Konfigurowanie łączności z usługą Azure Files

Ukończone

Użytkownicy w firmie Contoso prawdopodobnie nawiążą połączenie z usługą Azure Files przy użyciu protokołu SMB, chociaż system plików NFS jest również obsługiwany. Protokół SMB używa portu TCP 445 do nawiązywania połączeń. Wiele firm i dostawców usług internetowych blokuje ten port, co jest typowym powodem, dla którego użytkownicy nie mogą uzyskać dostępu do usługi Azure Files. Jeśli odblokowanie portu 445 nie jest opcją, nadal możesz uzyskać dostęp do usługi Azure Files, ustanawiając najpierw wirtualną sieć prywatną typu punkt-lokacja (VPN), sieć VPN typu lokacja-lokacja (S2S) lub przy użyciu połączenia usługi Azure ExpressRoute z platformą Azure. Alternatywnie firma może używać usługi Azure File Sync do synchronizowania udziału plików platformy Azure z lokalnym serwerem plików, do którego użytkownicy mogą zawsze uzyskiwać dostęp.

Zapory i sieci wirtualne usługi Azure Storage

Usługa Azure Storage, która obejmuje usługę Azure Files, udostępnia model zabezpieczeń warstwowych. Ten model umożliwia zabezpieczanie i kontrolowanie poziomu dostępu do kont magazynu na podstawie typu i podzestawu sieci, z których pochodzą żądania. Domyślnie zapora konta magazynu zezwala na dostęp ze wszystkich sieci, ale można zmodyfikować jej konfigurację tak, aby zezwalała na dostęp tylko z określonych adresów IP, zakresów adresów IP lub z listy podsieci w sieci wirtualnej platformy Azure. Konfiguracja zapory umożliwia również wybranie zaufanych usług platformy Azure w celu bezpiecznego uzyskiwania dostępu do konta magazynu.

Oprócz domyślnego publicznego punktu końcowego konta magazynu (które obejmują usługę Azure Files) zapewniają opcję posiadania co najmniej jednego prywatnego punktu końcowego. Prywatny punkt końcowy to punkt końcowy, który jest dostępny tylko w sieci wirtualnej platformy Azure. Podczas tworzenia prywatnego punktu końcowego dla konta magazynu konto magazynu pobiera prywatny adres IP z przestrzeni adresowej sieci wirtualnej, podobnie jak lokalny serwer plików lub urządzenie NAS odbiera adres IP z dedykowanej przestrzeni adresowej sieci lokalnej. Zabezpiecza to cały ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego.

Napiwek

Zaporę konta magazynu można również użyć, aby zablokować cały dostęp za pośrednictwem publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych.

Nawiązywanie połączenia z udziałem plików platformy Azure

Aby użyć udziału plików platformy Azure z systemem operacyjnym Windows, musisz zainstalować go — co oznacza przypisanie jej litery dysku lub ścieżki punktu instalacji — albo uzyskać do niego dostęp za pośrednictwem ścieżki Universal Naming Convention (UNC). Ścieżka UNC zawiera nazwę konta magazynu platformy Azure, file.core.windows.net sufiks domeny i nazwę udziału. Jeśli na przykład konto usługi Azure Storage ma nazwę storage1, a nazwa udziału to share1, ścieżka UNC będzie następująca\\storage1.file.core.windows.net\share1: .

Jeśli uwierzytelnianie oparte na tożsamości jest włączone dla konta magazynu i łączysz się z udziałem plików platformy Azure z urządzenia z systemem Windows przyłączonym do domeny, nie musisz ręcznie podawać żadnych poświadczeń. W przeciwnym razie należy podać poświadczenia. Możesz użyć (AZURE\*<storage account name>*) jako nazwy użytkownika i klucza dostępu do magazynu jako hasła. Te same poświadczenia są używane, jeśli łączysz się z udziałem plików platformy Azure przy użyciu skryptu udostępnianego przez witrynę Azure Portal.

Uwaga

Należy pamiętać, że klucz dostępu do magazynu zapewnia nieograniczony dostęp do udziału plików platformy Azure. Jeśli to możliwe, należy zamiast tego użyć uwierzytelniania opartego na tożsamościach.

Zrzut ekranu przedstawiający skrypt udostępniany przez witrynę Azure Portal na potrzeby nawiązywania połączenia z udziałem plików platformy Azure i wybrano pozycję Połącz.

Migawki udziałów plików platformy Azure

W systemie Windows Server można utworzyć kopię woluminu w tle, który przechwytuje stan woluminu w tym momencie w czasie. Później możesz uzyskać dostęp do kopii w tle za pośrednictwem sieci przy użyciu funkcji Eksplorator plików Poprzednich wersji. Podobne funkcje są dostępne w przypadku migawek udziałów plików platformy Azure. Migawka udziału jest kopią danych udziału w trybie tylko do odczytu dla danych udziału plików platformy Azure.

Migawkę udziału można utworzyć na poziomie udziału plików. Następnie można przywrócić poszczególne pliki z witryny Azure Portal lub z Eksplorator plików, gdzie można również przywrócić cały udział. Do 200 migawek na udział można mieć maksymalnie 200 migawek, co umożliwia przywracanie plików do różnych wersji czasu. Jeśli usuniesz udział, wszystkie jego migawki również zostaną usunięte.

Migawki udziałów są przyrostowe. Tylko dane, które uległy zmianie po zapisaniu najnowszej migawki udziału. Minimalizuje to czas wymagany do utworzenia migawki udziału i pozwala zaoszczędzić na kosztach magazynowania i magazynu.

Zrzut ekranu przedstawiający migawki udziału plików z trzema migawkami. Na karcie Poprzednie wersje udziału plików platformy Azure znajdują się te same trzy migawki.

Użyj migawek w następujących sytuacjach:

  • Ochrona przed przypadkowymi usunięciami lub niezamierzonym zmianami. Migawka udziału zawiera kopie plików udziału do punktu w czasie. Jeśli pliki udziałów są przypadkowo modyfikowane, możesz użyć migawek udziałów, aby przejrzeć i przywrócić poprzednie wersje plików.
  • Do celów ogólnych kopii zapasowych. Po utworzeniu udziału plików można okresowo tworzyć migawkę udziału. Dzięki temu można zachować poprzednie wersje danych, które mogą być używane do przyszłych wymagań inspekcji lub odzyskiwania po awarii.