistrées. Cela réduit le temps nécessaire à la création de la capture instantanée de partage, et permet de faire des économies sur l’espace et les coûts de stockage.
Utilisez des captures instantanées dans les situations suivantes :
- En tant que protection contre les suppressions accidentelles ou les changements involontaires. Une capture instantanée de partage contient des copies à un point dans le temps des fichiers du partage. Si des fichiers de partage sont modifiés par inadvertance, vous pouvez utiliser des captures instantanées de partage pour vérifier et restaurer les versions précédentes des fichiers.
- À des fins de sauvegarde générale. Après avoir créé un partage de fichiers, vous pouvez créer régulièrement une capture instantanée de partage. Cela vous permet de conserver les versions précédentes de données qui peuvent être utilisées plus tard à des fins d’audit ou en cas de reprise d’activité après sinistre.