管理 Azure 文件共享
Azure 文件存储提供两种用于装载 Azure 文件共享的行业标准文件系统协议:服务器消息块 (SMB) 协议和网络文件系统 (NFS) 协议。 尽管可以在同一存储帐户中创建 SMB 和 NFS Azure 文件共享,但 Azure 文件共享不支持在同一个文件共享中同时使用 SMB 和 NFS 协议。
Azure 文件共享的类型
Azure 文件支持两种存储层:高级存储层和标准存储层。 标准文件共享是在常规用途 (GPv2) 存储帐户中创建的,而高级文件共享则是在 FileStorage 存储帐户中创建的。 这两个存储层的属性如下表所示。
| 存储层 | 描述 |
|---|---|
| 高级 | 高级文件共享在固态硬盘 (SSD) 上存储数据,并且仅在 FileStorage 存储帐户种类中可用。 它们提供一致的高性能和低延迟,支持 LRS 冗余,在部分区域支持 ZRS。 并非在所有 Azure 区域都可用。 |
| Standard | 标准文件共享将数据存储在硬盘驱动器 (HDD) 上,并在常规用途版本 2 (GPv2) 存储帐户种类中部署。 为工作负载(例如常规用途文件共享和开发/测试环境)提供性能。 标准文件共享适用于所有 Azure 区域中的 LRS、ZRS、GRS 和 GZRS。 |
身份验证类型
有三种 Azure 文件存储支持的主要身份验证方法。
| 身份验证方法 | 说明 |
|---|---|
| 通过 SMB 执行基于标识的身份验证 | 在访问 Azure 文件共享时提供与访问本地文件共享时相同的无缝单一登录 (SSO) 体验。 |
| 访问密钥 | 访问密钥是一个较旧且不太灵活的选项。 Azure 存储帐户有两个访问密钥,可以在对存储帐户(包括 Azure 文件存储)发出请求时使用。 访问密钥是静态的,提供对 Azure 文件存储的完全控制访问。 访问密钥应受到保护,并且不能与用户共享,因为它们会绕过所有访问控制限制。 最佳做法是避免共享存储帐户密钥,并尽可能使用基于标识的身份验证。 |
| 共享访问签名 (SAS) 令牌 | SAS 是动态生成的基于存储访问密钥的统一资源标识符 (URI)。 SAS 提供对 Azure 存储帐户的有限访问权限。 限制包括允许的权限、开始时间和到期时间、允许从其发送请求的 IP 地址以及允许的协议。 使用 Azure 文件存储时,SAS 令牌仅用于提供来自代码的 REST API 访问。 |
创建 SMB Azure 文件共享
在创建和配置 SMB Azure 文件共享时,需要注意两个重要设置。
打开端口 445。 SMB 通过 TCP 端口 445 通信。 确保端口 445 已打开。 此外,请确保防火墙未阻止来自客户端计算机的 TCP 端口 445。 如果无法解封端口 445,则需要从本地网络到 Azure 网络的 VPN 或 ExpressRoute 连接,并使用专用终结点在你的内部网络上公开 Azure 文件存储。
启用安全传输。
Secure transfer required设置通过仅将来自安全连接的请求限制到存储帐户,来增强存储帐户的安全性。 考虑使用 REST API 访问存储帐户的情况。 如果尝试连接,并且启用了所需的安全传输,则必须使用 HTTPS 进行连接。 如果尝试使用 HTTP 连接到帐户,并且启用了所需的安全传输,则会拒绝连接。
在 Windows 上装载 SMB Azure 文件共享
可以在 Windows 和 Windows Server 中无缝使用 Azure 文件共享。 可以在 Azure 门户中将 Azure 文件共享与 Windows 或 Windows Server 连接。 指定要在其中装载共享的“驱动器”,然后选择“身份验证方法”。 当准备好使用文件共享时,Azure 门户会提供要运行的 PowerShell 命令。 此视频演示如何在 Windows 上装载 SMB 文件共享。
在 Linux 上装载 SMB Azure 文件共享
还可以从 Linux 计算机连接到 Azure 文件共享。 在虚拟机页面中选择“连接”。 通过使用 CIFS 内核客户端,可以在 Linux 分发版中装载 SMB Azure 文件共享。 文件装载可以通过以下两种方式完成:使用 mount 命令按需完成;通过在 /etc/fstab 中创建条目在启动(持久化)时完成。