Servizi file ibridi

Microsoft Entra ID
Azure ExpressRoute
File di Azure
Account di archiviazione di Azure

Questa architettura di riferimento illustra come usare Sincronizzazione file di Azure e File di Azure per estendere le funzionalità di hosting dei servizi file tra risorse di condivisione file cloud e locali.

Architettura

Diagramma della topologia dei servizi file ibridi di Azure.

Scaricare un file di Visio di questa architettura.

Workflow

Questa architettura è costituita dai componenti seguenti:

  • Account di archiviazione di Azure. Un account di archiviazione usato per ospitare condivisioni file.
  • File di Azure. Condivisione file cloud serverless che fornisce l'endpoint cloud di una relazione di sincronizzazione tramite Sincronizzazione file di Azure. È possibile accedere ai file in una condivisione file di Azure direttamente con il protocollo SMB (Server Message Block) o FileREST.
  • Gruppi di sincronizzazione. Raggruppamenti logici di condivisioni file e server di Azure che eseguono Windows Server. I gruppi di sincronizzazione vengono distribuiti nel servizio di sincronizzazione archiviazione, che registra i server da usare con Sincronizzazione file di Azure e contiene le relazioni tra gruppi di sincronizzazione.
  • Agente di Sincronizzazione file di Azure. Viene installato nei computer Windows Server per abilitare e configurare la sincronizzazione con gli endpoint cloud.
  • Server Windows. Computer Windows Server locali o basati sul cloud che ospitano una condivisione file sincronizzata con una condivisione file di Azure.
  • Microsoft Entra ID. Tenant di Microsoft Entra usato per la sincronizzazione delle identità tra ambienti Azure e locali.

Componenti

Dettagli dello scenario

Tra gli usi tipici di questa architettura sono inclusi:

  • Hosting di condivisioni file che devono essere accessibili da ambienti cloud e locali.
  • Sincronizzazione dei dati tra più archivi dati locali con una singola origine basata sul cloud.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Attenersi a queste raccomandazioni, a meno che non si disponga di un requisito per eseguirne l'override.

File di Azure utilizzo e distribuzione

I file sono archiviati nel cloud in condivisioni file di Azure serverless. È possibile usarli in due modi: montandoli direttamente (SMB) o memorizzandoli nella cache in locale usando Sincronizzazione file di Azure. Ciò che è necessario considerare quando si pianifica la distribuzione dipende da quali dei due modi scelti.

  • Montaggio diretto di una condivisione file di Azure. Poiché File di Azure fornisce l'accesso SMB, è possibile montare condivisioni file di Azure in locale o nel cloud usando il client SMB standard disponibile nei sistemi operativi Windows, macOS e Linux. Le condivisioni file di Azure sono serverless, quindi la distribuzione per scenari di produzione non richiede la gestione di un file server o di un dispositivo NAS (Network Attached Storage). Ciò significa che non è necessario applicare patch software o sostituire dischi fisici.
  • Memorizzare nella cache la condivisione file di Azure in locale con Sincronizzazione file di Azure. Sincronizzazione file di Azure consente di centralizzare le condivisioni file dell'organizzazione in File di Azure, mantenendo al tempo stesso flessibilità, prestazioni e compatibilità di un file server locale. Il servizio Sincronizzazione file di Azure trasforma un'istanza locale o cloud di Windows Server in una cache rapida della condivisione file di Azure.

Distribuire il servizio di sincronizzazione archiviazione

Iniziare Sincronizzazione file di Azure distribuzione distribuendo una risorsa del servizio di sincronizzazione archiviazione in un gruppo di risorse della sottoscrizione selezionata. È consigliabile effettuare il provisioning del minor numero possibile di oggetti del servizio di sincronizzazione archiviazione. Si creerà una relazione di trust tra i server e questa risorsa. Un server può essere registrato in un solo servizio di sincronizzazione archiviazione. Di conseguenza, è consigliabile distribuire tutti i servizi di sincronizzazione archiviazione necessari per separare i gruppi di server. Tenere presente che i server di servizi di sincronizzazione archiviazione diversi non possono eseguire la sincronizzazione tra loro.

Registrazione di computer Windows Server con l'agente Sincronizzazione file di Azure

Per abilitare la funzionalità di sincronizzazione in Windows Server, è necessario installare l'agente scaricabile di Sincronizzazione file di Azure. L'agente Sincronizzazione file di Azure fornisce due componenti principali:

  • FileSyncSvc.exe. Servizio Windows in background responsabile del monitoraggio delle modifiche negli endpoint server e dell'avvio di sessioni di sincronizzazione.
  • StorageSync.sys. Filtro del file system che consente il cloud a livelli e un ripristino di emergenza più rapido.

