Configurer la connectivité à Azure Files
Les utilisateurs de Contoso se connecteront probablement à Azure Files en utilisant le protocole SMB, bien que NFS soit également pris en charge.
SMB utilise le port TCP 445 pour établir les connexions.
De nombreuses entreprises et fournisseurs d’accès à Internet bloquent ce port, ce qui est une raison fréquente pour laquelle les utilisateurs ne peuvent pas accéder à Azure Files.
Si débloquer le port 445 n’est pas une option, vous pouvez tout de même accéder à Azure Files en établissant d’abord :
- un réseau privé virtuel point-à-site (P2S)
- un réseau privé virtuel site-à-site (S2S)
- ou en utilisant une connexion Azure ExpressRoute vers Azure
Une autre solution consiste à utiliser Azure File Sync pour synchroniser un partage de fichiers Azure avec un serveur de fichiers local, auquel les utilisateurs peuvent toujours accéder.
Pare-feu et réseaux virtuels Azure Storage
Azure Storage, qui inclut Azure Files, propose un modèle de sécurité en couches.
Ce modèle permet de sécuriser et contrôler le niveau d’accès aux comptes de stockage en fonction du type et du sous-ensemble de réseaux d’où provient la requête.
Par défaut, le pare-feu d’un compte de stockage autorise l’accès depuis tous les réseaux, mais vous pouvez modifier cette configuration pour :
- autoriser uniquement certaines adresses IP
- des plages d’adresses IP
- ou une liste de sous-réseaux dans un réseau virtuel Azure
La configuration du pare-feu permet également de sélectionner les services de plateforme Azure de confiance pour accéder au compte de stockage de manière sécurisée.
En plus du point de terminaison public par défaut, les comptes de stockage (y compris Azure Files) offrent la possibilité d’avoir un ou plusieurs points de terminaison privés.
Un point de terminaison privé est accessible uniquement au sein d’un réseau virtuel Azure.
Lorsque vous créez un point de terminaison privé pour un compte de stockage, celui-ci reçoit une adresse IP privée issue de l’espace d’adressage du réseau virtuel, de la même manière qu’un serveur de fichiers local ou un dispositif NAS reçoit une adresse IP dans un réseau local.
Cela sécurise tout le trafic entre le réseau virtuel et le compte de stockage via un lien privé.
💡 Astuce
Vous pouvez également utiliser le pare-feu du compte de stockage pour bloquer tout accès via le point de terminaison public lorsque vous utilisez des points de terminaison privés.
Connexion à un partage de fichiers Azure
Pour utiliser un partage de fichiers Azure avec Windows, vous devez soit :
- le monter (c’est-à-dire lui attribuer une lettre de lecteur ou un chemin de point de montage)
- soit y accéder via son chemin UNC (Universal Naming Convention)
Le chemin UNC inclut :
- le nom du compte de stockage Azure
- le suffixe de domaine file.core.windows.net
- et le nom du partage
Par exemple, si le compte de stockage Azure s’appelle storage1 et le partage share1, le chemin UNC serait :\\storage1.file.core.windows.net\share1
Si l’authentification basée sur l’identité est activée pour le compte de stockage et que vous vous connectez à un partage de fichiers Azure depuis un appareil Windows joint à un domaine, vous n’avez pas besoin de fournir manuellement des identifiants.
Sinon, vous devez fournir des identifiants.
Vous pouvez utiliser AZURE\<nom du compte de stockage> comme nom d’utilisateur, et la clé d’accès au stockage comme mot de passe.
Ces mêmes identifiants sont utilisés si vous vous connectez à un partage de fichiers Azure en utilisant le script fourni par le portail Azure.
⚠️ Attention
Les clés d’accès au stockage offrent un accès illimité à un partage de fichiers Azure.
Il est recommandé d’utiliser l’authentification basée sur l’identité autant que possible.
Instantanés de partages de fichiers Azure
Dans Windows Server, vous pouvez créer une copie instantanée (shadow copy) d’un volume, qui capture l’état du volume à un moment donné.
Vous pouvez ensuite accéder à cette copie via le réseau en utilisant la fonctionnalité Versions précédentes de l’Explorateur de fichiers.
Une fonctionnalité similaire est disponible avec les instantanés de partages de fichiers Azure.
Un instantané de partage est une copie en lecture seule, à un instant donné, des données du partage de fichiers Azure.
Vous créez un instantané de partage au niveau du partage de fichiers.
Vous pouvez ensuite restaurer des fichiers individuels depuis le portail Azure ou depuis l’Explorateur de fichiers, où vous pouvez également restaurer un partage entier.
Vous pouvez avoir jusqu’à 200 instantanés par partage, ce qui vous permet de restaurer des fichiers à différentes versions dans le temps.
Si vous supprimez un partage, tous ses instantanés sont également supprimés.
Les instantanés de partage sont incrémentiels :
Seules les données modifiées depuis le dernier instantané sont enregistrées.
Cela réduit le temps nécessaire pour créer l’instantané et permet de réaliser des économies de stockage et de coûts.
Utilisez les instantanés dans les situations suivantes :
- Comme protection contre les suppressions accidentelles ou les modifications involontaires. Un instantané de partage contient une copie des fichiers du partage à un moment donné. Si des fichiers sont modifiés par erreur, vous pouvez utiliser les instantanés pour examiner et restaurer les versions précédentes des fichiers.
- À des fins générales de sauvegarde. Après avoir créé un partage de fichiers, vous pouvez périodiquement créer un instantané. Cela vous permet de conserver des versions antérieures des données, utiles pour des audits futurs ou pour la reprise après sinistre.
