Usar compartilhamentos de arquivos do Azure em um ambiente híbrido

Microsoft Entra ID
Arquivos do Azure

Essa arquitetura mostra como incluir compartilhamentos de arquivos do Azure em seu ambiente híbrido. Os compartilhamentos de arquivos do Azure são usados como compartilhamentos de arquivos sem servidor. Ao integrá-los aos Active Directory Directory Services (AD DS), você pode controlar e limitar o acesso aos usuários do AD DS. Os compartilhamentos de arquivos do Azure podem então substituir os servidores de arquivos tradicionais.

Arquitetura

Diagrama de arquitetura de compartilhamentos de arquivos do Azure que mostra como os clientes podem acessar o compartilhamento de arquivos do Azure diretamente pela porta TCP 445 (SMB 3.0) ou estabelecendo conexão VPN primeiro.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Essa arquitetura consiste nos seguintes componentes:

  • Locatário do Microsoft Entra. Esse componente é uma instância do Microsoft Entra criada pela sua organização. Ela atua como um serviço de diretório para aplicativos de nuvem armazenando objetos que são copiados do Active Directory local. Ele também fornece serviços de identidade ao acessar compartilhamentos de arquivos do Azure.
  • Servidor do AD DS. Esse componente é um serviço de identidade e diretório local. O diretório do AD DS é sincronizado com o Microsoft Entra ID para habilitá-lo a autenticar usuários locais.
  • Servidor de sincronização do Microsoft Entra Connect. Esse componente é um servidor local que executa o serviço Microsoft Entra Connect Sync. Este serviço sincroniza as informações mantidas no Active Directory local com o Microsoft Entra ID.
  • Gateway de rede virtual. Esse componente opcional é usado para enviar tráfego criptografado entre uma rede virtual do Azure e uma localização local pela Internet.
  • Compartilhamentos de arquivos do Azure. Os compartilhamentos de arquivos do Azure fornecem armazenamento para arquivos e pastas que você pode acessar por meio dos protocolos SMB (Server Message Block), NFS (Network File System) e HTTP (Hypertext Transfer Protocol). Os compartilhamentos de arquivos são implantados em contas de armazenamento do Azure.
  • Cofre dos Serviços de Recuperação. Este componente opcional fornece backup de compartilhamentos de arquivos do Azure.
  • Clientes. Esses componentes são computadores membros do AD DS, a partir dos quais os usuários podem acessar compartilhamentos de arquivos do Azure.

Componentes

Principais tecnologias usadas para implementar essa arquitetura:

  • O Microsoft Entra ID é um serviço de identidade empresarial que fornece logon único, autenticação multifator e acesso condicional.
  • O Arquivos do Azure oferece compartilhamentos de arquivos totalmente gerenciados na nuvem, acessíveis usando protocolos padrão no setor.
  • Gateway de VPN O Gateway de VPN envia tráfego criptografado entre uma rede virtual do Azure e um local pela Internet pública.

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • Substituir ou complementar os servidores de arquivos locais. Os Arquivos do Azure podem substituir totalmente ou suplementar os servidores de arquivos tradicionais locais ou dispositivos NAS. Com os compartilhamentos de arquivos do Azure e a autenticação do AD DS, você pode migrar dados para os Arquivos do Azure. Essa migração pode aproveitar a alta disponibilidade e a escalabilidade e, ao mesmo tempo, minimizar as alterações do cliente.
  • Lift-and-shift. O recurso Arquivos do Azure facilita realizar o "lift-and-shift" de aplicativos que esperam que um compartilhamento de arquivo armazene dados de aplicativo ou usuário na nuvem.
  • Backup e recuperação de desastres. Você pode usar os Arquivos do Azure como armazenamento para backups ou para recuperação de desastres para aprimorar a continuidade dos negócios. Você pode usar os Arquivos do Azure para fazer backup de seus dados de servidores de arquivos existentes enquanto preserva ACLs (listas de controle de acesso) discricionário do Windows configuradas. Os dados armazenados em compartilhamentos de arquivos do Azure não são afetados por desastres que podem afetar localizações locais.
  • Sincronização de Arquivos do Azure. Com a Sincronização de Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser replicados no Windows Server local ou na nuvem. Essa replicação melhora o desempenho e distribui o cache de dados para onde eles estão sendo usados.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Usar contas de armazenamento de uso geral v2 (GPv2) ou FileStorage para compartilhamentos de arquivos do Azure

Você pode criar um compartilhamento de arquivos do Azure em várias contas de armazenamento. Embora as contas de armazenamento de uso geral v1 (GPv1) e clássicas possam conter compartilhamentos de arquivo do Azure, a maioria dos novos recursos dos Arquivos do Azure está disponível apenas nas contas de armazenamento GPv2 e FileStorage. Enquanto um compartilhamento de arquivos do Azure armazena dados de contas de armazenamento GPv2 em hardware baseado em disco rígido (HD), ele armazena dados de contas de armazenamento FileStorage em hardware baseado em unidade de estado sólido (SSD). Para mais informações confira Criar um compartilhamento de arquivo do Azure.

Criar compartilhamentos de arquivos do Azure em contas de armazenamento que contêm apenas compartilhamentos de arquivos do Azure

As contas de armazenamento permitem que você use diferentes serviços de armazenamento na mesma conta de armazenamento. Esses serviços de armazenamento incluem compartilhamentos de arquivos do Azure, contêineres de blob e tabelas. Todos os serviços de armazenamento em uma única conta de armazenamento compartilham os mesmos limites de conta de armazenamento. A combinação de serviços de armazenamento na mesma conta de armazenamento dificulta a solução de problemas de desempenho.

Observação

Implemente cada compartilhamento de arquivos do Azure em sua própria conta de armazenamento separada, se possível. Se vários compartilhamentos de arquivos do Azure forem implantados na mesma conta de armazenamento, todos eles compartilharão os limites da conta de armazenamento.

Usar compartilhamentos de arquivos premium para cargas de trabalho que exigem alta taxa de transferência

Os compartilhamentos de arquivos do Azure são implementados em contas de armazenamento FileStorage e armazenados em hardware baseado em SSD (unidade de estado sólido). Essa configuração os torna adequados para armazenar e acessar dados que exigem desempenho consistente, alta taxa de transferência e baixa latência. (Por exemplo, esses compartilhamentos de arquivos premium funcionam bem com bancos de dados.) Você pode armazenar outras cargas de trabalho menos sensíveis à variabilidade de desempenho em compartilhamentos de arquivos padrão. Esses tipos de carga de trabalho incluem compartilhamentos de arquivos de uso geral e ambientes de desenvolvimento/teste. Para obter mais informações, consulte Como criar um compartilhamento de arquivos do Azure.

Sempre exija criptografia ao acessar compartilhamentos de arquivos do Azure de SMB

Sempre use a criptografia em trânsito ao acessar dados em compartilhamentos de arquivos do Azure SMB. A criptografia em trânsito é habilitada por padrão. Os Arquivos do Azure só permitirão a conexão se ela for feita com um protocolo que usa criptografia, como o SMB 3.0. Os clientes que não oferecem suporte ao SMB 3.0 não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito for necessária.

Usar a VPN se a porta que o SMB usa (porta 445) estiver bloqueada

Muitos provedores de serviços de Internet bloqueiam a porta TCP (Transmission Control Protocol) 445, que é usada para acessar compartilhamentos de arquivos do Azure. Se desbloquear a porta TCP 445 não for uma opção, você poderá acessar os compartilhamentos de arquivos do Azure por meio de uma conexão de ExpressRoute ou VPN (rede virtual privada) (site a site ou ponto a site) para evitar o bloqueio de tráfego. Para obter mais informações, consulte Configurar uma VPN Ponto a Site (P2S) no Windows para uso com Arquivos do Azure e Configurar uma VPN Site a Site para uso com Arquivos do Azure.

Considere usar a Sincronização de Arquivos do Azure com compartilhamentos de arquivos do Azure

A Sincronização de Arquivos do Azure é um serviço que permite armazenar em cache compartilhamentos de arquivo do Azure em um servidor de arquivo do Windows Server local. Ao ativar a camada de nuvem, a Sincronização de Arquivos ajuda a garantir que um servidor de arquivos sempre tenha espaço livre disponível, mesmo ao disponibilizar mais arquivos do que um servidor de arquivos pode armazenar localmente. Se você tiver servidores de arquivos do Windows Server locais, considere integrar servidores de arquivos com compartilhamentos de arquivos do Azure usando a Sincronização de Arquivos do Azure. Para obter mais informações, consulte Planejando uma implantação da Sincronização de Arquivos do Azure.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Escalabilidade

  • O tamanho do compartilhamento de arquivos do Azure é limitado a 100 tebibytes (TiB). Não há tamanho mínimo de compartilhamento de arquivos e nem limite no número de compartilhamentos de arquivos do Azure.
  • O tamanho máximo de um arquivo em um compartilhamento de arquivos é de 1 TiB, e não há limite no número de arquivos em um compartilhamento de arquivos.
  • Os limites de IOPS e taxa de transferência são por conta de armazenamento do Azure e são compartilhados entre compartilhamentos de arquivos do Azure na mesma conta de armazenamento.

Para obter mais informações, confira Metas de desempenho e escalabilidade de Arquivos do Azure.

Disponibilidade

Observação

A conta de armazenamento do Azure é o recurso pai dos compartilhamentos de arquivo do Azure. O compartilhamento de arquivos do Azure tem o nível de redundância fornecido pela conta de armazenamento que contém o compartilhamento.

  • No momento, os compartilhamentos de arquivos do Azure são compatíveis com as seguintes opções de redundância de dados:
    • LRS (armazenamento com redundância local) . Os dados serão copiados três vezes em uma localização física única de maneira síncrona na região primária. Essa prática protege contra a perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa.
    • Armazenamento com redundância de zona (ZRS). Os dados são copiados de maneira síncrona em três zonas de disponibilidade do Azure na região primária. As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes.
    • Armazenamento com redundância geográfica (GRS). Os dados serão copiados três vezes em uma localização física única de maneira síncrona na região primária usando LRS. Os dados são então copiados de forma assíncrona para um único local físico na região secundária. O armazenamento com redundância geográfica fornece seis cópias de seus dados difundidos entre duas regiões do Azure.
    • Armazenamento com redundância de zona geográfica (GZRS). Os dados são copiados de maneira síncrona em três zonas de disponibilidade do Azure na região primária usando ZRS. Os dados são então copiados de forma assíncrona para um único local físico na região secundária.
  • Os compartilhamentos de arquivos Premium podem ser armazenados somente em armazenamento com redundância local (LRS) e armazenamento com redundância de zona (ZRS). Os compartilhamentos de arquivos padrão podem ser armazenados em LRS, ZRS, armazenamento com redundância geográfica (GRS) e armazenamento com redundância de zona geográfica (GZRS). Para obter mais informações, consulte Planejando uma implantação de Arquivos do Azure e Redundância do Armazenamento do Azure.
  • Os Arquivos do Azure são um serviço de nuvem e, como acontece com todos os serviços de nuvem, você deve ter conectividade com a Internet para acessar os compartilhamentos de arquivos do Azure. Uma solução redundante de conexão à Internet é altamente recomendada para evitar interrupções.

Capacidade de gerenciamento

  • Você pode gerenciar compartilhamentos de arquivos do Azure usando as mesmas ferramentas que qualquer outro serviço do Azure. Essas ferramentas incluem o portal do Azure, a interface de linha de comando do Azure e o Azure PowerShell.
  • Os compartilhamentos de arquivos do Azure impõem permissões de arquivo padrão do Windows. Você pode configurar permissões no nível de diretório ou arquivo montando um compartilhamento de arquivos do Azure e configurando permissões usando o Explorador de Arquivos, o comando icacls.exe do Windows ou o cmdlet Set-Acl do Windows PowerShell.
  • Você pode usar o instantâneo de compartilhamento de arquivos do Azure para criar uma cópia pontual, somente leitura, dos dados de compartilhamento de arquivos do Azure. Você cria um instantâneo de compartilhamento no nível de compartilhamento de arquivo. Em seguida, você pode restaurar arquivos individuais no portal do Azure ou no Explorador de Arquivos, em que você também pode restaurar um compartilhamento inteiro. Você pode ter até 200 instantâneos por compartilhamento, o que permite restaurar arquivos para diferentes versões de ponto em tempo. Se você excluir um compartilhamento, os instantâneos também serão excluídos. Os instantâneos de compartilhamento são incrementais. Somente os dados que foram alterados depois que o instantâneo mais recente do compartilhamento é salvo. Essa prática minimiza o tempo necessário para criar o instantâneo de compartilhamento e economiza nos custos de armazenamento. Os instantâneos de compartilhamento de arquivos do Azure também são usados quando você protege os compartilhamentos de arquivos do Azure com o Backup do Azure. Para mais informações, consulte Visão geral dos instantâneos para Arquivos do Azure.
  • Você pode impedir a exclusão acidental de compartilhamentos de arquivos do Azure habilitando a exclusão flexível para compartilhamentos de arquivos. Se você excluir um compartilhamento de arquivo quando uma exclusão temporária estiver habilitada, as transições de compartilhamentos de arquivos para um estado de exclusão temporária serão realizadas em vez de um apagamento permanentemente. Você pode configurar o tempo pelo qual os dados com exclusão temporária são recuperáveis antes de serem excluídos permanentemente e restaurar o compartilhamento a qualquer momento durante esse período de retenção. Para obter mais informações, consulte Habilitar exclusão reversível nos compartilhamentos de arquivo do Azure.

Observação

O Backup do Azure habilita a exclusão temporária para todos os compartilhamentos de arquivos na conta de armazenamento quando você configura o backup para o primeiro compartilhamento de arquivos do Azure na respectiva conta de armazenamento.

Observação

Os compartilhamentos de arquivos padrão e premium são cobrados na capacidade usada quando são excluídos de maneira temporária, em vez da capacidade provisionada.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

  • Use a autenticação do AD DS sobre SMB para acessar compartilhamentos de arquivos do Azure. Essa configuração proporciona a mesma experiência de SSO (logon único) contínuo ao acessar compartilhamentos de arquivos do Azure que o acesso a compartilhamentos de arquivos locais. Para obter mais informações, consulte Como funciona e etapas de ativação do recurso. Seu cliente precisa ingressar no domínio do AD DS, porque a autenticação ainda é feita pelo controlador de domínio do AD DS. Além disso, você precisa atribuir permissões no nível do compartilhamento e de nível de arquivo/diretório para obter acesso aos dados. A atribuição de permissão de nível de compartilhamento passa pelo modelo RBAC do Azure. A permissão de nível de arquivo/diretório é gerenciada como ACLs do Windows.

    Observação

    O acesso aos compartilhamentos de arquivos do Azure é sempre autenticado. Os compartilhamentos de arquivos do Azure não oferecem suporte ao acesso anônimo. Além da autenticação baseada em identidade sobre SMB, os usuários também podem se autenticar no compartilhamento de arquivos do Azure usando a chave de acesso de armazenamento e a Assinatura de acesso compartilhado.

  • Todos os dados que são armazenados no compartilhamento de arquivos do Azure são criptografados em repouso usando a SSE (Criptografia do Serviço de Armazenamento) do Azure. A SSE funciona de maneira semelhante à Criptografia de Unidade de Disco BitLocker no Windows, onde os dados são criptografados abaixo do nível do sistema de arquivos. Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com as chaves gerenciadas pela Microsoft. Com as chaves gerenciadas pela Microsoft, a Microsoft mantém as chaves para criptografar/descriptografar os dados e gerencia a rotação deles regularmente. Você também pode optar por gerenciar as próprias chaves, o que dá controle a você sobre o processo de rotação.

  • Todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Essa configuração significa que toda comunicação com os compartilhamentos de arquivos do Azure é criptografada. Os clientes que não oferecem suporte à criptografia não podem se conectar aos compartilhamentos de arquivos do Azure. Se você desativar a criptografia em trânsito, os clientes que executam sistemas operacionais mais antigos, como o Windows Server 2008 R2 ou Linux mais antigo, também poderão se conectar. Nesses casos, os dados não são criptografados em trânsito a partir dos compartilhamentos de arquivos do Azure.

  • Por padrão, os clientes podem se conectar ao compartilhamento de arquivos do Azure de qualquer lugar. Para limitar as redes a partir das quais os clientes podem se conectar aos compartilhamentos de arquivos do Azure, configure o Firewall, as redes virtuais e as conexões de ponto de extremidade privadas. Para mais informações, consulte Configure firewalls e redes virtuais do Armazenamento do Azure e Configurar pontos de extremidade de rede dos Arquivos do Azure.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custo e Compreenda a cobrança dos Arquivos do Azure.

  • Os Arquivos do Azure têm duas camadas de armazenamento e dois modelos de preços:
    • Armazenamento padrão: usa o armazenamento baseado em HD. Não há um tamanho mínimo de compartilhamento de arquivos, e você paga apenas pelo espaço de armazenamento usado. Além disso, você paga por operações de arquivo, como enumerar um diretório ou ler um arquivo.
    • Armazenamento premium: usa armazenamento baseado em SSD. O tamanho mínimo para um compartilhamento de arquivos premium é de 100 gibibytes, e você paga por espaço de armazenamento provisionado. Ao usar o armazenamento premium, todas as operações de arquivo são gratuitas.
  • Custos extras estão associados a instantâneos de compartilhamento de arquivos e transferências de dados de saída. (Quando você transfere dados de compartilhamentos de arquivos do Azure, a transferência de dados de entrada é gratuita.) Os custos de transferência de dados dependem da quantidade de dados transferidos e da unidade de manutenção de estoque (SKU) do gateway de rede virtual, se você usar um. Para obter mais informações sobre custos, consulte Preços dos Arquivos do Azure e Calculadora de preços do Azure. O custo real varia de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter mais informações sobre os preços.

Próximas etapas

Saiba mais sobre as tecnologias dos componentes:

Explorar arquiteturas relacionadas: