配置与 Azure 文件存储的连接
Contoso 的用户很可能会使用 SMB 协议连接到 Azure 文件存储,但也支持 NFS。 SMB 使用 TCP 端口 445 来建立连接。 许多公司和 Internet 服务提供商会阻止该端口,这是用户无法访问 Azure 文件存储的常见原因。 如果无法选择取消阻止端口 445,则仍可通过首先建立点到站点 (P2S) 虚拟专用网 (VPN)、站点到站点 (S2S) VPN 或使用 Azure ExpressRoute 连接到 Azure 来访问 Azure 文件存储。 另外,公司还可以使用 Azure 文件同步将 Azure 文件共享同步到本地文件服务器,用户可以始终访问该服务器。
Azure 存储防火墙和虚拟网络
Azure 存储(包括 Azure 文件存储)提供分层安全模型。 使用此模型可以根据请求源自的网络的类型和子集来保护和控制存储帐户的访问级别。 默认情况下,存储帐户防火墙允许从所有网络访问,但可以修改其配置,使其仅允许从指定的 IP 地址、IP 范围或 Azure 虚拟网络中的子网列表进行访问。 通过存储防火墙配置,还可以选择受信任的 Azure 平台服务安全地访问存储帐户。
除了默认公共终结点,存储帐户(包括 Azure 文件存储)还提供创建一个或多个专用终结点的选项。 专用终结点是只能在 Azure 虚拟网络内部访问的终结点。 为存储帐户创建专用终结点时,存储帐户将从虚拟网络地址空间中获取一个专用 IP 地址,这类似于本地文件服务器或 NAS 设备接收本地网络专用地址空间中的 IP 地址。 这样可以通过专用链接保护虚拟网络和存储帐户之间的所有流量。
提示
使用专用终结点时,还可以使用存储帐户防火墙阻止通过公共终结点进行的所有访问。
连接到 Azure 文件共享
若要在 Windows OS 中使用某个 Azure 文件共享,必须装载该文件共享(为其分配驱动器号或装载点路径),或通过其通用命名约定 (UNC) 路径来访问它。 UNC 路径包含 Azure 存储帐户名、file.core.windows.net 域后缀和共享名。 例如,如果 Azure 存储帐户名为 storage1,共享名为 share1,则 UNC 路径为 \\storage1.file.core.windows.net\share1。
如果为存储帐户启用了基于标识的身份验证,并且从加入域的 Windows 设备连接到 Azure 文件共享,则无需手动提供任何凭据。 否则,必须提供凭据。 可以使用 (AZURE\*<storage account name>*) 作为用户名,使用存储访问密钥作为密码。 如果使用 Azure 门户提供的脚本连接到 Azure 文件共享,则使用相同的凭据。
注意
请注意,存储访问密钥提供对 Azure 文件共享的不受限访问权限。 请尽可能地使用基于标识的身份验证。
Azure 文件共享快照
在 Windows Server 中,可以创建卷的影子副本,以捕获该时间点的卷状态。 稍后可以使用文件资源管理器的“先前版本”功能通过网络访问影子副本。 Azure 文件共享快照具有类似的功能。 共享快照是 Azure 文件共享数据的时间点只读副本。
在文件共享级别创建共享快照。 然后,可以从 Azure 门户或文件资源管理器中还原单个文件,还可以在其中还原整个共享。 每个共享最多可以有 200 个快照,这使你能够将文件还原到不同的时间点版本。 如果删除共享,则还会删除其所有快照。
共享快照是递增的。 只会保存最新共享快照之后发生更改的数据。 这可最大程度地减少创建共享快照所需的时间,并节省存储空间和存储成本。
在下列情况下,请使用快照:
- 防止意外删除或意外更改。 共享快照包含共享文件的时间点副本。 如果无意中修改了共享文件,则可以使用共享快照来查看和还原先前版本的文件。
- 用于常规备份。 创建文件共享后,可以定期创建共享快照。 这使你能够维护之前版本的数据,以备未来审计之需或灾难恢复之用。