編輯

共用方式為

從內部部署存取並由私人網路中的 AD DS 保護的 Azure Files

Azure 虛擬網路
Azure ExpressRoute
Azure 儲存體帳戶
Azure 檔案
Azure DNS

此架構示範一種方式,將雲端中的檔案共用提供給透過私人端點存取 Windows Server 上的檔案的內部部署使用者和應用程式。

架構

Azure 架構可為擁有許多分公司的公司提供內部部署和雲端桌面。

下載此架構的 Visio 檔案

工作流程

  1. 此解決方案可同步企業內部的 AD DS 和雲端 Microsoft Entra ID。 同步作業會提供可同時存取雲端和內部部署資源的通用身分識別,協助使用者提高生產力。

    Microsoft Entra Connect 是執行同步的內部 Microsoft 應用程式。 如需 Microsoft Entra Connect 的更多資訊,請參閱什麼是 Microsoft Entra Connect? Microsoft Entra Connect Sync:了解並自訂同步

  2. Azure 虛擬網路在雲端提供虛擬網路。 對於此解決方案,它至少有兩個子網路,一個用於 Azure DNS,另一個用於存取檔案共用的私人端點。

  3. VPN 或 Azure ExpressRoute 可提供內部網路與雲端虛擬網路之間的安全性連線。 如果使用 VPN,請使用 Azure VPN 閘道建立閘道。 如果使用 ExpressRoute,請建立 ExpressRoute 虛擬網路閘道。 如需更多資訊,請參閱什麼是 VPN 閘道?關於 ExpressRoute 虛擬網路閘道

  4. Azure Files 在雲端提供檔案共用。 此流程需要 Azure 儲存體帳戶。 如需檔案共用的更多資訊,請參閱什麼是 Azure Files?

  5. 私人端點提供檔案共用的存取權。 私人端點就像子網路內的網路介面卡 (NIC),可附加到 Azure 服務。 在這種情況下,服務就是檔案共用。 如需私人端點的更多資訊,請參閱使用 Azure 儲存體的私人端點

  6. 內部部署的 DNS 伺服器會解析 IP 位址。 但是,Azure DNS 會解析 Azure 檔案共用的完整合格網域名稱 (FQDN)。 所有對 Azure DNS 的 DNS 查詢都源自虛擬網路。 虛擬網路內有 DNS 代理將這些查詢路由到 Azure DNS。 如需更多資訊,請參閱使用 DNS 轉寄站的內部部署工作負載

    您可以在 Windows 或 Linux 伺服器上提供 DNS 代理,也可以使用 Azure 防火牆。 如需 Azure 防火牆選項的資訊,其優點是您無需管理虛擬機器,請參閱 Azure 防火牆 DNS 設定

  7. 內部部署自訂 DNS 的設定,是透過條件轉寄站將 DNS 流量轉送至 Azure DNS。 使用 DNS 轉寄站的內部部署工作負載中也有條件轉發的相關資訊。

  8. 企業內部 AD DS 會驗證對檔案共用的存取。 如第一部分:為您的 Azure 檔案共用啟用 AD DS 驗證所述,這是一個分四個步驟的程序

元件

  • Azure 儲存體是一套適用於資料、應用程式和工作負載的大規模擴展且安全性高的雲端服務。 該服務包括 Azure FilesAzure 表儲存體Azure 佇列儲存體
  • Azure Files 在 Azure 儲存體帳戶中提供完全管理的檔案共用。 這些檔案可從雲端或內部部署存取。 Windows、Linux 和 macOS 部署可以同時裝載 Azure 檔案共用。 檔案存取使用業界標準的伺服器訊息區塊 (SMB) 通訊協定。
  • Azure 虛擬網路是私人網路在 Azure 中的基本建置組塊。 可為 Azure 資源 (例如虛擬機器) 提供環境,讓它們可以彼此、與網際網路及內部網路安全地通訊。
  • Azure ExpressRoute 透過私人連線,將企業內部網路延伸至 Microsoft 雲端。
  • Azure VPN 閘道會透過站對站 VPN,將內部部署網路連線到 Azure,方法和您連線到遠端分公司相同。 連線十分安全,採用的是業界標準通訊協定:網際網路通訊協定安全性 (IPsec) 及網際網路金鑰交換 (IKE)。
  • Azure Private Link 提供從虛擬網路到 Azure 平台即服務 (PaaS)、客戶所擁有的服務,或是 Microsoft 合作夥伴服務的私人連線。 其可簡化網路架構,並透過消除公用網際網路上的資料暴露,來保護 Azure 中端點之間的連線。
  • 私人端點是使用虛擬網路之私人 IP 位址的網路介面。 您可以為 Azure 儲存體帳戶使用私人端點,以允許虛擬網路上的用戶端透過 Private Link 存取資料。
  • Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 您可以將Azure 防火牆設定為 DNS Proxy 的角色。 DNS Proxy 是從用戶端虛擬機器對 DNS 伺服器發出 DNS 要求的媒介。

案例詳細資料

請考慮下列常見案例:執行 Windows Server 的內部部署電腦可用來為使用者和應用程式提供檔案共用。 Active Directory 網域服務 (AD DS) 可用來協助保護檔案,而內部部署 DNS 伺服器會管理網路資源。 一切都在同一個私人網路上運作。

現在假設您需要將檔案共享擴充至雲端。

這裡描述的架構展示了 Azure 如何以符合成本效益的方式滿足此需求,同時維持使用您的內部網路、AD DS 和 DNS。

在此設定中,Azure 檔案儲存體 用來裝載檔案共用。 站對站 VPN 或 Azure ExpressRoute 提供內部部署網路與 Azure 虛擬網絡 之間的增強式安全性連線。 使用者和應用程式會透過這些連線存取檔案。 Microsoft Entra ID 和 Azure DNS 可與內部部署 AD DS 和 DNS 搭配運作,以協助確保安全存取。

總而言之,如果此案例適用於您,您可以以低成本為內部部署使用者提供雲端式檔案共享,同時透過現有的 AD DS 和 DNS 基礎結構維護增強式安全性存取。

潛在使用案例

  • 該檔案伺服器移轉到雲端,但使用者必須留在內部部署。
  • 移轉到雲端的應用程式需要存取內部部署的檔案,也需要存取移轉到雲端的檔案。
  • 您需要將檔案儲存移至雲端,以降低成本。

考量

這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構

可靠性

可靠性可確保您的應用程式符合您對客戶的承諾。 如需更多資訊,請參閱可靠性支柱的概觀

  • Azure 儲存體一律會在同一區域儲存資料的多個副本,以保護資料不受規劃內外的中斷影響。 您可以選擇在其他區域或地區建立其他副本。 如需更多資訊,請參閱 Azure 儲存體備援
  • Azure 防火牆具有內建的高可用性。 如需詳細資訊,請參閱 Azure 防火牆標準功能

安全性

安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀

這些文章有 Azure 元件的安全性資訊:

成本最佳化

成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化支柱的概觀

若要預估 Azure 產品和設定的成本,請使用 Azure 定價計算機

這些文章有 Azure 元件的定價資訊:

效能效益

效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率支柱概觀

  • 您的 Azure 儲存體帳戶包含所有 Azure 儲存體資料物件,包括檔案共用。 儲存體帳戶會為其資料提供唯一的命名空間,可透過 HTTP 或 HTTPS 從世界各地存取該命名空間。 對於此架構,您的儲存體帳戶包含 Azure Files 提供的檔案共用。 為了達到最佳效能,我們建議:
    • 不要將資料庫、Blob 等放在包含檔案共用的儲存體帳戶中。
    • 每個儲存體帳戶不能有超過一個高度使用中的檔案共用。 您可以將使用度較低的檔案共用分組到相同的儲存體帳戶中。
    • 如果您的工作負載需要大量 IOPS、極快的資料傳輸速度或極低的延遲,則應選擇進階 (FileStorage) 儲存體帳戶。 標準的一般用途 v2 帳戶適合大多數 SMB 檔案共用工作負載。 如需檔案共用可擴展性和效能的更多資訊,請參閱 Azure Files 的可擴展性和效能目標
    • 不要使用一般用途 v1 儲存體帳戶,因為它缺乏重要的功能。 相反,請升級至一般用途 v2 儲存體帳戶。 儲存體帳戶類型在儲存體帳戶概觀中說明。
    • 注意尺寸、速度和其他限制。 請參閱Azure 訂閱和服務限制、配額與約束
  • 除了確保您的部署符合 Azure 訂閱和服務限制、配額和約束中所述的限制、配額和約束外,您幾乎無法改善非儲存元件的效能。
  • 如需 Azure 元件的可擴展性資訊,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者:

下一步