Azure Files geopend vanuit on-premises en beveiligd door AD DS in een particulier netwerk

Deze architectuur demonstreert één manier om bestandsshares in de cloud te bieden aan on-premises gebruikers en toepassingen die toegang hebben tot bestanden op Windows Server via een privé-eindpunt.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Workflow

1. Deze oplossing synchroniseert de on-premises AD DS en de cloudgebaseerde Microsoft Entra-id. Synchroniseren maakt gebruikers productiever door een gemeenschappelijke identiteit te bieden voor toegang tot zowel cloudresources als on-premises resources.

   Microsoft Entra Connect is de on-premises Microsoft-toepassing waarmee de synchronisatie wordt uitgevoerd. Zie Wat is Microsoft Entra Connect? en Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen voor meer informatie over Microsoft Entra Connect.

2. Azure Virtual Network biedt een virtueel netwerk in de cloud. Voor deze oplossing heeft het ten minste twee subnetten, één voor Azure DNS en één voor een privé-eindpunt voor toegang tot de bestandsshare.

3. VPN of Azure ExpressRoute biedt beveiligde verbindingen tussen het on-premises netwerk en het virtuele netwerk in de cloud. Als u VPN gebruikt, maakt u een gateway met behulp van Azure VPN Gateway. Als u ExpressRoute gebruikt, maakt u een virtuele ExpressRoute-netwerkgateway. Zie Wat is VPN Gateway? en Over virtuele ExpressRoute-netwerkgateways voor meer informatie.

4. Azure Files biedt een bestandsshare in de cloud. Hiervoor is een Azure Storage-account vereist. Zie Wat is Azure Files? voor meer informatie over bestandsshares.

5. Een privé-eindpunt biedt toegang tot de bestandsshare. Een privé-eindpunt is vergelijkbaar met een netwerkinterfacekaart (NIC) in een subnet dat is gekoppeld aan een Azure-service. In dit geval is de service de bestandsshare. Zie Privé-eindpunten gebruiken voor Azure Storage voor meer informatie over privé-eindpunten.

6. De on-premises DNS-server zet IP-adressen om. Azure DNS zet echter de FQDN (Fully Qualified Domain Name) van de Azure-bestandsshare om. Alle DNS-query's naar Azure DNS zijn afkomstig van het virtuele netwerk. Er is een DNS-proxy in het virtuele netwerk om deze query's naar Azure DNS te routeren. Zie On-premises workloads met behulp van een DNS-doorstuurserver voor meer informatie.

   U kunt de DNS-proxy opgeven op een Windows- of Linux-server of u kunt Azure Firewall gebruiken. Zie De DNS-instellingen van Azure Firewall voor informatie over de optie Azure Firewall, die het voordeel heeft dat u geen virtuele machine hoeft te beheren.

7. De on-premises aangepaste DNS is geconfigureerd voor het doorsturen van DNS-verkeer naar Azure DNS via een voorwaardelijke doorstuurserver. Informatie over voorwaardelijk doorsturen vindt u ook in on-premises workloads met behulp van een DNS-doorstuurserver.

8. De on-premises AD DS verifieert de toegang tot de bestandsshare. Dit is een proces met vier stappen, zoals beschreven in deel 1: AD DS-verificatie inschakelen voor uw Azure-bestandsshares

Onderdelen

• Azure Storage is een set zeer schaalbare en veilige cloudservices voor gegevens, apps en workloads. Het omvat Azure Files, Azure Table Storage en Azure Queue Storage.
• Azure Files biedt volledig beheerde bestandsshares in een Azure Storage-account. De bestanden zijn toegankelijk vanuit de cloud of on-premises. Windows-, Linux- en macOS-implementaties kunnen Azure-bestandsshares gelijktijdig koppelen. Bestandstoegang maakt gebruik van het standaard SMB-protocol (Server Message Block).
• Azure Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Het biedt de omgeving voor Azure-resources, zoals virtuele machines, om veilig met elkaar te communiceren, met internet en met on-premises netwerken.
• Azure ExpressRoute breidt on-premises netwerken uit naar de Microsoft-cloud via een privéverbinding.
• Azure VPN Gateway verbindt on-premises netwerken met Azure via site-naar-site-VPN's, op ongeveer dezelfde manier als u verbinding maakt met een extern filiaal. De connectiviteit is veilig en maakt gebruik van protocollen volgens de industrienorm: Internet Protocol Security (IPsec) en Internet Key Exchange (IKE).
• Azure Private Link biedt privéconnectiviteit van een virtueel netwerk naar Azure PaaS (Platform as a Service), klant- of Microsoft-partnerservices. Het vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure door de blootstelling van gegevens aan het openbare internet te elimineren.
• Een privé-eindpunt is een netwerkinterface die gebruikmaakt van een privé-IP-adres van uw virtuele netwerk. U kunt privé-eindpunten voor uw Azure Storage-accounts gebruiken om clients in een virtueel netwerk toegang te geven tot gegevens via een privékoppeling.
• Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. U kunt Azure Firewall configureren om te fungeren als een DNS-proxy. Een DNS-proxy is een intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server.

Scenariodetails

Overweeg het volgende veelvoorkomende scenario: een on-premises computer met Windows Server wordt gebruikt om bestandsshares te bieden voor gebruikers en toepassingen. Active Directory-domein Services (AD DS) wordt gebruikt om de bestanden te beveiligen en een on-premises DNS-server beheert netwerkbronnen. Alles werkt binnen hetzelfde particuliere netwerk.

Stel nu dat u bestandsshares moet uitbreiden naar de cloud.

De architectuur die hier wordt beschreven, laat zien hoe Azure kan voldoen aan deze behoefte, terwijl het gebruik van uw on-premises netwerk, AD DS en DNS behouden blijft.

In deze installatie wordt Azure Files gebruikt om de bestandsshares te hosten. Een site-naar-site-VPN of Azure ExpressRoute biedt verbeterde beveiligingsverbindingen tussen het on-premises netwerk en azure Virtual Network. Gebruikers en toepassingen hebben toegang tot de bestanden via deze verbindingen. Microsoft Entra ID en Azure DNS werken samen met on-premises AD DS en DNS om veilige toegang te garanderen.

Kortom, als dit scenario van toepassing is op u, kunt u bestandsshares in de cloud tegen lage kosten aan uw on-premises gebruikers aanbieden, terwijl u de toegang tot verbeterde beveiliging behoudt via uw bestaande AD DS- en DNS-infrastructuur.

Potentiële gebruikscases

• De bestandsserver wordt verplaatst naar de cloud, maar de gebruikers moeten on-premises blijven.
• Toepassingen die naar de cloud worden gemigreerd, moeten toegang hebben tot on-premises bestanden en ook bestanden die naar de cloud worden gemigreerd.
• U moet de kosten verlagen door bestandsopslag naar de cloud te verplaatsen.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

• Azure Storage slaat altijd meerdere kopieën van uw gegevens op in dezelfde zone, zodat deze worden beschermd tegen geplande en ongeplande storingen. Er zijn opties voor het maken van extra kopieën in andere zones of regio's. Zie Redundantie in Azure Storage voor meer informatie.
• Azure Firewall heeft ingebouwde hoge beschikbaarheid. Zie Azure Firewall Standard-functies voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Deze artikelen bevatten beveiligingsinformatie voor Azure-onderdelen:

• Azure-beveiligingsbasislijn voor Azure Storage
• Azure-beveiligingsbasislijn voor Azure Private Link
• Azure-beveiligingsbasislijn voor virtueel netwerk
• Azure-beveiligingsbasislijn voor Azure Firewall

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Als u de kosten van Azure-producten en -configuraties wilt schatten, gebruikt u de Azure-prijscalculator.

Deze artikelen bevatten prijsinformatie voor Azure-onderdelen:

• Prijzen voor Azure Files
• Prijzen van Azure Private Link
• Prijzen van virtuele netwerken
• Prijzen voor Azure Firewall

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

• Uw Azure Storage-accounts bevatten al uw Azure Storage-gegevensobjecten, inclusief bestandsshares. Een opslagaccount biedt een unieke naamruimte voor de gegevens, een naamruimte die overal ter wereld toegankelijk is via HTTP of HTTPS. Voor deze architectuur bevat uw opslagaccount bestandsshares die worden geleverd door Azure Files. Voor de beste prestaties raden we het volgende aan:
  • Plaats databases, blobs enzovoort niet in opslagaccounts die bestandsshares bevatten.
  • U hebt niet meer dan één zeer actieve bestandsshare per opslagaccount. U kunt bestandsshares groeperen die minder actief zijn in hetzelfde opslagaccount.
  • Als voor uw workload grote hoeveelheden IOPS, zeer snelle gegevensoverdrachtssnelheden of zeer lage latentie zijn vereist, moet u Premium-opslagaccounts (FileStorage) kiezen. Een standaard v2-account voor algemeen gebruik is geschikt voor de meeste SMB-bestandsshareworkloads. Zie Azure Files-schaalbaarheids- en prestatiedoelen voor meer informatie over de schaalbaarheid en prestaties van bestandsshares.
  • Gebruik geen v1-opslagaccount voor algemeen gebruik, omdat er geen belangrijke functies zijn. Voer in plaats daarvan een upgrade uit naar een v2-opslagaccount voor algemeen gebruik. De typen opslagaccounts worden beschreven in het overzicht van het opslagaccount.
  • Let op grootte, snelheid en andere beperkingen. Raadpleeg azure-abonnements- en servicelimieten, quota en beperkingen.
• Er is weinig dat u kunt doen om de prestaties van niet-opslagonderdelen te verbeteren, behalve dat uw implementatie de limieten, quota en beperkingen respecteert die worden beschreven in Azure-abonnements- en servicelimieten, quota en beperkingen.
• Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor schaalbaarheid voor Azure-onderdelen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Rudnei Uitspreken | Senior Azure Security Engineer

Volgende stappen

• Quickstart: Een virtueel netwerk maken met behulp van Azure Portal
• Wat is VPN Gateway?
• Zelfstudie: Een VPN-gateway maken en beheren met behulp van Azure Portal
• Azure Enterprise-cloudbestandsshare
• Concepten en best practices voor Azure Virtual Network
• Een Azure Files-implementatie plannen
• Privé-eindpunten gebruiken voor Azure Storage
• DNS-configuratie van Azure-privé-eindpunt
• DNS-instellingen voor Azure Firewall
• Zelfbeheerde Active Directory-domein Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services vergelijken

Verwante resources

• Hybride bestandsshare met herstel na noodgevallen voor externe en lokale vertakkingsmedewerkers
• Azure Enterprise-cloudbestandsshare
• Azure-bestandsshares gebruiken in een hybride omgeving
• Hybride bestandsservices