編輯

共用方式為


在混合式環境中使用 Azure 檔案共用

Microsoft Entra ID
Azure 檔案

此架構示範如何在混合式環境中包含 Azure 檔案共用。 Azure 檔案共享會作為無伺服器檔案共用使用。 藉由將它們與 Active Directory 網域服務 整合(AD DS),您可以控制及限制對 AD DS 使用者的存取。 然後,Azure 檔案共用可以取代傳統文件伺服器。

架構

Azure 檔案共享架構圖表,顯示用戶端如何透過 TCP 連接埠 445 (SMB 3.0) 或先建立 VPN 連線,直接存取 Azure 檔案共用。

下載此架構的 Visio 檔案

工作流程

此架構由下列元件組成:

  • Microsoft Entra 租用戶。 此元件是組織所建立Microsoft Entra 的實例。 其可作為雲端應用程式的目錄服務,方法是儲存從 內部部署的 Active Directory 複製的物件。 它也會在存取 Azure 檔案共用時提供身分識別服務。
  • AD DS 伺服器。 此元件是內部部署目錄和身分識別服務。 AD DS 目錄會與 Microsoft Entra ID 同步,讓其能夠驗證內部部署使用者。
  • Microsoft Entra Connect Sync 伺服器。 此元件是執行 Microsoft Entra Connect Sync 服務的內部部署伺服器。 此服務會同步處理 內部部署的 Active Directory 中保留的資訊,以Microsoft Entra ID。
  • 虛擬網路閘道。 此選用元件可用來透過因特網在 Azure 虛擬網絡 與內部部署位置之間傳送加密流量。
  • Azure 檔案共用。 Azure 檔案共用提供檔案和資料夾的記憶體,您可以透過伺服器訊息塊 (SMB)、網路檔案系統 (NFS) 和超文字傳輸通訊協定 (HTTP) 通訊協定存取這些檔案和資料夾。 檔案共用會部署到 Azure 記憶體帳戶。
  • 復原服務保存庫。 此選用元件提供 Azure 檔案共享備份。
  • 用戶端。 這些元件是 AD DS 成員計算機,使用者可以從中存取 Azure 檔案共用。

元件

用來實作此架構的重要技術:

  • Microsoft Entra ID 是企業身分識別服務,可提供單一登錄、多重要素驗證和條件式存取。
  • Azure 檔案儲存體 提供雲端中完全受控的檔案共用,可使用業界標準通訊協定來存取。
  • VPN 閘道 VPN 閘道 透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。

案例詳細資料

潛在使用案例

此架構的一般用法包括:

  • 取代或補充內部部署檔伺服器。 Azure 檔案儲存體 可以完全取代或補充傳統的內部部署檔伺服器或網路連接存儲設備。 透過 Azure 檔案共用和 AD DS 驗證,您可以將資料遷移至 Azure 檔案儲存體。 此移轉可以利用高可用性和延展性,同時將客戶端變更降至最低。
  • 隨即轉移。 Azure 檔案儲存體 可讓您輕鬆地「隨即轉移」應用程式,預期檔案共用會將應用程式或用戶數據儲存至雲端。
  • 備份和災害復原。 您可以使用 Azure 檔案儲存體 作為備份的記憶體,或用於災害復原,以改善商務持續性。 您可以使用 Azure 檔案儲存體,從現有的文件伺服器備份您的數據,同時保留已設定的 Windows 任意存取控制清單。 儲存在 Azure 檔案共用上的資料,不會受到可能影響內部部署位置的災害所影響。
  • Azure 檔案同步。透過 Azure 檔案同步,Azure 檔案共用可以複寫至內部部署或雲端中的 Windows Server。 此復寫可改善效能,並將數據的快取散發到使用位置。

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

針對 Azure 檔案共用使用一般用途 v2 (GPv2) 或 FileStorage 儲存器帳戶

您可以在各種記憶體帳戶中建立 Azure 檔案共用。 雖然一般用途 v1 (GPv1) 和傳統記憶體帳戶可以包含 Azure 檔案共用,但大部分的新功能 Azure 檔案儲存體 僅適用於 GPv2 和 FileStorage 記憶體帳戶。 雖然 Azure 檔案共用會將 GPv2 記憶體帳戶數據儲存在硬碟型 (HDD 型) 硬體上,但它會將 FileStorage 儲存器帳戶數據儲存在固態硬碟型 (SSD 型) 硬體上。 如需詳細資訊,請參閱建立 Azure 檔案共用

在只包含 Azure 檔案共用的記憶體帳戶中建立 Azure 檔案共用

記憶體帳戶可讓您在同一個記憶體帳戶中使用不同的記憶體服務。 這些記憶體服務包括 Azure 檔案共用、Blob 容器和數據表。 單一記憶體帳戶中的所有記憶體服務都會共用相同的記憶體帳戶限制。 將相同記憶體帳戶中的記憶體服務混合在一起,使得對效能問題進行疑難解答會更加困難。

