Recurso compartido de archivos de la nube empresarial de Azure

Azure DNS
Archivos de Azure
Azure Private Link
Azure Storage
Azure Virtual Network

Esta arquitectura de referencia muestra una solución de uso compartido de archivos en la nube de nivel empresarial que emplea servicios de Azure, como Azure Files, Azure File Sync, Azure Private DNS y el punto de conexión privado de Azure. La solución genera ahorros en los costos gracias a la subcontratación de la administración de los servidores de archivos y la infraestructura, mientras se conserva el control de los datos.

Architecture

En el diagrama siguiente se muestra cómo los clientes pueden acceder a los recursos compartidos de archivos de Azure:

  • De forma local, mediante un servidor de archivos de nube por niveles.
  • De forma remota, a través del emparejamiento privado de ExpressRoute o los túneles VPN en un entorno de red privada.

Diagrama de recursos compartidos de archivos en la nube de nivel empresarial que muestra cómo los clientes pueden tener acceso a recursos compartidos de archivos de Azure de forma local a través de un servidor de archivos de nube por niveles, o de forma remota a través del emparejamiento privado de ExpressRoute o el túnel VPN en un entorno de red privada.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

La solución de uso compartido de archivos en la nube de nivel empresarial emplea los métodos siguientes para proporcionar la misma experiencia de usuario que el uso compartido de archivos tradicional, pero con recursos compartidos de archivos de Azure:

  • Hace uso de Azure File Sync para sincronizar listas de control de acceso (ACL) de archivos y carpetas entre servidores de archivos locales y recursos compartidos de archivos de Azure.
  • Usa la característica de nube por niveles del agente de Azure File Sync para almacenar en caché los archivos a los que se accede con frecuencia de forma local.
  • Aplica la autenticación de AD DS a través de recursos compartidos de archivos de Azure.
  • Accede a los servicios de recursos compartidos de archivos y de sincronización de archivos mediante Private Link y un punto de conexión privado a través de un emparejamiento privado de ExpressRoute o de un túnel VPN.

Al implementar el punto de conexión privado de Azure en Azure Files y Azure File Sync, se deshabilita el acceso al punto de conexión público, de modo que el acceso a Azure Files y Azure File Sync está restringido desde la red virtual de Azure.

El túnel de sitio a sitio de VPN de emparejamiento privado de ExpressRoute extiende la red local a la red virtual de Azure. El tráfico de Azure File Sync y del Bloque de mensajes del servidor (SMB) desde el entorno local hasta los puntos de conexión privados de Azure Files y Azure File Sync se restringe únicamente a la conexión privada. Durante la transición, Azure Files solo permitirá la conexión si se realiza con SMB 3.0+. Las conexiones realizadas desde el agente de Azure File Sync hasta el recurso compartido de archivos de Azure o el servicio de sincronización de almacenamiento siempre están cifradas. En reposo, Azure Storage cifra automáticamente los datos cuando se guardan en la nube, al igual que Azure Files.

Una resolución del sistema de nombres de dominio (DNS) es un componente crítico de la solución. Cada servicio de Azure, en este caso Azure Files y Azure File Sync, tiene un nombre de dominio completo (FQDN). Los FQDN de esos servicios se resuelven en sus direcciones IP públicas en estos casos:

  • Cuando un cliente tiene acceso a un recurso compartido de Azure Files.
  • Cuando un agente de Azure File Sync, implementado en un servidor de archivos local, tiene acceso al servicio Azure File Sync.

Después de habilitar un punto de conexión privado, se asignan direcciones IP privadas en la red virtual de Azure. Estas direcciones permiten el acceso a esos servicios a través de una conexión privada, y los mismos FQDN deben resolverse ahora en direcciones IP privadas. Para lograrlo, Azure Files y Azure File Sync crean un registro DNS de nombre canónico (CNAME) que redirige la resolución a un nombre de dominio privado:

  • El nombre de dominio público de Azure File Sync, *.afs.azure.net, obtiene una redirección de CNAME al nombre de dominio privado *.<region>.privatelink.afs.azure.net.
  • El nombre de dominio público de Azure Files, <name>.file.core.windows.net, obtiene una redirección de CNAME al nombre de dominio privado <name>.privatelink.file.core.windows.net.

La solución que se muestra en esta arquitectura configura correctamente los valores de DNS locales para que resuelvan los nombres de dominio privados en direcciones IP privadas, mediante los métodos siguientes:

  • Se crean zonas DNS privadas (componentes 11 y 12) desde Azure para proporcionar la resolución de nombres privados en Azure File Sync y Azure Files.
  • Las zonas DNS privadas están vinculadas a la red virtual de Azure para que un servidor DNS que se implementa en la red virtual o la resolución DNS privada de Azure (componente 8) pueda resolver nombres de dominio privados.
  • Se crean registros D de DNS para Azure Files y Azure File Sync en las zonas DNS privadas. Para conocer los pasos de configuración de los puntos de conexión, consulte Configuración de puntos de conexión de red de Azure Files y Configuración de puntos de conexión de red de Azure File Sync.
  • El servidor DNS local (componente 3) configura el reenvío condicional para reenviar la consulta de DNS de domain afs.azure.net y file.core.windows.net al servidor DNS de la red virtual de Azure (componente 8).
  • Después de recibir la consulta de DNS reenviada desde el servidor DNS local, el servidor DNS (componente 8) de la red virtual de Azure usa la resolución recursiva de Azure DNS para resolver los nombres de dominio privados y devolver las direcciones IP privadas al cliente.

Componentes

La solución que se describe en el diagrama de arquitectura usa los siguientes componentes:

  • Cliente (componente 1 o 2): por lo habitual, el cliente es un escritorio de Windows, Linux o Mac OSX que puede comunicarse con un servidor de archivos o con Azure Files mediante el protocolo SMB.

  • Servidores DNS y DC (componente 3): un controlador de dominio (DC) es un servidor que responde a las solicitudes de autenticación y comprueba los usuarios de las redes de los equipos. Un servidor DNS proporciona a equipos y usuarios servicios de resolución de nombres de asignación de direcciones IP a nombres de equipo. Los servidores DC y DNS se pueden combinar en un solo servidor o dividirse en servidores diferentes.

  • Servidor de archivos (componente 4): un servidor que hospeda recursos compartidos de archivos y que proporciona servicios de recursos compartidos de archivos.

  • Dispositivo CE/VPN (componente 5): se usa un enrutador perimetral de cliente (CE) o un dispositivo VPN para establecer la conexión de ExpressRoute o VPN con la red virtual de Azure.

  • Azure ExpressRoute o Azure VPN Gateway (componente 6): Azure ExpressRoute es un servicio que le permite ampliar la red local a la nube de Microsoft a través de una conexión privada que un proveedor de conectividad facilita. Azure VPN Gateway es una puerta de enlace de VPN es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local por medio de la red pública de Internet. ExpressRoute o VPN Gateway establecen una conexión de ExpressRoute o VPN con la red local.

  • Punto de conexión privado de Azure (componente 7): una interfaz de red que le conecta de forma privada y segura a un servicio que funciona con Azure Private Link. En esta solución, un punto de conexión privado de Azure File Sync conecta a Azure File Sync (9) y un punto de conexión privado de Azure Files conecta a Azure Files (10).

  • El servidor DNS o la resolución DNS privada de Azure (componente 8) en la instancia de Azure Virtual Network usa la resolución recursiva de Azure DNS para resolver el nombre de dominio privado y devolver una dirección IP privada al cliente, después de recibir una consulta de DNS que se reenvía desde un servidor DNS local.

  • Azure File Sync y la nube por niveles (componente 9): Azure File Sync le permite centralizar los recursos compartidos de archivos de la organización en Azure y, al mismo tiempo, mantener la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. La nube por niveles es una característica opcional de Azure File Sync por la que los archivos a los que se tiene acceso con frecuencia se almacenan en caché localmente en el servidor mientras que todos los demás archivos se organizan en niveles en Azure Files, según la configuración de directiva.

  • Azure Files (componente 10): un servicio totalmente administrado que ofrece recursos compartidos de archivos en la nube, a los que se puede acceder mediante el protocolo estándar del sector Bloque de mensajes del servidor (SMB). Azure Files implementa el protocolo SMB v3 y admite la autenticación a través de Active Directory Domain Services (AD DS) local y Microsoft Entra Domain Services. Los recursos compartidos de Azure Files se pueden montar a la vez mediante implementaciones locales o en la nube de Windows, Linux y macOS. Además, los recursos compartidos de archivos SMB de Azure se pueden almacenar en caché más cerca de donde se usan los datos, en servidores de Windows con Azure File Sync para un acceso rápido.

  • Azure Private DNS (componentes 11 y 12): un servicio DNS, que ofrece Azure, DNS privado administra y resuelve nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada.

  • Azure Backup (componente 13): Azure Backup es un servicio de copia de seguridad de recursos compartidos de archivos de Azure que utiliza instantáneas de recursos compartidos de archivos para proporcionar una solución de copia de seguridad basada en la nube. Para más información, consulte Pérdida de datos y copia de seguridad.

Detalles del escenario

Esta solución permite acceder a recursos compartidos de archivos de Azure en un entorno de trabajo híbrido a través de una red privada virtual entre el entorno local y las redes virtuales de Azure sin atravesar Internet. También permite controlar y limitar el acceso a archivos a través de la autenticación basada en identidad.

Posibles casos de uso

La solución de uso compartido de archivos en la nube admite los siguientes casos de uso posibles:

  • Migración mediante lift and shift de servidores de archivos y recursos compartidos de archivos. Al usar el método lift and shift, se elimina la necesidad de reestructurar o volver a formatear los datos. También, se mantienen las aplicaciones heredadas en el entorno local, al tiempo que se benefician del almacenamiento en nube.
  • Aceleración de la innovación en la nube gracias a la mayor eficacia operativa. Reduce el costo de mantener el hardware y el espacio físico y protege frente a daños en los datos y la pérdida de estos.
  • Acceso privado a los recursos compartidos de archivos de Azure. Protege contra la filtración de datos.

Flujos de tráfico

Después de habilitar Azure File Sync y Azure Files, se puede acceder a los recursos compartidos de archivos de Azure de dos modos: modo caché local o modo remoto. En ambos modos, el cliente usa las credenciales de AD DS existentes para autenticarse.

  • Modo caché local: el cliente accede a los archivos y recursos compartidos de archivos mediante un servidor de archivos local que tiene habilitada la nube por niveles. Cuando un usuario abre un archivo desde el servidor de archivos local, los datos del archivo se sirven desde la caché local del servidor de archivos, o bien el agente de Azure File Sync los recupera de forma íntegra de Azure Files. En el diagrama de arquitectura de esta solución, esto tiene lugar entre los componentes 1 y 4.

  • Modo remoto: el cliente accede a los archivos y recursos compartidos de archivos directamente desde un recurso compartido de archivos de Azure remoto. En el diagrama de arquitectura de esta solución, el flujo de tráfico viaja a través de los componentes 2, 5, 6, 7 y 10.

El tráfico de Azure File Sync viaja entre los componentes 4, 5, 6y 7, utilizando un circuito de ExpressRoute para conseguir una conexión confiable.

Las consultas de resolución de nombres de dominio privadas pasan por los componentes 3, 5, 6, 8, 11 y 12 mediante la siguiente secuencia:

  1. El cliente envía una consulta a un servidor DNS local para resolver un nombre DNS de Azure Files o Azure File Sync.
  2. El servidor DNS local tiene un reenviador condicional que dirige la resolución de nombres DNS de Azure Files y Azure File Sync a un servidor DNS de la red virtual de Azure.
  3. La consulta se redirige a un servidor DNS de la resolución DNS privada de Azure en la red virtual de Azure.
  4. Según la configuración de DNS de la red virtual:
    • Si se configura un servidor DNS personalizado, el servidor DNS en la red virtual de Azure envía una consulta de nombres a la resolución recursiva de DNS que proporciona Azure (168.63.129.16).
    • Si se configura la resolución DNS privada de Azure y la consulta coincide con las zonas DNS privadas que están vinculadas a la red virtual, se consultan esas zonas.
  5. El servidor DNS o la resolución DNS privada de Azure devuelve una IP privada, después de resolver el nombre de dominio privado en la zona DNS privada correspondiente. Usa los vínculos de la red virtual de Azure a la zona DNS de Azure Files y la zona DNS privada de Azure File Sync.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Al implementar esta solución, tenga en cuenta los puntos siguientes.

Planificación

Redes

DNS

Al administrar la resolución de nombres para los puntos de conexión privados, los nombres de dominio privados de Azure Files y Azure File Sync se resuelven de la siguiente manera:

En el lado de Azure:

  • Si se usa la resolución de nombres proporcionada por Azure, la red virtual de Azure debe vincular con las zonas DNS privadas aprovisionadas.
  • Si se usa la opción para traer su propio servidor DNS, la red virtual en la que está implementado su propio servidor DNS debe vincular con las zonas DNS privadas aprovisionadas.

En el lado local, al nombre de dominio privado se le asigna una dirección IP privada de una de las siguientes maneras:

  • Mediante el reenvío de DNS a un servidor DNS que se implementa en la red virtual de Azure, tal y como se muestra en el diagrama.
  • Mediante el servidor DNS local que configura zonas para el dominio privado, <region>.privatelink.afs.azure.net y privatelink.file.core.windows.net. El servidor registra las direcciones IP de los puntos de conexión de Azure Files y Azure File Sync como registros D de DNS en sus zonas DNS respectivas. El cliente local resuelve el nombre de dominio privado directamente desde el servidor DNS local.

Sistema de archivos distribuido (DFS)

Cuando se trata de una solución de uso compartido de archivos local, muchos administradores optan por usar un DFS en lugar de un servidor de archivos independiente tradicional. DFS permite a los administradores consolidar los recursos compartidos de archivos que pueden existir en varios servidores para que aparezcan como si todos estuvieran en la misma ubicación, lo que permite a los usuarios tener acceso a ellos desde un único punto de la red. Al pasar a una solución de recursos compartidos de archivos en la nube, la implementación de DFS-R tradicional se puede reemplazar por la implementación de Azure File Sync. Para más información, consulte Migrate a DFS Replication (DFS-R) deployment to Azure File Sync (Migración de una implementación de la replicación DFS (DFS-R) a Azure File Sync).

Pérdida de datos y copia de seguridad

La pérdida de datos es un problema grave para las empresas de todos los tamaños. La copia de seguridad de recursos compartidos de archivos de Azure emplea instantáneas para proporcionar una solución de copia de seguridad basada en la nube que protege los datos allí almacenados y elimina la sobrecarga de mantenimiento adicional que conllevan las soluciones de copia de seguridad locales. Las principales ventajas de la copia de seguridad de recursos compartidos de archivos de Azure son:

  • Cero infraestructura
  • Retención personalizada
  • Funcionalidades de administración integradas
  • Restauraciones instantáneas
  • Alertas e informes
  • Protección contra la eliminación accidental de recursos compartidos de archivos

Para más información, consulte Acerca de la copia de seguridad de recursos compartidos de archivos de Azure.

Compatibilidad con identidades híbridas en Azure Files

Aunque, en este artículo, se describe Active Directory para la autenticación en Azure Files, es posible usar Microsoft Entra ID para autenticar identidades de usuario híbridas. Azure Files admite la autenticación basada en identidades a través del bloque de mensajes del servidor (SMB) con el protocolo de autenticación Kerberos mediante los métodos siguientes:

  • Active Directory Domain Services (AD DS) local
  • Servicios de dominio de Microsoft Entra
  • Microsoft Entra Kerberos (solo para identidades de usuario híbrido)
  • Autenticación de AD para clientes Linux

Para obtener más información, consulte Habilitación de la autenticación Kerberos de Microsoft Entra para identidades híbridas en Azure Files.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Azure DDoS Protection, combinado con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS para ofrecer una mejor defensa frente a los ataques DDoS. Debe habilitar Azure DDOS Protection en cualquier red virtual perimetral.

La auditoría de seguridad es uno de los requisitos para ayudar a mantener la seguridad de una empresa. Los estándares del sector exigen que las empresas sigan un estricto conjunto de reglas relacionadas con la seguridad y la privacidad de los datos.

Auditoría de acceso a archivos

La auditoría de acceso a archivos se puede habilitar localmente y de forma remota:

  • De forma local, mediante el control de acceso dinámico. Para más información, consulte Planear la auditoría de acceso a archivos.
  • De forma remota, mediante los registros de Azure Storage en Azure Monitor en Azure Files. Los registros de Azure Storage contienen registros de StorageRead, StorageWrite, StorageDelete y de transacciones. El acceso a los archivos de Azure se puede registrar en una cuenta de almacenamiento o en un área de trabajo de Log Analytics, o se puede transmitir a un centro de eventos por separado. Para obtener más información, consulte Supervisión de Azure Files

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes