Файловые ресурсы SMB Azure

Область применения: ✔️ общие папки SMB

Служба "Файлы Azure" предоставляет общие папки корпоративного класса, которые можно масштабировать в соответствии с потребностями хранилища, и тысячи клиентов могут получить к ним доступ одновременно. Файлы Azure предлагает два стандартных протокола для подключения общих папок Azure: протокола Server Message Block (SMB) и протокола Network File System (NFS). Выберите протокол, подходящий для вашей рабочей нагрузки. Файлы Azure не поддерживает доступ к отдельному файловому ресурсу Azure одновременно по протоколам SMB и NFS, хотя в одной учетной записи хранения можно создать классические файловые ресурсы SMB и NFS.

В этой статье рассматриваются файловые ресурсы SMB Azure. Сведения о файловых ресурсах NFS Azure см. в разделе NFS Azure файловые ресурсы.

Распространенные сценарии

Используйте общие файловые ресурсы SMB для самых разных приложений, включая файловые ресурсы для конечных пользователей и файловые ресурсы, которые используются базами данных и приложениями. Используйте общие папки SMB в следующих сценариях:

• Общие папки конечных пользователей, такие как общие папки группы и домашние каталоги
• Резервное хранилище для приложений на основе Windows, таких как SQL Server базы данных или бизнес-приложения
• Разработка новых приложений и служб, особенно при необходимости случайного ввода-вывода и иерархического хранилища

Функции

Файлы Azure поддерживает основные функции SMB и Azure, необходимые для производственных развертываний общих папок SMB:

• Непрерывная доступность SMB (CA)
• Присоединение к домену AD и дискреционные списки управления доступом (DACLs)
• Интегрированное бессерверное резервное копирование с Azure Backup
• Сетевая изоляция с помощью частных конечных точек Azure
• Высокая пропускная способность сети с помощью SMB Multichannel (только общие папки SSD)
• Шифрование каналов SMB, включая AES-256-GCM, AES-128-GCM и AES-128-CCM
• Поддержка предыдущих версий с помощью моментальных снимков интегрированной общей папки VSS
• Автоматическое обратимое удаление в общих папках Azure, чтобы предотвратить случайное удаление
• По выбору доступные через Интернет общие папки с интернет-сейфом SMB 3.0+

Вы можете подключать SMB-файловые ресурсы напрямую или кэшировать их в локальной среде с помощью Синхронизация файлов Azure.

Поддержка SMB в Windows и возможности Файлы Azure

В следующей таблице показана поддержка Windows для версии SMB, функции SMB Multichannel¹ и шифрования каналов SMB при подключении файловых хранилищ Azure. Эта таблица позволяет определить требования к поддержке функций и безопасности для клиентских операционных систем, обращаюющихся к Azure общей папке. Используйте последнюю базу знаний для вашей версии Windows.

¹ Файлы Azure поддерживает SMB Multichannel только для файловых ресурсов SSD (премиум-класса).

²Обычная поддержка Microsoft для Windows Server 2012 и Windows Server 2012 R2 окончена. Вы можете приобрести дополнительную поддержку обновлений безопасности только в программе расширенного обновления безопасности (ESU).

³Microsoft поддержка Windows 7, Windows 8.1 и Windows Server 2008 R2 закончилась. Перейдите с этих операционных систем.

Параметры протокола SMB

Файлы Azure предлагает несколько параметров, влияющих на поведение, производительность и безопасность протокола SMB. Они настроены для всех классических файловых ресурсов Azure в учетной записи хранения Azure.

Непрерывная доступность SMB

Файлы Azure поддерживает непрерывную доступность SMB (CA), что помогает приложениям оставаться доступными во время кратковременных сбоев инфраструктуры. Непрерывная доступность — это функция протокола SMB, обеспечивающая сохранение активности открытых дескрипторов файлов во время кратковременных прерываний, таких как переключение при отказе сервера или кратковременные сбои сети. Все общие папки SMB Azure по умолчанию постоянно доступны. Этот параметр нельзя отключить.

Что обеспечивает непрерывная доступность

Непрерывная доступность обеспечивает следующие преимущества:

• Постоянные дескрипторы файлов, которые устойчивы к временным сбоям
• Прозрачное восстановление операций ввода-вывода после переключения на резервную систему
• Согласованность данных во время переходов инфраструктуры
• Снижение риска нарушения работы приложений

Если происходит краткое прерывание подключения, клиенты SMB автоматически повторяют операции и повторно получают доступ к открытым файлам, не требуя повторного открытия приложений. Это поведение особенно важно для рабочих нагрузок, которые поддерживают длительное использование файловых сессий.