注意

可能的話,請在自己的個別記憶體帳戶中部署每個 Azure 檔案共用。 如果多個 Azure 檔案共用部署至相同的記憶體帳戶,它們全都會共用記憶體帳戶限制。

針對需要高輸送量的工作負載使用進階檔案共用

進階檔案共用會部署到 FileStorage 儲存器帳戶,並儲存在固態硬碟型 (SSD 型) 硬體上。 此設定適合用來儲存和存取需要一致效能、高輸送量和低延遲的數據。 (例如,這些進階檔案共用適用於資料庫。您可以儲存對標準檔案共用效能變化較不敏感的其他工作負載。 這些工作負載類型包括一般用途的檔案共享和開發/測試環境。 如需詳細資訊,請參閱 如何建立 Azure 檔案共用

存取 SMB Azure 檔案共享時一律需要加密

存取 SMB Azure 檔案共享中的數據時,請一律使用傳輸中的加密。 傳輸中的加密預設為啟用。 Azure 檔案儲存體 只有在使用加密的通訊協議進行連線時,才會允許連線,例如SMB 3.0。 如果需要傳輸中的加密,不支援SMB 3.0的用戶端將無法掛接 Azure 檔案共用。

如果SMB使用的埠 (埠 445) 遭到封鎖,請使用 VPN

許多因特網服務提供者會封鎖 傳輸控制通訊協定 (TCP) 埠 445,用來存取 Azure 檔案共用。 如果解除封鎖 TCP 連接埠 445 不是選項,您可以透過 ExpressRoute 或虛擬專用網 (VPN) 連線存取 Azure 檔案共用,以避免流量封鎖。 如需詳細資訊,請參閱在 Windows 上設定點對站 VPN 以搭配 Azure 檔案儲存體 使用,以及設定站對站 VPN 以搭配 Azure 檔案儲存體 使用。

請考慮搭配 Azure 檔案共用使用 Azure 檔案同步

Azure 檔案同步 服務可讓您在內部部署 Windows Server 檔案伺服器上快取 Azure 檔案共用。 當您啟用雲端階層處理時,檔案同步 有助於確保檔案伺服器一律具有可用空間,即使它讓檔案伺服器比檔伺服器可以在本機儲存更多的檔案也一樣。 如果您有內部部署 Windows Server 檔案伺服器,請考慮使用 Azure 檔案同步 將文件伺服器與 Azure 檔案共用整合。如需詳細資訊,請參閱規劃 Azure 檔案同步 部署

考量

這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構

延展性

  • Azure 檔案共用大小限制為 100 TB(TiB)。 沒有最小檔案共用大小,也沒有 Azure 檔案共享數目的限制。
  • 檔案共享中檔案的大小上限為 1 TiB,且檔案共用中的檔案數目沒有限制。
  • IOPS 和輸送量限制是每個 Azure 記憶體帳戶,且會在相同記憶體帳戶中的 Azure 檔案共用之間共用。

如需詳細資訊,請參閱 Azure 檔案儲存體可擴縮性和效能目標

可用性

注意

Azure 記憶體帳戶是 Azure 檔案共用的父資源。 Azure 檔案共用具有包含共用的記憶體帳戶所提供的備援層級。

  • Azure 檔案共用目前支援下列資料備援選項:
    • 本地備援儲存體 (LRS)。 數據會在主要區域中的單一實體位置內同步複製三次。 這種做法可防止因為硬體錯誤而遺失數據,例如磁碟驅動器錯誤。
    • 區域備援記憶體 (ZRS)。 數據會同步複製到主要區域中的三個 Azure 可用性區域。 可用性區域是 Azure 地區內獨特的實體位置。 每個區域皆由一或多個配備獨立電力、冷卻系統及網路的資料中心所組成。
    • 異地備援記憶體 (GRS) 。 數據會使用 LRS 在主要區域中的單一實體位置內同步複製三次。 然後您的資料會以非同步方式複製到次要區域中的單一實體位置。 異地備援記憶體提供兩個 Azure 區域之間散佈的六份數據複本。
    • 異地區域備援記憶體 (GZRS) 。 數據會使用 ZRS 在主要區域中的三個 Azure 可用性區域同步複製。 然後您的資料會以非同步方式複製到次要區域中的單一實體位置。
  • 進階檔案共用只能儲存在本地備援記憶體 (LRS) 和區域備援記憶體 (ZRS) 中。 標準檔案共用可以儲存在 LRS、ZRS、異地備援記憶體 (GRS) 和異地區域備援記憶體 (GZRS) 中。 如需詳細資訊,請參閱規劃 Azure 檔案儲存體 部署Azure 儲存體 備援
  • Azure 檔案儲存體 是雲端服務,而且與所有雲端服務一樣,您必須具備因特網連線以存取 Azure 檔案共用。 強烈建議使用備援因特網連線解決方案,以避免中斷。

