Настройка подключения к службе файлов Azure

  • 8 мин

Пользователи компании Contoso, скорее всего, будут подключаться к службе файлов Azure по протоколу SMB, хотя также поддерживается NFS. Протокол SMB использует TCP-порт 445 для установления соединений. Многие компании и поставщики услуг Интернета блокируют этот порт, что является распространенной причиной, по которой пользователи не могут получить доступ к службе "файлы Azure". Если разблокировать порт 445 невозможно, вы по-прежнему можете получать доступ к Файлам Azure, сначала настроив подключение через виртуальную частную сеть (VPN) типа "точка — сеть" (P2S), VPN-подключение типа "сеть — сеть" (S2S) или подключение Azure ExpressRoute к Azure. Кроме того, компания может использовать Синхронизацию файлов Azure для синхронизации файлового ресурса Azure с локальным файловым сервером, к которым пользователи всегда могут обращаться.

Брандмауэры и виртуальные сети службы хранилища Azure

Служба хранилища Azure, которая включает службы файлов Azure, предоставляет многоуровневую модель безопасности. Эта модель позволяет защитить и контролировать уровень доступа к учетным записям хранения на основе типа и подмножества сетей, из которых исходит запрос. По умолчанию брандмауэр учетной записи хранения разрешает доступ из всех сетей, но вы можете изменить его конфигурацию, разрешающую доступ только с указанных IP-адресов, диапазонов IP или из списка подсетей в виртуальной сети Azure. Конфигурация брандмауэра службы хранилища также позволяет выбрать доверенные службы платформы Azure для безопасного доступа к учетной записи хранения.

В дополнение к общедоступной конечной точке, которая создается по умолчанию для учетной записи хранения, Файлы Azure позволяют по желанию создать одну или несколько частных конечных точек. Частная конечная точка доступна только в пределах виртуальной сети Azure. При создании частной конечной точки для учетной записи хранения учетная запись хранения получает частный IP-адрес из адресного пространства виртуальной сети, аналогично тому, как локальный файловый сервер или устройство NAS получает IP-адрес из выделенного адресного пространства локальной сети. Это обеспечивает безопасность всего трафика между виртуальной сетью и учетной записью хранения по частному каналу.

Совет

Вы также можете использовать брандмауэр, чтобы блокировать доступ через общедоступную конечную точку при использовании частных конечных точек.

Подключение к общей папки Azure

Чтобы использовать общую папку Azure в Windows, вы должны либо подключить ее, то есть присвоить ей букву диска или путь точки подключения, либо получить доступ к ней через UNC-путь. Путь в формате UNC включает имя учетной записи хранения Azure, file.core.windows.net суффикс домена и имя общего ресурса. Например, если учетная запись хранения Azure называется storage1, а имя общей папки — share1, то UNC-путь будет иметь значение \\storage1.file.core.windows.net\share1.

Если для учетной записи хранения включена проверка подлинности на основе удостоверений и вы подключаетесь к общей папке Azure с устройства Windows, присоединенного к домену, вам не нужно вручную предоставлять учетные данные. В противном случае необходимо указать учетные данные. Вы можете использовать (AZURE\*<storage account name>*) в качестве имени пользователя и ключ доступа к хранилищу в качестве пароля. Те же учетные данные используются при подключении к файловому ресурсу Azure с помощью скрипта, предоставляемого порталом Azure.

Внимание

Ключи доступа к хранилищу предоставляют неограниченный доступ к общей папке Azure. По возможности используйте проверку подлинности на основе удостоверений.

Снимок экрана скрипта, который портал Azure предоставляет для подключения к файловому ресурсу Azure и где выбирается подключение.

Моментальные снимки общих файловых ресурсов Azure

В Windows Server можно создать теневую копию тома, которая фиксирует состояние тома на этот момент времени. Позже можно будет получить доступ к теневой копии по сети с помощью функции Предыдущие версии проводника. Аналогичные функции доступны для моментальных снимков файловых ресурсов Azure. Моментальный снимок файловых ресурсов — это копия данных общей папки Azure, предназначенная только для чтения.

Создайте моментальный снимок общего ресурса на уровне общей папки. Затем можно восстановить отдельные файлы из портала Microsoft Azure или из проводника, где можно также восстановить всю общую папку. Можно создать до 200 моментальных снимков на общую папку, что позволяет восстанавливать файлы на разные версии на момент времени. При удалении общей папки также удаляются все его моментальные снимки.

Моментальные снимки общих ресурсов являются добавочными. Сохраняются только данные, измененные с момента создания последнего моментального снимка. Это сокращает время, необходимое для создания моментального снимка общего ресурса, и экономит затраты на хранение.

Снимок экрана моментальных снимков файловых ресурсов с тремя моментальными снимками. На вкладке

Используйте моментальные снимки в следующих ситуациях:

  • Защита от случайного удаления или нежелательных изменений. Моментальный снимок общего ресурса содержит копии файлов общего ресурса на момент времени. Если общий доступ к файлам непреднамеренно изменен, можно использовать моментальные снимки общего ресурса для просмотра и восстановления предыдущих версий файлов.
  • Для общих целей резервного копирования. После создания общей папки можно периодически создавать моментальный снимок общего ресурса. Это позволяет поддерживать предыдущие версии данных, которые можно использовать для будущих требований аудита или аварийного восстановления.