此参考体系结构说明了使用包括 Azure 文件存储、Azure 文件同步、Azure 专用 DNS 和 Azure 专用终结点在内的 Azure 服务的企业级云文件共享解决方案。 该解决方案外包文件服务器和基础结构的管理,同时保留对数据的控制,从而节省成本。
体系结构
下图显示了客户端如何访问 Azure 文件共享:
- 通过云分层文件服务器在本地访问。
- 在专用网络环境中通过 ExpressRoute 专用对等互连或 VPN 隧道远程访问。
下载此体系结构的 Visio 文件。
工作流
企业级云文件共享解决方案使用以下方法提供与传统文件共享相同的用户体验,但通过 Azure 文件共享:
- 使用 Azure 文件同步在本地文件服务器与 Azure 文件共享之间同步文件和文件夹访问控制列表 (ACL)。
- 使用 Azure 文件同步代理中的云分层功能在本地缓存经常访问的文件。
- 在 Azure 文件共享上强制实施 AD DS 身份验证。
- 通过 ExpressRoute 专用对等互连或 VPN 隧道,通过专用链接和专用终结点使用专用 IP 访问文件共享和文件同步服务。
通过在 Azure 文件存储和 Azure 文件同步上实现 Azure 专用终结点,将禁用公共终结点访问,从而限制为从 Azure 虚拟网络访问 Azure 文件存储和 Azure 文件同步。
ExpressRoute 专用对等互连 VPN 站点到站点隧道将本地网络扩展到 Azure 虚拟网络。 从本地到 Azure 文件存储和 Azure 文件同步专用终结点的 Azure 文件同步和服务器消息块 (SMB) 流量仅限于专用连接。 在转换期间,仅当使用 SMB 3.0+ 进行连接时,Azure 文件存储才会允许连接。 从 Azure 文件同步代理到 Azure 文件共享或存储同步服务建立的连接始终是加密的。 静态时,Azure 存储在将数据保存到云时会自动加密数据,Azure 文件存储也是如此。
域名系统 (DNS) 解析程序是该解决方案的一个关键组件。 每项 Azure 服务(在本例中为 Azure 文件存储和 Azure 文件同步)都有一个完全限定的域名 (FQDN)。 在以下情况下,这些服务的 FQDN 将解析为其公共 IP 地址:
- 当客户端访问 Azure 文件存储共享时。
- 当部署在本地文件服务器上的 Azure 文件同步代理访问 Azure 文件同步服务时。
启用专用终结点后,将在 Azure 虚拟网络中分配专用 IP 地址。 这些地址允许通过专用连接访问这些服务,并且同一 FQDN 现在必须解析为专用 IP 地址。 为此,Azure 文件存储和 Azure 文件同步将创建规范名称 DNS 记录 (CNAME),以将解析重定向到专用域名:
- Azure 文件同步的公共域名
*.afs.azure.net
将 CNAME 重定向到专用域名*.<region>.privatelink.afs.azure.net
。 - Azure 文件存储的公共域名
<name>.file.core.windows.net
将 CNAME 重定向到专用域名<name>.privatelink.file.core.windows.net
。
此体系结构中显示的解决方案正确配置了本地 DNS 设置,以便它们使用以下方法将专用域名解析为专用 IP 地址:
- 专用 DNS 区域(组件 11 和 12)是从 Azure 创建的,用于为 Azure 文件同步和 Azure 文件存储提供专用名称解析。
- 专用 DNS 区域链接到 Azure 虚拟网络,以便部署在虚拟网络中的 DNS 服务器或 Azure 专用 DNS 解析程序(组件 8)可以解析专用域名。
- 在专用 DNS 区域中为 Azure 文件存储和 Azure 文件同步创建 DNS A 记录。 有关终结点配置步骤,请参阅配置 Azure 文件存储网络终结点和配置 Azure 文件同步网络终结点。
- 本地 DNS 服务器(组件 3)设置条件转发,以将
domain afs.azure.net
和file.core.windows.net
的 DNS 查询转发到 Azure 虚拟网络(组件 8)中的 DNS 服务器。 - 收到来自本地 DNS 服务器的转发 DNS 查询后,Azure 虚拟网络中的 DNS 服务器(组件 8)使用 Azure DNS 递归解析程序解析专用域名并将专用 IP 地址返回给客户端。
组件
体系结构图中描述的解决方案使用了以下组件:
客户端(组件 1 或 2)- 通常,客户端是可以通过 SMB 协议与文件服务器或 Azure 文件存储通信的 Windows、Linux 或 Mac OSX 桌面。
DC 和 DNS 服务器(组件 3)- 域控制器 (DC) 是响应身份验证请求并验证计算机网络上的用户的服务器。 DNS 服务器向计算机和用户提供计算机名到 IP 地址映射名称解析服务。 DC 和 DNS 服务器可以合并为单个服务器,也可以拆分为不同的服务器。
文件服务器(组件 4)- 托管文件共享并提供文件共享服务的服务器。
CE/VPN 设备(组件 5)- 客户边缘路由器 (CE) 或 VPN 设备用于建立与 Azure 虚拟网络的 ExpressRoute 或 VPN 连接。
Azure ExpressRoute 或 Azure VPN 网关(组件 6)- Azure ExpressRoute 是一项服务,使你能够通过连接提供商提供的专用连接将本地网络扩展到 Microsoft 云。 Azure VPN 网关是特定类型的虚拟网关,用于跨公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密的流量。 ExpressRoute 或 VPN 网关建立与本地网络的 ExpressRoute 或 VPN 连接。
Azure 专用终结点(组件 7)- 一个网络接口,可以通过私密且安全的方式将你连接到 Azure 专用链接支持的服务。 在此解决方案中,Azure 文件同步专用终结点连接到 Azure 文件同步 (9),Azure 文件存储专用终结点连接到 Azure 文件存储 (10)。
收到来自本地 DNS 服务器的转发 DNS 查询后,Azure 虚拟网络实例中的 DNS 服务器/Azure 专用 DNS 解析程序(组件 8)会使用 Azure DNS 递归解析程序解析专用域名并将专用 IP 地址返回给客户端。
Azure 文件同步和云分层(组件 9)- 使用 Azure 文件同步可在 Azure 中集中管理组织的文件共享,同时保持本地文件服务器的灵活性、性能和兼容性。 云分层是 Azure 文件同步的一项可选功能,其中经常访问的文件在服务器本地缓存,而所有其他文件根据策略设置分层到 Azure 文件。
Azure 文件存储(组件 10)- 一种完全托管的服务,它在云中提供可通过行业标准服务器消息块 (SMB) 协议访问的文件共享。 Azure 文件存储实现 SMB v3 协议,并支持通过本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra 域服务进行身份验证。 Azure 文件存储中的文件共享可由 Windows、Linux 和 macOS 的云或本地部署同时装载。 此外,还可以使用 Azure 文件同步将 SMB Azure 文件共享缓存在 Windows Server 上那些靠近数据使用位置的位置,以加快访问速度。
Azure 专用 DNS(组件 11 和 12)- Azure 提供的 DNS 服务,专用 DNS 管理和解析虚拟网络中的域名,而无需添加自定义 DNS 解决方案。
Azure 备份(组件 13)- Azure 备份是一种 Azure 文件共享备份服务,它使用文件共享快照提供基于云的备份解决方案。 有关注意事项,请参阅数据丢失和备份。
方案详细信息
此解决方案允许通过本地虚拟网络和 Azure 虚拟网络之间的虚拟专用网访问混合工作环境中的 Azure 文件共享,而无需遍历 Internet。 它还允许通过基于标识的身份验证来控制和限制文件访问。
可能的用例
云文件共享解决方案支持以下可能的用例:
- 文件服务器或文件共享直接迁移。 通过直接迁移,无需重新构造或重新格式化数据。 还可以在本地保留旧应用程序,同时从云存储中获益。
- 加快云创新,提高运营效率。 降低维护硬件和物理空间的成本,防止数据损坏和数据丢失。
- 对 Azure 文件共享的专用访问。 防止数据外泄。
流量流
启用 Azure 文件同步和 Azure 文件存储后,可以在两种模式(本地缓存模式或远程模式)下访问 Azure 文件共享。 在这两种模式下,客户端均使用现有的 AD DS 凭据对自身进行身份验证。
本地缓存模式 - 客户端通过启用了云分层的本地文件服务器访问文件和文件共享。 当用户从本地文件服务器打开文件时,要么从文件服务器本地缓存提供文件数据,要么 Azure 文件同步代理从 Azure 文件存储无缝撤回文件数据。 在此解决方案的体系结构图中,它发生在组件 1 和 4 之间。
远程模式 - 客户端直接从远程 Azure 文件共享访问文件和文件共享。 在此解决方案的体系结构图中,流量流通过组件 2、5、6、7 和 10。
Azure 文件同步流量在组件 4、5、6 和 7 之间传输,使用 ExpressRoute 线路实现可靠连接。
专用域名解析查询使用以下顺序通过组件 3、5、6、8、11 和 12:
- 客户端将查询发送到本地 DNS 服务器,以解析 Azure 文件存储或 Azure 文件同步 DNS 名称。
- 本地 DNS 服务器具有一个条件转发器,该转发器将 Azure 文件存储和 Azure 文件同步 DNS 名称解析指向 Azure 虚拟网络中的 DNS 服务器。
- 查询被重定向到 Azure 虚拟网络中的 DNS 服务器或 Azure 专用 DNS 解析程序。
- 视虚拟网络的 DNS 配置而定:
- 如果配置了自定义 DNS 服务器,则 Azure 虚拟网络中的 DNS 服务器会将名称查询发送到 Azure 提供的 DNS (168.63.129.16) 递归解析程序。
- 如果配置了 Azure 专用 DNS 解析程序,并且该查询与链接到虚拟网络的专用 DNS 区域匹配,则会查询这些区域。
- 在将专用域名解析到相应的专用 DNS 区域后,DNS 服务器/Azure 专用 DNS 解析程序会返回专用 IP。 它使用 Azure 虚拟网络到 Azure 文件存储 DNS 区域和 Azure 文件同步专用 DNS 区域的链接。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
在实现此解决方案时,请考虑以下几点。
规划
- 有关 Azure 文件同步规划,请参阅规划 Azure 文件同步部署。
- 有关 Azure 文件存储规划,请参阅规划 Azure 文件存储部署。
网络
- 有关 Azure 文件同步网络注意事项,请参阅 Azure 文件同步网络注意事项。
- 有关 Azure 文件存储网络注意事项,请参阅 Azure 文件存储网络注意事项。
DNS
在管理专用终结点的名称解析时,按以下方式解析 Azure 文件存储和 Azure 文件同步的专用域名:
在 Azure 方面:
- 如果使用 Azure 提供的名称解析,Azure 虚拟网络必须链接到预配的专用 DNS 区域。
- 如果使用“自带 DNS 服务器”,则部署你自己的 DNS 服务器的虚拟网络必须链接到预配的专用 DNS 区域。
在本地方面,专用域名以下列方式之一映射到专用 IP 地址:
- 通过到 Azure 虚拟网络中部署的 DNS 服务器或 Azure 专用 DNS 解析程序的 DNS 转发,如图所示。
- 通过为专用域
<region>.privatelink.afs.azure.net
和privatelink.file.core.windows.net
设置区域的本地 DNS 服务器。 服务器将 Azure 文件存储和 Azure 文件同步专用终结点的 IP 地址作为 DNS A 记录注册到各自的 DNS 区域。 本地客户端直接从本地 DNS 服务器解析专用域名。
分布式文件系统 (DFS)
当涉及到本地文件共享解决方案时,许多管理员都选择使用 DFS 而不是传统的独立文件服务器。 DFS 允许管理员合并可能存在于多个服务器上的文件共享,以便它们好像都位于同一位置,从而使用户能够从网络上的单个点访问它们。 在迁移到云文件共享解决方案时,传统 DFS-R 部署可由 Azure 文件同步部署替代。 有关详细信息,请参阅将 DFS 复制 (DFS-R) 部署迁移至 Azure 文件同步。
数据丢失和备份
对于各种规模的企业来说,数据丢失都是一种严重问题。 Azure 文件共享备份使用文件共享快照提供基于云的备份解决方案,以保护云中的数据,并消除本地备份解决方案涉及的额外维护开销。 Azure 文件共享备份的主要优点包括:
- 零基础结构
- 自定义保留期
- 内置管理功能
- 即时还原
- 警报和报告
- 防止意外删除文件共享
有关详细信息,请参阅关于 Azure 文件共享备份
对 Azure 文件存储上的混合标识的支持
尽管本文介绍的是用于在 Azure 文件存储上进行身份验证的 Active Directory,但使用 Microsoft Entra ID 对混合用户标识进行身份验证也是可能的。 Azure 文件存储通过以下几种方法使用 Kerberos 身份验证协议来支持通过服务器消息块 (SMB) 进行基于标识的身份验证:
- 本地 Active Directory 域服务 (AD DS)
- Microsoft Entra 域服务
- Microsoft Entra Kerberos(仅限混合用户标识)
- Linux 客户端的 AD 身份验证
有关详细信息,请参阅为 Azure 文件存储上的混合标识启用 Microsoft Entra Kerberos 身份验证。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来更全面地防御 DDoS 攻击。 应在任何外围虚拟网络上启用 Azure DDOS 防护。
安全审核是帮助维护企业安全性的必然要求。 行业标准要求企业遵守与数据安全和隐私相关的一组严格规则。
文件访问审核
可以在本地和远程启用文件访问审核:
- 使用动态访问控制在本地启用。 有关详细信息,请参阅计划文件访问审核。
- 使用 Azure 文件存储上 Azure Monitor 中的 Azure 存储日志远程启用。 Azure 存储日志包含 StorageRead、StorageWrite、StorageDelete 和事务日志。 可以将 Azure 文件访问记录到存储帐户、日志分析工作区,或单独流式传输到事件中心。 有关详细信息,请参阅监视 Azure 文件存储。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
首席作者:
- Yingting Huang | 高级云解决方案架构师
要查看非公开领英个人资料,请登录领英。
后续步骤
- 规划 Azure 文件部署
- 如何部署 Azure 文件
- Azure 文件存储的网络注意事项
- 配置 Azure 文件存储网络终结点
- 监视 Azure 文件存储
- 文件访问审核计划
- 备份 Azure 文件共享
- 概述 - 通过 SMB 为 Azure 文件共享启用本地 Active Directory 域服务身份验证
- 部署 Azure 文件同步
- 配置 Azure 文件同步网络终结点
- 云分层概述
- 在 Azure 门户中创建站点到站点连接
- ExpressRoute 线路和对等互连
- 创建和修改 ExpressRoute 线路的对等互连
- 关于 Azure 文件共享备份
- 什么是 Azure DNS 专用解析程序
- 为 Azure 文件存储上的混合标识启用 Microsoft Entra Kerberos 身份验证