On-premises bestandsshares migreren naar cloudbestandsopslag
Wilt u Windows-bestandsshares migreren naar bestandsopslag in de cloud? Je bent niet alleen!
Bedrijven van elke omvang zijn op zoek naar de juiste mix van technologieën waarmee ze hun on-premise bestandsshares kunnen migreren naar bestandsopslag in de cloud.
Voor kleine bedrijven en startups zijn diensten als Dropbox, Box, Egnyte en SharePoint een goed alternatief.
Voor grotere bedrijven, overheden, hoger onderwijs en bedrijven met beperkte naleving, migreren weg van private cloud-bestandsopslag onder hun eigen controle vereist een aanzienlijke planning.
Grotere bedrijven maken zich zorgen over het verlies van bestandseigendom, gegevenssoevereiniteit, compliance, lopende kosten en het navigeren door dure en complexe migraties.
Deze bedrijven overwegen hun bestandsshares te migreren naar bestandsopslag in de cloud, zodat ze het beheer van servers en infrastructuur kunnen uitbesteden, terwijl ze toch de controle over hun bedrijfsbestanden willen behouden en de lock-in van softwareleveranciers die verband houden met EFSS kunnen omzeilen.
Tot nu toe konden ze aan een aantal van deze vereisten voldoen met dure Enterprise File Sync and Share (EFSS)-systemen on-premise, maar ze zaten nog steeds vast aan het beheren van complexe migraties, het hebben van nieuwe databases om te beheren en te licentiëren en het opnieuw uitvinden van plannen voor back-up en gegevensbehoud op lange termijn.
Deze bedrijven waren op zoek naar een eenvoudige alternatieve optie voor het delen van bestanden in de cloud die dezelfde voordelen biedt als traditionele toegewezen schijven, hoge lokale snelheden en veilige externe toegang tot bestanden.
De technologieën om op de cloud gebaseerde bestandsserver-bestandsdeling mogelijk te maken, komen nu samen met alle componenten die nodig zijn om deze droom waar te maken!
Inhoud
In dit artikel zullen we de componenten onderzoeken die nodig zijn om volledige cloudgebaseerde services voor het delen van bestanden te bieden die op afstand toegankelijk zijn.
Active Directory-domeinservice
Op dit moment hebben bedrijven met Microsoft Azure een mix van alternatieven voor authenticatie, waaronder Azure AD, Azure AD Domain Services en Active Directory Virtual Machines.
Azure AD is de ruggengraat van Azure Authentication en wordt niet alleen gebruikt voor Azure-services, maar ook voor online kantoren. Doorgaans gebruiken bedrijven Azure AD-synchronisatie om hun lokale Active Directory te synchroniseren met Azure AD om een eenmalige aanmeldingservaring te bieden.
Grotere organisaties kunnen ook federeren met Azure AD met behulp van ADFS. Azure AD zelf is momenteel onvolledig als zelfstandige directoryservice en kan niet het niveau van controle en beheer bieden dat ondernemingen nodig hebben.
Dit is de reden waarom klanten hun eigen Active Directory-servers onderhouden en deze synchroniseren of samenvoegen met Azure AD, zodat ze kunnen profiteren van eenmalige aanmelding en andere services zoals Azure Multi Factor Authentication wanneer ze Azure AD gebruiken als hun SAML-identiteitsprovider (IDP).
Azure AD-domeinservices
Azure AD Domain Services (niet te verwarren met Azure AD) of als een gehoste service in AWS, is een optie om active directory-services in de cloud te hosten met enkele beperkingen. Azure AD Domain Services bieden wat in wezen een organisatie-eenheid (OU) is die wordt gehost door Microsoft Azure met ingebouwde volledige redundantie.
Om momenteel te migreren naar Active Directory van on-premises machines naar Active Directory, moeten klanten Azure AD als tussenpersoon gebruiken: de Active Directory van de klant wordt gesynchroniseerd met Azure AD en vervolgens vanuit Azure AD gesynchroniseerd met Azure Active Directory.
Er zijn enkele belangrijke verschillen tussen door Azure AD Domain Services beheerde domeinen en zelfbeheerde Active Directory-domeinen gedetailleerd: hier.
Active Directory-domeinservices
Klanten kunnen ook hun eigen Active Directory-servers in de cloud draaien en beheren als een virtuele machine.
Deze optie vereist het beheer en onderhoud van meerdere domeincontrollers in afzonderlijke regio's die zijn verbonden door VPN-koppelingen om beschikbaarheid en redundantie te garanderen. Klanten moeten ook back-ups en Windows-updates op deze virtuele machines beheren, wat de waardepropositie kan verminderen voor bedrijven die all-in willen gaan met een cloudoptie.
Deze bedrijven hebben nog steeds de voordelen van redundantie, outsourcing van het beheer van hardware-infrastructuur en behouden het eigendom en beheer van hun AD-domeinen. Microsoft heeft belangrijke overwegingen beschreven wanneer: Active Directory Domain Controllers implementeren als virtuele machines.
Microsoft Azure File Shares (AFS) zijn gehoste SMB-toegankelijke bestandsshares die worden gehost door Azure. Door gebruik te maken van Azure File Shares, zijn bedrijven ontheven van de verantwoordelijkheid voor het onderhouden van Windows file server-gebaseerde file shares. Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn via het industriestandaard SMB-protocol.
AFS heeft ingebouwde mogelijkheden, waaronder geïntegreerde back-up en de mogelijkheid om AFS naar meerdere locaties te synchroniseren met behulp van Azure File Share-synchronisatie. Azure-bestandsshares hadden ook een beperking van de bestandssharegrootte van 4 TB. Dit is onlangs verhoogd om nu tot 100 TiB-capaciteit, 10K IOPS en 300 MiB/s-doorvoer te ondersteunen!!
We hebben onze onze geüpdatet MyWorkDrive Azure Image op de markt zodat het eenvoudig kan worden toegevoegd aan een bestaande Windows Active Directory Server, wat het proces verder zal vereenvoudigen! Bekijk hier ons volledige Setup-artikel hoe u Azure-bestandsshares integreert met MyWorkDrive.
Active Directory-verificatie
Azure Files Active Directory-integratie met eigen klant Active Directory Domain's beheerd door klanten, is nu beschikbaar als preview in alle regio's. Lees meer over de voordelen van Azure Files Active Directory-integratie en volg dit stap voor stap begeleiding starten. MyWorkDrive heeft deze methode voor toegang tot Azure-bestandsshares volledig getest en ondersteunt deze methode.
Gebruikers kunnen inloggen op Azure File Shares met hun bestaande gebruikersnaam/wachtwoorden die zich momenteel in Active Directory bevinden of met SAML/Single Sign-on, aangezien Azure File Shares zijn toegevoegd aan door de klant beheerde Active Directory-domeinen, aangezien AFS Active Directory-integratie imitatie/delegatie volledig ondersteunt.
Azure AD Domain Services-verificatie
Een extra optie voor authenticatie tegen Azure File Shares is de mogelijkheid om: AFS verbinden met Azure Active Directory Domain Services (AAD-DS) voor authenticatie.
Veel kleinere bedrijven hebben mogelijk al Azure AD als onderdeel van hun bestaande Office Online-abonnementen. Met AAD DS kunnen klanten eenvoudig AAD DS inschakelen zonder extra servers te hoeven beheren, tegen een prijs vanaf ongeveer $110/maand.
Pas op; bij gebruik van Azure AD Domain Services kunnen gebruikers zich alleen aanmelden bij Azure File Shares met gebruikersnaam/wachtwoord. AAD-DS ondersteunt geen op computerobjecten gebaseerde delegatie die vereist is voor Azure File Shares die nodig zijn om SAML/Single Sign-On te ondersteunen. Bovendien moeten de wachtwoordhashes van de gebruiker worden gesynchroniseerd of gewijzigd voordat ze kunnen worden opgeslagen in AAD-DS voor AFS-authenticatie.
Met Azure File Share Sync kunnen meerdere locaties worden gesynchroniseerd van on-premise naar AFS en externe locaties. Het gebruik van Azure File Share Sync is een ander alternatief om AFS te verbinden met de eigen Active Directory van de klant, omdat naast bestanden en mappen ook NTFS ACL's worden gesynchroniseerd. Daarnaast ondersteunt Azure Files het behouden, overnemen en afdwingen van NTFS-ACL's van het Microsoft-bestandssysteem voor alle mappen en bestanden in een bestandsshare.
Azure NetApp Files-service
Azure NetApp Files (ANF) is een nieuwe optie voor het opslaan van zakelijke SMB- en NFS-bestanden in Azure via een bare-metal all-flash infrastructuur, mogelijk gemaakt door NetApp. ANF komt net uit de preview en zal naar verwachting op 28 mei in volledige productie worden uitgebrachte,2019.
Met ANF kunnen klanten bestandsshares hosten in Azure met hogere prestaties en Active Directory beheerd door klanten op hun eigen virtuele machines.
Aangezien ANF-shares deel uitmaken van Active Directory, kunnen delegatie en imitatie worden ingeschakeld - een belangrijke overweging voor bedrijven die SAML Single Sign On en multi-factor authenticatie willen inschakelen met een andere IDP, zoals Azure AD.
Momenteel heeft Azure NetApp Files geen geïntegreerde back-upoplossing. Er is een extra server vereist die back-ups kan maken van shares via SMB (zoals Commvault). Geïntegreerde planning van back-ups en snapshots zijn functies die tegen het einde van het derde kwartaal van 2019 worden uitgebracht.
Azure NetApp Files is een premium-ervaring die geschikt is voor ondernemingen van elke omvang. De onboarding- en registratiepagina's voor Azure NetApp Files bevinden zich hier.
AWS File Shares is een andere optie voor het opslaan van bestanden in de cloud die eenvoudig kan worden geïntegreerd in Active Directory om het beheer van Windows-bestandsservers te elimineren. Klanten kunnen snel implementeren MyWorkDrive in AWS met behulp van onze afbeelding om onze mogelijkheden te testen of hun eigen privé te runnen Cloud-bestandsserver permanent in AWS met toegang vanaf elke locatie terwijl ze profiteren van AWS-back-ups en redundantie op een virtuele machine die ze beheren. Bestanden kunnen worden opgeslagen op hun eigen virtuele server of op Amazon FSX-bestandsshares voor Windows, die worden onderhouden met een back-up van AWS. Bestanden worden opgeslagen met behulp van een standaard NTFS-indeling die gemakkelijk kan worden gemigreerd, geback-upt of gesynchroniseerd naar andere locaties. AWS DataSync kan nu gegevens van en naar SMB-bestandsshares overbrengen om eenvoudig bestaande bestandsshares te migreren en te synchroniseren met AWS Cloud File Storage.
Veilige externe bestandstoegang
Als u stations op afstand wilt toewijzen aan Azure File Shares of Azure NetApp Files Service, moet u verbinding maken met poorten 445 en 139 via het SMB-protocol die alleen toegankelijk zijn vanaf hetzelfde lokale netwerk of via VPN.
Microsoft-documentatie wordt vaak geïnterpreteerd als een optie om op afstand toegang te krijgen tot bestanden via SMB-poorten, maar die poorten worden normaal gesproken geblokkeerd op bijna elke firewall en service die er is vanwege beveiligings-/malwareproblemen.
Bedrijven moeten VPN-tunnels van Azure naar elke locatie onderhouden (en betalen voor gebruik en bandbreedte), evenals VPN-gateways zodat gebruikers onderweg toegang hebben tot bestanden.
Aangezien SMB Shares direct via VPN beschikbaar worden gesteld, zijn deze shares onderhevig aan dezelfde beveiligings- en ransomware-problemen als on-premise bestandsshares.
Als alternatief voor VPN kan MyWorkDrive in Azure worden ingeschakeld als een virtuele machine om veilige Azure-cloudopslaggatewaytoegang te bieden tot Azure File Shares of Azure NetApp-bestandsshares via poort 443 (SSL) met een toegewezen station, webbrowser en mobiele clients.
In plaats van VPN's te gebruiken, kunnen eindgebruikers bestanden openen via poort 443 met ingebouwde beveiliging en intelligentie (zoals het blokkeren van bestanden op grootte en type) die niet beschikbaar zijn in traditionele VPN-oplossingen.
Met MyWorkDrive blijven bestanden opgeslagen en wordt er een back-up van gemaakt op AFS- of ANF-shares, waardoor een compleet cloud bestandsserver oplossing zonder het beheer en onderhoud van traditionele bestandsservers of active directory on-premise.
De klant behoudt de controle over hun bestandsshares en ze blijven in native NTFS-indeling waarvan een back-up kan worden gemaakt en opgeslagen in archieven voor de lange termijn om voor onbepaalde tijd te voldoen aan de retentievereisten zonder zorgen over ransomware van de leverancier.
Rob Schenk van Intivix.com, een mede-oprichter van MyWorkDrive merkt op: “Als een langdurige Microsoft-partner en mede-oprichter van een IT-adviesbureau, heb ik onlangs een aanzienlijke toename gezien van beveiligingscompromissen en ransomware-infecties in de hele branche. Ik ben blij dat het beveiligingsmodel dat door MyWorkDrive wordt gebruikt, de aanvalsvoetafdruk aanzienlijk verkleint, waardoor onze klanten minder vatbaar zijn voor beveiligingsinbreuken.”
– Rob Schenk, medeoprichter en CEO Intivix
Het migreren naar bestandsshares naar Azure is een belangrijke planningsoverweging bij het ontwerpen van een op Azure gebaseerde oplossing voor het delen van bestandsopslag in de cloud.
Naast het migreren van bestanden, zullen bedrijven bestandstypen willen plannen die LAN-snelheden vereisen, zoals ontwerpbestanden en databases. Deze bestandstypen kunnen niet veilig worden geopend via het WAN. Voor kleinere bedrijven met ondersteunde bestandstypen kunnen traditionele hulpprogramma's voor het kopiëren van bestanden, zoals Robocopy, volstaan.
NTFS-machtigingen kunnen met bestanden worden gekopieerd, aangezien zowel Azure-bestandsshares als NetApp-bestandsshares ACL's ondersteunen. Overweeg voor grotere klanten het gebruik van Azure File Share Sync of NetApp Cloud Sync. NetApp-cloudsynchronisatieklanten die gebruikmaken van de nieuwe Azure NetApp File Service kunnen voor een beperkte tijd een gratis licentie krijgen van NetApp.
Conclusie & Aanbeveling
De huidige staat van cloud-bestandsopslag voor op Windows gebaseerde organisaties in Azure blijft zich in een versneld tempo ontwikkelen.
Voor elke organisatie is een combinatie van Azure-bestandsshares of AWS FSX-bestandsshares met MyWorkDrive een uitstekende keuze met native Active Directory-authenticatie om de meest flexibele en optimale externe toegangsoptie voor bestandsshares te bieden.
Op 13 januari 2020 hebben we onze onze Azure MyWorkDrive Image op de markt zodat het eenvoudig kan worden aangesloten op een bestaande Windows Active Directory Server, wat het proces verder zal vereenvoudigen.
Voor organisaties die zeer grote bestandsshares met hogere prestaties nodig hebben, is Azure NetApp Files verbonden met op VM's gebaseerde Active Directory Domain Controllers en MyWorkDrive een ander alternatief.
Spannende artikelupdates! 15 juni 2020
*Azure News Update: Azure Files AD-integratie voor SMB-toegang met behulp van Active Directory Domain wordt beheerd door klanten, is nu beschikbaar en wordt volledig ondersteund.