Compartilhamento de arquivo em nuvem do Azure Enterprise

A arquitetura de referência ilustra uma solução de compartilhamento de arquivos em nuvem de nível empresarial que usa serviços do Azure, incluindo Arquivos do Azure, Sincronização de Arquivos do Azure, DNS Privado do Azure e Ponto de extremidade privado do Azure. A solução gera redução de custos ao terceirizar o gerenciamento de servidores de arquivos e infraestrutura, mantendo o controle dos dados.

Arquitetura

O diagrama a seguir mostra como os clientes podem acessar compartilhamentos de arquivos do Azure:

• Localmente por meio de um servidor de arquivos em camadas de nuvem.
• Remotamente por túneis de VPN ou emparelhamento privado ExpressRoute em um ambiente de rede privado.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

A solução de compartilhamento de arquivos em nuvem de nível empresarial usa os seguintes métodos para fornecer a mesma experiência de usuário que o compartilhamento de arquivos tradicional, mas com compartilhamentos de arquivos do Azure:

• Usa a Sincronização de Arquivos do Azure para sincronizar ACL (Listas de Controle de Acesso) de arquivos e pastas entre servidores de arquivos locais e compartilhamentos de arquivos do Azure.
• Usa o recurso de camada de nuvem do agente da Sincronização de Arquivos do Azure para armazenar em cache arquivos acessados com frequência localmente.
• Ativa a autenticação do AD DS para compartilhamentos de arquivos do Azure.
• Acessa serviços de compartilhamento e sincronização de arquivos via IP privado por meio de Link Privado e Ponto de Extremidade Privado por meio de túnel de VPN ou emparelhamento privado ExpressRoute.

Ao implementar o Ponto de Extremidade Privado do Azure nos Arquivos do Azure e na Sincronização de Arquivos do Azure, o acesso ao ponto de extremidade público é desabilitado para que o acesso aos Arquivos do Azure e à Sincronização de Arquivos do Azure seja restrito a partir da rede virtual do Azure.

O túnel ponto a ponto de VPN de emparelhamento privado ExpressRoute estende a rede local para a rede virtual do Azure. O tráfego de Sincronização de Arquivos do Azure e protocolo SMB do local para os Arquivos do Azure e os pontos de extremidade privados da Sincronização de Arquivos do Azure são restritos apenas à conexão privada. Durante a transição, os Arquivos do Azure só permitirão a conexão se ela for feita com o SMB 3.0+. As conexões feitas do agente de Sincronização de Arquivos do Azure para o compartilhamento de Arquivo do Azure ou o Serviço de Sincronização de Armazenamento são sempre criptografadas. Em repouso, o Armazenamento do Azure criptografa automaticamente os dados quando eles são persistidos na nuvem, assim como fazem os Arquivos do Azure.

Um resolvedor de DNS (Sistema de nomes de domínio) é um componente crítico da solução. Cada serviço do Azure, neste caso, Arquivos do Azure e Sincronização de Arquivos do Azure, tem um FQDN (nome de domínio completamente qualificado). Os FQDNs desses serviços são resolvidos para seus endereços IP públicos nestes casos:

• Quando um cliente acessa um Compartilhamento de Arquivos do Azure.
• Quando um agente de Sincronização de Arquivos do Azure, implantado em um servidor de arquivos local, acessa o serviço de Sincronização de Arquivos do Azure.

Depois de habilitar um ponto de extremidade privado, os endereços IP privados são alocados na rede virtual do Azure. Esses endereços permitem o acesso a esses serviços por meio de uma conexão privada, e os mesmos FQDNs agora devem ser resolvidos para endereços IP privados. Para conseguir isso, os Arquivos do Azure e a Sincronização de Arquivos do Azure criam um registro DNS de nome canônico (CNAME) para redirecionar a resolução para um nome de domínio privado:

• O nome de domínio público da Sincronização de Arquivos do Azure *.afs.azure.net obtém um redirecionamento CNAME para o nome *.<region>.privatelink.afs.azure.net.
• O nome de domínio público da Sincronização de Arquivos do Azure <name>.file.core.windows.net obtém um redirecionamento CNAME referente ao nome <name>.privatelink.file.core.windows.net.