管理能力

  • 您可以使用與任何其他 Azure 服務相同的工具來管理 Azure 檔案共用。 這些工具包括 Azure 入口網站、Azure 命令列介面 和 Azure PowerShell。
  • Azure 檔案共用會強制執行標準 Windows 檔案許可權。 您可以掛接 Azure 檔案共用,並使用 檔案總管、Windows icacls.exe 命令或 Set-Acl Windows PowerShell Cmdlet 來設定目錄或檔案層級許可權。
  • 您可以使用 Azure 檔案共用快照集來建立 Azure 檔案共享資料的時間點只讀複本。 您可在檔案共用層級建立共用快照集。 然後,您可以在 Azure 入口網站 或 檔案總管 中還原個別檔案,您也可以在其中還原整個共用。 每個共用最多可有 200 個快照集,可讓您將檔案還原至不同的時間點版本。 如果您刪除共用,也會刪除其快照集。 共用快照集具有累加性質。 系統只會儲存最新共用快照集之後變更的資料。 這種做法可將建立共用快照集所需的時間降到最低,並節省記憶體成本。 當您使用 Azure 備份 保護 Azure 檔案共享時,也會使用 Azure 檔案共用快照集。 如需詳細資訊,請參閱 Azure 檔案的共用快照集概觀
  • 您可以啟用檔案共享的虛刪除,以防止意外刪除 Azure 檔案共用。 如果您在啟用虛刪除時刪除檔案共享,檔案共用會轉換成虛刪除狀態,而不是永久清除。 您可以設定虛刪除資料在永久刪除並在此保留期間隨時還原共用之前可復原的時間量。 如需詳細資訊,請參閱 在 Azure 檔案共用上啟用虛刪除。

注意

當您為個別記憶體帳戶中的第一個 Azure 檔案共享設定備份時,Azure 備份 啟用記憶體帳戶中所有檔案共用的虛刪除。

注意

當虛刪除,而不是布建的容量時,標準和進階檔案共享都會按使用容量計費。

安全性

安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀

  • 透過SMB使用AD DS驗證來存取 Azure 檔案共用。 當存取 Azure 檔案共享作為存取內部部署檔案共享時,此設定提供相同的無縫單一登錄 (SSO) 體驗。 如需詳細資訊,請參閱 運作 方式和功能 啟用步驟。 您的客戶端必須已加入 AD DS 網域,因為 AD DS 域控制器仍會完成驗證。 此外,您必須指派共用層級和檔案/目錄層級許可權,以取得數據的存取權。 共用層級許可權指派 會經過 Azure RBAC 模型。 檔案/目錄層級許可權 會以 Windows ACL 的形式管理。

    注意

    一律會驗證 Azure 檔案共用的存取權。 Azure 檔案共用不支援匿名存取。 除了透過SMB進行身分識別型驗證,使用者也可以使用記憶體存取密鑰和共用存取簽章向 Azure 檔案共用進行驗證。

  • 儲存在 Azure 檔案共用上的所有數據都會使用 Azure 記憶體服務加密 (SSE) 進行待用加密。 SSE 的運作方式類似於 Windows 上的 BitLocker 磁碟驅動器加密,其中數據會在文件系統層級下加密。 根據預設,儲存於 Azure 檔案儲存體中的資料是以使用 Microsoft 管理的金鑰加密。 使用Microsoft管理的密鑰,Microsoft維護密鑰來加密/解密數據,並定期管理輪替密鑰。 您也可以選擇管理自己的金鑰,這可讓您控制輪替的程序。

  • 根據預設,所有 Azure 記憶體帳戶都會啟用傳輸中的加密。 此設定表示所有與 Azure 檔案共用的通訊都會加密。 不支援加密的客戶端無法連線到 Azure 檔案共用。 如果您停用傳輸中的加密,則執行舊版操作系統的用戶端,例如 Windows Server 2008 R2 或較舊的 Linux,也可以連線。 在這種情況下,數據不會在從 Azure 檔案共用傳輸時加密。

  • 根據預設,用戶端可以從任何地方連線到 Azure 檔案共用。 若要限制用戶端可以連線到 Azure 檔案共用的網路,請設定防火牆、虛擬網路和私人端點連線。 如需詳細資訊,請參閱設定 Azure 儲存體 防火牆和虛擬網路設定 Azure 檔案儲存體 網路端點

成本最佳化

成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本優化要素概觀和瞭解 Azure 檔案儲存體 計費

  • Azure 檔案儲存體 有兩個儲存層和兩種定價模式:
    • 標準記憶體:使用 HDD 型記憶體。 沒有最小檔案共用大小,而且您只需支付已使用儲存空間的費用。 此外,您需支付檔案作業的費用,例如列舉目錄或讀取檔案。
    • 進階記憶體:使用 SSD 型記憶體。 進階檔案共用的大小下限為 100 gibibytes,而您需根據布建的儲存空間付費。 使用進階記憶體時,所有檔案作業都是免費的。
  • 額外的成本與檔案共用快照集和輸出數據傳輸相關聯。 (當您從 Azure 檔案共用傳輸數據時,輸入數據傳輸是免費的。數據傳輸成本取決於您虛擬網路閘道的傳輸數據量,以及虛擬網路閘道的庫存單位(SKU)。 如需成本的詳細資訊,請參閱 Azure 檔案儲存體 定價Azure 定價計算機。 實際成本會因 Azure 區域和個別合約而有所不同。 如需其他定價資訊,請連絡 Microsoft 業務代表。

下一步

深入瞭解元件技術:

探索相關的架構: