此參考架構說明使用 Azure 服務的企業級雲端檔案共享解決方案,包括 Azure 檔案儲存體、Azure 檔案同步、Azure 私用 DNS 和 Azure 私人端點。 此解決方案藉由外包檔伺服器和基礎結構的管理,同時保留數據的控制權,來節省成本。
架構
下圖顯示用戶端如何存取 Azure 檔案分享:
- 透過雲端階層處理檔伺服器在本機。
- 從遠端透過 專用網環境中的 ExpressRoute 私人對等互連或 VPN 通道。
下載此架構的 Visio 檔案。
工作流程
企業層級雲端檔案共享解決方案會使用下列方法來提供與傳統檔案共用相同的用戶體驗,但使用 Azure 檔案共用:
- 利用 Azure 檔案同步 來同步處理內部部署檔案伺服器與 Azure 檔案共用之間的檔案和資料夾 存取控制 清單(ACL)。
- 使用來自 Azure 檔案同步 代理程式的雲端階層處理功能,在本機快取經常存取的檔案。
- 透過 Azure 檔案共享強制執行 AD DS 驗證。
- 透過 ExpressRoute 私人對等互連或 VPN 信道,透過私人 IP 透過私人 IP 存取檔案共用和檔案同步服務。
藉由在 Azure 檔案儲存體 和 Azure 檔案同步 上實作 Azure 私人端點,就會停用公用端點存取,以便從 Azure 虛擬網路限制存取 Azure 檔案儲存體 和 Azure 檔案同步。
ExpressRoute 私人對等互連 VPN 站對站通道會將內部部署網路延伸至 Azure 虛擬網路。 Azure 檔案同步和伺服器消息塊 (SMB) 流量從內部部署到 Azure 檔案儲存體,且 Azure 檔案同步 私人端點僅限於私人連線。 在轉換期間,Azure 檔案儲存體 只有在使用SMB 3.0+ 進行連線時才會允許連線。 從 Azure 檔案同步 代理程式到 Azure 檔案共用或記憶體同步服務的連線一律會加密。 待用時,Azure 儲存體 會在數據保存至雲端時自動加密數據,就像 Azure 檔案儲存體 一樣。
功能變數名稱系統 (DNS) 解析程式是解決方案的重要元件。 在此案例中,每個 Azure 服務 Azure 檔案儲存體 和 Azure 檔案同步 都有完整功能變數名稱 (FQDN)。 在這些情況下,這些服務的 FQDN 會解析為其公用 IP 位址:
- 當用戶端存取 Azure 檔案儲存體 共用時。
- 當 Azure 檔案同步 代理程式部署在內部部署檔伺服器上時,會存取 Azure 檔案同步 服務。
啟用私人端點之後,私人IP位址會配置在 Azure 虛擬網路中。 這些位址允許透過私人連線存取這些服務,而相同的 FQDN 現在必須解析為私人 IP 位址。 若要達到此目的,Azure 檔案儲存體 和 Azure 檔案同步 建立標準名稱 DNS 記錄 (CNAME) 以將解析重新導向至私人功能變數名稱:
- Azure 檔案同步 的公用功能變數名稱
*.afs.azure.net
會取得 CNAME 重新導向至私人功能變數名稱*.<region>.privatelink.afs.azure.net
。 - Azure 檔案儲存體 公用功能變數名稱
<name>.file.core.windows.net
會取得 CNAME 重新導向至私人功能變數名稱<name>.privatelink.file.core.windows.net
。
此架構中顯示的解決方案會正確設定內部部署 DNS 設定,以便他們使用下列方法將私人域名解析為私人 IP 位址:
- 私用 DNS 區域 (元件 11 和 12) 是從 Azure 建立,以提供 Azure 檔案同步 和 Azure 檔案儲存體 的私人名稱解析。
- 私用 DNS 區域會連結至 Azure 虛擬網路,讓部署在虛擬網路中的 DNS 伺服器或 Azure 私人 DNS 解析程式(元件 8) 可以解析私人功能變數名稱。
- DNS A 記錄會針對私人 DNS 區域中的 Azure 檔案儲存體 和 Azure 檔案同步 建立。 如需端點設定步驟,請參閱設定 Azure 檔案儲存體 網路端點和設定 Azure 檔案同步 網路端點。
- 內部部署 DNS 伺服器 (元件 3) 會設定條件式轉送,將的 DNS 查詢
domain afs.azure.net
轉file.core.windows.net
送至 Azure 虛擬網路中的 DNS 伺服器(元件 8)。 - 從內部部署 DNS 伺服器接收轉送的 DNS 查詢之後,Azure 虛擬網路中的 DNS 伺服器 (元件 8) 會使用 Azure DNS 遞歸解析程式來解析私人功能變數名稱,並將私人 IP 位址傳回給用戶端。
元件
架構圖中所述的解決方案會使用下列元件:
用戶端 (元件 1 或 2) - 一般而言,用戶端是 Windows、Linux 或 Mac OSX 桌面,可透過 SMB 通訊協定與文件伺服器或 Azure 檔案儲存體 通訊。
DC 和 DNS 伺服器 (元件 3) - 域控制器 (DC) 是回應驗證要求並驗證電腦網路上使用者的伺服器。 DNS 伺服器提供電腦名稱與IP位址對應名稱解析服務給計算機和使用者。 DC 和 DNS 伺服器可以合併成單一伺服器,也可以分隔成不同的伺服器。
檔案伺服器 (元件 4) - 裝載檔案共用並提供檔案共用服務的伺服器。
CE/VPN 裝置 (元件 5) - 客戶邊緣路由器 (CE) 或 VPN 裝置用來建立與 Azure 虛擬網路的 ExpressRoute 或 VPN 連線。
Azure ExpressRoute 或 Azure VPN 閘道 (元件 6) – Azure ExpressRoute 是一項服務,可讓您透過連線提供者促進的私人連線,將內部部署網路延伸至Microsoft雲端。 Azure VPN 閘道 是一種特定類型的虛擬網路閘道,可用來透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。 ExpressRoute 或 VPN 閘道 會建立內部部署網路的 ExpressRoute 或 VPN 連線。
Azure 私人端點 (元件 7) - 網路介面,可讓您私下且安全地連線到由 Azure Private Link 提供的服務。 在此解決方案中,Azure 檔案同步 私人端點會連線到 Azure 檔案同步 (9),而 Azure 檔案儲存體 私人端點會連線到 Azure 檔案儲存體 (10)。
Azure 虛擬網絡 實例中的 DNS 伺服器/Azure 私人 DNS 解析程式(元件 8)會使用 Azure DNS 遞歸解析程式解析私人功能變數名稱,並在從內部部署 DNS 伺服器接收轉送 DNS 查詢之後,將私人 IP 位址傳回給用戶端。
Azure 檔案同步 和雲端階層處理 (元件 9) – Azure 檔案同步 可讓您將組織的檔案共用集中在 Azure 中,同時保持內部部署檔伺服器的彈性、效能和相容性。 雲端階層處理是 Azure 檔案同步的選用功能之一,其中經常存取的檔案會在伺服器上進行本機快取,而所有其他檔案則會依原則設定,分層處理至 Azure 檔案儲存體。
Azure 檔案儲存體 (元件 10) - 提供雲端中檔案共用的完全受控服務,可透過業界標準伺服器消息塊 (SMB) 通訊協定來存取。 Azure 檔案儲存體 實作 SMB v3 通訊協定,並支援透過 內部部署的 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services 進行驗證。 您可以從 Azure 檔案儲存體 的檔案共用,由 Windows、Linux 和 macOS 的雲端或內部部署部署同時掛接。 此外,SMB Azure 檔案共用可以快取到使用數據的較接近位置,在具有 Azure 檔案同步 的 Windows Server 上快速存取。
Azure 私用 DNS (元件 11 和 12) - Azure 所提供的 DNS 服務,私用 DNS 管理和解析虛擬網路中的功能變數名稱,而不需要新增自定義 DNS 解決方案。
Azure 備份 (元件 13) - Azure 備份 是 Azure 檔案共用備份服務,使用檔案共用快照集來提供雲端式備份解決方案。 如需考慮,請參閱 數據遺失和備份。
案例詳細資料
此解決方案可讓您透過內部部署與 Azure 虛擬網路之間的虛擬專用網,在混合式工作環境中存取 Azure 檔案共用,而不需要周遊因特網。 它也可讓您透過身分識別型驗證來控制和限制檔案存取。
潛在使用案例
雲端檔案共享解決方案支援下列可能的使用案例:
- 檔伺服器或檔案共享隨即轉移。 藉由解除和轉移,您就不需要重新建構或重新格式化數據。 您也可以在內部部署保留舊版應用程式,同時受益於雲端記憶體。
- 加快雲端創新,提高營運效率。 降低維護硬體和實體空間的成本,防止數據損毀和數據遺失。
- 私人存取 Azure 檔案共用。 防止數據外流。
流量
啟用 Azure 檔案同步 和 Azure 檔案儲存體 之後,Azure 檔案共用可以兩種模式存取:本機快取模式或遠端模式。 在這兩種模式中,用戶端都會使用現有的 AD DS 認證來驗證本身。
本機快取模式 - 用戶端會透過已啟用雲端階層處理的本機檔伺服器存取檔案和檔案共用。 當使用者從本機檔伺服器開啟檔案時,檔案數據會從文件伺服器本機快取提供,或 Azure 檔案同步 代理程序順暢地從 Azure 檔案儲存體 重新叫用檔案數據。 在此解決方案的架構圖中,它會在元件 1 和 4 之間發生。
遠端模式 - 用戶端會直接從遠端 Azure 檔案共用存取檔案和檔案共用。 在此解決方案的架構圖中,流量會通過元件 2、5、6、7 和 10。
Azure 檔案同步 使用 ExpressRoute 線路進行可靠連線的元件 4、5、6 和 7 之間的流量。
私人功能變數名稱解析查詢會使用下列順序,進行元件 3、 5、 6、 8、 11 和 12 :
- 用戶端會將查詢傳送至內部部署 DNS 伺服器,以解析 Azure 檔案儲存體 或 Azure 檔案同步 DNS 名稱。
- 內部部署 DNS 伺服器具有條件式轉寄站,會將 Azure 檔案和 Azure 檔案同步 DNS 名稱解析指向 Azure 虛擬網路中的 DNS 伺服器。
- 查詢會重新導向至 Azure 虛擬網路中的 DNS 伺服器或 Azure 私人 DNS 解析程式。
- 視虛擬網路的 DNS 組態而定:
- 如果已設定自定義 DNS 伺服器,Azure 虛擬網路中的 DNS 伺服器會將名稱查詢傳送至 Azure 提供的 DNS (168.63.129.16) 遞歸解析程式。
- 如果已設定 Azure 私人 DNS 解析程式,且查詢符合連結至虛擬網路的私人 DNS 區域,則會參考這些區域。
- DNS 伺服器/Azure 私人 DNS 解析程式會在將私人域名解析為個別私人 DNS 區域之後,傳回私人 IP。 它會使用 Azure 虛擬網路連結至 Azure 檔案儲存體 DNS 區域和 Azure 檔案同步 私人 DNS 區域。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
實作此解決方案時,請考慮下列幾點。
規劃
- 如需 Azure 檔案同步 規劃,請參閱規劃 Azure 檔案同步 部署。
- 如需 Azure 檔案儲存體 規劃,請參閱規劃 Azure 檔案儲存體 部署。
網路
- 如需 Azure 檔案同步 網路考慮,請參閱 Azure 檔案同步 網路考慮。
- 如需 Azure 檔案儲存體 網路考慮,請參閱 Azure 檔案儲存體 網路考慮。
DNS
管理私人端點的名稱解析時,會以下列方式解析 Azure 檔案儲存體 和 Azure 檔案同步 的私人域名:
從 Azure 端:
- 如果使用 Azure 提供的名稱解析,Azure 虛擬網路必須連結至布建的私人 DNS 區域。
- 如果使用「攜帶您自己的 DNS 伺服器」,則部署自有 DNS 伺服器的虛擬網路必須連結到布建的私人 DNS 區域。
從內部部署端,私人功能變數名稱會以下列其中一種方式對應至私人IP位址:
- 透過 DNS 轉送至部署在 Azure 虛擬網路或 Azure 私人 DNS 解析程式中的 DNS 伺服器,如下圖所示。
- 透過設定私人網域
<region>.privatelink.afs.azure.net
和privatelink.file.core.windows.net
的區域的內部部署 DNS 伺服器。 伺服器會將 Azure 檔案儲存體 和 Azure 檔案同步 私人端點的IP位址註冊為 DNS A 記錄到其各自的 DNS 區域。 內部部署用戶端會直接從本機內部部署 DNS 伺服器解析私人功能變數名稱。
分散式檔案系統 (DFS)
在內部部署檔案共享解決方案方面,許多系統管理員選擇使用 DFS,而不是傳統的獨立文件伺服器。 DFS 可讓系統管理員合併可能存在於多部伺服器上的檔案共用,使其看起來就像它們都位於相同的位置,讓用戶能夠從網路上的單一點存取它們。 移至雲端檔案共享解決方案時,傳統 DFS-R 部署可以取代為 Azure 檔案同步 部署。 如需詳細資訊,請參閱將 DFS 複寫 (DFS-R) 部署移轉至 Azure 檔案同步。
數據遺失和備份
數據遺失是各種規模的企業嚴重問題。 Azure 檔案共用備份會使用檔案共用快照集來提供雲端式備份解決方案,以保護雲端中的數據,並消除內部部署備份解決方案所涉及的額外維護負荷。 Azure 檔案共用備份的主要優點包括:
- 零基礎結構
- 自訂保留期
- 內建管理功能
- 立即還原
- 警示及報告
- 防止意外刪除檔案共用
如需詳細資訊,請參閱 關於 Azure 檔案共用備份
Azure 檔案儲存體 上的混合式身分識別支援
雖然本文說明 Active Directory 在 Azure 檔案儲存體 上進行驗證,但可以使用 Microsoft Entra 識別符來驗證混合式使用者身分識別。 Azure 檔案儲存體 透過伺服器消息塊 (SMB) 支援以身分識別為基礎的驗證,方法是透過下列方法使用 Kerberos 驗證通訊協定:
- 內部部署 Active Directory Domain Services (AD DS)
- Microsoft Entra 網域服務
- Microsoft Entra Kerberos (僅適用於混合式使用者身分識別)
- Linux 用戶端的AD驗證
如需詳細資訊,請參閱在 Azure 檔案儲存體 上啟用混合式身分識別Microsoft Entra Kerberos 驗證。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
安全性稽核是協助維護企業安全性的必要需求。 業界標準要求企業遵循一組與數據安全性和隱私權相關的嚴格規則。
檔案存取稽核
您可以在本機和遠端啟用檔案存取稽核:
- 使用動態 存取控制 在本機。 如需詳細資訊,請參閱 規劃檔案存取稽核。
- 從遠端使用 azure 監視器中的 Azure 儲存體 記錄,Azure 檔案儲存體。 Azure 儲存體 記錄包含 StorageRead、StorageWrite、StorageDelete 和事務歷史記錄。 Azure 檔案存取可以記錄至記憶體帳戶、記錄分析工作區,或分別串流至事件中樞。 如需詳細資訊,請參閱監視 Azure 檔案儲存體。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- 黃英庭 |資深雲端解決方案架構師
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
- Azure Files 部署的規劃
- 如何部署 Azure 檔案儲存體
- Azure 檔案儲存體的網路功能考量
- 設定 Azure 檔案儲存體網路端點
- 監視 Azure 檔案儲存體
- 規劃檔案存取稽核
- 備份 Azure 檔案共用
- 概觀 - 為 Azure 檔案共用啟用透過 SMB 的內部部署 Active Directory Domain Services 驗證
- 部署 Azure 檔案同步
- 設定 Azure 檔案同步 網路端點
- 雲端階層處理概觀
- 在 Azure 入口網站中建立站對站連線
- ExpressRoute 線路和對等互連
- 建立和修改 ExpressRoute 線路的對等互連
- 關於 Azure 檔案共用備份
- 什麼是 Azure DNS 私人解析程式
- 在 Azure 檔案儲存體上啟用混合式身分識別的 Microsoft Entra Kerberos 驗證