部署 Azure 文件同步

使用 Azure 文件同步,即可将组织的文件共享集中在 Azure 文件中,同时又不失本地文件服务器的灵活性、性能和兼容性。 Azure 文件同步可将 Windows Server 转换为 Azure 文件共享的快速缓存。 可以使用 Windows Server 上提供的任何协议在本地访问数据,包括服务器消息块(SMB)、网络文件系统(NFS)和 SSL/TLS 上的文件传输协议(FTPS)。 您可以在世界各地根据需求设置任意数量的缓存。

强烈建议在完成本文中的步骤之前阅读“计划”来部署 Azure 文件和规划 Azure 文件同步部署

Prerequisites

  • 需要位于要在其中部署 Azure 文件同步的同一区域中的 Azure 文件共享。建议为所有新部署预配 v2 文件共享。 有关详细信息,请参见:

  • 必须启用以下存储帐户设置,才能授予 Azure 文件同步对存储帐户的访问权限:

    • SMB 安全设置必须允许 SMB 3.1.1 协议版本、NTLM v2 身份验证和 AES-128-GCM 加密。 若要查看存储帐户的 SMB 安全设置,请参阅 SMB 安全设置
    • 允许存储帐户密钥访问 必须设置为 “已启用”。 若要检查此设置,请转到存储帐户,然后在“设置”部分选择“配置”。

  • 至少需要一个受支持的 Windows Server 实例才能与 Azure 文件同步同步。有关受支持的 Windows Server 版本和建议的系统资源的详细信息,请参阅 Windows 文件服务器的注意事项

  • 必须在 Windows Server 实例上安装以下 Windows 更新:

  • 注册服务器并创建云终结点的管理员,必须是存储同步服务的管理角色 Azure 文件同步管理员、所有者或参与者的成员。 可以在存储同步服务的 Azure 门户页上的 访问控制(IAM) 下配置此角色。 Azure 文件同步 还需要额外的存储帐户权限,以便执行创建和更新云终结点的操作。 以前只有存储帐户读取权限的用户无法再创建或更新云终结点。

对于未使用托管标识的部署,管理员必须具有包含以下权限的角色:

  • Microsoft.Storage/storageAccounts/listKeys/action
  • Microsoft。Storage/storageAccounts/ListAccountSas/action

对于托管标识部署,请确保Azure 文件同步托管标识或服务主体具有所需的存储帐户角色,例如读取者、数据访问或存储文件数据特权参与者(如适用)。

分配 Azure 文件同步管理员角色时,请按照以下步骤确保最低权限。

  1. 在“条件”选项卡下,选择“允许用户仅将所选角色分配给所选主体”(权限更少)。

  2. 单击选择角色和主体,然后在条件#1下选择添加操作

  3. 选择“ 创建角色分配”,然后单击“ 选择”。

  4. 选择 “添加表达式”,然后选择“ 请求”。

  5. “属性源”下,选择“角色定义 ID”“属性”下,然后在“运算符”下选择“ForAnyOfAnyValues:GuidEquals”

  6. 选择 “添加角色”。 添加 读取者和数据访问存储文件数据特权参与者存储帐户参与者 角色,然后选择“ 保存”。

  • 如果打算将 Azure 文件同步与 Windows Server 故障转移群集配合使用,则必须在群集中的每个节点上安装 Azure 文件同步代理之前,将 文件服务器配置为常规使用 角色。 有关如何在故障转移群集上配置 “通用文件服务器”角色 的详细信息,请参阅 部署双节点群集文件服务器

    Note

    Azure 文件同步支持的唯一方案是具有群集磁盘的 Windows Server 故障转移群集。 有关详细信息,请参阅 故障转移群集

  • 尽管可以使用 Azure 门户管理云资源,但 PowerShell cmdlet 为已注册的服务器提供高级功能。 可以在 PowerShell 5.1 或 PowerShell 6+ 本地运行这些 cmdlet。 在 Windows Server 2012 R2 上,可以通过检查 PSVersion 对象的属性值 $PSVersionTable 来验证是否至少正在运行 PowerShell 5.1.* :

    $PSVersionTable.PSVersion

    PSVersion如果值小于5.1.*,则需要通过下载并安装 Windows Management Framework 5.1 进行升级。 需下载和安装的 Windows Server 2012 R2 的相应包为 Win8.1AndW2K12R2-KB*******-x64.msu。

    可以将 PowerShell 6+ 与任何受支持的系统配合使用,并通过其 GitHub 页面下载它。

准备 Windows Server,用于 Azure 文件同步

对于要用于 Azure 文件同步的每个服务器,包括故障转移群集中的每个服务器节点,请禁用 Internet Explorer 增强的安全配置。 仅在首次注册服务器时需要执行此操作。 注册服务器后,可以重新启用该设置。

如果要在 Windows Server Core 上部署 Azure 文件同步,则可以跳过此作。

  1. 打开服务器管理器。

  2. 选择 “本地服务器”。

    服务器管理器中“本地服务器”选项的屏幕截图。

  3. 在“ 属性 ”窗格中,选择 IE 增强型安全配置的链接。

    服务器管理器中的服务器属性的屏幕截图。

  4. Internet Explorer 增强的安全配置对话框中,选择“管理员”和“用户”下的“关闭”。 然后选择“ 确定”。

    Internet Explorer 增强的安全配置对话框的屏幕截图,其中选择了“关闭”选项。

部署存储同步服务

Azure 文件同步的部署首先在所选订阅的资源组中放置 存储同步服务 资源。 你将在服务器和此资源之间创建信任关系。

服务器只能注册到一个存储同步服务。 因此,建议根据需要部署尽可能多的存储同步服务以分离服务器组。 请记住,不同存储同步服务中的服务器不能彼此同步。

存储同步服务从部署该服务的订阅和资源组继承访问权限。 我们建议仔细检查谁有权访问该服务。 具有写入访问权限的实体可以开始从注册到此存储同步服务的服务器同步新文件集,并导致数据流向可访问的 Azure 存储。

  1. Azure 门户中,选择“创建资源”。

  2. 搜索 Azure 文件同步 并在结果中选择它。

  3. 选择 创建。 在 “部署存储同步 ”选项卡上,输入以下信息:

    • 名称:存储同步服务的唯一名称(每个区域)。
    • 订阅:要在其中创建存储同步服务的订阅。 根据您组织的配置策略,您可能有权访问一个或多个订阅。 Azure 订阅是对每项云服务(如 Azure 文件)计费的最基本容器。
    • 资源组:Azure 资源的逻辑组,例如存储帐户或存储同步服务。 可以为 Azure 文件同步创建新的资源组,也可对其使用现有资源组。建议使用资源组作为用于从逻辑上隔离组织资源的容器,例如对 HR 资源或特定项目资源进行分组。
    • 位置:要在其中部署 Azure 文件同步的区域。此列表中仅提供受支持的区域。

  4. 选择 创建

安装 Azure 文件同步代理

Azure 文件同步代理是一个可下载包,可实现 Windows 服务器与 Azure 文件共享的同步。

如果打算将 Azure 文件同步与故障转移群集配合使用,则必须在群集中的每个节点上安装 Azure 文件同步代理。 必须注册群集中的每个节点才能使用 Azure 文件同步。

  1. Microsoft下载中心下载代理。 下载完成后,双击 MSI 包以启动代理安装。

    或者,若要以无提示方式安装代理,请参阅如何为新的 Azure 文件同步代理安装执行无提示安装

  2. 在欢迎页上,选择“ 下一步”。

    “文件同步代理安装向导”欢迎页的屏幕截图,其中包含“下一步”和“取消”按钮。

  3. 查看许可协议后,选中复选框以接受它。 然后选择下一步

    用于接受许可协议的文件同步代理安装向导页的屏幕截图。

  4. 存储同步代理的安装路径默认填充。 你可以将其更改为所选位置。 但是,建议保留默认路径(C:\Program Files\Azure\StorageSyncAgent),以简化故障排除和服务器维护。 选择下一步以继续。

    文件同步代理安装向导中路径选择的屏幕截图。

  5. 选择代理设置,然后选择“ 下一步”。

    文件同步代理安装向导中的代理设置的屏幕截图。

  6. 选择是否要使用Microsoft更新更新 Azure 文件同步代理,然后选择“ 下一步”。

    建议启用Microsoft更新,使 Azure 文件同步保持最新状态。 Azure 文件同步代理的所有更新(包括功能更新和修补程序)都可从 Microsoft 更新进行。 我们还建议将最新更新安装到 Azure 文件同步。有关详细信息,请参阅 Azure 文件同步更新策略

    在文件同步代理安装向导中使用Microsoft更新的选项的屏幕截图。

  7. 根据需要选择自动更新代理和收集数据以进行故障排除的选项。 然后选择“安装”。

    文件同步代理安装向导中自动更新和数据收集的选项的屏幕截图。

  8. 安装完成后,选择“ 完成 ”关闭向导。

    文件同步代理安装向导中完成页的屏幕截图。

Azure 文件同步代理安装完成后, 服务器注册 对话框会自动打开。 在注册之前,必须具有存储同步服务。 本文的下一部分介绍如何创建存储同步服务。

将 Windows Server 注册到存储同步服务

将 Windows Server 实例注册到存储同步服务会在服务器(或群集)与存储同步服务之间建立信任关系。 一台服务器只能注册到一个存储同步服务。 该服务器可与与同一存储同步服务关联的其他服务器和 Azure 文件共享同步。

Note

服务器注册使用 Azure 凭据在 Windows Server 实例与存储同步服务之间创建信任关系。 随后,服务器创建并使用其自己的标识。 只要服务器保持注册状态且当前共享访问签名(SAS)令牌有效,此标识就有效。 注销服务器后,无法向服务器颁发新的 SAS 令牌。 注销服务器会删除服务器访问 Azure 文件共享的功能,并停止任何同步。

注册该服务器的管理员必须是该存储同步服务的 Azure 文件同步 Administrator、所有者或参与者管理角色之一的成员。 可以在存储同步服务的 Azure 门户页上的 访问控制(IAM) 下配置此角色。

分配 Azure 文件同步管理员角色时,请按照以下步骤确保最低权限。

  1. 在“条件”选项卡下,选择“允许用户仅将所选角色分配给所选主体”(权限更少)。

  2. 单击选择角色和主体,然后在条件#1下选择添加操作

  3. 选择“ 创建角色分配”,然后单击“ 选择”。

  4. 选择 “添加表达式”,然后选择“ 请求”。

  5. “属性源”下,选择“角色定义 ID”“属性”下,然后在“运算符”下选择“ForAnyOfAnyValues:GuidEquals”

  6. 选择 “添加角色”。 添加 读取者和数据访问存储文件数据特权参与者存储帐户参与者 角色,然后选择“ 保存”。

还可以区分可以注册服务器的管理员以及还可以在存储同步服务中配置同步的管理员。 为进行这种区分,请创建一个自定义角色,并将仅允许注册服务器的管理员列入其中。 为自定义角色提供以下权限:

  • Microsoft.StorageSync/storageSyncServices/registeredServers/write
  • Microsoft.StorageSync/storageSyncServices/read
  • Microsoft.StorageSync/storageSyncServices/workflows/read
  • Microsoft.StorageSync/storageSyncServices/workflows/operations/read

  1. 安装 Azure 文件同步代理后, “服务器注册 ”对话框会自动打开。 如果没有,可以从其文件位置手动打开它: C:\Program Files\Azure\StorageSyncAgent\ServerRegistration.exe。 在对话框中,从列出的选项中选择 AzureChinaCloud。

    “服务器注册”对话框的登录信息的屏幕截图。

  2. 如果你是云解决方案提供商,请打开“ 我以云解决方案提供商身份登录 ”的开关,并输入 租户 ID 值。 然后选择登录

    云解决方案提供商切换开关以及“服务器注册”对话框中租户 ID 输入框的屏幕截图。

  3. 登录后,输入以下信息:

    • Azure 订阅:包含存储同步服务的订阅(如前面在 部署存储同步服务中所述)。
    • 资源组:包含存储同步服务的资源组。
    • 存储同步服务:要注册的存储同步服务的名称。

    “服务器注册”对话框的屏幕截图,其中包含订阅、资源组和存储同步服务的详细信息。

  4. 选择 “注册 ”以完成服务器注册。 在注册过程中,系统会提示您进行额外的登录。

创建同步组和云终结点

同步组定义一组文件的同步拓扑。 同步组中的终结点彼此保持同步。 同步组必须包含:

  • 一个或多个 服务器终结点。 服务器终结点表示已注册的服务器上的路径。 服务器可以包含多个同步组中的服务器终结点。 可以创建任意数量的同步组,以适当地描述所需的同步拓扑。
  • 一个 云终结点。 云终结点是指向 Azure 文件共享的指针。 所有服务器终结点都与云终结点同步,使云终结点成为中心。 Azure 文件共享的存储帐户必须与存储同步服务位于同一区域。

Azure 文件共享中的所有内容都会同步,但有一个例外。 预配了与 NTFS 卷上的隐藏 系统卷信息 文件夹相当的特殊文件夹。 此目录名为 .SystemShareInformation。 它包含不会同步到其他终结点的重要同步元数据。 请勿使用或删除它。

Important

可对同步组中的任何云终结点或服务器终结点进行更改,并将文件同步到同步组中的其他终结点。 如果直接更改云终结点(Azure 文件共享),Azure 文件同步更改检测作业首先需要发现更改。 云终结点的更改检测作业每 24 小时仅会启动一次。 有关详细信息,请参阅 有关 Azure 文件和 Azure 文件同步的常见问题解答

创建或更新云终结点的管理员必须对包含云终结点指向的Azure文件共享的存储帐户具有足够的权限。 对存储帐户的只读访问权限不足。 云终结点创建和更新操作需要以下存储帐户权限:

  • Microsoft.Storage/storageAccounts/listKeys/action
  • Microsoft。Storage/storageAccounts/ListAccountSas/action

在存储帐户上分配包含这些权限的角色,例如“读者和数据访问者”或“存储帐户参与者”。 在存储帐户Azure门户页上的访问控制(IAM)下配置此角色。 在存储帐户的 Azure 门户页上的 访问控制(IAM) 下配置此角色。

分配 Azure 文件同步管理员角色时,请按照以下步骤确保最低权限。

  1. 在“条件”选项卡下,选择“允许用户仅将所选角色分配给所选主体”(权限更少)。

  2. 单击选择角色和主体,然后在条件#1下选择添加操作

  3. 选择“ 创建角色分配”,然后单击“ 选择”。

  4. 选择 “添加表达式”,然后选择“ 请求”。

  5. “属性源”下,选择“角色定义 ID”“属性”下,然后在“运算符”下选择“ForAnyOfAnyValues:GuidEquals”

  6. 选择 “添加角色”。 添加 读取者和数据访问存储文件数据特权参与者存储帐户参与者 角色,然后选择“ 保存”。

  1. Azure 门户中,转到存储同步服务。

  2. 在左窗格中,选择 “同步>同步组”。 然后选择“ + 创建同步组”。

    Azure 门户中同步组窗格的屏幕截图。

  3. 在打开的窗格中,输入以下信息。 完成后,选择“创建”

    • 同步组名称:输入要创建的同步组的名称。 此名称在存储同步服务中必须唯一,但可以是对您来说任何有意义的名称。
    • 订阅:选择你在 部署存储同步服务 部分中部署存储同步服务时所用的订阅。
    • 存储帐户:如果选择 “选择存储帐户”,将显示另一个窗格。 在那里,可以选择具有要与之同步的 Azure 文件共享的存储帐户。
    • Azure 文件共享:选择要与之同步的 Azure 文件共享的名称。

    用于在 Azure 门户中输入有关新同步组的详细信息的窗格的屏幕截图。

  4. “同步组 ”窗格中,确认新的同步组出现并处于 “正常 ”状态。

    同步组窗格的屏幕截图,其中显示了新添加的同步组的“正常”状态。

  5. 使用同步组自动创建云终结点。 选择最近创建的同步组。 应该能够查看云终结点。

    如果未显示云终结点,则其创建可能由于权限不足而失败。 请尝试使用以下步骤手动创建云终结点。 有关故障排除信息,请参阅 云终结点创建错误

    1. 选择 “+ 添加云终结点”。

      Azure 门户中同步组信息的屏幕截图,其中未显示任何云端终结点。

    2. 在打开的窗格中,输入要与之同步的订阅、存储帐户和文件共享。

      用于在 Azure 门户中输入有关新云终结点的详细信息的窗格的屏幕截图。

创建服务器终结点

服务器终结点代表已注册服务器上的特定位置,例如服务器卷中的文件夹。 服务器终结点受以下条件约束:

  • 服务器端点必须是已注册服务器上的路径,而不是已挂载的共享目录。 不支持网络连接存储(NAS)。
  • 尽管服务器终结点可以位于系统卷上,但系统卷上的服务器终结点无法使用云端分层。
  • 不支持在卷上建立服务器终结点后更改路径或驱动器号。 请确保在已注册的服务器上使用最终路径。
  • 已注册的服务器可以支持多个服务器终结点。 但是,在任何时候,一个同步组中每个已注册服务器只能有一个服务器终结点。 同步组中的其他服务器终结点必须位于不同的已注册的服务器上。

  1. 转到新建的同步组。

  2. 在“服务器终结点”下,选择“+添加服务器终结点”。

  3. “添加服务器终结点 ”窗格中,输入以下信息:

    • 已注册的服务器:选择要在其中创建服务器终结点的服务器或群集的名称。

    • 路径:输入要同步到 Azure 文件共享的 Windows Server 实例上的路径。 路径可以是文件夹(例如 D:\Data)、卷根(例如 D:\)或卷装入点(例如 D:\Mount)。

    • 云分层:本部分包括用于启用或禁用云分层的开关。 通过云分层可以将不常使用或访问的文件分层到 Azure 文件。 启用云分层时,可以设置两个策略来通知 Azure 文件同步何时对冷文件进行分层:

      • 卷可用空间策略:在服务器终结点所在卷上预留的可用空间量。 例如,如果在只有一个服务器终结点的卷上将卷可用空间设置为 50%,则大约一半的数据量将分层到 Azure 文件存储。 不管是否启用云分层,Azure 文件共享在同步组中始终具有完整的数据副本。

      • 日期策略:如果未访问文件(即读取或写入),则会将文件分层到云中,以指定天数为单位。 例如,如果你注意到未访问超过 15 天的文件通常是存档文件,则应将日期策略设置为 15 天。

      显示“添加服务器终结点”窗格中的云分层选项的屏幕截图。

    • 初始同步:此部分仅适用于同步组中的第一个服务器终结点。 (在同步组中创建多个服务器终结点时,该部分更改为 “初始下载 ”。可以选择以下行为:

      • 初始上传:服务器最初如何将数据上传到 Azure 文件共享。 可以使用两个选项:

        • 将此服务器路径的内容与 Azure 文件共享中的内容合并。 具有相同名称和路径的文件在内容不同时会导致冲突。 这些文件的两个版本彼此存储。 如果服务器路径或 Azure 文件共享为空,请始终选择此选项。
        • 使用此服务器路径中的内容强制覆盖 Azure 文件共享中的文件和文件夹。 此选项可以避免文件冲突。

      若要了解详细信息,请参阅 “初始同步”部分

      • 初始下载:服务器最初如何下载 Azure 文件共享数据。 当服务器连接到包含文件的 Azure 文件共享时,此设置非常重要。 有三个选项可用:

        • 先下载命名空间,然后读取文件内容,在本地磁盘容量允许的情况下尽可能多地读取。 命名空间 代表没有文件内容的文件和文件夹结构。
        • 仅下载命名空间。 访问该文件时,会读取其内容。
        • 避免分层文件。 文件仅在完全下载后才会显示在服务器上。 本地访问或策略会将分层文件的内容从云端调回到服务器。

      若要了解详细信息,请参阅 “初始下载”部分

  4. 若要完成添加服务器终结点,请选择“ 创建”。 现在,文件在 Azure 文件共享和 Windows Server 实例之间保持同步。

Note

在创建服务器终结点之前,Azure 文件同步将 Azure 文件共享的快照作为备份。 可以使用此快照将共享还原到创建服务器终结点之前的状态。

创建服务器终结点后,不会自动删除快照。 如果不需要,可以手动删除它。

可以通过查看 Azure 文件共享的快照并在发起程序列中检查 AzureFileSync,找到 Azure 文件同步创建的快照。

可选:配置防火墙和虚拟网络设置

若要将 Azure 文件同步配置为可与防火墙和虚拟网络设置配合使用,请执行以下步骤:

  1. 在 Azure 门户中,转到要帮助保护的存储帐户。

  2. 在左侧菜单中的 “安全性 + 网络”下,选择“ 网络”。

  3. “公用网络访问”下,选择 “从所选虚拟网络和 IP 地址启用”。

  4. “防火墙”下,确保 地址范围 的值是服务器的 IP 地址或虚拟网络。

  5. “例外”下,确保已选择 “受信任的服务”列表中的“允许 Azure 服务访问此存储帐户 ”。

  6. 选择“保存”

配置防火墙和虚拟网络设置以使用 Azure 文件同步的屏幕截图。

可选:使用“以前的版本”和 VSS 进行自助还原

在 Windows 中,可以使用卷的服务器端卷影复制服务(VSS)快照向 SMB 客户端提供文件的可还原版本。 此功能支持一种功能强大的方案(通常称为 自助服务还原),直接用于信息工作者,而不是依赖于 IT 管理员的还原。

VSS 快照和还原以前版本的功能独立于 Azure 文件同步工作。但是,必须将云分层设置为兼容模式。 许多 Azure 文件同步服务器终结点可存在于同一个卷上。 对于每个卷,只要它有一个你计划在其上使用云分层(或当前正在使用云分层)的服务器终端节点,就必须执行以下 PowerShell 调用:

Import-Module '<SyncAgentInstallPath>\StorageSync.Management.ServerCmdlets.dll'
Enable-StorageSyncSelfServiceRestore [-DriveLetter] <string> [[-Force]]

VSS 快照包括整个卷。 默认情况下,只要有足够的空间用于存储这些快照,一个卷最多可拥有 64 个快照。 从星期一到星期五,默认快照计划每天创建两份快照。 可以使用 Windows 计划任务配置该计划。

前述的 PowerShell cmdlet 执行两项操作:

  • 它将指定卷上的 Azure 文件同步云分层配置为与以前的版本兼容。 此配置保证文件可以从以前的版本还原,即使文件已分层到服务器上的云。
  • 启用默认 VSS 计划。 然后,可以决定是否稍后对其进行修改。

Note

如果使用 -Force 参数并且当前已启用 VSS,则 cmdlet 将覆盖当前的 VSS 快照计划,并将其替换为默认计划。 在运行 cmdlet 之前,请务必保存自定义配置。

如果在群集节点上使用 cmdlet,则还必须在群集中的所有其他节点上运行该 cmdlet。

若要查看是否启用了自助还原兼容性,可以运行以下 cmdlet:

Get-StorageSyncSelfServiceRestore [[-Driveletter] <string>]

此 cmdlet 列出了服务器上的所有卷,以及每个卷的云分层兼容天数。 此数字根据每个卷的最大可能快照数和默认快照计划自动计算。

默认情况下,提供给信息工作者的所有以前版本都可用于还原。 如果更改默认计划以创建更多快照,则情况也是如此。 但是,如果您以某种方式更改计划安排,导致卷上的可用快照早于兼容天数值所对应的时间范围,则用户将无法使用这个较旧的快照(以前的版本)进行恢复。

Note

启用自助式还原可能会影响 Azure 存储使用和帐单。 此影响仅限于服务器上当前分层的文件。 启用此功能可确保可以通过 VSS 快照条目引用云中可用的文件版本。

如果禁用此功能,Azure 存储用量会逐渐下降,直到兼容天数的时间窗口过去。 无法加快该过程。

每个卷的默认 VSS 快照最大数量(64 个)以及创建这些快照的默认计划安排,决定了信息工作者最多可还原过去 45 天内的早期版本。

最多天数取决于该卷上能够存储多少个 VSS 快照。 如果每个卷最多 64 个 VSS 快照这一设置并不适合您,请通过注册表项更改此值

若要使新限制生效,需要重新运行 cmdlet,以便在以前启用该 cmdlet 的每个卷上启用以前的版本兼容性。 使用 -Force 标志可将每个卷新的 VSS 快照最大数量纳入考虑。 此操作会重新计算出新的兼容天数。 此更改仅对新分层文件生效,它会覆盖你所做的 VSS 计划中的任何自定义项。

默认情况下,VSS 快照最多可占用卷空间的 10%。 若要调整可用于 VSS 快照的存储量,请使用 vssadmin resize shadowstorage 该命令。

可选:主动从 Azure 文件共享召回新文件和更改的文件

Azure 文件同步具有一种模式,允许全局分布式公司先在远程区域中预填充服务器缓存,甚至在本地用户访问任何文件之前也是如此。 在服务器终结点上启用此模式时,它会导致服务器召回在 Azure 文件共享中创建或更改的文件。

Scenario

Important

紧密地跟踪服务器上 Azure 文件共享中的更改可能会增加出口流量并从 Azure 计费。 如果本地不需要召回到服务器的文件,则不建议对服务器进行不必要的召回。 仅当你确信使用云中的最新更改在服务器上预先填充缓存,会对使用该服务器上文件的用户或应用程序产生积极影响时,才使用此模式。

启用服务器终结点以主动召回 Azure 文件共享中的更改

  1. Azure 门户中,转到存储同步服务,选择正确的同步组,然后确定要密切跟踪 Azure 文件共享(云终结点)中的更改的服务器终结点。

  2. 在云分层部分,找到 Azure 文件共享下载 主题。 可以更改当前选择的模式,以更密切地跟踪 Azure 文件共享中的更改,并主动将其撤回到服务器。

显示当前对某服务器终结点生效的 Azure 文件共享下载行为设置,以及用于打开更改该设置菜单的按钮的屏幕截图。

可选:在服务器终结点上通过 QUIC 使用 SMB

Azure 文件共享(云终结点)是一个完整的 SMB 终结点,能够从云或本地直接访问。 但是,想要访问云端文件共享数据的客户通常会在 Azure 虚拟机上托管的 Windows Server 实例上部署 Azure 文件同步服务器终结点。

使用其他服务器终结点而不是直接访问 Azure 文件共享的最常见原因是,直接在 Azure 文件共享上所做的更改可能需要长达 24 小时或更长时间才能发现这些更改。 在服务器终结点上所做的更改几乎立即发现,并同步到所有其他服务器和云终结点。 这种配置在有大量远程用户的环境中极为常见。

传统上,通过公共 Internet 使用 SMB 访问任何文件共享可能会很困难,因为许多组织和 Internet 服务提供商(ISP)会阻止端口 445。 这种情况既包括托管在 Windows 文件服务器上的文件共享,也包括直接托管在 Azure 文件存储 上的文件共享。 可以使用 专用终结点和虚拟专用网络来解决此限制。 但是,Windows Server 2022 Azure 版本提供了额外的访问策略:通过 QUIC 传输协议使用 SMB。

基于 QUIC 的 SMB 通过端口 443 进行通信,大多数组织和 ISP 都会开放该端口以支持 HTTPS 流量。 使用基于 QUIC 的 SMB,可显著简化使用 Windows 11 或更高版本的客户端访问 Azure 文件同步 服务器终结点上托管的文件共享所需的网络配置。 若要详细了解如何在 Windows Server Azure Edition 上设置和配置 QUIC 上的 SMB,请参阅基于 QUIC 的 SMB

载入 Azure 文件同步

若要在零停机时间的情况下首次接入 Azure 文件同步,同时保留完整的文件保真度和访问控制列表 (ACL),我们建议按照以下步骤操作:

  1. 部署存储同步服务。

  2. 创建一个同步组。

  3. 使用完整数据集在服务器上安装 Azure 文件同步代理。

  4. 注册该服务器并在共享中创建一个服务器终结点。

  5. 让同步服务执行到 Azure 文件共享(云终结点)的完整上传。

  6. 初始上传完成后,在其余每台服务器上安装 Azure 文件同步代理。

  7. 在剩余的每台服务器上创建新的文件共享。

  8. 如有必要,使用云分层策略在新文件共享上创建服务器终结点。 (此步骤要求有额外的存储可供初始设置使用。)

  9. 让 Azure 文件同步代理在不实际数据传输的情况下快速还原完整命名空间。 完全命名空间同步后,同步引擎会根据服务器终结点的云分层策略填充本地磁盘空间。

  10. 确保同步完成,并根据需要测试拓扑。

  11. 将用户和应用程序重定向到新共享。

  12. (可选)删除服务器上的任何重复共享。

如果您在初始引导时没有额外存储空间,并且希望连接到现有文件共享,则可以使用其他数据传输工具先将数据预先植入 Azure 文件共享中,而不是使用存储同步服务上传数据。 仅当您可以接受停机时间时,我们才建议采用预播种方法。

  1. 确保任何服务器上的数据在载入过程中都不会发生更改。

  2. 通过 SMB 使用任何数据传输工具(例如 Robocopy 或通过 REST 的 AzCopy),预先用服务器数据填充 Azure 文件共享。

    如果使用 Robocopy,请务必使用存储帐户访问密钥装载 Azure 文件共享。 请勿使用域标识。

    如果使用 AzCopy,请务必设置适当的开关以保留 ACL 时间戳和属性。

  3. 创建一个 Azure 文件同步拓扑,其中所需的服务器终结点指向现有共享。

  4. 等待同步功能在所有端点上完成协调过程。

  5. 完成对账后,您可以开放共享项以进行更改。

目前,预置种子存在以下限制:

  • 在同步拓扑完全启动并运行之前更改服务器上的数据可能会导致服务器终结点上发生冲突。

  • 创建云终结点后,Azure 文件同步将运行一个进程来检测云中的文件,然后再启动初始同步。完成此过程的时间因网络速度、可用带宽和文件和文件夹数量等因素而异。

    在预览版中,粗略估计检测过程的处理速度约为每秒 10 个文件。 即使预置数据的过程执行得很快,在云端预置数据时,让系统完全运行起来所需的总时间也可能长得多。

将 DFS-R 部署迁移到 Azure 文件同步

  1. 创建一个同步组来表示要替换的 DFS 复制(DFS-R)拓扑。

  2. 从 DFS-R 拓扑具有完整数据集的服务器开始迁移。 在该服务器上安装 Azure 文件同步。

  3. 注册该服务器,并为要迁移的第一个服务器创建服务器终结点。 请勿启用云分层。

  4. 让所有数据同步至你的 Azure 文件共享(云终结点)。

  5. 在剩余的每个 DFS-R 服务器上安装并注册 Azure 文件同步代理。

  6. 禁用 DFS-R。

  7. 在每个 DFS-R 服务器上创建服务器终结点。 请勿启用云分层。

  8. 确保同步完成,并根据需要测试拓扑。

  9. 停用 DFS-R。

  10. 现在可以根据需要在任何服务器终结点上启用云分层。

有关详细信息,请参阅 Azure 文件同步规划指南的 “分布式文件系统 ”部分。

相关内容

  • Last updated on