È possibile scaricare l'agente dalla pagina di download di Sincronizzazione file di Azure Agent nell'Area download Microsoft.

Requisiti per il sistema operativo

Sincronizzazione file di Azure è supportato dalle versioni di Windows Server elencate nella tabella seguente.

Versione SKU supportati Opzioni di distribuzione supportate
Windows Server 2022 Azure, Datacenter, Essentials, Standard e IoT Full e Core
Windows Server 2019 Datacenter, Standard e IoT Full e Core
Windows Server 2016 Datacenter, Standard e Storage Server Full e Core
Windows Server 2012 R2 Datacenter, Standard e Storage Server Full e Core

Per altre informazioni, vedere Considerazioni sul file server di Windows.

Configurazione di gruppi di sincronizzazione ed endpoint cloud

Un gruppo di sincronizzazione definisce la topologia di sincronizzazione per un set di file. Gli endpoint all'interno di un gruppo di sincronizzazione vengono mantenuti sincronizzati tra loro. Un gruppo di sincronizzazione deve contenere un endpoint cloud, che rappresenta una condivisione file di Azure e uno o più endpoint server. Un endpoint server rappresenta un percorso in un server registrato. Un server può avere endpoint server in più gruppi di sincronizzazione. È possibile creare tutti i gruppi di sincronizzazione necessari per descrivere in modo appropriato la topologia di sincronizzazione desiderata.

Un endpoint cloud è un puntatore a una condivisione file di Azure. Tutti gli endpoint server vengono sincronizzati con un endpoint cloud, che diventa quindi l'hub. L'account di archiviazione per la condivisione file di Azure deve trovarsi nella stessa area del servizio di sincronizzazione archiviazione. L'intera condivisione file di Azure viene sincronizzata, con un'eccezione: viene effettuato il provisioning di una cartella speciale, paragonabile alla cartella nascosta System Volume Information in un volume NTFS (NT File System). Questa directory è denominata . SystemShareInformation e contiene metadati di sincronizzazione importanti che non vengono sincronizzati con altri endpoint.

Configurazione degli endpoint server

Un endpoint server rappresenta una posizione specifica in un server registrato, ad esempio una cartella in un volume del server. Un endpoint server deve essere un percorso in un server registrato (anziché una condivisione montata) e deve usare la suddivisione in livelli nel cloud. Il percorso dell'endpoint server deve trovarsi in un volume non di sistema. L'archiviazione NAS non è supportata.

Relazioni tra condivisione file di Azure e condivisione file di Windows

È consigliabile distribuire condivisioni file di Azure uno-a-uno con condivisioni file di Windows laddove possibile. L'oggetto endpoint server offre un elevato livello di flessibilità rispetto alla configurazione della topologia di sincronizzazione sul lato server della relazione di sincronizzazione. Per semplificare la gestione, fare in modo che il percorso dell'endpoint server corrisponda al percorso della condivisione file di Windows.

Usare il minor numero possibile di servizi di sincronizzazione archiviazione. Ciò semplifica la gestione quando si dispone di gruppi di sincronizzazione che contengono più endpoint server, perché windows Server può essere registrato solo in un servizio di sincronizzazione archiviazione alla volta.

Prestare attenzione alle limitazioni delle operazioni di I/O al secondo (IOPS) in un account di archiviazione quando si distribuiscono condivisioni file di Azure. L'ideale è eseguire il mapping delle condivisioni file uno-a-uno con gli account di archiviazione. Non è sempre possibile farlo a causa di vari limiti e restrizioni dell'organizzazione e di Azure. Quando non è possibile distribuire una sola condivisione file in un account di archiviazione, assicurarsi che le condivisioni file più attive non si trovano nello stesso account di archiviazione.

Raccomandazioni per la topologia: firewall, reti perimetrali e connettività proxy

Prendere in considerazione i consigli seguenti per la topologia della soluzione.

Filtro del firewall e del traffico

In base ai criteri dell'organizzazione o ai requisiti normativi univoci, potrebbe essere necessario limitare la comunicazione con Azure. Pertanto, Sincronizzazione file di Azure fornisce diversi meccanismi per la configurazione della rete. In base ai propri requisiti, è possibile:

  • Eseguire il tunneling del caricamento e del file e scaricare il traffico tramite Azure ExpressRoute o la rete privata virtuale di Azure (VPN).
  • Usare File di Azure e funzionalità di rete di Azure, ad esempio endpoint di servizio ed endpoint privati.
  • Configurare Sincronizzazione file di Azure per supportare il proxy in uso nell'ambiente.
  • Limitare l'attività di rete da Sincronizzazione file di Azure.

Per altre informazioni sulle Sincronizzazione file di Azure e sulla rete, vedere Sincronizzazione file di Azure considerazioni sulla rete.

Configurazione dei server proxy

Molte organizzazioni usano un server proxy come intermediario tra le risorse interne alla rete locale e le risorse esterne, ad esempio in Azure. I server proxy sono utili per molte applicazioni, ad esempio l'isolamento e la sicurezza della rete, nonché il monitoraggio e la registrazione. Sincronizzazione file di Azure può interagire completamente con un server proxy. Tuttavia, è necessario configurare manualmente le impostazioni dell'endpoint proxy per l'ambiente con Sincronizzazione file di Azure. A tale scopo, usare i cmdlet del server Sincronizzazione file di Azure in Azure PowerShell.

Per altre informazioni su come configurare Sincronizzazione file di Azure con un server proxy, vedere Sincronizzazione file di Azure impostazioni proxy e firewall.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

  • È consigliabile considerare il tipo e le prestazioni dell'account di archiviazione usato per ospitare condivisioni file di Azure. Tutte le risorse di archiviazione distribuite in un account di archiviazione condividono i limiti applicabili a tale account. Per altre informazioni sulla determinazione dei limiti correnti per un account di archiviazione, vedere File di Azure obiettivi di scalabilità e prestazioni.
  • Esistono due tipi principali di account di archiviazione per le distribuzioni File di Azure:
    • Account di archiviazione per utilizzo generico versione 2 (GPv2). Gli account di archiviazione per utilizzo generico v2 consentono di distribuire condivisioni file di Azure in hardware standard basato su disco rigido (basato su HDD). Oltre a archiviare condivisioni file di Azure, gli account di archiviazione per utilizzo generico v2 possono archiviare altre risorse di archiviazione, ad esempio contenitori BLOB, code e tabelle.
    • Account di archiviazione FileStorage: gli account di archiviazione FileStorage consentono di distribuire condivisioni file di Azure su hardware premium basato su disco con stato solido (basato su SSD). Gli account FileStorage possono essere usati solo per archiviare condivisioni file di Azure. Non è possibile distribuire altre risorse di archiviazione, ad esempio contenitori BLOB, code e tabelle in un account FileStorage.
  • È necessario assicurarsi che Sincronizzazione file di Azure sia supportato nelle aree in cui si distribuisce la soluzione. Per altre informazioni, vedere disponibilità Sincronizzazione file di Azure'area.
  • È necessario assicurarsi che i servizi a cui viene fatto riferimento nella sezione Architettura siano supportati nell'area in cui si distribuisce l'architettura dei servizi file ibridi.
  • Per proteggere i dati nelle condivisioni file di Azure da perdita o danneggiamento dei dati, tutte le condivisioni file di Azure archiviano più copie di ogni file durante la scrittura. A seconda dei requisiti del carico di lavoro, è possibile selezionare più gradi di ridondanza.
  • Versioni precedenti è una funzionalità di Windows che consente di usare snapshot del servizio Copia Shadow del volume sul lato server (VSS) di un volume per presentare versioni ripristinabili di un file in un client SMB. Gli snapshot del Servizio Copia Shadow del volume e Versioni precedenti funzionano indipendentemente da Sincronizzazione file di Azure. Tuttavia, il cloud a livelli deve essere impostato su una modalità compatibile. Nello stesso volume possono esistere più endpoint server di Sincronizzazione file di Azure. È necessario effettuare la chiamata di PowerShell seguente per volume che ha anche un endpoint server, in cui si prevede o si usa la suddivisione in livelli cloud. Per altre informazioni sulle versioni precedenti e sul Servizio Copia Shadow del volume, vedere Ripristino self-service tramite versioni precedenti e Vss (servizio Copia Shadow del volume).

