Essa arquitetura demonstra uma maneira de fornecer compartilhamentos de arquivos na nuvem para usuários e aplicativos locais que também acessam arquivos no Windows Server por meio de um ponto de extremidade privado.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Workflow
Essa solução sincroniza o AD DS local e o Microsoft Entra ID em nuvem. A sincronização torna os usuários mais produtivos fornecendo uma identidade comum para acessar os recursos na nuvem e no local.
O Microsoft Entra Connect é o aplicativo local da Microsoft que faz a sincronização. Para obter mais informações sobre o Microsoft Entra Connect, confira O que é o Microsoft Entra Connect? e Sincronização do Microsoft Entra Connect: entenda e personalize a sincronização.
A Rede Virtual do Microsoft Azure fornece uma rede virtual na nuvem. Para essa solução, ela tem pelo menos duas sub-redes, uma para DNS do Azure e outra para um ponto de extremidade privado, para acessar o compartilhamento de arquivos.
A VPN ou o Azure ExpressRoute fornece conexões seguras entre a rede local e a rede virtual na nuvem. Se você usar a VPN, crie um gateway usando o Gateway de VPN do Azure. Se você usar o ExpressRoute, crie um gateway de rede virtual do ExpressRoute. Para obter mais informações, confira O que é o Gateway de VPN? e Sobre os gateways de rede virtual do ExpressRoute.
Os Arquivos do Azure fornecem um compartilhamento de arquivos na nuvem. Isso requer uma conta do Armazenamento do Microsoft Azure. Para obter mais informações sobre os compartilhamentos de arquivo, confira O que são os Arquivos do Azure?.
Um ponto de extremidade privado fornece acesso ao compartilhamento de arquivos. Um ponto de extremidade privado é como uma NIC (placa de interface de rede) dentro de uma sub-rede que é anexada a um serviço do Azure. Nesse caso, o serviço é o compartilhamento de arquivos. Para mais informações sobre os pontos de extremidade privados, confira Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure.
O servidor DNS local resolve os endereços IP. No entanto, o DNS do Azure resolve o FQDN (Nome de Domínio Totalmente Qualificado) do Azure. Todas as consultas DNS para o DNS do Azure são originadas na rede virtual. Há um proxy DNS dentro da rede virtual para encaminhar essas consultas para o DNS do Azure. Para obter mais informações, confira Cargas de trabalho locais que usam um encaminhador DNS.
Você pode fornecer o proxy DNS em um servidor Windows ou Linux ou usar o Firewall do Azure. Para obter informações sobre a opção de Firewall do Azure, que tem a vantagem de que você não precisa gerenciar uma máquina virtual, confira Configurações de DNS do Firewall do Azure.
O DNS personalizado local é configurado para encaminhar o tráfego DNS para o DNS do Azure por meio de um encaminhador condicional. As informações sobre encaminhamento condicional também são encontradas em Cargas de trabalho locais que usam um encaminhador DNS.
O AD DS local autentica o acesso ao compartilhamento de arquivo. Este é um processo de quatro etapas, conforme descrito em Parte um: habilitar a autenticação do AD DS para os compartilhamentos de arquivo do Azure
Componentes
- O Armazenamento do Microsoft Azure é um conjunto de serviços de nuvem extremamente escalonáveis e seguros para dados, aplicativos e cargas de trabalho. Ele inclui Arquivos do Azure, Armazenamento de Tabelas do Azure e Armazenamento de Filas do Azure.
- Os Arquivos do Azure oferecem compartilhamentos de arquivo totalmente gerenciados em uma conta de Armazenamento do Microsoft Azure. Os arquivos podem ser acessados na nuvem ou no local. As implantações do Windows, Linux e macOS podem montar compartilhamentos de arquivo do Azure simultaneamente. O acesso ao arquivo usa o protocolo SMB (Server Message Block) padrão do setor.
- A Rede Virtual Azure é o bloco de construção fundamental das redes privadas no Azure. Ele fornece o ambiente para que os recursos do Azure, como máquinas virtuais, comuniquem-se com segurança entre si, com a Internet e com as redes locais.
- O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft por meio de uma conexão privada.
- O Gateway de VPN do Azure conecta as redes locais ao Azure por meio de VPNs site a site da mesma maneira que você se conecta a uma filial remota. A conectividade é segura e usa os protocolos IPsec (Internet Protocol Security) e IKE (Internet Key Exchange) padrão do setor.
- O Link Privado do Azure fornece conectividade privada de uma rede virtual para PaaS (plataforma como serviço), de propriedade do cliente ou de serviços de parceiros da Microsoft. Ele simplifica a arquitetura de rede e protege a conexão entre os pontos de extremidade no Azure ao eliminar a exposição de dados para a Internet pública.
- Um ponto de extremidade privado é uma adaptador de rede que usa um endereço IP privado de sua rede virtual. Você pode usar pontos de extremidade privados para suas contas do Armazenamento do Microsoft Azure e permitir que clientes em uma rede virtual acessem os dados por meio de um link privado.
- O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Você pode configurar o Firewall do Azure para atuar como um proxy do DNS. Um proxy DNS é um intermediário das solicitações de DNS das máquinas virtuais do cliente para um servidor DNS.
Detalhes do cenário
Considere o seguinte cenário comum: um Windows Server local é usado para fornecer compartilhamentos de arquivos para usuários e aplicativos. Os Serviços de Domínio Active Directory (AD DS) são usados para proteger os arquivos e um servidor DNS local gerencia os recursos de rede. Tudo opera dentro da mesma rede privada.
Agora, imagine que surge a necessidade de estender os compartilhamentos de arquivos para a nuvem.
A arquitetura descrita aqui demonstra como o Azure pode atender a essa necessidade de maneira econômica, mantendo o uso de sua rede local, AD DS e DNS.
Nessa configuração, os Arquivos do Azure são usados para hospedar os compartilhamentos de arquivos, enquanto uma VPN site a site ou o Azure ExpressRoute fornece conexões seguras entre a rede local e a rede virtual do Azure. Usuários e aplicativos acessam os arquivos por meio dessas conexões seguras. O Microsoft Entra ID e o Azure DNS trabalham em conjunto com o AD DS e o DNS locais para garantir acesso seguro.
Em resumo, se você estiver enfrentando esse cenário, poderá oferecer compartilhamentos de arquivos baseados em nuvem para seus usuários locais a um custo baixo, mantendo o acesso seguro usando sua infraestrutura existente do AD DS e DNS.
Possíveis casos de uso
- O servidor de arquivos é movido para a nuvem, mas os usuários devem permanecer no local.
- Os aplicativos migrados para a nuvem precisam acessar os arquivos locais e também os arquivos migrados para a nuvem.
- Você precisa reduzir os custos movendo o armazenamento de arquivos para a nuvem.
Considerações
Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Confiabilidade
A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com os seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.
- O Armazenamento do Microsoft Azure sempre armazena várias cópias dos seus dados na mesma zona para que eles fiquem protegidos contra interrupções planejadas e não planejadas. Há opções para criar cópias adicionais em outras zonas ou regiões. Para mais informações, confira Redundância do Armazenamento do Microsoft Azure.
- O Firewall do Azure tem alta disponibilidade interna. Para obter mais informações, confira Recursos Standard do Firewall do Azure.
Segurança
A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.
Estes artigos têm informações de segurança para componentes do Azure:
- Linha de base de segurança do Azure para Armazenamento do Microsoft Azure
- Linha de base de segurança do Azure para o Link Privado do Azure
- Linha de base de segurança do Azure para Rede Virtual
- Linha de base de segurança do Azure para o Firewall do Azure
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.
Para estimar o custo de produtos e configurações do Azure, use a calculadora de preços do Azure.
Estes artigos têm informações de preço para componentes do Azure:
- Preços dos Arquivos do Azure
- Preços do Link Privado do Azure
- Preço da Rede Virtual
- Preço do Firewall do Azure
Eficiência de desempenho
A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.
- As contas de Armazenamento do Microsoft Azure contêm todos os objetos de dados do Armazenamento do Microsoft Azure, inclusive compartilhamentos de arquivo. Uma conta de armazenamento fornece um namespace exclusivo para os dados, um namespace que pode ser acessado em qualquer lugar do mundo por HTTP ou HTTPS. Para essa arquitetura, sua conta de armazenamento contém os compartilhamentos de arquivo fornecidos pelos Arquivos do Azure. Para obter o melhor desempenho, recomendamos o seguinte:
- Não coloque bancos de dados, blobs e assim por diante em contas de armazenamento que contêm compartilhamentos de arquivo.
- Não tenha mais de um compartilhamento de arquivo altamente ativo por conta de armazenamento. Você pode agrupar compartilhamentos de arquivo menos ativos na mesma conta de armazenamento.
- Se sua carga de trabalho exigir grandes quantidades de IOPS, velocidades de transferência de dados extremamente rápidas ou latência muito baixa, escolha contas de armazenamento premium (FileStorage). Uma conta de uso geral v2 padrão é apropriada para a maioria das cargas de trabalho de compartilhamento de arquivos SMB. Para obter mais informações sobre a escalabilidade e o desempenho dos compartilhamentos de arquivo, confira Metas de escalabilidade e desempenho dos Arquivos do Azure.
- Não use uma conta de armazenamento de uso geral v1, pois ela não tem recursos importantes. Em vez disso, atualize para uma conta de armazenamento de uso geral v2. Os tipos de conta de armazenamento são descritos em Visão geral da conta de armazenamento.
- Preste atenção ao tamanho, velocidade e outras limitações. Consulte Assinatura do Azure e limites de serviço, cotas e restrições.
- Não há muito que você pode fazer para melhorar o desempenho de componentes que não são de armazenamento, exceto ter certeza de que sua implantação respeita os limites, cotas e restrições descritos em Assinatura e limites, cotas e restrições de serviço do Azure.
- Para obter informações de escalabilidade para componentes do Azure, confira Assinatura e limites, cotas e restrições de serviço do Azure.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Rudnei Oliveira | Engenheiro Sênior de Segurança do Azure
Próximas etapas
- Início Rápido: Criar uma Rede Virtual usando o portal do Azure
- O que é um Gateway de VPN?
- Tutorial: criar e gerenciar um gateway de VPN usando o portal do Azure
- Compartilhamento de arquivo em nuvem do Azure Enterprise
- Conceitos e as melhores práticas da Rede virtual do Azure
- Planejando uma implantação de Arquivos do Azure
- Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure
- Configuração de DNS do ponto de extremidade privado do Azure
- Configurações de DNS do Firewall do Azure
- Comparar o Active Directory Domain Services autogerenciado, a ID do Microsoft Entra e o Microsoft Entra Domain Services gerenciado