A solução mostrada na arquitetura configura corretamente as configurações de DNS local para que elas resolvam nomes de domínio privados para endereços IP privados, usando os seguintes métodos:

• As zonas DNS privadas (componentes 11 e 12) são criadas a partir do Azure para fornecer uma resolução de nome privado para a Sincronização de Arquivos do Azure e os Arquivos do Azure.
• As zonas DNS privadas são vinculadas à rede virtual do Azure para que um servidor DNS implantado na rede virtual ou no resolvedor de DNS privado do Azure (componente 8) possa resolver nomes de domínio privados.
• Os registros DNS A são criados para Arquivos do Azure e Sincronização de Arquivos do Azure em zonas DNS privadas. Para obter as etapas de configuração de ponto de extremidade, consulte Configurar pontos de extremidade de rede dos Arquivos do Azure e Configurar pontos de extremidade de rede de Sincronização de Arquivos do Azure.
• O servidor DNS local (componente 3) configura o encaminhamento condicional para encaminhar a consulta DNS do domain afs.azure.net e file.core.windows.net para o servidor DNS na rede virtual do Azure (componente 8).
• Depois de receber a consulta DNS encaminhada do servidor DNS local, o servidor DNS (componente 8) na rede virtual do Azure usa o resolvedor recursivo de DNS do Azure para resolver nomes de domínio privados e retornar endereços IP privados para o cliente.

Componentes

A solução descrita no diagrama de arquitetura usa os seguintes componentes:

• Cliente (componente 1 ou 2) - Normalmente, o cliente é uma área de trabalho Windows, Linux ou Mac OSX que pode se comunicar com um servidor de arquivos ou Arquivos do Azure por meio do protocolo SMB.

• Servidores DC e DNS (componente 3) - Um controlador de domínio (DC) é um servidor que responde às solicitações de autenticação e verifica usuários em redes de computadores. Um servidor DNS fornece serviços de resolução de nomes de mapeamento de nome para endereço IP para computadores e usuários. Os servidores DC e DNS podem ser combinados em um único servidor ou podem ser separados em servidores diferentes.

• Servidor de arquivos (componente 4) - Um servidor que hospeda compartilhamentos de arquivos e fornece serviços de compartilhamento de arquivos.

• Dispositivo CE/VPN (componente 5) - Um roteador de borda do cliente (CE) ou dispositivo VPN é usado para estabelecer conexão VPN ou ExpressRoute com a rede virtual do Azure.

• Azure ExpressRoute ou Gateway de VPN do Azure (componente 6) – Azure ExpressRoute é um serviço que permite estender sua rede local para a nuvem da Microsoft por meio de uma conexão privada facilitada por um provedor de conectividade. Um Gateway de VPN do Azure é um tipo específico de gateway de rede virtual usado para enviar e receber tráfego criptografado entre uma rede virtual do Azure e um local pela Internet pública. O ExpressRoute ou Gateway de VPN estabelece a conexão correspondente com a rede no local.

• Ponto de extremidade privado do Azure (componente 7) - Adaptador de rede que conecta você de maneira privada e segura a um serviço que conta com o Link Privado do Azure. Nesta solução, um ponto de extremidade privado da Sincronização de Arquivos do Azure se conecta à Sincronização de Arquivos do Azure (9) e um ponto de extremidade privado do Azure Files se conecta aos Arquivos do Azure (10).

• Servidor DNS/resolvedor de DNS privado do Azure (componente 8) na instância da Rede Virtual do Azure usa o resolvedor recursivo de DNS do Azure para resolver o nome de domínio privado e retornar um endereço IP privado para o cliente, depois de receber uma consulta DNS encaminhada de um servidor DNS local.

• Sincronização de Arquivos do Azure e camada de nuvem (componente 9) – A Sincronização de Arquivos do Azure permite centralizar os compartilhamentos de arquivos da organização em arquivos do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. A camada de nuvem é um recurso opcional da Sincronização de Arquivos do Azure em que arquivos acessados frequentemente são armazenados em cache localmente no servidor, enquanto todos os outros arquivos são organizados em camadas para Arquivos do Azure com base nas configurações de política.

• Arquivos do Azure (componente 10) - Um serviço totalmente gerenciado que oferece compartilhamentos de arquivos na nuvem que são acessíveis por meio do protocolo SMB padrão do setor. Os Arquivos do Azure implementam o protocolo SMB v3 e dão suporte à autenticação por meio do Active Directory Domain Services (AD DS) e do Microsoft Entra Domain Services. Os compartilhamentos de arquivos do Arquivos do Azure podem ser montados de maneira simultânea por implantações locais ou na nuvem do Windows, do Linux e do macOS. Além disso, os compartilhamentos de Arquivos do Azure do protocolo SMB podem ser armazenados em cache para acesso rápido perto de onde os dados estão sendo usados nos Windows Servers com a Sincronização de Arquivos do Azure.

• DNS Privado do Azure (componentes 11 e 12) - Um serviço DNS oferecido pelo Azure, o DNS Privado gerencia e resolve nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada.

• Backup do Azure (componente 13) - Backup do Azure é um serviço de backup de compartilhamento de arquivos do Azure que usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup baseada em nuvem. Para ver as considerações, consulte Perda de dados e backup.

Detalhes do cenário

Essa solução permite que você acesse os compartilhamentos de arquivos do Azure em um ambiente de trabalho híbrido em uma rede virtual privada entre redes locais e virtuais do Azure sem atravessar a Internet. Ele também permite controlar e limitar o acesso a arquivos por meio de autenticação baseada em identidade.

Possíveis casos de uso

A solução de compartilhamento de arquivos na nuvem oferece suporte aos seguintes casos de uso potenciais:

• Servidor de arquivos ou compartilhamento de arquivos lift-and-shift. Ao fazer o lift-and-shift, você elimina a necessidade de reestruturar ou reformatar dados. Você também mantém aplicativos legados no local enquanto se beneficia do armazenamento em nuvem.
• Acelere a inovação na nuvem com maior eficiência operacional. Reduz o custo de manutenção de hardware e espaço físico, protege contra corrupção e perda de dados.
• Acesso privado ao compartilhamentos de arquivos do Azure. Protege contra exfiltração dos dados.

Fluxos de tráfego

Depois de habilitar a Sincronização de Arquivos do Azure e os Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser acessados em dois modos, modo de cache local ou modo remoto. Em ambos os modos, o cliente usa as credenciais existentes do AD DS para se autenticar.

• Modo de cache local - O cliente acessa arquivos e compartilhamentos de arquivos por meio de um servidor de arquivos local com a camada de nuvem habilitada. Quando um usuário abre um arquivo do servidor de arquivos local, os dados do arquivo são veiculados do cache local do servidor de arquivos ou o agente da Sincronização de Arquivos do Azure recupera perfeitamente os dados de arquivo dos Arquivos do Azure. No diagrama de arquitetura dessa solução, isso acontece entre os componentes 1 e 4.

• Modo remoto - O cliente acessa arquivos e compartilhamentos de arquivos diretamente de um compartilhamento de arquivos remoto do Azure. No diagrama de arquitetura da solução, o fluxo de tráfego percorre os componentes 2, 5, 6, 7 e 10.

O tráfego de Sincronização de Arquivos do Azure percorre os componentes 4, 5, 6, e 7, usando um circuito ExpressRoute para uma conexão confiável.

As consultas de resolução de nome de domínio privado passam pelos componentes 3, 5, 6, 8, 11 e 12 usando a seguinte sequência:

1. O cliente envia uma consulta a um servidor DNS local para resolver um nome DNS dos Arquivos do Azure ou da Sincronização de Arquivos do Azure.
2. O servidor DNS local tem um encaminhador condicional que aponta a resolução de nomes DNS do Arquivos do Azure e da Sincronização de Arquivos do Azure para um servidor DNS na rede virtual do Azure.
3. A consulta é redirecionada para um servidor DNS ou resolvedor de DNS privado do Azure na rede virtual do Azure.
4. Dependendo da configuração de DNS da rede virtual:
   • Se um servidor DNS personalizado estiver configurado, o servidor DNS na rede virtual do Azure enviará uma consulta de nome para o resolvedor recursivo de DNS fornecido pelo Azure (168.63.129.16).
   • Se o resolvedor de DNS privado do Azure estiver configurado e a consulta corresponder às zonas DNS privadas vinculadas à rede virtual, essas zonas serão consultadas.
5. O resolvedor do servidor DNS/DNS privado do Azure retorna um IP privado depois de resolver o nome de domínio privado para a respectiva zona DNS privada. Ele usa os links da rede virtual do Azure para a zona DNS de Arquivos do Azure e a zona DNS privada da Sincronização de Arquivos do Azure.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Considere os pontos a seguir ao implementar essa solução.

Planejamento

• Para o planejamento da Sincronização de Arquivos do Azure, consulte Planejando uma implantação da Sincronização de Arquivos do Azure.
• Para o planejamento de Arquivos do Azure, consulte Planejando uma implantação de Arquivos do Azure.

Rede

• Para considerações de rede da Sincronização de Arquivos do Azure, consulte Considerações de rede da Sincronização de Arquivos do Azure.
• Para considerações de rede do Arquivos do Azure, consulte Considerações de rede do Arquivos do Azure.

DNS

Ao gerenciar a resolução de nomes para pontos de extremidade privados, os nomes de domínio privados dos Arquivos do Azure e da Sincronização de Arquivos do Azure são resolvidos da seguinte maneira:

Do lado do Azure:

• Se a resolução de nomes fornecida pelo Azure for usada, a rede virtual do Azure deverá se vincular a zonas DNS privadas provisionadas.
• Se você trouxer seu próprio servidor DNS, a rede virtual em que esse servidor DNS está implantado deverá se vincular a zonas DNS privadas provisionadas.

Do lado local, o nome de domínio privado é mapeado para um endereço IP privado de uma das seguintes maneiras:

• Por meio do encaminhamento de DNS para um servidor DNS implantado na rede virtual do Azure ou no resolvedor de DNS privado do Azure, como mostra o diagrama.
• Por meio do servidor DNS local que configura zonas para o domínio privado <region>.privatelink.afs.azure.net e privatelink.file.core.windows.net. O servidor registra os endereços IP dos Arquivos do Azure e dos pontos de extremidade privados da Sincronização de Arquivos do Azure como registros DNS A em suas respectivas zonas DNS. O cliente local resolve o nome de domínio privado diretamente do servidor DNS local.

DFS (Sistema de Arquivos Distribuído)

Quando se trata de uma solução de compartilhamento de arquivos local, muitos administradores optam por usar um DFS em vez de um servidor de arquivos autônomo tradicional. O DFS permite que os administradores consolidem compartilhamentos de arquivos que possam existir em vários servidores para que eles pareçam estar todos no mesmo local, permitindo que os usuários os acessem de um único ponto na rede. Ao migrar para uma solução de compartilhamento de arquivos na nuvem, a implantação tradicional do DFS-R pode ser substituída pela implantação da Sincronização de Arquivos do Azure. Para obter mais informações, consulte Migrar uma implantação de DFS-R (Replicação do DFS) para Sincronização de arquivos do Azure.

Perda de dados e backup

A perda de dados é um problema sério para empresas de todos os tamanhos. O backup de compartilhamento de arquivos do Azure usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup nativa baseada em nuvem que protege seus dados na nuvem e elimina a sobrecarga de manutenção adicional envolvida em soluções de backup locais. Os principais benefícios do backup de compartilhamento de arquivos do Azure incluem:

• Nenhuma infraestrutura
• Retenção personalizada
• Recursos de gerenciamento integrados
• Restaurações instantâneas
• Alertas e relatórios
• Proteção contra exclusão acidental de compartilhamentos de arquivos

Para obter mais informações, consulte Sobre o backup de compartilhamento de arquivos do Azure

Suporte para identidades híbridas nos Arquivos do Azure

Embora este artigo descreva o Active Directory para autenticação nos Arquivos do Azure, é possível usar o Microsoft Entra ID para autenticar identidades de usuário híbridas. Os Arquivos do Azure funcionam com autenticação baseada em identidade no protocolo SMB usando o protocolo de autenticação Kerberos pelos três métodos abaixo:

• AD DS (Active Directory Domain Services) local
• Serviços de Domínio do Microsoft Entra
• Microsoft Entra Kerberos (somente para identidades de usuário híbridas)
• Autenticação do AD para clientes Linux

Para obter mais informações, consulte Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas em Arquivos do Azure.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques de DDoS. Você deve habilitar a Proteção contra DDOS do Azure em qualquer rede virtual do perímetro.

A auditoria de segurança é um requisito necessário para ajudar a manter a segurança de uma empresa. Os padrões do setor exigem que as empresas sigam um conjunto rigoroso de regras relacionadas à segurança e privacidade de dados.

Auditoria de acesso a arquivos

A auditoria de acesso a arquivos pode ser habilitada local e remotamente:

• Localmente, usando o Controle de Acesso Dinâmico. Para obter mais informações, consulte Planejar a auditoria de acesso a arquivos.
• Remotamente, usando logs de Armazenamento do Azure no Azure Monitor em Arquivos do Azure. Os logs do Armazenamento do Azure contêm logs StorageRead, StorageWrite, StorageDelete e Transaction. O acesso a arquivos do Azure pode ser registrado em uma conta de armazenamento, espaço de trabalho de análise de logs ou transmitido para um hub de eventos separadamente. Para obter mais informações, consulte Monitorar os Arquivos do Azure.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Yingting Huang | Arquiteto Sênior de Soluções de Nuvem

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Planejando uma implantação de Arquivos do Azure
• Como implantar Arquivos do Azure
• Considerações de rede dos Arquivos do Azure
• Configurar pontos de extremidade de rede dos Arquivos do Azure
• Monitorar Arquivos do Azure
• Planejar a auditoria de acesso a arquivos
• Backup de compartilhamentos de arquivos do Azure
• Visão geral – autenticação do AD DS local com o SMB para o compartilhamentos de arquivos do Azure
• Implantar a Sincronização de Arquivos do Azure
• Configurar pontos de extremidade de rede da Sincronização de Arquivos do Azure
• Visão geral da Camada de Nuvem
• Criar uma conexão site a site no Portal do Azure
• Circuitos e emparelhamento do ExpressRoute
• Criar e modificar o emparelhamento de um circuito do ExpressRoute
• Sobre o backup do compartilhamento de arquivos do Azure
• O que é o Resolvedor Privado de DNS do Azure
• Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Arquivos do Azure

Recursos relacionados

• Compartilhamento de arquivo em nuvem do Azure Enterprise
• Arquivos do Azure acessados localmente e protegidos pelo AD DS
• Serviços de arquivo híbrido
• Usar compartilhamentos de arquivos do Azure em um ambiente híbrido
• Compartilhamento de arquivo híbrido com recuperação de desastre para funcionários de filiais locais e remotas