Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете развернуть Файлы Azure двумя основными способами: путем непосредственного подключения бессерверных общих папок Azure или кэширования общих папок Azure на месте с помощью Azure File Sync. Рекомендации по развертыванию будут отличаться в зависимости от выбранного варианта.
Прямое подключение файлового ресурса Azure. Поскольку служба "Файлы Azure" предоставляет доступ по протоколу SMB или NFS, вы можете монтировать файловые ресурсы Azure локально или в облаке с помощью стандартных клиентов SMB или NFS, доступных в вашей ОС. Поскольку общие папки Azure работают без сервера, развертывание в рабочей среде не требует настройки файлового сервера или устройства NAS. Это означает, что вам не нужно применять исправления программного обеспечения или заменять физические диски.
Кэширование общей папки Azure локально с помощью службы "Синхронизация файлов Azure". Вы можете использовать службу Синхронизация файлов Azure, чтобы централизованно хранить общие папки организации в службе "Файлы Azure", обеспечивая гибкость, производительность и совместимость локального файлового сервера. Синхронизация файлов Azure преобразует Windows Server, работающий в локальной или облачной среде, в высокоскоростной кэш вашего SMB хранилища файлов Azure.
В этой статье в первую очередь затрагиваются вопросы развертывания файлового общего ресурса Azure, чтобы его могли напрямую подключить локальные или облачные клиенты. Сведения о планировании развертывания Синхронизации файлов Azure см. в разделе Планирование развертывания Синхронизации файлов Azure.
Доступные протоколы
Служба "Файлы Azure" предлагает два стандартных отраслевых протокола файловой системы для подключения общих папок Azure: SMB и NFS. Вы можете выбрать протокол, который лучше всего подходит для вашей рабочей нагрузки. Общие папки Azure не поддерживают протоколы SMB и NFS в одной общей папке, хотя вы можете создавать общие папки SMB и NFS Azure в одной учетной записи хранения. NFS 4.1 в настоящее время поддерживается только в новых учетных записях хранилища FileStorage (только для общих папок премиум-класса).
Используя сетевые папки SMB и NFS, Azure Files предоставляет корпоративного уровня файловые ресурсы, которые можно масштабировать в соответствии с потребностями ваших хранилищ и к которым одновременно могут получить доступ тысячи клиентов.
| Функция | SMB (малый и средний бизнес) | Сетевая файловая система (NFS) |
|---|---|---|
| Поддерживаемые версии протокола | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Рекомендуемая ОС |
|
Linux, версия ядра 4.3+ |
| Доступные уровни | Класс "Премиум", оптимизировано для транзакций, горячий уровень доступа, холодный уровень доступа | Премиум |
| Модель выставления счетов | Подготовленная емкость | |
| Конечные точки зоны Azure DNS (предварительная версия) | Поддерживается | Поддерживается |
| Избыточность | ЛРС, ЗРС, ГРС, ГЗРС | LRS, ZRS |
| Семантика файловой системы | Win32 | POSIX |
| Проверка подлинности | Аутентификация на основе удостоверения (Kerberos), аутентификация с использованием общего ключа (NTLMv2) | Аутентификация на уровне узла |
| Авторизация | Списки управления доступом (ACL) типа Win32 | Разрешения в стиле UNIX |
| Чувствительность к регистру | Без учета регистра, с сохранением регистра | С учетом регистра |
| Удаление или изменение открытых файлов | Только с замком | Да |
| Общий доступ к файлам | Режим общего доступа Windows | Диспетчер сетевой блокировки с учетом диапазона байтов |
| Поддержка жесткой ссылки | Не поддерживается | Поддерживается |
| Поддержка символьных ссылок | Не поддерживается | Поддерживается |
| Интернет доступен по желанию | Да (только SMB 3.0+) | Нет |
| Поддержка FileREST | Да | Подмножество: |
| Обязательные блокировки диапазона байтов | Поддерживается | Не поддерживается |
| Индикативные блокировки диапазона байтов | Не поддерживается | Поддерживается |
| Расширенные или именованные атрибуты | Не поддерживается | Не поддерживается |
| Альтернативные потоки данных. | Не поддерживается | Н/П |
| Идентификаторы объектов | Не поддерживается | Н/П |
| Точки повторной проверки данных | Не поддерживается | Н/П |
| Разреженные файлы | Не поддерживается | Н/П |
| Сжатие | Не поддерживается | Н/П |
| Именованные каналы | Не поддерживается | Н/П |
| SMB Direct | Не поддерживается | Н/П |
| Аренда каталогов SMB | Не поддерживается | Н/П |
| теневое копирование томов | Не поддерживается | Н/П |
| Короткие имена файлов (псевдонимы 8.3) | Не поддерживается | Н/П |
| Серверная служба | Не поддерживается | Н/П |
| Транзакции файловой системы (TxF) | Не поддерживается | Н/П |
Основные принципы управления
Общие папки Azure развертываются в учетных записях хранения. Это объекты верхнего уровня, которые представляют общий пул хранилища. Пул хранилища можно использовать для развертывания нескольких файловых общих ресурсов, а также других ресурсов хранения, таких как блоб-контейнеры, очереди или таблицы. На все ресурсы хранилища, развернутые в учетной записи хранения, распространяются ограничения, которые применяются к этой учетной записи хранения. Сведения о текущих ограничениях учетной записи хранения см. d разделе Целевые показатели масштабируемости и производительности Файлов Azure.
Есть два основных типа учетных записей хранения, которые будут использоваться для развертывания службы "Файлы Azure":
- Учетные записи хранения общего назначения версии 2 (GPv2): Учетные записи хранения GPv2 позволяют развертывать общие папки Azure на оборудовании на основе стандартных жестких дисков (HDD). В дополнение к хранению файловых ресурсов Azure, учетные записи хранения GPv2 могут хранить и другие ресурсы, такие как контейнеры больших двоичных объектов, очереди и таблицы.
- Учетные записи хранения FileStorage. Такие учетные записи хранения позволяют развертывать общие папки Azure на оборудовании на основе твердотельных накопителей (SSD) уровня "Премиум". Учетные записи FileStorage можно использовать только для хранения общих папок Azure. Другие ресурсы хранилища (контейнеры больших двоичных объектов, очереди, таблицы и т. д.) нельзя развертывать в учетной записи FileStorage. Только учетные записи FileStorage могут развертывать общие папки SMB и NFS, так как NFS поддерживается только в общих папках класса Premium.
Есть несколько других типов учетных записей хранения, которые поддерживаются на портале Azure, в PowerShell и CLI. В двух из них (BlockBlobStorage и BlobStorage) хранить общие папки Azure нельзя. Два других типа учетных записей хранения, которые вы можете увидеть, это учетные записи хранения общего назначения версии 1 и классические учетные записи хранения, обе из которых могут содержать файловые ресурсы Azure. Хотя учетные записи хранения GPv1 и классические учетные записи могут содержать файлы Azure, большинство новых возможностей Azure Files доступны только в учетных записях хранения общего назначения версии 2 и учетных записях хранения FileStorage. Настоятельно рекомендуется использовать только учетные записи хранения GPv2 и FileStorage для новых развертываний, а также обновить существующие в вашей среде учетные записи хранения GPv1 и классические учетные записи хранения.
При развертывании файловых ресурсов Azure в учетных записях хранения мы рекомендуем следующее.
Развертывать файловые ресурсы Azure только в учетных записях хранения, содержащих другие файловые ресурсы Azure. Хотя учетные записи хранения GPv2 позволяют использовать хранилища с разными целями, поскольку ресурсы хранения, такие как общие папки Azure и контейнеры BLOB, совместно используют ограничения учетной записи хранения, смешивание ресурсов может затруднить выявление и устранение проблем с производительностью позже.
Учитывайте ограничения на операции ввода-вывода в секунду (IOPS) учетной записи хранения при развертывании файловых ресурсов Azure. В идеале следует сопоставлять общие папки с учетными записями хранения в соотношении 1:1. Но это не всегда возможно в связи с различными ограничениями как в организации, так и в Azure. Если невозможно развернуть только один файловый ресурс в одной учетной записи хранения, определите, какие файловые ресурсы будут высоко активными, а какие — менее активными, чтобы не допустить одновременного размещения самых горячих файловых ресурсов в одной учетной записи хранения.
Развертывание учетных записей GPv2 и FileStorage и обновление учетных записей GPv1 и классических учетных записей, когда они обнаруживаются в вашей среде.
Идентификация
Чтобы получить доступ к общей папке Azure, пользователь общей папки должен пройти проверку подлинности и авторизацию для доступа к общей папке. Это делается на основе идентификации пользователя, обращающегося к файловому ресурсу. Azure Файлы поддерживают следующие методы аутентификации:
- Локальные доменные службы Active Directory (AD DS или локальные AD DS): Учетные записи хранения Azure могут быть присоединены к доменным службам Active Directory, принадлежащим заказчику, так же, как и к файловому серверу Windows Server или устройству NAS. Контроллер домена можно развернуть локально, на виртуальной машине Azure или даже в качестве виртуальной машины в другом поставщике облачных служб. Работа службы файлов Azure не зависит от того, где размещается контроллер домена. После того как учетная запись хранения присоединена к домену, конечный пользователь может подключить общую папку с учетной записью пользователя, выполнившего вход на свой компьютер. Проверка подлинности на основе Active Directory использует протокол проверки подлинности Kerberos.
- Доменные службы Microsoft Entra: доменные службы Microsoft Entra предоставляют управляемый корпорацией Майкрософт контроллер домена, который можно использовать для ресурсов Azure. Присоединение вашей учетной записи для хранения к доменным службам Microsoft Entra предоставляет аналогичные преимущества по сравнению с присоединением к домену, принадлежащему клиенту, в службах Active Directory Domain Services (AD DS). Этот вариант развертывания наиболее подходит для сценариев миграции существующих приложений, требующих разрешений на основе Active Directory (AD). Так как доменные службы Microsoft Entra предоставляют проверку подлинности на основе AD, этот параметр также использует протокол проверки подлинности Kerberos.
- Microsoft Entra Kerberos для гибридных удостоверений: Microsoft Entra Kerberos позволяет использовать идентификатор Microsoft Entra для проверки подлинности гибридных удостоверений пользователей, которые являются локальными удостоверениями AD, синхронизированными с облаком. Эта конфигурация использует Microsoft Entra ID для выдачи билетов Kerberos для доступа к файловому ресурсу по протоколу SMB. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет, не требуя подключения к сетевым контроллерам из гибридного соединения Microsoft Entra и присоединенных к Microsoft Entra виртуальных машин.
- Аутентификация Active Directory по SMB для клиентов Linux: Файлы Azure поддерживают аутентификацию на основе удостоверений по SMB для клиентов Linux с использованием протокола Kerberos через AD DS или доменные службы Microsoft Entra.
- Ключ учетной записи хранения Azure. Файловые ресурсы Azure также можно подключить с помощью ключа учетной записи хранения Azure. Чтобы подключить общую папку таким образом, имя учетной записи хранения указывается в качестве имени пользователя, а ключ учетной записи — в качестве пароля. Использование ключа учетной записи хранения для подключения общей папки Azure фактически является административной операцией, так как подключенная общая папка будет иметь полный набор разрешений для всех файлов и папок в общей папке, даже если у них есть списки управления доступом. При использовании ключа учетной записи хранения для подключения по протоколу SMB используется протокол проверки подлинности NTLMv2. Если вы планируете использовать ключ учетной записи хранения для доступа к общим папкам Azure, рекомендуется использовать частные конечные точки или конечные точки служб, как описано в разделе "Сеть ".
Для клиентов, переходящих с локальных файловых серверов или создающих новые общие папки в Azure Files, предназначенные для функционирования как файловые серверы Windows или устройства NAS, рекомендуется присоединение учетной записи хранения к домену AD DS, принадлежащему клиенту. Дополнительные сведения о присоединении учетной записи хранения к принадлежащему клиенту домену AD DS см. в статье "Общие сведения — проверка подлинности локальной службы доменных служб Active Directory по протоколу SMB для файловых ресурсов Azure".
Сеть
Для прямого подключения общей папки Azure часто нужно тщательно обдумать конфигурацию сети, так как:
- Порт, используемый общими папками SMB для обмена данными через порт 445, часто блокируют многие организации и поставщики услуг Интернета для исходящего трафика (интернет-трафика).
- Общие папки NFS используют проверку подлинности на уровне сети и поэтому доступны только через ограниченные сети. Для использования общей папки NFS всегда требуется определенный уровень конфигурации сети.
Для настройки сети служба "Файлы Azure" предоставляет общедоступную конечную точку в Интернете и интеграцию с сетевыми функциями Azure, такими как конечные точки служб. Они помогают ограничить общедоступную конечную точку указанными виртуальными сетями и частными конечными точками, которые предоставляют учетной записи хранения частный IP-адрес из пространства IP-адресов виртуальной сети. Хотя для использования общедоступных конечных точек или конечных точек службы плата не взимается, стандартные тарифы обработки данных применяются для частных конечных точек.
Это означает, что вам потребуется рассмотреть следующие конфигурации сети:
- Если требуется протокол SMB и весь доступ через SMB осуществляется из клиентов в Azure, специальная конфигурация сети не требуется.
- Если требуется протокол SMB и доступ осуществляется от локальных клиентов, необходимо подключение через VPN или ExpressRoute от вашей локальной сети к Azure, при этом Azure Files должны быть доступны в вашей внутренней сети с использованием частных конечных точек.
- Если нужно работать по протоколу NFS, вы можете использовать конечные точки службы или частные конечные точки, чтобы ограничить сеть указанными виртуальными сетями. Если вам нужен статический IP-адрес и(или) для рабочей нагрузки требуется высокий уровень доступности, используйте частную конечную точку. При использовании конечных точек службы редкие события, такие как зональный сбой, могут привести к изменению базового IP-адреса учетной записи хранения. Хотя данные по-прежнему будут доступны в общей папке, клиенту потребуется переподключение к общей папке.
Дополнительные сведения о настройке сети для Файлов Azure см. в статье Рекомендации по работе с сетями службы "Файлы Azure".
Помимо прямого подключения к общей папке с помощью общедоступной конечной точки или подключения VPN либо ExpressRoute к частной конечной точке, SMB предоставляет дополнительную стратегию клиентского доступа: SMB через QUIC. Для доступа по протоколу SMB через транспортный протокол QUIC предоставляется SMB-VPN без настройки. Хотя служба "Файлы Azure" не поддерживает SMB через QUIC напрямую, вы можете создать упрощенный кэш общих папок Azure на виртуальной машине Windows Server 2022 Azure Edition с помощью Синхронизации файлов Azure. Дополнительные сведения об этой возможности см. в разделе Доступ по SMB через QUIC с помощью Синхронизации файлов Azure.
Шифрование
Файлы Azure поддерживает два различных типа шифрования:
- Шифрование при передаче, которое относится к шифрованию, используемому при подключении и доступе к общей папке Azure
- Шифрование неактивных данных, которое связано с тем, как данные шифруются при хранении на диске
Шифрование при передаче
Внимание
В этом разделе описаны подробности шифрования данных при передаче для общих папок SMB. Дополнительные сведения о шифровании при передаче с использованием общих папок NFS см. в разделе Безопасность и сеть.
По умолчанию для всех учетных записей хранения Azure включено шифрование при передаче. Это означает, что при подключении к общей папке через SMB или при доступе к ней через протокол FileREST (например, с помощью портала Azure, PowerShell, CLI или пакетов SDK Azure) служба "Файлы Azure" разрешит подключение только в том случае, если оно выполняется по протоколу SMB 3.x с шифрованием или через HTTPS. Клиенты, которые не поддерживают SMB 3.x или поддерживают SMB 3.x, но не шифрование SMB, не смогут подключить общую папку Azure, если шифрование включено во время передачи данных. Дополнительные сведения о том, какие операционные системы поддерживают SMB 3.x с шифрованием, см. в нашей документации по Windows, macOS и Linux. Все текущие версии PowerShell, CLI и пакетов SDK поддерживают протокол HTTPS.
В учетной записи хранения Azure шифрование при передаче можно отключить. Если шифрование отключено, служба "Файлы Azure" также разрешает подключение по протоколу SMB 2.1 и SMB 3.x без шифрования и незашифрованные вызовы API FileREST по протоколу HTTP. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в более старой версии операционной системы, например Windows Server 2008 R2 или более старой версии Linux. Azure Files разрешает только подключения SMB 2.1 в том же регионе Azure, что и файловое хранилище Azure; клиент SMB 2.1, находящийся за пределами региона Azure, в котором находится файловое хранилище Azure, например, на локальной инфраструктуре или в другом регионе Azure, не сможет получить доступ к файловому хранилищу.
Настоятельно рекомендуется включить шифрование данных при передаче.
Дополнительные сведения о шифровании при передаче см. в статье Require secure transfer in Azure Storage (Требование безопасной передачи в службе хранилища Azure).
Шифрование при хранении
Все данные, хранимые в Файлах Azure, шифруются с использованием функции "Шифрование службы хранилища Azure" (SSE). SSE работает как BitLocker в Windows: данные шифруются ниже уровня файловой системы. Поскольку данные шифруются под файловой системой общего доступа Azure, при их записи на диск вам не требуется доступ к базовому ключу на клиенте для чтения или записи данных в файловые хранилища Azure. Шифрование неактивных данных поддерживает протоколы SMB и NFS.
По умолчанию хранимые в Файлах Azure данные шифруются с помощью ключей, управляемых корпорацией Майкрософт, Под управляемыми Microsoft ключами, Microsoft хранит ключи для шифрования и расшифровки данных и отвечает за их регулярную смену. Вы также можете управлять собственными ключами, чтобы контролировать процесс их ротации. Если вы решили зашифровать общие папки с помощью ключей, управляемых клиентом, служба "Файлы Azure" будет иметь доступ к вашим ключам для выполнения запросов на чтение и запись от ваших клиентов. С помощью ключей, управляемых клиентом, эту авторизацию можно отозвать в любое время, но это означает, что общая папка Azure больше не будет доступна через SMB или API FileREST.
Служба "Файлы Azure" использует ту же схему шифрования, что и другие службы хранилища Azure, включая Хранилище BLOB-объектов Azure. Сведения об SSE Azure см. в статье Использование функции "Шифрование службы хранилища Azure" для неактивных данных.
Защита данных
Служба файлов Azure имеет многоуровневый подход к обеспечению резервного копирования, восстановления и защиты данных от угроз безопасности. См. обзор защиты данных Azure Files.
Мягкое удаление
Мягкое удаление — это параметр уровня учетной записи хранения, позволяющий восстановить файловую долю при случайном удалении. При удалении файлового ресурса он переходит в состояние мягкого удаления, а не стирается без возможности восстановления. Вы можете настроить продолжительность периода, в течение которого мягко удалённые общие ресурсы доступны для восстановления до их окончательного удаления, и восстановить ресурс в любое время в течение этого периода хранения.
Мягкое удаление по умолчанию включено для новых учетных записей хранения. Если в вашем рабочем процессе удаление общего ресурса происходит часто и ожидаемо, вы можете установить короткий период хранения или вообще не использовать функцию обратимого удаления.
Дополнительные сведения об обратимом удалении см. в разделе Предотвращение случайного удаления данных.
Резервное копирование
Можно создать резервную копию общего файлового ресурса Azure, используя моментальные снимки общего ресурса, которые предназначены только для чтения и представляют собой копии общего ресурса на момент времени. Моментальные снимки являются добавочными, то есть содержат ровно столько данных, сколько было изменено с момента создания предыдущего снимка. Можно получить до 200 моментальных снимков на файловую долю и хранить их до 10 лет. Вы можете либо вручную создавать моментальные снимки в портале Azure, с помощью PowerShell или интерфейса командной строки (CLI), либо использовать Azure Backup.
Azure Backup для файловых ресурсов Azure выполняет планирование и хранение снимков состояния. Возможности GFS означают, что можно создавать ежедневные, еженедельные, ежемесячные и ежегодные снимки, каждая из которых имеет уникальный период хранения. Azure Backup также управляет включением мягкого удаления и устанавливает блокировку удаления на учетной записи хранения, как только общая папка в этой учетной записи настроена для резервного копирования. Наконец, Azure Backup реализует некоторые ключевые возможности мониторинга и оповещения, позволяющие клиентам получать консолидированное представление о своей резервной копии.
С помощью Azure Backup можно выполнять восстановление как на уровне элементов, так и на уровне общего ресурса на портале Azure. Вам нужно всего лишь выбрать точку восстановления (определенный моментальный снимок), конкретный файл или каталог, а затем расположение (исходное или альтернативное), куда нужно выполнить восстановление. Служба резервного копирования осуществляет копирование данных моментального снимка и отображает ход восстановления на портале.
Защита Файлов Azure с помощью Microsoft Defender для службы хранилища
Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Она обеспечивает комплексную безопасность путем анализа телеметрии плоскостей данных и управления, порождаемой Azure Files. Он использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence , для предоставления контекстных оповещений системы безопасности, включая шаги по устранению обнаруженных угроз и предотвращению будущих атак.
Защитник для хранилища постоянно анализирует поток телеметрии, созданный Azure Files. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака, а также сведения о подозрительных действиях, шагах исследования, действиях по исправлению и рекомендациях по безопасности.
Defender для хранилища обнаруживает известные вредоносные программы, такие как программы-шантажисты, вирусы, шпионские программы и другие вредоносные программы, отправленные в учетную запись хранения на основе полного хэша файлов (поддерживается только для REST API). Это помогает предотвратить вход вредоносных программ в организацию и распространение на большее количество пользователей и ресурсов. Ознакомьтесь с разделом "Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации".
Defender для хранилища не обращается к данным учетной записи хранения и не влияет на ее производительность. Вы можете включить Microsoft Defender для хранилища на уровне подписки (рекомендуется) или на уровне ресурса.
Уровни хранилища
Azure Files предлагает два уровня накопителей, SSD (твердотельные диски) и HDD (жесткие диски), которые позволяют адаптировать файловые хранилища к требованиям производительности и цены:
SSD (премиум): Общие папки SSD обеспечивают согласованную высокую производительность и низкую задержку в пределах единиц миллисекунд для большинства операций ввода-вывода в условиях интенсивных рабочих нагрузок. SSD-хранилища подходят для широкого спектра рабочих нагрузок, таких как базы данных, размещение веб-сайтов и среды разработки. Общие папки SSD можно использовать как с протоколом Server Message Block (SMB), так и с протоколом Network File System (NFS). Общие папки SSD доступны в подготовленной модели выставления счетов версии 1 . Общие папки SSD предлагают более высокий уровень доступности SLA, чем общие папки HDD (см. раздел "Файлы Azure, премиум-уровень").
HDD (стандартный): общие папки HDD предоставляют экономичный вариант хранения общих папок общего назначения. Общие папки HDD, доступные с подготовленной моделью выставления счетов версии 2 и оплатой по мере использования, хотя мы рекомендуем подготовленную модель версии 2 для новых развертываний общих папок. Дополнительные сведения об уровне обслуживания см. на странице соглашений об уровне обслуживания Azure (см. раздел "Учетные записи хранения").
При выборе уровня мультимедиа для рабочей нагрузки учитывайте требования к производительности и использованию. Если ваша рабочая нагрузка требует задержки в пределах нескольких миллисекунд или вы используете локальное SSD-хранилище, уровень файловых ресурсов SSD, вероятно, лучше всего подойдет. Если низкая задержка не так важна, например с общими папками группы, смонтированными в локальной среде из Azure или закэшированными локально с помощью Azure File Sync, общие папки HDD могут лучше подойти с точки зрения экономии.
Создав общий доступ к файлам в учетной записи хранения данных, вы не сможете напрямую переместить его на другой уровень хранилища. Например, чтобы переместить общую папку HDD на уровень мультимедиа SSD, необходимо создать новую общую папку SSD и скопировать данные из исходной общей папки в новую общую папку в учетной записи FileStorage. Для копирования данных между общими папками Azure мы рекомендуем использовать AzCopy, но вы также можете использовать такие средства, как robocopy в Windows или rsync в macOS и Linux.
Более подробную информацию см. в статье Основные сведения о выставлении счетов за службы Azure Files.
Избыточность
Чтобы защитить данные в общих папках Azure от потери или повреждения данных, Файлы Azure хранит несколько копий каждого файла по мере их записи. В зависимости от ваших требований можно выбрать различные степени избыточности. Служба "Файлы Azure" в настоящее время поддерживает следующие варианты избыточности данных:
- Локально избыточное хранилище (LRS). При использовании LRS в кластере хранилища Azure сохраняются три копии каждого файла. Это защищает от потери данных из-за сбоев оборудования, таких как плохой диск. Однако если в центре обработки данных возникает катастрофа, например пожар или наводнение, все реплики учетной записи хранения с помощью LRS могут быть потеряны или невосстановлены.
- Зонально-избыточное хранилище (ZRS): С использованием ZRS сохраняются три копии каждого файла. Однако эти копии физически изолированы в трех разных кластерах хранения в разных зонах доступности Azure. Зоны доступности — уникальные физические расположения в пределах одного региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, обеспеченных независимыми системами электропитания, охлаждения и сетями. Запись в хранилище не принимается, пока она не будет записана в кластеры хранения во всех трех зонах доступности.
- Геоизбыточное хранилище (GRS): с GRS у вас есть два региона, основной регион и дополнительный регион. В кластере хранилища Azure в основном регионе хранятся три копии каждого файла. Операции записи асинхронно реплицируются в вторичный регион, определенный корпорацией Майкрософт. GRS предоставляет шесть копий данных, распределенных между двумя регионами Azure. Если произошла крупная авария, например необратимая потеря региона Azure из-за стихийных бедствий или другого подобного события, корпорация Майкрософт выполнит аварийное восстановление. В этом случае вторичный становится основным, обслуживая все операции. Поскольку репликация между основным и вторичным регионами осуществляется асинхронно, в случае серьезной аварии данные, еще не реплицированные в вторичный регион, будут потеряны. Вы также можете выполнить ручное переключение геоизбыточной учетной записи хранения.
- Геоизбыточное хранилище (GZRS): вы можете рассматривать GZRS как ZRS, но с геоизбыточностью. В GZRS три копии каждого файла хранятся в трех отдельных кластерах хранилища в основном регионе. Все операции записи затем асинхронно реплицируются в определенный корпорацией Майкрософт дополнительный регион. Процедура отказоустойчивости для GZRS аналогична GRS.
Стандартные файловые хранилища поддерживают все четыре типа избыточности. Файловые ресурсы Premium поддерживают только LRS и ZRS.
Учетные записи хранения общего назначения версии 2 (GPv2) предоставляют два других варианта избыточности, которые Azure Files не поддерживает: доступное для чтения геоизбыточное хранилище (RA-GRS) и доступное для чтения геозонально-избыточное хранилище (RA-GZRS). Вы можете подготовить файловые ресурсы Azure в учетных записях хранения с помощью этих параметров, однако служба Azure Files не поддерживает чтение из вторичного региона. Общие папки Azure, развернутые в учетных записях хранения RA-GRS или RA-GZRS, оплачиваются как GRS или GZRS соответственно.
Дополнительные сведения об избыточности см. в разделе Избыточность данных Azure Files.
Доступность ZRS в стандартном режиме
ZRS для стандартных учетных записей хранения версии 2 общего назначения доступен для подмножества регионов Azure.
Доступность ZRS категории "Премиум"
Для подмножества регионов Azure доступен ZRS для папок общего доступа класса "Премиум" (SSD).
Доступность стандартного GZRS
GZRS доступен для подмножества регионов Azure.
Аварийное восстановление и переключение при отказе
В случае непредвиденного перебоя в работе регионального сервиса вам потребуется план аварийного восстановления для файловых разделов Azure. Основные понятия и процессы, связанные с аварийным восстановлением и переключением учетной записи хранения, см. в статье Аварийное восстановление и переключение для Azure Files.
Миграция
Во многих случаях вы не будете создавать новую общую папку с нуля для вашей организации, а вместо этого перенесёте существующую общую папку с локального файлового сервера или устройства NAS в Azure Files. Выбор правильной стратегии и средств миграции для вашего сценария очень важен для ее успешного выполнения.
В статье Общие сведения о миграции кратко рассматриваются основы и содержится таблица, где представлены указания по миграции, которые, скорее всего, подходят для вашего случая.
Следующие шаги
- Planning for an Azure File Sync Deployment (Планирование развертывания службы синхронизации файлов Azure)
- How to deploy Azure Files (Развертывание службы "Файлы Azure")
- Развертывание службы синхронизации файлов Azure
- Ознакомьтесь с обзором по миграции, чтобы найти указания, подходящие для вашего случая