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

  • Sincronizzazione file di Azure funziona con l'identità Dominio di Active Directory Services (AD DS) standard senza alcuna configurazione speciale oltre alla configurazione di Sincronizzazione file di Azure. Quando si usa Sincronizzazione file di Azure, l'accesso ai file passa in genere attraverso i server di memorizzazione nella cache Sincronizzazione file di Azure anziché tramite la condivisione file di Azure. Poiché gli endpoint server si trovano nei computer Windows Server, l'unico requisito per l'integrazione delle identità consiste nell'usare file server Windows aggiunti a un dominio per eseguire la registrazione con il servizio di sincronizzazione archiviazione. Sincronizzazione file di Azure archivia gli elenchi di controllo di accesso (ACL) per i file nella condivisione file di Azure e li replica in tutti gli endpoint server.
  • Anche se le modifiche apportate direttamente alla condivisione file di Azure richiedono più tempo per la sincronizzazione con gli endpoint server nel gruppo di sincronizzazione, è consigliabile assicurarsi di poter applicare le autorizzazioni di Active Directory Domain Services anche nella condivisione file direttamente nel cloud. A tale scopo, è necessario aggiungere l'account di archiviazione al dominio di Active Directory Domain Services locale, così come i file server Windows sono aggiunti a un dominio. Per altre informazioni sull'aggiunta del dominio all'account di archiviazione a un'istanza di Active Directory Domain Services di proprietà del cliente, vedere Panoramica delle opzioni di autenticazione basate sull'identità File di Azure per l'accesso SMB.
  • Quando si usa Sincronizzazione file di Azure, è necessario considerare tre diversi livelli di crittografia:
    • Crittografia dei dati inattivi archiviati in Windows Server. Esistono due strategie per crittografare i dati in Windows Server che funzionano in generale con Sincronizzazione file di Azure: crittografia sottostante al file system, per crittografare il file system e tutti i dati scritti su di esso, e crittografia nel formato di file stesso. Questi metodi possono essere usati insieme, se necessario, perché i loro scopi differiscono.
    • Crittografia in transito tra l'agente Sincronizzazione file di Azure e Azure. Sincronizzazione file di Azure agente comunica con il servizio di sincronizzazione archiviazione e la condivisione file di Azure usando il protocollo REST Sincronizzazione file di Azure e il protocollo FileREST, che usano sempre HTTPS sulla porta 443. Sincronizzazione file di Azure non invia richieste non crittografate su HTTP.
    • Crittografia dei dati inattivi archiviati nella condivisione file di Azure. Tutti i dati archiviati in File di Azure vengono crittografati inattivi usando la crittografia del servizio di archiviazione di Azure.All data that's stored in File di Azure is encrypted at rest using Azure storage service encryption (SSE). La crittografia del servizio di archiviazione funziona in modo analogo a BitLocker in Windows: i dati vengono crittografati al di sotto del livello del file system. Poiché i dati vengono crittografati sotto il file system della condivisione file di Azure perché i dati vengono codificati su disco, non è necessario accedere alla chiave sottostante nel client per leggere o scrivere nella condivisione file di Azure.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

  • L'agente Sincronizzazione file di Azure viene aggiornato a intervalli regolari per aggiungere nuove funzionalità e risolvere eventuali problemi. Microsoft consiglia di configurare Microsoft Update per fornire aggiornamenti per l'agente Sincronizzazione file di Azure non appena diventano disponibili. Per altre informazioni, vedere Criteri di aggiornamento dell'agente Sincronizzazione file di Azure.
  • Archiviazione di Azure offre l'eliminazione temporanea per le condivisioni file in modo da poter recuperare i dati quando vengono erroneamente eliminati da un'applicazione o da un altro utente dell'account di archiviazione. Per altre informazioni sull'eliminazione temporanea, vedere Abilitare l'eliminazione temporanea nelle condivisioni file di Azure.
  • La suddivisione in livelli nel cloud è una funzionalità facoltativa di Sincronizzazione file di Azure che memorizza nella cache i file a cui si accede di frequente localmente nel server e le altre possono File di Azure in base alle impostazioni dei criteri. Quando un file è a livelli, il filtro Sincronizzazione file di Azure file system (StorageSync.sys) sostituisce il file in locale con un puntatore al file in File di Azure. Un file a livelli ha sia l'attributo offline che l'attributo FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS impostato in NTFS in modo che le applicazioni di terze parti possano identificare in modo sicuro i file a livelli. Per altre informazioni, vedere Panoramica del cloud a livelli.

Passaggi successivi

Indicazioni ibride correlate:

Architetture correlate: