Connectiviteit met Azure Files configureren

  • 8 minuten

Gebruikers bij Contoso maken waarschijnlijk verbinding met Azure Files met behulp van het SMB-protocol, hoewel NFS ook wordt ondersteund. SMB gebruikt TCP-poort 445 voor het tot stand brengen van verbindingen. Veel bedrijven en internetproviders blokkeren die poort. Dit is een veelvoorkomende reden waarom gebruikers geen toegang hebben tot Azure Files. Als het deblokkeren van poort 445 geen optie is, hebt u nog steeds toegang tot Azure Files door eerst een punt-naar-site(P2S) virtueel particulier netwerk (VPN) tot stand te brengen, een site-naar-site-VPN (S2S) VPN of door een Azure ExpressRoute-verbinding met Azure te gebruiken. Het bedrijf kan ook Azure File Sync gebruiken om een Azure-bestandsshare te synchroniseren met een on-premises bestandsserver, waartoe gebruikers altijd toegang hebben.

Azure Storage-firewalls en virtuele netwerken

Azure Storage, dat Azure Files omvat, biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau voor uw opslagaccounts beveiligen en beheren op basis van het type en de subset van netwerken waaruit de aanvraag afkomstig is. Een firewall voor een opslagaccount biedt standaard toegang vanuit alle netwerken, maar u kunt de configuratie ervan wijzigen om alleen toegang toe te staan vanaf opgegeven IP-adressen, IP-bereiken of vanuit een lijst met subnetten in een virtueel Azure-netwerk. Met de firewallconfiguratie kunt u ook vertrouwde Azure-platformservices selecteren om veilig toegang te krijgen tot een opslagaccount.

Naast het standaard openbare eindpunt bieden opslagaccounts (waaronder Azure Files) de mogelijkheid om een of meer privé-eindpunten te hebben. Een privé-eindpunt is een eindpunt dat alleen toegankelijk is binnen een virtueel Azure-netwerk. Wanneer u een privé-eindpunt voor een opslagaccount maakt, krijgt het opslagaccount een privé-IP-adres in de adresruimte van het virtuele netwerk, vergelijkbaar met de manier waarop een on-premises bestandsserver of een NAS-apparaat een IP-adres ontvangt van de toegewezen adresruimte van een on-premises netwerk. Hiermee wordt al het verkeer tussen het virtuele netwerk en het opslagaccount beveiligd via een privékoppeling.

Tip

U kunt ook de firewall van het opslagaccount gebruiken om alle toegang via een openbaar eindpunt te blokkeren wanneer u privé-eindpunten gebruikt.

Verbinding maken met een Azure-bestandsshare

Als u een Azure-bestandsshare wilt gebruiken met het Windows-besturingssysteem, moet u deze koppelen, wat betekent dat u een stationsletter of koppelpuntpad toewijst, of dat u deze opent via het UNC-pad (Universal Naming Convention). Het UNC-pad bevat de naam van het Azure-opslagaccount, het file.core.windows.net domeinachtervoegsel en de sharenaam. Als het Azure-opslagaccount bijvoorbeeld opslag1 heet \\storage1.file.core.windows.net\share1

Als verificatie op basis van identiteit is ingeschakeld voor het opslagaccount en u verbinding maakt met een Azure-bestandsshare vanaf een Windows-apparaat dat lid is van een domein, hoeft u geen referenties handmatig op te geven. Anders moet u referenties opgeven. U kunt als (AZURE\*<storage account name>*) gebruikersnaam en de toegangssleutel voor opslag gebruiken als een wachtwoord. Dezelfde referenties worden gebruikt als u verbinding maakt met een Azure-bestandsshare met behulp van het script dat azure Portal biedt.

Let op

Opslagtoegangssleutels bieden onbeperkte toegang tot een Azure-bestandsshare. Gebruik waar mogelijk verificatie op basis van identiteiten.

Een schermopname van het script dat azure Portal biedt voor het maken van verbinding met een Azure-bestandsshare en Verbinding maken is geselecteerd.

Momentopnamen van Azure-bestandsshares

In Windows Server kunt u een schaduwkopie van een volume maken, waarmee de volumestatus op dat moment wordt vastgelegd. U hebt later toegang tot de schaduwkopie via een netwerk met behulp van de functie Bestandenverkenner Vorige versies. Vergelijkbare functionaliteit is beschikbaar met momentopnamen van Azure-bestandsshares. Een momentopname van een share is een alleen-lezen kopie van de Azure-bestandssharegegevens.

U maakt een momentopname van een share op bestandsshareniveau. U kunt vervolgens afzonderlijke bestanden herstellen vanuit Azure Portal of vanuit Bestandenverkenner, waar u ook een volledige share kunt herstellen. U kunt maximaal 200 momentopnamen per share hebben, zodat u bestanden kunt herstellen naar verschillende versies van een bepaald tijdstip. Als u een share verwijdert, worden alle momentopnamen ook verwijderd.

Momentopnamen van shares zijn incrementeel. Alleen de gegevens die zijn gewijzigd nadat de meest recente momentopname van de share is opgeslagen. Dit minimaliseert de tijd die nodig is om de momentopname van de share te maken en bespaart op opslag- en opslagkosten.

Een schermopname van momentopnamen van bestandsshares, met drie momentopnamen. Op het tabblad Vorige versies van de Azure-bestandsshare worden dezelfde drie momentopnamen vermeld.

Gebruik momentopnamen in de volgende situaties:

  • Bescherming tegen onbedoelde verwijderingen of onbedoelde wijzigingen. Een momentopname van een share bevat kopieën van een bepaald tijdstip van de bestanden van de share. Als sharebestanden onbedoeld worden gewijzigd, kunt u momentopnamen van shares gebruiken om eerdere versies van de bestanden te controleren en te herstellen.
  • Voor algemene back-updoeleinden. Nadat u een bestandsshare hebt gemaakt, kunt u periodiek een momentopname van een share maken. Hiermee kunt u eerdere versies van gegevens onderhouden die kunnen worden gebruikt voor toekomstige auditvereisten of herstel na noodgevallen.