Принцип работы непрерывной доступности

Непрерывная доступность зависит от постоянных дескрипторов SMB. Во время временного прерывания, который обычно длится до нескольких минут, применяются следующие инструкции:

• Открытые дескрипторы файлов остаются допустимыми.
• Клиент SMB повторно пытается выполнить ожидающие операции ввода-вывода.
• Файлы Azure прозрачно возобновляет операции после восстановления подключения.

Поскольку Файлы Azure ставит приоритет на правильность и долговечность, клиент ожидает и повторяет попытку вместо того, чтобы немедленно завершить операцию сбоем.

Поведение времени ожидания во время потери подключения

Из-за поведения повторных попыток, требуемого для обеспечения непрерывной доступности, операции SMB могут занимать больше времени для завершения во время сетевых сбоев.

Например, может возникнуть следующее:

• Windows клиенты SMB могут повторить операции в течение нескольких минут, прежде чем возвращать ошибку.
• Приложения могут временно приостановиться при повторном подключении.

Это поведение является запланированным, так как оно помогает сохранить целостность дескрипторов и предотвратить повреждение данных. Рабочие нагрузки, которые часто отключаются, например перемещаемые ноутбуки или неустойчивые сетевые подключения, могут испытывать более длительные задержки прежде чем произойдут сбои.

SMB Multichannel

Функция SMB Multichannel позволяет клиенту SMB 3.x устанавливать несколько сетевых подключений к общей папке SMB. Файлы Azure поддерживает SMB Multichannel только для файловых ресурсов SSD (premium). Для клиентов Windows протокол SMB Multichannel включен по умолчанию во всех Azure регионах. В большинстве сценариев, особенно многопоточных рабочих нагрузок, клиенты видят улучшенную производительность с помощью SMB Multichannel. Однако для некоторых конкретных сценариев, таких как однопоточные рабочие нагрузки или для тестирования, может потребоваться отключить SMB Multichannel. Дополнительные сведения см. в разделе SMB Multichannel .

Безопасность

Файлы Azure шифрует все данные в состоянии покоя с помощью функции шифрования службы хранилища Azure (SSE). Вы также можете зашифровать данные во время передачи.

Шифрование данных в состоянии покоя

Шифрование службы хранилища работает аналогично BitLocker в Windows: оно шифрует данные под уровнем файловой системы. Поскольку данные шифруются ниже уровня файловой системы общего файлового ресурса Azure при записи на диск, для чтения или записи в общий файловый ресурс Azure доступ к нижележащему ключу на стороне клиента не требуется.

Шифрование при передаче

Файлы Azure предоставляет выделенный параметр Require Encryption in Transit for SMB, который можно использовать для независимого управления необходимостью шифрования для доступа SMB к общим папкам Azure. Этот параметр для каждого протокола обеспечивает более детализированный контроль, чем обязательный параметр безопасной передачи на уровне учетной записи хранения, который теперь применяется только к трафику REST/HTTPS. Для новых учетных записей хранения, созданных с помощью портала Azure, Require Encryption in Transit for SMB включен по умолчанию, поэтому разрешены только подключения SMB 3.x с шифрованием. Подключения от клиентов, которые не поддерживают шифрование канала SMB 3.x, отклоняются при включении шифрования при передаче. Учетные записи хранения, созданные с помощью Azure PowerShell, Azure CLI или API FileREST, устанавливают транзитное шифрование для SMB как Не выбрано для обеспечения обратной совместимости.

Для существующих учетных записей хранения функция Требовать шифрование при передаче для SMB изначально отображается как Не выбрано. Хотя это не выбрано, параметр безопасной передачи продолжает управлять поведением шифрования SMB. После явной настройки обязательного шифрования в транзитном режиме для SMB этот параметр имеет приоритет для доступа SMB независимо от требуемого значения безопасной передачи .

Файлы Azure поддерживает AES-256-GCM с SMB 3.1.1 при использовании с Windows Server 2022 или Windows 11. SMB 3.1.1 также поддерживает AES-128-GCM, а SMB 3.0 поддерживает AES-128-CCM. По умолчанию AES-128-GCM согласован в Windows 10, версии 21H1, по соображениям производительности.

Вы можете отключить шифрование в процессе передачи для файлового хранилища Azure. При отключении шифрования Файлы Azure разрешает SMB 2.1 и SMB 3.x без шифрования. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно работать в старой операционной системе, например Windows Server 2008 R2 или более старое дистрибутив Linux. Файлы Azure поддерживает подключения по протоколу SMB 2.1 только в пределах того же региона Azure, что и файловый ресурс Azure. Клиент SMB 2.1, находящийся за пределами региона Azure, в котором расположен общий файловый ресурс Azure, например в локальной среде или в другом регионе Azure, не может получить доступ к этому общему файловому ресурсу.

Параметры безопасности SMB

Файлы Azure предоставляет параметры, которые можно переключать, чтобы сделать протокол SMB более совместимым или более безопасным в зависимости от требований вашей организации. По умолчанию Файлы Azure настроены на максимальную совместимость, поэтому помните, что ограничение этих параметров может привести к тому, что некоторые клиенты не смогут подключаться.

Файлы Azure предоставляет следующие параметры:

• Версии SMB. Разрешенные версии протокола SMB. Поддерживаются следующие версии этого протокола: SMB 3.1.1, SMB 3.0 и SMB 2.1. По умолчанию разрешены все версии SMB, хотя SMB 2.1 запрещено, если включено шифрование при передаче для SMB (или если требуемый параметр безопасной передачи управляет поведением SMB), так как SMB 2.1 не поддерживает шифрование при передаче.
• Методы проверки подлинности. Разрешенные методы проверки подлинности для протокола SMB. Поддерживаемые методы проверки подлинности: NTLMv2 (только ключ учетной записи хранилища) и Kerberos. По умолчанию разрешены все методы проверки подлинности. Удаление NTLMv2 запрещает использование ключа учетной записи хранения для монтирования файлового ресурса Azure. Файлы Azure не поддерживает проверку подлинности NTLM для учетных данных домена.
• Шифрование билета Kerberos. Разрешенные алгоритмы шифрования. Поддерживаемые алгоритмы шифрования : AES-256 (настоятельно рекомендуется) и RC4-HMAC.
• Шифрование канала SMB. Разрешенные алгоритмы шифрования канала SMB. Поддерживаются алгоритмы шифрования AES-256-GCM, AES-128-GCM и AES-128-CCM. Если выбран только AES-256-GCM, необходимо указать подключающимся клиентам использовать его, открыв терминал PowerShell от имени администратора на каждом клиентском устройстве и выполнив Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Использование AES-256-GCM не поддерживается для клиентов Windows старше Windows 11/Windows Server 2022.

Параметры безопасности SMB можно просматривать и изменять с помощью портала Azure, Azure PowerShell или Azure CLI. Выберите нужную вкладку, чтобы узнать, как получить и задать параметры безопасности SMB. Обратите внимание, что эти параметры проверяются при установке сеанса SMB и, если он не выполнен, установка сеанса SMB завершается ошибкой STATUS_ACCESS_DENIED.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Ограничения

Общие папки SMB Azure поддерживают подмножество функций, поддерживаемых протоколом SMB и файловой системой NTFS. Хотя большинство вариантов использования и приложений не требуют этих функций, некоторые приложения могут работать неправильно с Файлы Azure если они используют неподдерживаемые функции. Следующие функции не поддерживаются:

• SMB Direct
• Аренда каталогов SMB
• VSS для общих папок SMB (эта функция позволяет поставщикам VSS сбрасывать данные в общую папку SMB до создания моментального снимка)
• Альтернативные потоки данных.
• Дополнительные атрибуты.
• Идентификаторы объектов
• Жесткие связи
• Мягкие ссылки
• Точки повторного анализа
• Разреженные файлы
• Короткие имена файлов (псевдонимы 8.3)
• Compression

Доступность в регионах

Общие папки SMB Azure доступны в каждом регионе Azure, включая все общедоступные и суверенные регионы. Файловые ресурсы SSD доступны в подмножестве регионов.

Следующие шаги

• План развертывания Файлы Azure
• Создание общей папки Azure
• Подключите общие папки SMB к предпочитаемой операционной системе:
  • Монтирование общих папок SMB в Windows
  • Подключение файловых ресурсов SMB на Linux
  • Подключение общих папок SMB в macOS