将 Azure 文件同步资源移到其他资源组、订阅或 Microsoft Entra 租户
本文介绍如何更改 Azure 文件同步云资源和 Azure 存储帐户的资源组、订阅或 Microsoft Entra 租户。
在规划对 Azure 文件同步云资源进行更改时,必须同时考虑到存储资源。 存在以下资源:
Azure 文件同步资源(按分层顺序排列)
存储同步服务
已注册的服务器
同步组
云终结点
服务器终结点
在 Azure 文件同步中,唯一能够移动的资源是存储同步服务资源。 任何子资源都已绑定到其父级,无法转移到其他存储同步服务。
Azure 存储资源(按分层顺序排列)
存储帐户
文件共享
唯一能够移动的资源是存储帐户。 作为子资源,Azure 文件共享无法转移到其他存储帐户。
在规划资源移动时,需要一同考虑到存储帐户和顶级 Azure 文件同步资源(称为“存储同步服务”)。
存储同步服务以及包含同步文件共享的存储帐户应始终驻留在同一个订阅中,这是最佳做法。 支持以下组合:
- 存储同步服务和存储帐户位于不同的资源组中(但在同一 Azure 租户中)
- 存储同步服务和存储帐户位于不同的订阅中(但在同一 Azure 租户中)
重要
如果混用不同的移动形式,最终可能会将存储同步服务和存储帐户放到由不同 Microsoft Entra 租户控制的不同订阅中。 尽管同步看上去正常,但并不支持这种配置。 同步将来可能会停止,并且无法恢复正常运行状态。
在规划资源移动时,在同一个 Microsoft Entra 租户内部移动与移到其他 Microsoft Entra 租户的考虑因素是不同的。 移动 Microsoft Entra 租户时,请始终将同步和存储资源一起移动。
移动存储同步服务资源的便捷方式是使用 Azure 门户。 导航到要移动的存储同步服务,然后在命令栏中选择“移动”。 移动存储帐户时也可以使用相同的步骤。 还可以通过这种方式移动资源组中的所有资源。 如果你安装了存储同步服务并且其使用的所有存储帐户都在此资源组中,则我们建议移动整个资源组。
警告
移动存储帐户资源时,同步将立即停止。 必须手动授权同步服务访问新订阅中的相关存储帐户。 Azure 文件同步存储访问授权部分将提供所需的步骤。
各个资源(例如存储同步服务或存储帐户)无法自行转移到其他 Microsoft Entra 租户。 只有 Azure 订阅可以跨 Microsoft Entra 租户移动。 请考虑新 Microsoft Entra 租户中的订阅结构。 可将一个订阅专门用于 Azure 文件同步。
- 创建一个 Azure 订阅(或者在旧租户中确定一个要移动的现有订阅)。
- 在存储同步服务和所有关联存储帐户所在的同一个 Microsoft Entra 租户内部执行订阅移动。
- 同步将会停止。 立即完成租户移动,或者恢复同步服务访问已移动的存储帐户的能力。 随后便可以将资源移到新的 Microsoft Entra 租户。
将所有相关 Azure 文件同步资源隔离到其自身的订阅后,便可以将整个订阅移到目标 Microsoft Entra 租户。 可以参考转移订阅指南来规划和执行此类转移。
警告
将订阅从一个租户转移到另一个租户时,同步会立即停止。 必须手动授权同步服务访问新订阅中的相关存储帐户。 Azure 文件同步存储访问授权部分将提供所需的步骤。
完成规划并分配所需的权限后,就可以开始迁移了:
- 在 Azure 门户中,导航到你的订阅的“概述”边栏选项卡。
- 选择“更改目录”。
- 遵循向导步骤分配新的 Microsoft Entra 租户。
将存储帐户移到新的订阅,或者从订阅中移到新的 Microsoft Entra 租户时,同步将会停止。 可以使用基于角色的访问控制 (RBAC) 来授权 Azure 文件同步访问存储帐户,这些角色分配不会随资源一起迁移。
Azure 文件同步服务主体必须存在于你的 Microsoft Entra 租户中,这样才能授权同步服务访问存储帐户。
如果现在就创建新的 Azure 订阅,Azure 文件同步资源提供程序 Microsoft.StorageSync 将自动注册到该订阅。 资源提供程序注册将在控制订阅的 Microsoft Entra 租户中提供一个用于同步的服务主体。 服务主体类似于 Microsoft Entra 中的用户帐户。 可以通过基于角色的访问控制 (RBAC) 使用 Azure 文件同步服务主体来授权访问资源。 同步需要访问的唯一资源是你的存储帐户,其中包含应该同步的文件共享。必须将 Microsoft.StorageSync 分配到存储帐户中的内置角色“读取者和数据访问”。
将文件共享添加到同步组时(换言之,创建云终结点时),将通过已登录用户的用户上下文自动完成此分配。 将存储帐户移到新的订阅或 Microsoft Entra 租户时,此角色分配将会丢失,必须手动重新建立。
重要
如果当前未创建目标 Azure 订阅,请检查 Microsoft.StorageSync 资源提供程序是否已注册到该订阅。 如果未注册,请在同一门户边栏选项卡上手动添加该资源提供程序。
必须使用 Azure 文件同步服务主体通过基于角色的访问控制 (RBAC) 来授权访问存储帐户。 必须将 Microsoft.StorageSync 分配到存储帐户中的内置角色“读取者和数据访问”。
将文件共享添加到同步组时(换言之,创建云终结点时),通常会通过已登录用户的用户上下文自动完成此分配。 但是,将存储帐户移到新的订阅或 Microsoft Entra 租户时,此角色分配将会丢失,必须手动重新建立。
- 登录 Azure 门户,导航到需要重新授权同步服务访问的存储帐户。
- 在左侧的目录中选择“访问控制(IAM)”。
- 选择“角色分配”选项卡以列出有权访问你的存储帐户的用户和应用程序(服务主体)。
- 选择 添加 。
- 在“角色”选项卡中,搜索并选择“读取者和数据访问”角色。
- 在“成员”选项卡中,为“将访问权限分配给”选择“用户、组或服务主体”,单击“选择成员”,然后在“选择字段”中,键入“Microsoft.StorageSync”。 选择角色,然后选择“保存”。 如果找不到 Microsoft.StorageSync 服务主体,请键入“混合文件同步服务”(旧服务主体名称),选择角色并选择“保存”。
Azure 文件同步资源“存储同步服务”以及包含所要同步的文件共享的存储帐户会部署到某个 Azure 区域。 该区域是创建资源时确定的。 存储同步服务和存储帐户资源的区域必须匹配。 创建资源后,无法为上述任一资源类型更改区域。
向资源分配不同的区域不同于区域故障转移,后者是否受支持取决于存储帐户冗余设置。
Azure 文件存储提供异地冗余选项(针对存储帐户)。 这些冗余选项可能会对用于 Azure 文件同步的存储帐户造成问题。主要原因在于,在地理上相隔遥远的区域之间的复制不是由 Azure 文件同步执行的,而是由内置于 Azure 存储子系统中的一种存储复制技术执行的。 这种复制无法知道应用程序的状态,而 Azure 文件同步这个应用程序在任意给定时刻都在与 Azure 文件共享相互同步文件。 如果选择启用这些地理分散的存储冗余选项,在发生大规模的灾难时不会丢失所有数据。 但是,你需要考虑潜在的数据丢失和不一致。
注意
故障转移永远无法完美替代在正确的 Azure 区域中预配资源。 如果资源位于“错误的”区域中,则需要考虑停止同步,然后重新设置为同步到所需区域中部署的新 Azure 文件共享。
在发生了导致 Azure 区域中的数据中心长时间无法正常工作的灾难性事件时,Azure 可以启动区域故障转移。 你的业务可以承受的停机时间定义可能短于 Azure 已准备好允许在启动区域故障转移之前经过的时间。 对于类似于这样的情况,客户也可以自行启动故障转移。
重要
发生故障转移时,需要针对受影响的存储同步服务提交支持票证,使同步服务重新正常工作。