Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете развернуть файлы Azure двумя основными способами: напрямую подключение бессерверных общих папок Azure или кэширование общих папок локально с помощью службы "Синхронизация файлов Azure". Рекомендации по развертыванию различаются в зависимости от выбранного варианта.
Прямое подключение файлового ресурса Azure. Поскольку служба "Файлы Azure" предоставляет доступ по протоколу SMB или NFS, вы можете монтировать файловые ресурсы Azure локально или в облаке с помощью стандартных клиентов SMB или NFS, доступных в вашей ОС. Поскольку общие папки Azure работают без сервера, развертывание в рабочей среде не требует настройки файлового сервера или устройства NAS. Это означает, что вам не нужно применять исправления программного обеспечения или заменять физические диски. Вы можете использовать классические общие папки Azure или Microsoft.FileShares (предварительная версия) в качестве модели управления.
Кэшируйте общие папки Azure в локальной среде с помощью службы "Синхронизация файлов Azure": синхронизация файлов Azure позволяет централизировать общие папки организации в файлах Azure, сохраняя гибкость, производительность и совместимость локального файлового сервера. Синхронизация файлов Azure преобразует Windows Server, работающий в локальной или облачной среде, в высокоскоростной кэш вашего SMB хранилища файлов Azure.
В этой статье в первую очередь затрагиваются вопросы развертывания файлового общего ресурса Azure, чтобы его могли напрямую подключить локальные или облачные клиенты. Сведения о планировании развертывания Синхронизации файлов Azure см. в разделе Планирование развертывания Синхронизации файлов Azure.
Основные принципы управления
В Azure ресурс — это управляемый элемент, который вы создаете и настраиваете в подписках Azure и группах ресурсов. Ресурсы предоставляются поставщиками ресурсов, которые являются службами управления, которые предоставляют определенные типы ресурсов. Хотя вы можете работать с множеством ресурсов для развертывания рабочей нагрузки в Azure, файлы Azure центритироваться на двух ключевых ресурсах:
Учетные записи хранения, предлагаемые поставщиком
Microsoft.Storageресурсов. Учетные записи хранения — это ресурсы верхнего уровня, представляющие общий пул хранилища, операций ввода-вывода в секунду и пропускную способность, в которых можно развертывать классические файловые ресурсы или другие ресурсы хранения в зависимости от типа учетной записи хранения. На все ресурсы хранилища, развернутые в учетной записи хранения, распространяются ограничения, которые применяются к этой учетной записи хранения. Классические общие папки поддерживают протоколы общего доступа к файлам SMB и NFS.Общие папки (предварительная версия), предлагаемые поставщиком
Microsoft.FileSharesресурсов. Общие папки — это новый ресурс верхнего уровня, упрощающий развертывание файлов Azure, устраняя учетную запись хранения. В отличие от классических файловых ресурсов, которые необходимо развернуть в учетной записи хранения, общие папки развертываются непосредственно в группе ресурсов, например учетных записей хранения, или других ресурсах Azure, которые могут быть знакомы с такими виртуальными машинами, дисками или виртуальными сетями. Общие папки поддерживают протокол общего доступа к файлам NFS. Если требуется SMB, выберите классические общие папки для развертывания.
Это видео содержит полный обзор различий между учетной записью хранения и моделями управления общими папками:
Классические общие папки (Microsoft.Storage)
Классические общие папки или общие папки, развернутые в учетных записях хранения, являются традиционным способом развертывания общих папок для файлов Azure. Они поддерживают все ключевые функции, поддерживаемые Службами файлов Azure, включая SMB и NFS, уровни носителей SSD и HDD, каждый тип избыточности и в каждом регионе. Хотя классические общие папки поддерживают всю ширину функций файлов Azure, они имеют важные ограничения:
Планирование емкости: классические файловые ресурсы и дочерние объекты для других служб хранилища, таких как контейнеры BLOB-объектов, которые живут в одной учетной записи хранения, совместно используют общий пул хранилища, операций ввода-вывода в секунду и пропускную способность. Это означает, что размещение нескольких классических общих папок в учетной записи хранения требует планирования, чтобы избежать узких мест емкости. При планировании емкости для классических файловых ресурсов необходимо учитывать как текущие, так и будущие потребности каждой классической общей папки, размещенной в учетной записи хранения, так как рост одной классической общей папки может выйти из других общих папок.
Общие параметры: многие важные параметры, такие как правила сети и безопасности, применяются на уровне учетной записи хранения, поэтому в результате размещение классических общих папок в той же учетной записи хранения требует тщательного рассмотрения. Следует учитывать, что учетная запись хранения является границей доверия и помещаете классические общие папки в одну и ту же учетную запись хранения, если у вас есть одинаковые параметры безопасности.
Масштабирование сложности. Для крупномасштабных развертываний файлов Azure может потребоваться управление многими подписками Azure из-за ограничений учетных записей хранения от
Microsoft.Storageпоставщика ресурсов. Дополнительные сведения см. в разделе об ограничениях учетной записи хранения .
Существует два основных типа учетных записей хранения, используемых для развертывания классических файловых ресурсов:
-
Подготовленные учетные записи хранения: подготовленные учетные записи хранения отличаются с помощью типа учетной
FileStorageзаписи хранения. Подготовленные учетные записи хранения позволяют развертывать подготовленные классические общие папки на оборудовании SSD или HDD. Подготовленные учетные записи хранения можно использовать только для хранения классических общих папок и не могут использоваться другие ресурсы хранилища, такие как контейнеры BLOB-объектов, очереди и таблицы. Рекомендуется использовать подготовленные учетные записи хранения для всех новых развертываний классических файловых ресурсов. -
Учетные записи хранения с оплатой по мере использования: учетные записи хранения с оплатой по мере использования отличаются с помощью типа учетной
StorageV2записи хранения. Учетные записи хранения с оплатой по мере использования позволяют развертывать общие папки с оплатой по мере использования на оборудовании на основе HDD. Учетные записи хранения с оплатой по мере использования можно использовать для хранения классических файловых ресурсов и других ресурсов хранилища, таких как контейнеры BLOB-объектов, очереди или таблицы.
Дополнительные сведения см. в статье "Создание классической общей папки".
Общие папки (Microsoft.FileShares)
Общие папки (предварительная версия) — это новый ресурс Azure верхнего уровня, предоставляемый поставщиком Microsoft.FileShares ресурсов. Общие папки предлагают следующие преимущества по сравнению с классическими общими папками:
Упрощенное управление. Общие папки создаются непосредственно в качестве ресурсов верхнего уровня на портале или с помощью API управления. Это удаляет требование для управления учетной записью хранения и упрощает развертывание.
Независимая емкость и производительность: каждая файловая папка имеет собственное выделенное хранилище, операции ввода-вывода в секунду и пропускную способность. Это позволяет избежать необходимости в планировании емкости для учетных записей хранения ограниченных ресурсов и позволяет свободно расти по мере роста потребностей рабочей нагрузки.
Детализированная конфигурация: параметры сети и безопасности применяются на уровне общей папки, что обеспечивает точный контроль границ доступа и изоляции. Это упрощает применение политик безопасности для определенных приложений, команд или сред.
Прогнозируемое, гибкое выставление счетов: общие ресурсы используют подготовленную модель выставления счетов версии 2, которая позволяет независимо provisionировать объем хранения, IOPS и пропускную способность для каждого общего ресурса. Так как выставление счетов в Azure выполняется на один ресурс Azure верхнего уровня, использование общих папок позволяет легко отслеживать затраты на каждую отдельную общую папку для предоставления затрат обратно в проект, команду или клиента, использующую общую папку.
Улучшенная масштабируемая и производительность: общие папки поддерживают более высокие ограничения и меньше времени развертывания, чем классические общие папки. Дополнительные сведения см. в статье Целевые показатели масштабируемости и производительности Файлов Azure.
Региональная доступность
В настоящее время создание общей папки с помощью Microsoft.FileShares (предварительная версия) доступно в следующих регионах:
- Australia East
- Центральная Австралия
- Australia Southeast
- East Asia
- East US
- Северная Германия
- Корея (юг)
- Юго-Восточная Азия
- North Europe
- Западная часть ЮАР
- South India
- Центральная часть ОАЭ
В настоящее время поддержка частной конечной точки для общей папки с microsoft.FileShares (предварительная версия) доступна в ограниченном подмножестве регионов:
- Все общедоступные облачные регионы Azure.
Сравнение поставщиков ресурсов: Microsoft.Storage и Microsoft.FileShares
| Функция | Классические  |
Общие папки (Microsoft.FileShares)  |
|---|---|---|
| Гарантия поддержки | Общие доступные | Общедоступная предварительная версия |
| Ресурс верхнего уровня для службы |
 учетной записи хранения |
общих папок |
| Протокол SMB |
|
|
| Протокол NFS |
|
|
| Поддержка синхронизации файлов |
|
|
| Требовать учетную запись хранения |
|
|
| Оплата по мере использования модели выставления счетов |
|
|
| Подготовленная модель выставления счетов версии 1 |
|
|
| Подготовленная модель выставления счетов версии 2 |
|
|
| Поддержка HDD |
|
|
| Поддержка SSD |
|
|
| Система регистрации и отслеживания (LRS) |
|
|
| ZRS |
|
|
| ГРС |
|
|
| GZRS |
|
|
| Выставление счетов на уровне общего ресурса, сети и конфигурации безопасности |
|
|
| Конфигурации одной виртуальной сети для общей папки |
|
|
| Конфигурация одной виртуальной сети для нескольких общих папок |
|
|
| Драйвер CSI AKS |
|
|
| REST API плоскости данных |
|
|
Доступные протоколы
Служба "Файлы Azure" предлагает два стандартных отраслевых протокола файловой системы для подключения общих папок Azure: SMB и NFS. Вы можете выбрать протокол, который лучше всего подходит для вашей рабочей нагрузки. Общие папки Azure не поддерживают протоколы SMB и NFS в одной общей папке, хотя вы можете создавать общие папки SMB и NFS Azure в одной учетной записи хранения.
Используя сетевые папки SMB и NFS, Azure Files предоставляет корпоративного уровня файловые ресурсы, которые можно масштабировать в соответствии с потребностями ваших хранилищ и к которым одновременно могут получить доступ тысячи клиентов.
| Функция | SMB (малый и средний бизнес) | Сетевая файловая система (NFS) |
|---|---|---|
| Поддерживаемые версии протокола | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Рекомендуемая ОС |
|
Linux, версия ядра 4.3+ |
| Доступные уровни | SSD и HDD | Только SSD |
| Избыточность |
|
|
| Семантика файловой системы | Win32 | POSIX |
| Проверка подлинности | Аутентификация на основе удостоверения (Kerberos), аутентификация с использованием общего ключа (NTLMv2) | Аутентификация на уровне узла |
| Авторизация | Списки управления доступом (ACL) типа Win32 | Разрешения в стиле UNIX |
| Чувствительность к регистру | Без учета регистра, с сохранением регистра | С учетом регистра |
| Удаление или изменение открытых файлов | Только с замком | Да |
| Общий доступ к файлам | Режим общего доступа Windows | Диспетчер сетевой блокировки с учетом диапазона байтов |
| Поддержка жесткой ссылки | Не поддерживается | Поддерживается |
| Поддержка символьных ссылок | Не поддерживается | Поддерживается |
| Интернет доступен по желанию | Да (только SMB 3.0+) | Нет |
| Поддержка FileREST | Да | Да (только Microsoft.Storage) |
| Обязательные блокировки диапазона байтов | Поддерживается | Не поддерживается |
| Индикативные блокировки диапазона байтов | Не поддерживается | Поддерживается |
| Расширенные или именованные атрибуты | Не поддерживается | Не поддерживается |
| Альтернативные потоки данных. | Не поддерживается | Н/П |
| Идентификаторы объектов | Не поддерживается | Н/П |
| Точки повторной проверки данных | Не поддерживается | Н/П |
| Разреженные файлы | Не поддерживается | Н/П |
| Сжатие | Не поддерживается | Н/П |
| Именованные каналы | Не поддерживается | Н/П |
| SMB Direct | Не поддерживается | Н/П |
| Аренда каталогов SMB | Не поддерживается | Н/П |
| теневое копирование томов | Не поддерживается | Н/П |
| Короткие имена файлов (псевдоним 8.3) | Не поддерживается | Н/П |
| Транзакции файловой системы (TxF) | Не поддерживается | Н/П |
Идентификация
Чтобы получить доступ к общей папке Azure, пользователь общей папки должен пройти проверку подлинности и авторизацию для доступа к общей папке. Это делается на основе идентификации пользователя, обращающегося к файловому ресурсу. Azure Файлы поддерживают следующие методы аутентификации:
- Локальные доменные службы Active Directory (AD DS или локальные AD DS): Учетные записи хранения Azure могут быть присоединены к доменным службам Active Directory, принадлежащим заказчику, так же, как и к файловому серверу Windows Server или устройству NAS. Контроллер домена можно развернуть локально, на виртуальной машине Azure или даже в качестве виртуальной машины в другом поставщике облачных служб. Работа службы файлов Azure не зависит от того, где размещается контроллер домена. После того как учетная запись хранения присоединена к домену, конечный пользователь может подключить общую папку с учетной записью пользователя, выполнившего вход на свой компьютер. Проверка подлинности на основе Active Directory использует протокол проверки подлинности Kerberos.
- Доменные службы Microsoft Entra: доменные службы Microsoft Entra предоставляют управляемый корпорацией Майкрософт контроллер домена, который можно использовать для ресурсов Azure. Присоединение вашей учетной записи для хранения к доменным службам Microsoft Entra предоставляет аналогичные преимущества по сравнению с присоединением к домену, принадлежащему клиенту, в службах Active Directory Domain Services (AD DS). Этот вариант развертывания наиболее подходит для сценариев миграции существующих приложений, требующих разрешений на основе Active Directory (AD). Так как доменные службы Microsoft Entra предоставляют проверку подлинности на основе AD, этот параметр также использует протокол проверки подлинности Kerberos.
- Microsoft Entra Kerberos для гибридных удостоверений: Microsoft Entra Kerberos позволяет использовать идентификатор Microsoft Entra для проверки подлинности гибридных удостоверений пользователей, которые являются локальными удостоверениями AD, синхронизированными с облаком. Эта конфигурация использует Microsoft Entra ID для выдачи билетов Kerberos для доступа к файловому ресурсу по протоколу SMB. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет, не требуя подключения к сетевым контроллерам из гибридного соединения Microsoft Entra и присоединенных к Microsoft Entra виртуальных машин.
- Аутентификация Active Directory по SMB для клиентов Linux: Файлы Azure поддерживают аутентификацию на основе удостоверений по SMB для клиентов Linux с использованием протокола Kerberos через AD DS или доменные службы Microsoft Entra.
- Ключ учетной записи хранения Azure. Хотя это не рекомендуется по соображениям безопасности, вы также можете подключить общие папки Azure с помощью ключа учетной записи хранения Azure вместо использования удостоверения. Чтобы подключиться к сетевому ресурсу с помощью ключа учетной записи хранения, имя учетной записи хранения используется в качестве имени пользователя, а ключ учетной записи хранения используется в качестве пароля. Использование ключа учетной записи хранения для монтирования файлового хранилища Azure фактически является операцией администратора, так как смонтированное файловое хранилище имеет полные разрешения ко всем файлам и папкам на общем хранилище, даже если для них установлены списки управления доступом. При использовании ключа учетной записи хранения для подключения по протоколу SMB используется протокол проверки подлинности NTLMv2. В почти всех случаях рекомендуется использовать проверку подлинности на основе удостоверений вместо ключа учетной записи хранения для доступа к общим папкам Azure SMB. Однако если необходимо использовать ключ учетной записи хранения, рекомендуется использовать частные конечные точки или конечные точки служб, как описано в разделе "Сеть ".
Для клиентов, мигрирующих с локальных файловых серверов или создающих новые общие папки в Azure Files, которые должны функционировать как файловые серверы Windows или устройства NAS, рекомендуется присоединить учетную запись хранилища к домену AD DS, принадлежащему клиенту. Дополнительные сведения о присоединении учетной записи хранения к принадлежащему клиенту домену AD DS см. в статье "Общие сведения — проверка подлинности локальной службы доменных служб Active Directory по протоколу SMB для файловых ресурсов Azure".
Сеть
Для прямого подключения общей папки Azure часто нужно тщательно обдумать конфигурацию сети, так как:
- Порт, используемый общими папками SMB для обмена данными через порт 445, часто блокируют многие организации и поставщики услуг Интернета для исходящего трафика (интернет-трафика).
- Общие папки NFS используют проверку подлинности на уровне сети и поэтому доступны только через ограниченные сети. Для использования общей папки NFS всегда требуется определенный уровень конфигурации сети.
Для настройки сети служба "Файлы Azure" предоставляет общедоступную конечную точку в Интернете и интеграцию с сетевыми функциями Azure, такими как конечные точки служб. Они помогают ограничить общедоступную конечную точку указанными виртуальными сетями и частными конечными точками, которые предоставляют учетной записи хранения частный IP-адрес из пространства IP-адресов виртуальной сети. Хотя для использования общедоступных конечных точек или конечных точек службы плата не взимается, стандартные тарифы обработки данных применяются для частных конечных точек.
Это означает, что вам потребуется рассмотреть следующие конфигурации сети:
- Если требуется протокол SMB и весь доступ через SMB осуществляется из клиентов в Azure, специальная конфигурация сети не требуется.
- Если требуется протокол SMB и доступ осуществляется от локальных клиентов, необходимо подключение через VPN или ExpressRoute от вашей локальной сети к Azure, при этом Azure Files должны быть доступны в вашей внутренней сети с использованием частных конечных точек.
- Если нужно работать по протоколу NFS, вы можете использовать конечные точки службы или частные конечные точки, чтобы ограничить сеть указанными виртуальными сетями. Если вам нужен статический IP-адрес и(или) для рабочей нагрузки требуется высокий уровень доступности, используйте частную конечную точку. При использовании конечных точек службы редкие события, такие как зональный сбой, могут привести к изменению базового IP-адреса учетной записи хранения. Хотя данные по-прежнему доступны в общей папке, клиенту потребуется повторное подключение общей папки.
Дополнительные сведения о настройке сети для Файлов Azure см. в статье Рекомендации по работе с сетями службы "Файлы Azure".
Помимо прямого подключения к общей папке с помощью общедоступной конечной точки или подключения VPN либо ExpressRoute к частной конечной точке, SMB предоставляет дополнительную стратегию клиентского доступа: SMB через QUIC. Для доступа по протоколу SMB через транспортный протокол QUIC предоставляется SMB-VPN без настройки. Хотя служба "Файлы Azure" не поддерживает SMB через QUIC напрямую, вы можете создать упрощенный кэш общих папок Azure на виртуальной машине Windows Server 2022 Azure Edition с помощью Синхронизации файлов Azure. Дополнительные сведения об этой возможности см. в разделе Доступ по SMB через QUIC с помощью Синхронизации файлов Azure.
Шифрование
Файлы Azure поддерживает два различных типа шифрования:
- Шифрование при передаче, которое относится к шифрованию, используемому при подключении и доступе к общей папке Azure
- Шифрование неактивных данных, которое связано с тем, как данные шифруются при хранении на диске
Шифрование при передаче
По умолчанию для всех учетных записей хранения Azure включено шифрование при передаче. Это означает, что при подключении к общей папке через SMB или доступе к ней через протокол FileREST (например, через Azure портал, PowerShell/CLI или SDK Azure), служба Azure Files разрешает подключение только в том случае, если оно выполнено с использованием SMB 3.x с шифрованием или HTTPS. Клиенты, которые не поддерживают SMB 3.x или поддерживают SMB 3.x, но не шифрование SMB, не смогут подключить общую папку Azure, если шифрование включено во время передачи данных. Дополнительные сведения о том, какие операционные системы поддерживают SMB 3.x с шифрованием, см. в нашей документации по Windows, macOS и Linux. Все текущие версии PowerShell, CLI и пакетов SDK поддерживают протокол HTTPS.
В учетной записи хранения Azure шифрование при передаче можно отключить. При отключении шифрования файлы Azure также разрешают SMB 2.1 и SMB 3.x без шифрования и незашифрованные вызовы API FileREST по протоколу HTTP. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в более старой версии операционной системы, например Windows Server 2008 R2 или более старой версии Linux. Azure Files разрешает только подключения SMB 2.1 в том же регионе Azure, что и файловое хранилище Azure; клиент SMB 2.1, находящийся за пределами региона Azure, в котором находится файловое хранилище Azure, например, на локальной инфраструктуре или в другом регионе Azure, не сможет получить доступ к файловому хранилищу.
Настоятельно рекомендуется включить шифрование данных при передаче.
Для получения дополнительной информации о шифровании при передаче данных см. раздел о необходимости безопасной передачи в хранилище Azure и о защите данных при передаче для файловых ресурсов Azure NFS.
Шифрование при хранении
Все данные, хранящиеся в файлах Azure, шифруются неактивных с помощью шифрования службы хранилища Azure (SSE). SSE работает аналогично BitLocker в Windows: данные шифруются под уровнем файловой системы.
Так как данные шифруются под файловой системой Azure, так как она закодирована на диск, доступ к базовому ключу клиента не требуется для чтения или записи в общую папку Azure. Шифрование неактивных данных поддерживает протоколы SMB и NFS.
По умолчанию хранимые в Файлах Azure данные шифруются с помощью ключей, управляемых корпорацией Майкрософт, С помощью ключей, управляемых корпорацией Майкрософт, корпорация Майкрософт содержит ключи для шифрования и расшифровки данных. Корпорация Майкрософт отвечает за регулярное смену этих ключей.
Вы также можете управлять собственными ключами, чтобы контролировать процесс их ротации. Если вы решили зашифровать общие папки с помощью ключей, управляемых клиентом, служба "Файлы Azure" будет иметь доступ к вашим ключам для выполнения запросов на чтение и запись от ваших клиентов. С помощью ключей, управляемых клиентом, вы можете отозвать эту авторизацию в любое время. Но без этой авторизации общая папка Azure больше не доступна через SMB или API FileREST.
Файлы Azure используют ту же схему шифрования, что и другие службы хранилища Azure, например хранилище BLOB-объектов Azure. Дополнительные сведения о службе хранилища Azure SSE см. в статье "Шифрование службы хранилища Azure" для неактивных данных.
Защита данных
Служба файлов Azure имеет многоуровневый подход к обеспечению резервного копирования, восстановления и защиты данных от угроз безопасности. См. обзор защиты данных Azure Files.
Мягкое удаление
Мягкое удаление — это параметр уровня учетной записи хранения, позволяющий восстановить файловую долю при случайном удалении. При удалении файлового ресурса он переходит в состояние мягкого удаления, а не стирается без возможности восстановления. Вы можете настроить продолжительность периода, в течение которого мягко удалённые общие ресурсы доступны для восстановления до их окончательного удаления, и восстановить ресурс в любое время в течение этого периода хранения.
Мягкое удаление по умолчанию включено для новых учетных записей хранения. Если в вашем рабочем процессе удаление общего ресурса происходит часто и ожидаемо, вы можете установить короткий период хранения или вообще не использовать функцию обратимого удаления.
Дополнительные сведения об обратимом удалении см. в разделе Предотвращение случайного удаления данных.
Резервное копирование
Можно создать резервную копию общего файлового ресурса Azure, используя моментальные снимки общего ресурса, которые предназначены только для чтения и представляют собой копии общего ресурса на момент времени. Моментальные снимки являются добавочными, то есть содержат ровно столько данных, сколько было изменено с момента создания предыдущего снимка. Можно получить до 200 моментальных снимков на файловую долю и хранить их до 10 лет. Вы можете либо вручную создавать моментальные снимки в портале Azure, с помощью PowerShell или интерфейса командной строки (CLI), либо использовать Azure Backup.
Azure Backup для файловых ресурсов Azure выполняет планирование и хранение снимков состояния. Возможности GFS означают, что можно создавать ежедневные, еженедельные, ежемесячные и ежегодные снимки, каждая из которых имеет уникальный период хранения. Azure Backup также управляет включением мягкого удаления и устанавливает блокировку удаления на учетной записи хранения, как только общая папка в этой учетной записи настроена для резервного копирования. Наконец, Azure Backup реализует некоторые ключевые возможности мониторинга и оповещения, позволяющие клиентам получать консолидированное представление о своей резервной копии.
С помощью Azure Backup можно выполнять восстановление как на уровне элементов, так и на уровне общего ресурса на портале Azure. Вам нужно всего лишь выбрать точку восстановления (определенный моментальный снимок), конкретный файл или каталог, а затем расположение (исходное или альтернативное), куда нужно выполнить восстановление. Служба резервного копирования осуществляет копирование данных моментального снимка и отображает ход восстановления на портале.
Защита Файлов Azure с помощью Microsoft Defender для службы хранилища
Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Она обеспечивает комплексную безопасность путем анализа телеметрии плоскостей данных и управления, порождаемой Azure Files. Он использует расширенные возможности обнаружения угроз, предоставляемые Microsoft Threat Intelligence , для предоставления контекстных оповещений системы безопасности, включая шаги по устранению обнаруженных угроз и предотвращению будущих атак.
Защитник для хранилища постоянно анализирует поток телеметрии, созданный Azure Files. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака, а также сведения о подозрительных действиях, шагах исследования, действиях по исправлению и рекомендациях по безопасности.
Defender для хранилища обнаруживает известные вредоносные программы, такие как программы-шантажисты, вирусы, шпионские программы и другие вредоносные программы, отправленные в учетную запись хранения на основе полного хэша файлов (поддерживается только для REST API). Это помогает предотвратить вход вредоносных программ в организацию и распространение на большее количество пользователей и ресурсов. Ознакомьтесь с разделом "Общие сведения о различиях между сканированием вредоносных программ и анализом хэш-репутации".
Defender для хранилища не обращается к данным учетной записи хранения и не влияет на ее производительность. Вы можете включить Microsoft Defender для хранилища на уровне подписки (рекомендуется) или на уровне ресурса.
Уровни хранилища
Файлы Azure предлагают два уровня хранилища: твердотельный диск (SSD) и жесткий диск (HDD). Эти уровни позволяют адаптировать акции к требованиям к производительности и цене вашего сценария:
SSD (премиум): общие папки SSD обеспечивают согласованную высокую производительность и низкую задержку в миллисекундах с одним цифрами для большинства операций ввода-вывода для рабочих нагрузок с интенсивным вводом-выводом. Общие папки SSD подходят для различных рабочих нагрузок, таких как базы данных, размещение веб-сайтов и среды разработки.
Общие папки SSD можно использовать как с протоколами SMB, так и с NFS. Общие папки SSD доступны в подготовленных моделях выставления счетов версии 2 и подготовленных моделях выставления счетов версии 1 . Общие папки SSD предлагают более высокую доступность, чем общие папки HDD.
HDD (стандартный): общие папки HDD предоставляют экономичный вариант хранения общих папок общего назначения. Общие папки HDD доступны с подготовленными моделями выставления счетов версии 2 и оплаты по мере использования , хотя мы рекомендуем подготовленную модель версии 2 для новых развертываний общих папок. Сведения об уровне обслуживания см. на странице обслуживания Azure для веб-служб.
При выборе уровня мультимедиа для рабочей нагрузки учитывайте требования к производительности и использованию. Если ваша рабочая нагрузка требует задержки в единичных значениях или вы используете локальные носители хранения на базе SSD, общие ресурсы на SSD, скорее всего, являются наилучшим вариантом. Если низкая задержка не так важна, общие папки HDD могут быть лучше подходят с точки зрения затрат. Например, низкая задержка может быть меньше проблем с общими ресурсами группы, подключенными к локальной среде из Azure или кэшированной локальной службой с помощью службы "Синхронизация файлов Azure".
После создания общей папки в учетной записи хранения вы не сможете напрямую переместить его на другой уровень мультимедиа. Например, чтобы переместить общую папку HDD на уровень мультимедиа SSD, необходимо создать новую общую папку SSD и скопировать данные из исходной общей папки в новую общую папку.
Дополнительные сведения о уровнях носителей SSD и HDD см. в разделе "Общие сведения о моделях выставления счетов файлов Azure " и "Общие сведения о производительности файлов Azure" и оптимизации производительности файловых ресурсов Azure.
Избыточность
Чтобы защитить данные в общих папках Azure от потери или повреждения данных, файлы Azure хранят несколько копий каждого файла по мере их записи. В зависимости от требований можно выбрать степень избыточности. В настоящее время службы "Файлы Azure" поддерживают следующие параметры избыточности данных:
Локально избыточное хранилище (LRS): при локальной избыточности каждый файл хранится три раза в кластере хранилища Azure. Такой подход помогает защититься от потери данных из-за сбоев оборудования, таких как плохой диск. Однако, если в центре обработки данных происходит катастрофа, например пожар или наводнение, все реплики учетной записи хранения, использующую LRS, могут быть потеряны или неустранимы.
Хранилище, избыточное между зонами (ZRS): при избыточности зоны хранятся три копии каждого файла. Однако эти копии физически изолированы в трех разных кластерах хранения в зонах доступности Azure. Зоны доступности — это уникальные физические расположения в регионе Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия. Запись в хранилище не принимается, пока она не будет записана в кластеры хранения во всех трех зонах доступности.
Геоизбыточное хранилище (GRS): при геоизбыточности у вас есть основной регион и дополнительный регион. Файлы хранятся три раза в кластере хранилища Azure в основном регионе. Операции записи асинхронно реплицируются в вторичный регион, определенный корпорацией Майкрософт.
Геоизбыточность предоставляет шесть копий данных, распределенных между двумя регионами Azure. Если произошла серьезная авария, например постоянная потеря региона Azure из-за стихийных бедствий или другого подобного события, корпорация Майкрософт выполняет отработку отказа. В этом случае вторичный становится основным и обслуживает все операции.
Так как репликация между основными и вторичными регионами является асинхронной, если происходит серьезная авария, данные еще не реплицируются в дополнительный регион. Вы также можете выполнить ручное переключение геоизбыточной учетной записи хранения.
Геоизбыточное хранилище (GZRS): при избыточности геозоны файлы хранятся в трех разных кластерах хранилища в основном регионе. Все операции записи затем асинхронно реплицируются в определенный корпорацией Майкрософт дополнительный регион. Процесс отработки отказа для избыточности геозоны работает так же, как и для геоизбыточности.
Общие папки HDD поддерживают все четыре типа избыточности. Общие папки SSD поддерживают только LRS и ZRS.
Учетные записи хранения с оплатой по мере использования предоставляют два других варианта избыточности, которые служба файлов Azure не поддерживает: геоизбыточное хранилище для чтения (RA-GRS) и геоизбыточное хранилище для чтения (RA-GZRS). Вы можете подготовить общие папки Azure в учетных записях хранения с помощью этих параметров, но файлы Azure не поддерживают чтение из дополнительного региона. Общие папки Azure, развернутые в RA-GRS или RA-GZRS учетные записи хранения, выставляются как геоизбыточные или геоизбыточные соответственно.
Дополнительные сведения об избыточности см. в разделе Избыточность данных Azure Files.
Доступность зонально-избыточных файловых хранилищ на базе SSD
Общие папки SSD, избыточные между зонами, доступны для подмножества регионов Azure.
Аварийное восстановление и переключение при отказе
В случае непредвиденного перебоя в работе регионального сервиса вам потребуется план аварийного восстановления для файловых разделов Azure. Основные понятия и процессы, связанные с аварийным восстановлением и переключением учетной записи хранения, см. в статье Аварийное восстановление и переключение для Azure Files.
Миграция
Во многих случаях вы не будете создавать новую общую папку с нуля для вашей организации, а вместо этого перенесёте существующую общую папку с локального файлового сервера или устройства NAS в Azure Files. Выбор правильной стратегии и средств миграции для вашего сценария очень важен для ее успешного выполнения.
В статье Общие сведения о миграции кратко рассматриваются основы и содержится таблица, где представлены указания по миграции, которые, скорее всего, подходят для вашего случая.
Следующие шаги
- Planning for an Azure File Sync Deployment (Планирование развертывания службы синхронизации файлов Azure)
- How to deploy Azure Files (Развертывание службы "Файлы Azure")
- Развертывание службы синхронизации файлов Azure
- Ознакомьтесь с обзором по миграции, чтобы найти указания, подходящие для вашего случая