Azure:混合文件服务
次
此参考体系结构演示了如何使用 Azure 文件同步和 Azure 文件来扩展跨云和本地文件共享资源的文件服务承载功能。
下载此体系结构的 Visio 文件。
此体系结构的典型用途包括:
托管需要从云和本地环境访问的文件共享。
使用单个基于云的源在多个本地数据存储之间同步数据。
体系结构
该体系结构包括以下组件:
存储帐户。 用于承载 Microsoft Azure 文件共享的 Azure 存储帐户。
Azure 文件。 提供与 Azure 文件同步同步关系的云终结点的无服务器云文件共享。Azure 文件共享中的文件可以直接通过服务器消息块 (SMB) 或 FileREST 协议进行访问。
同步组。 Azure 文件共享和运行 Windows Server 的服务器的逻辑分组。 同步组部署到存储同步服务中,该服务会注册服务器以与 Azure 文件同步一起使用,并包含同步组关系。
Azure 文件同步代理。 此设置安装在 Windows Server 计算机上,用于启用和配置与云终结点的同步。
Windows server。 承载与 Azure 文件共享同步的文件共享的本地或基于云的 Windows Server 计算机。
Azure Active Directory。 Azure Active Directory (在 Azure 和本地环境中用于标识同步 Azure AD) 租户。
建议
以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
Azure 文件使用情况和部署
你将文件存储在 Azure 文件共享中的云中。 可以通过两种方式使用 Azure 文件共享:通过直接将这些无服务器 Azure 文件共享装入 (SMB) 或通过 Azure 文件同步本地缓存 Azure 文件共享。你选择的部署选项会更改你在规划部署时需要考虑的事项:
直接装载 Azure 文件共享。 由于 Azure 文件提供 SMB 访问,你可以在本地或在云中使用 Windows、macOS 和 Linux 操作系统中提供的标准 SMB 客户端装载 Azure 文件共享。 Azure 文件共享是无服务器的,因此在生产方案中部署不需要管理文件服务器或网络连接存储 (NAS) 设备。 这意味着,无需应用软件修补程序或交换物理磁盘。
在本地缓存 Azure 文件共享,并 Azure 文件同步。Azure 文件同步使你能够将组织的文件共享集中在 Azure 文件中,同时保持本地文件服务器的灵活性、性能和兼容性。 Azure 文件同步可将本地(或云中的)Windows Server 转换为 Azure 文件共享的快速缓存。
部署存储同步服务
开始 Azure 文件同步部署,方法是将存储同步服务资源部署到所选订阅的资源组中。 建议预配尽可能少的存储同步服务对象。 你将在服务器和此资源之间创建信任关系,并且只能向一个存储同步服务注册服务器。 因此,我们建议你根据需要部署任意数量的存储同步服务,以分离服务器组。 请记住,不同存储同步服务中的服务器无法彼此同步。
向 Azure 文件同步代理注册 Windows Server 计算机
若要在 Windows Server 上启用同步功能,需要安装可下载的 Azure 文件同步代理。 Azure 文件同步代理提供了两个主要组件:
FileSyncSvc.exe. 后台 Windows 服务,负责监视服务器端点的更改并启动同步会话。StorageSync.sys. 一种文件系统筛选器,可实现云分层,实现更快的灾难恢复。
你可以从 Microsoft 下载中心的 Azure 文件同步代理下载 "页下载代理。
操作系统要求
下表中的 Windows Server 版本支持 Azure 文件同步。
| 版本 | 支持的 SKU | 支持的部署选项 |
|---|---|---|
| Windows Server 2019 | Datacenter、Standard 和 IoT | “完整”和“核心” |
| Windows Server 2016 | Datacenter、Standard 和 Storage Server | “完整”和“核心” |
| Windows Server 2012 R2 | Datacenter、Standard 和 Storage Server | “完整”和“核心” |
有关详细信息,请参阅 Windows 文件服务器注意事项。
配置同步组和云终结点
同步组 定义一组文件的同步拓扑。 同步组中的终结点保持彼此同步。 同步组必须包含一个表示 Azure 文件共享的 云终结点 和一个或多个服务器终结点。 服务器终结点 表示已注册服务器上的路径。 服务器可以包含多个同步组中的服务器终结点。 可以创建任意数量的同步组,以适当地描述所需的同步拓扑。
云终结点 是指向 Azure 文件共享的指针。 所有服务器终结点将与某个云终结点同步,使该云终结点成为中心。 Azure 文件共享的存储帐户必须位于存储同步服务所在的同一个区域。 Azure 文件共享的所有内容都将同步,但有一个例外:专用文件夹(与 NT 文件系统 (NTFS) 卷上的 "隐藏的 系统卷信息 " 文件夹相似)将被设置。 此目录称为 。SystemShareInformation,它包含不会同步到其他终结点的重要同步元数据。
配置服务器终结点
服务器终结点代表已注册服务器上的特定位置,例如服务器卷中的文件夹。 服务器终结点必须是已注册服务器上的路径 (而不是已装载的共享) ,并使用云分层。 服务器终结点路径必须在非系统卷上。 不支持 NAS。
Azure 文件共享到 Windows 文件共享的关系
应尽可能将 Azure 文件共享1和 Windows 文件共享部署到1。 通过使用服务器终结点对象,能够在具有同步关系的服务器端非常灵活地设置同步拓扑。 为了简化管理,请使服务器终结点的路径与 Windows 文件共享的路径匹配。
尽可能少地使用存储同步服务。 如果有包含多个服务器终结点的同步组,这将简化管理,因为一次只能向一个存储同步服务注册一台 Windows Server。
部署 Azure 文件共享时,请注意每秒存储帐户的每秒 i/o 操作数 (IOPS) 限制。 理想情况下,会将文件共享1映射到1,并存储帐户。但是,这并不总是可能的,因为不同的限制和限制均来自于你的组织和 Azure。 如果无法在一个存储帐户中部署一个文件共享,请确保最活跃的文件共享不会同时放在同一存储帐户中。
拓扑建议:防火墙、边缘网络和代理连接
请考虑以下解决方案拓扑建议。
防火墙和流量筛选
根据组织的策略或独特的法规要求,你可能需要与 Azure 进行更严格的通信。 因此,Azure 文件同步提供了几种用于配置网络的机制。 根据你的要求,你可以:
隧道同步和文件上传/下载通过 Azure ExpressRoute 或 Azure 虚拟专用网络的流量 (VPN) 。
使用 Azure 文件和 Azure 网络功能(如服务终结点和专用终结点)。
配置 Azure 文件同步以支持环境中的代理。
限制 Azure 文件同步的网络活动。
若要详细了解 Azure 文件同步和网络,请参阅 Azure 文件同步网络注意事项。
配置代理服务器
许多组织使用代理服务器作为其本地网络中的资源与网络外部资源(例如 Azure 中的资源)之间的媒介。 代理服务器适用于许多应用程序,如网络隔离和安全性,以及监视和日志记录。 Azure 文件同步可以与代理服务器完全互操作;但是,你必须为你的环境手动配置代理终结点设置,Azure 文件同步。必须通过 Azure PowerShell 使用 Azure 文件同步服务器 cmdlet 来完成此操作。
有关如何使用代理服务器配置 Azure 文件同步的详细信息,请参阅 Azure 文件同步代理和防火墙设置。
可伸缩性注意事项
你应考虑用于托管 Azure 文件共享的存储帐户的类型和性能。 部署到存储帐户中的所有存储资源共享应用于该存储帐户的限制。 若要了解有关确定存储帐户当前限制的详细信息,请参阅 Azure 文件可伸缩性和性能目标。
对于 Azure 文件存储部署,将使用两种主要类型的存储帐户:
常规用途版本 2 (GPv2) 存储帐户。 GPv2 存储帐户允许你将 Azure 文件共享部署在基于标准/硬盘的基于 (磁盘的) 硬件上。 除了存储 Azure 文件共享以外,GPv2 存储帐户还可以存储其他存储资源,例如 Blob 容器、队列或表。
FileStorage 存储帐户:使用 FileStorage 存储帐户可以在高级/基于固态磁盘(基于 SSD)的硬件上部署 Azure 文件共享。 FileStorage 帐户只能用于存储 Azure 文件共享;不能将任何其他存储 (资源(例如 blob 容器、队列和表)部署) FileStorage 帐户中。
默认情况下,尽管可以将共享限制增加到 100 TiB,但标准文件共享仅可跨越最多 5 tb (TiB) 。 为此,必须在存储帐户级别启用大文件共享功能。 高级存储帐户 (FileStorage 存储帐户) 没有大文件共享功能标志,因为所有高级文件共享都已启用预配,最高可达 100 TiB 的容量。 只能在本地冗余或区域冗余的标准存储帐户上启用大型文件共享。 启用大文件共享功能标志后,无法将冗余级别更改为异地冗余存储或地理区域冗余存储。 若要在现有存储帐户上启用大型文件共享,请在关联的存储帐户的 "配置" 视图中启用 "大文件共享" 选项。
可用性注意事项
应确保在要将解决方案部署到的区域中支持 Azure 文件同步。 有关此内容的详细信息,请参阅 Azure 文件同步区域可用性。
你应确保在 体系结构 部分中引用的服务在你的混合文件服务体系结构所部署到的区域中受支持。
为了在 Azure 文件共享中保护数据以防数据丢失或损坏,所有 Azure 文件共享都在写入每个文件时存储了该文件的多个副本。 可以根据工作负载的要求选择额外的冗余度。
以前的版本 是一项 Windows 功能,利用该功能,你可以利用卷的服务器端卷影复制服务 (VSS) 卷的快照,以便向 SMB 客户端提供文件的可恢复版本。 VSS 快照和先前版本的工作方式与 Azure 文件同步无关。但是,必须将云分层设置为兼容模式。 许多 Azure 文件同步服务器终结点可存在于同一个卷上。 你必须为每个卷进行以下 PowerShell 调用,该终结点具有一个服务器终结点,你打算或使用云分层。 有关以前版本和 VSS 的详细信息,请参阅 通过早期版本和 vss 进行的自助还原 (卷影复制服务) 。
可管理性注意事项
Azure 文件同步代理会定期更新,以添加新功能和解决问题。 建议将 Microsoft 更新配置为在 Azure 文件同步代理可用时立即获取更新。 有关详细信息,请参阅 Azure 文件同步代理更新策略。
Azure 存储为文件共享(预览版)提供软删除,以便在应用程序或其他存储帐户用户误删除数据后,可以更轻松地恢复数据。 若要了解有关软删除的详细信息,请参阅 在 Azure 文件共享上启用软删除。
云分层是 Azure 文件同步的一项可选功能,其中经常访问的文件在服务器本地缓存,而所有其他文件根据策略设置分层到 Azure 文件。 当文件分层时,Azure 文件同步文件系统筛选器 ( # A0) 会将文件本地替换为指向 Azure 文件中的文件的指针。 分层文件同时在 NTFS 中设置了 脱机 属性和 FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS 属性,以便第三方应用程序可以安全地识别分层文件。 有关详细信息,请参阅 云分层概述。
安全注意事项
Azure 文件同步适用于标准 Active Directory 域服务 (AD DS 基于) 的标识,无需设置 Azure 文件同步。使用 Azure 文件同步时,文件访问通常会通过 Azure 文件同步缓存服务器,而不是通过 Azure 文件共享。 由于服务器终结点位于 Windows Server 计算机上,因此标识集成的唯一要求是使用已加入域的 Windows 文件服务器向存储同步服务进行注册。 Azure 文件同步会将访问控制列表存储在 Azure 文件共享中的文件 (Acl) ,并将其复制到所有服务器终结点。
即使直接对 Azure 文件共享所做的更改需要更长的时间才能同步到同步组中的服务器终结点,你可能还需要确保你可以直接在云中对文件共享强制实施 AD DS 权限。 为此,你必须将你的存储帐户加入到本地 AD DS 域中,就像 Windows 文件服务器加入域的方式一样。 若要详细了解有关将存储帐户加入到客户拥有的 AD DS 实例的域,请参阅 Azure 文件基于标识的身份验证选项概述 SMB 访问。
使用 Azure 文件同步时,需要考虑三个不同的加密层:
对 Windows Server 中存储的数据进行静态加密。 对于 Azure 文件同步,有两个基本适用的关于 Windows Server 上加密数据的策略:一种是可对文件系统和写入其中的所有数据进行加密的文件系统下加密策略,另一种是文件格式内部的加密策略。 这些方法不是互斥的;如果需要,可以将它们一起使用,因为加密的目的不同。
在 Azure 文件同步代理与 Azure 之间传输加密。 Azure 文件同步代理使用 Azure 文件同步 REST 协议和 FileREST 协议与存储同步服务和 Azure 文件共享功能进行通信,这两种协议始终通过端口 443 使用 HTTPS。 Azure 文件同步不通过 HTTP 发送未加密的请求。
静态加密用于存储在 Azure 文件共享中的数据。 使用 Azure 存储服务加密 (SSE) 对存储在 Azure 文件存储中的所有数据进行静态加密。 存储服务加密的工作方式类似于 Windows 上的 BitLocker:在文件系统级别下对数据进行加密。 由于数据在 Azure 文件共享的文件系统下加密,因此,在将数据编码到磁盘时,无需访问客户端上的基础密钥即可读取或写入 Azure 文件共享。
成本注意事项
有关成本优化建议,请参阅 Azure Well-Architected 框架中 " 成本优化 " 页的原则。
Azure 存储定价 页提供基于帐户类型、存储容量、复制和交易的详细定价信息。
数据传输定价详细信息 提供了针对数据流出量的详细定价信息。
可以使用 Azure 存储定价计算器 来帮助估算成本。
