此体系结构演示如何在混合环境中包括 Azure 文件共享。 Azure 文件共享用作无服务器文件共享。 通过将它们与 Active Directory 域服务(AD DS)集成,可以控制和限制对 AD DS 用户的访问。 所以 Azure 文件共享可以取代传统文件服务器。
体系结构
下载此体系结构的 Visio 文件。
工作流
该体系结构包括以下组件:
- Microsoft Entra 租户。 这个组件是由你所在组织创建的 Microsoft Entra 实例。 它通过存储从本地 Active Directory 中复制的对象,充当云应用程序的目录服务。 还提供访问 Azure 文件共享时的标识服务。
- AD DS 服务器。 此组件是本地目录和标识服务。 AD DS 目录会与 Microsoft Entra ID 同步,从而能够对本地用户进行身份验证。
- Microsoft Entra Connect Sync 服务器。 此组件是运行 Microsoft Entra Connect 同步服务的本地服务器。 此服务可将本地 Active Directory 中保存的信息同步到 Microsoft Entra ID。
- 虚拟网络网关。 此可选组件用于通过 Internet 在 Azure 虚拟网络和本地位置之间发送加密流量。
- Azure 文件共享。 Azure 文件共享为可通过服务器消息块 (SMB)、网络文件系统 (NFS) 和超文本传输协议 (HTTP) 协议访问的文件和文件夹提供存储。 文件共享部署到 Azure 存储帐户中。
- 恢复服务保管库。 此可选组件提供 Azure 文件共享备份。
- 客户端。 这些组件是 AD DS 成员计算机,用户可以从中访问 Azure 文件共享。
组件
用于实现此体系结构的关键技术:
- Microsoft Entra ID 是一种企业标识服务,提供单一登录、多重身份验证和条件访问。
- Azure 文件存储在云中提供完全托管的文件共享,可以使用行业标准协议访问这些共享。
- VPN 网关:VPN 网关通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。
方案详细信息
可能的用例
此体系结构的典型用途包括:
- 取代或补充本地文件服务器。 Azure 文件存储可以完全取代或补充传统的本地文件服务器或网络连接存储设备。 使用 Azure 文件共享和 AD DS 身份验证,可以将数据迁移到Azure 文件存储。 此迁移可以利用高可用性和可伸缩性,同时最大程度地减少客户端更改。
- 直接迁移。 借助 Azure 文件存储,可以轻松地将需要文件共享存储应用程序或用户数据的应用程序直接迁移到云中。
- 备份和灾难恢复。 可以使用 Azure 文件存储作为存储来进行备份,也可以将其用于灾难恢复,以改进业务连续性。 可以使用 Azure 文件存储来备份现有文件服务器中的数据,同时保留配置的 Windows 随机访问控制列表。 存储在 Azure 文件共享上的数据不会受到可能影响本地位置的灾难的影响。
- Azure 文件同步使用 Azure 文件同步,Azure 文件共享可以复制到本地或云中的 Windows Server。 此复制可提高性能,并将数据的缓存分发到正在使用的位置。
建议
以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
对 Azure 文件共享使用常规用途 v2 (GPv2) 或 FileStorage 存储帐户
可以在各种存储帐户中创建 Azure 文件共享。 虽然常规用途 v1 (GPv1) 和经典存储帐户可以包含 Azure 文件共享,但 Azure 文件存储的大多数新功能只能在 GPv2 和 FileStorage 存储帐户中使用。 Azure 文件共享将 GPv2 存储帐户数据存储在基于硬盘(基于 HDD)的硬件上,而将 FileStorage 存储帐户数据存储在基于固态硬盘(基于 SSD)的硬件上。 有关详细信息,请参阅创建 Azure 文件共享。
在仅包含 Azure 文件共享的存储帐户中创建 Azure 文件共享
使用存储帐户,可在同一存储帐户中使用不同的存储服务。 这些存储服务包括 Azure 文件共享、Blob 容器和表。 单个存储帐户中的所有存储服务共享相同的存储帐户限制。 将同一存储帐户中的存储服务混合,会让性能问题的故障排除变得更加困难。
注意
请尽可能地将每个 Azure 文件共享部署在其自己单独的存储帐户中。 如果将多个 Azure 文件共享部署到同一存储帐户中,则它们共享存储帐户限制。
对需要高吞吐量的工作负载使用高级文件共享
高级文件共享部署到 FileStorage 存储帐户,且存储在基于固态硬盘(基于 SSD)的硬件上。 因为存在这些设置,所以它们适合存储和访问需要一致的性能、高吞吐量和低延迟的数据。 (例如,这些高级文件共享适用于数据库。)可将对性能变化不敏感的其他工作负载存储在标准文件共享上。 这些工作负载类型包括常规用途文件共享和开发/测试环境。 有关详细信息,请参阅如何创建 Azure 文件共享。
访问 SMB Azure 文件共享时始终需要加密
在访问 SMB Azure 文件共享中的数据时,始终在传输中使用加密。 默认启用传输中加密。 仅当通过使用加密的协议(例如,SMB 3.0)建立连接时,Azure 文件存储才允许连接。 如果需要在传输中启用加密,则不支持 SMB 3.0 的客户端将无法装载 Azure 文件共享。
如果 SMB 使用的端口(端口 445)被阻止,请使用 VPN
许多 Internet 服务提供商阻止传输控制协议 (TCP) 端口 445,该端口用于访问 Azure 文件共享。 如果无法选择取消阻止 TCP 端口 445,则可以通过 ExpressRoute 或虚拟专用网络 (VPN) 连接(站点到站点,或点到站点)访问 Azure 文件共享,以避免流量阻塞。 有关详细信息,请参阅在 Windows 上配置用于 Azure 文件存储的点到站点 (P2S) VPN,以及配置用于 Azure 文件存储的站点到站点 VPN。
考虑将 Azure 文件同步与 Azure 文件共享配合使用
使用 Azure 文件同步服务,可在本地 Windows Server 文件服务器上缓存 Azure 文件共享。 启用云分层后,文件同步有助于确保文件服务器始终具有可用空间,甚至能同时让可用文件比文件服务器可以在本地存储的更多。 如果有本地 Windows Server 文件服务器,请考虑使用 Azure 文件同步 将文件服务器与 Azure 文件共享集成。有关详细信息,请参阅规划 Azure 文件同步部署。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
可伸缩性
- Azure 文件共享大小限制为 100 TB (TiB)。 没有最小文件共享大小,也不限制 Azure 文件共享的数量。
- 文件共享中文件的最大大小为 1 TiB,对文件共享中的文件数没有限制。
- IOPS 和吞吐量限制针对的是每个 Azure 存储帐户,并且同一存储帐户中的 Azure 文件共享会共享这些限制。
有关详细信息,请参阅 Azure 文件存储可伸缩性和性能目标。
可用性
注意
Azure 文件共享的父资源是 Azure 存储帐户。 Azure 文件共享具有包含共享的存储帐户提供的冗余级别。
- Azure 文件共享目前支持以下数据冗余选项:
- 本地冗余存储 (LRS)。 在主要区域中的单个物理位置同步复制数据三次。 这样做能防止由于硬件故障(例如磁盘驱动器损坏)而导致数据丢失。
- 区域冗余存储 (ZRS)。 跨主要区域中的 3 个 Azure 可用性区域同步复制数据。 可用性区域是 Azure 区域中独特的物理位置。 每个区域由一个或多个数据中心组成,这些数据中心配置了独立电源以及散热和网络设备。
- 异地冗余存储 (GRS)。 使用 LRS 在主要区域中的单个物理位置同步复制数据三次。 然后数据会被异步复制到次要区域中的单个物理位置。 异地冗余存储在两个 Azure 区域之间提供 6 个数据副本。
- 异地区域冗余存储 (GZRS)。 使用 ZRS 跨主要区域中的 3 个 Azure 可用性区域同步复制数据。 然后数据会被异步复制到次要区域中的单个物理位置。
- 高级文件共享只能存储在本地冗余存储 (LRS) 和区域冗余存储 (ZRS) 中。 标准文件共享可以存储在 LRS、ZRS、异地冗余存储 (GRS) 和异地区域冗余存储 (GZRS) 中。 有关详细信息,请参阅规划 Azure 文件存储部署和 Azure 存储冗余。
- Azure 文件存储是云服务,与所有云服务一样,必须建立 Internet 连接才能访问 Azure 文件共享。 强烈建议使用冗余 Internet 连接解决方案来避免中断。
可管理性
- 可以使用与任何其他 Azure 服务相同的工具管理 Azure 文件共享。 这些工具包括 Azure 门户、Azure 命令行接口和 Azure PowerShell。
- Azure 文件共享强制实施标准 Windows 文件权限。 可以通过装载 Azure 文件共享并使用文件资源管理器、Windows icacls.exe 命令或 Set-Acl Windows PowerShell cmdlet 配置权限来配置目录级别或文件级权限。
- 可以使用 Azure 文件共享快照创建 Azure 文件共享数据的时间点只读副本。 在文件共享级别创建共享快照。 然后,可以在 Azure 门户或文件资源管理器中还原单个文件,还可以在其中还原整个共享。 每个共享最多可以有 200 个快照,这使你能够将文件还原到不同的时间点版本。 如果删除共享,其快照也会被删除。 共享快照是递增的。 只会保存最新共享快照之后发生更改的数据。 这样做能减少创建共享快照所需的时间,并节省存储成本。 使用 Azure 备份保护 Azure 文件共享时,也会使用 Azure 文件共享快照。 有关详细信息,请参阅 Azure 文件存储的共享快照概述。
- 可以通过为文件共享启用软删除来防止意外删除 Azure 文件共享。 如果在启用软删除的情况下删除文件共享,文件共享将转换为软删除状态,而不会被永久擦除。 可配置软删除数据被永久删除前的可恢复时间,并在此保留期内随时还原共享。 有关详细信息,请参阅在 Azure 文件共享上启用软删除。
注意
当你为存储帐户中的第一个 Azure 文件共享配置备份时,Azure 备份会为该存储帐户中的所有文件共享启用软删除。
注意
软删除时,标准文件共享和高级文件共享均按使用的容量计费,而不是按预配容量计费。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
通过 SMB 使用 AD DS 身份验证以访问 Azure 文件共享。 该设置在访问 Azure 文件共享时提供与访问本地文件共享时相同的无缝单一登录 (SSO) 体验。 有关详细信息,请参阅其工作原理和功能启用步骤。 客户端需要以域加入的方式与 AD DS 联接,因为身份验证仍由 AD DS 域控制器完成。 此外,还需要分配共享级别和文件/目录级别权限才能访问数据。 共享级别权限分配是通过 Azure RBAC 模型进行的。 文件/目录级别权限是作为 Windows ACL 管理的。
注意
对 Azure 文件共享的访问始终要经过身份验证。 Azure 文件共享不支持匿名访问。 除了通过 SMB 进行基于标识的身份验证外,用户还可以通过使用存储访问密钥和共享访问签名完成 Azure 文件共享身份验证。
使用 Azure 存储服务加密 (SSE) 对存储在 Azure 文件共享中的所有数据进行静态加密。 SSE 的工作方式类似于 Windows 上的 BitLocker 驱动器加密:在文件系统级别下对数据进行加密。 默认情况下,Azure 文件存储中存储的数据使用 Microsoft 管理的密钥进行加密。 通过使用 Microsoft 管理的密钥,Microsoft 维护加密/解密数据的密钥,且管理密钥的定期轮换。 你还选择管理你自己的密钥,这让你能够控制密钥轮换过程。
默认情况下,所有 Azure 存储帐户均已启用传输中加密。 此设置意味着加密与 Azure 文件共享的所有通信。 不支持加密的客户端无法连接到 Azure 文件共享。 如果禁用传输中加密,则运行较旧操作系统的客户端(如 Windows Server 2008 R2 或较旧的 Linux)也可以连接。 在这种情况下,从 Azure 文件共享传输的数据不会加密。
默认情况下,客户端可以从任意位置连接到 Azure 文件共享。 要限制客户端可用于连接到 Azure 文件共享的网络,请配置防火墙、虚拟网络和专用终结点连接。 有关详细信息,请参阅配置 Azure 存储防火墙和虚拟网络,以及配置 Azure 文件存储网络终结点。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述和了解 Azure 文件存储计费。
- Azure 文件存储有两种存储层和两种定价模型:
- 标准存储:使用基于 HDD 的存储。 没有最小文件共享大小,只需为所使用的存储空间付费。 此外,还需要为文件操作付费,例如枚举目录或读取文件。
- 高级存储:使用基于 SSD 的存储。 高级文件共享的最低大小为 100 GiB,并要按预配的存储空间付费。 若使用高级存储,则所有文件操作都是免费的。
- 额外的成本会产生于文件共享快照和出站数据传输。 (从 Azure 文件共享传输数据时,入站数据传输是免费的。)数据传输成本取决于传输的数据量以及虚拟网络网关(如果存在)的库存单位 (SKU)。 有关费用的详细信息,请参阅 Azure 文件存储定价和 Azure 定价计算器。 实际费用因 Azure 区域和个人合同而异。 有关定价的其他信息,请联系 Microsoft 销售代表。
后续步骤
了解有关组件技术的详细信息:
- 请参阅如何创建 Azure 文件共享,以获取有关 SMB 共享的入门说明。
- 请参阅如何创建 NFS 共享,以获取有关 NFS 装载共享的入门说明。
相关资源
探索相关体系结构: