Serviços de arquivo híbrido

Microsoft Entra ID
Azure ExpressRoute
Arquivos do Azure
Contas de Armazenamento do Azure

Esta arquitetura de referência ilustra como usar a Sincronização de Arquivos do Azure e os Arquivos do Azure para estender as funcionalidades de hospedagem dos serviços de arquivo entre recursos de compartilhamento de arquivos locais e na nuvem.

Arquitetura

Um diagrama de topologia de serviços de arquivo híbridos do Azure.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Essa arquitetura consiste nos seguintes componentes:

  • Conta de Armazenamento do Azure. Uma conta de armazenamento usada para hospedar compartilhamentos de arquivos.
  • Arquivos do Azure. Um compartilhamento de arquivos de nuvem sem servidor que fornece o ponto de extremidade na nuvem de uma relação de sincronização usando a Sincronização de Arquivos do Azure. Os arquivos em um compartilhamento de arquivos do Azure podem ser acessados diretamente com o protocolo SMB (Server Message Block) ou FileREST.
  • Grupos de sincronização. Agrupamentos lógicos de compartilhamentos de arquivos do Azure e servidores que executam o Windows Server. Os grupos de sincronização são implantados no Serviço de Sincronização de Armazenamento, que registra servidores para uso com a Sincronização de Arquivos do Azure e contém as relações de grupo de sincronização.
  • Agente da Sincronização de Arquivos do Azure. Isso é instalado em computadores Windows Server para habilitar e configurar a sincronização com pontos de extremidade na nuvem.
  • Servidores Windows. Computadores Windows Server locais ou baseados em nuvem que hospedam um compartilhamento de arquivos sincronizado com um compartilhamento de arquivos do Azure.
  • Microsoft Entra ID. O locatário do Microsoft Entra usado para sincronização de identidade entre ambientes locais e do Azure.

Componentes

Detalhes do cenário

Alguns usos típicos dessa arquitetura:

  • Hospedagem de compartilhamentos de arquivos que precisam ser acessíveis a partir de ambientes locais e na nuvem.
  • Sincronização de dados entre vários armazenamentos de dados locais com uma única fonte baseada em nuvem.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito que as substitua.

Uso e implantação de Arquivos do Azure

Você armazena seus arquivos na nuvem em compartilhamentos de arquivos do Azure sem servidor. Você pode usá-los de duas formas: montando-os diretamente (SMB) ou armazenando-os em cache no local usando a Sincronização de Arquivos do Azure. O que você precisa considerar ao planejar sua implantação depende de qual das duas maneiras escolher.

  • Montagem direta de um compartilhamento de arquivo do Azure. Como os Arquivos do Azure fornecem acesso SMB, você pode montar compartilhamentos de arquivos do Azure localmente ou na nuvem usando o cliente SMB padrão disponível nos sistemas operacionais Windows, macOS e Linux. Os compartilhamentos de arquivos do Azure não têm servidor, portanto, implantá-los para cenários de produção não requer o gerenciamento de um servidor de arquivos ou dispositivo de armazenamento conectado à rede (NAS). Isso significa que você não precisa aplicar patches de software nem trocar discos físicos.
  • Cache de compartilhamento de arquivos do Azure no local com a Sincronização de Arquivos do Azure. A Sincronização de Arquivos do Azure permite centralizar os compartilhamentos de arquivos da sua organização nos Arquivos do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. A Sincronização de Arquivos do Azure transforma um Windows Server local (ou em nuvem) em um cache rápido do compartilhamento de arquivo do Azure.

Implantar o Serviço de Sincronização de Armazenamento

Comece a implantação da Sincronização de Arquivos do Azure implantando um recurso do Serviço de Sincronização de Armazenamento em um grupo de recursos da assinatura selecionada. Recomendamos provisionar o menor número possível de objetos do Serviço de Sincronização de Armazenamento. Você criará uma relação de confiança entre os servidores e esse recurso. Um servidor só pode ser registrado em um único Serviço de Sincronização de Armazenamento. Como resultado, recomendamos que você implante quantos Serviços de Sincronização de Armazenamento forem necessários para separar grupos de servidores. Lembre-se de que servidores de diferentes Serviços de Sincronização de Armazenamento não podem sincronizar entre si.

Registrando computadores do Windows Server com o agente de Sincronização de Arquivos do Azure

Para habilitar a funcionalidade de sincronização no Windows Server, você deve instalar o agente Sincronização de Arquivos do Azure para baixar. O agente de Sincronização de Arquivos do Azure fornece dois componentes principais:

  • FileSyncSvc.exe. O serviço Windows em segundo plano responsável por monitorar alterações nos pontos de extremidade de servidor e iniciar as sessões de sincronização.
  • StorageSync.sys. Um filtro de sistema de arquivos que permite camada de nuvem e uma recuperação de desastres mais rápida.

Você pode baixar o agente na página Download do agente de Sincronização de Arquivos do Azure no Centro de Download da Microsoft.

Requisitos do sistema operacional

A Sincronização de Arquivos do Azure tem suporte nas versões do Windows Server listadas na tabela a seguir.

Versão SKUs com suporte Opções de implantação com suporte
Windows Server 2022 Azure, Datacenter, Essentials, Standard e IoT Completo e Core
Windows Server 2019 Datacenter, Standard e IoT Completo e Core
Windows Server 2016 Datacenter, Standard e Storage Server Completo e Core
Windows Server 2012 R2 Datacenter, Standard e Storage Server Completo e Core

Para obter mais informações, consulte Considerações sobre servidor de arquivos do Windows.

Configurando grupos de sincronização e pontos de extremidade na nuvem

Um grupo de sincronização define a topologia de sincronização para um conjunto de arquivos. Os pontos de extremidade em um grupo de sincronização são mantidos em sincronização entre si. Um grupo de sincronização precisa conter um ponto de extremidade na nuvem que represente um compartilhamento de arquivos do Azure e um ou mais pontos de extremidade do servidor. Um ponto de extremidade do servidor representa um caminho em um servidor registrado. Um servidor pode ter pontos de extremidade do servidor em vários grupos de sincronização. É necessário criar tantos grupos de sincronização quantos você precisar para descrever adequadamente sua topologia de sincronização desejada.

Um ponto de extremidade na nuvem é um ponteiro para um compartilhamento de arquivos do Azure. Todos os pontos de extremidade do servidor serão sincronizados com um ponto de extremidade de nuvem, tornando o ponto de extremidade de nuvem o hub. A conta de armazenamento do compartilhamento de arquivos do Azure deve estar localizada na mesma região que o Serviço de Sincronização de Armazenamento. Todo o compartilhamento de arquivos do Azure é sincronizado, com uma exceção: uma pasta especial, comparável à pasta oculta Informações de Volume do Sistema em um volume do sistema de arquivos NT (NTFS), é provisionada. Esse diretório é chamado SystemShareInformation e contém metadados de sincronização importantes que não são sincronizados com outros pontos de extremidade.

Configurando pontos de extremidade do servidor

Um ponto de extremidade do servidor representa um local específico em um servidor registrado, como uma pasta em um volume do servidor. Um ponto de extremidade de servidor deve ser um caminho em um servidor registrado (e não compartilhamento montado) e deve usar a camada de nuvem. O caminho do ponto de extremidade do servidor deve estar em um volume que não seja do sistema. Não há suporte para NAS.

Relações de compartilhamento de arquivos do Azure com o Windows

Você deve implantar compartilhamentos de arquivos do Azure individualmente com compartilhamentos de arquivos do Windows sempre que possível. O objeto de ponto de extremidade do servidor oferece um excelente grau de flexibilidade na forma como você configura a topologia de sincronização no lado do servidor da relação de sincronização. Para simplificar o gerenciamento, faça com que o caminho do ponto de extremidade do servidor corresponda ao caminho do compartilhamento de arquivo do Windows.

Use o mínimo possível de Serviços de Sincronização de Armazenamento. Isso simplifica o gerenciamento quando você tiver grupos de sincronização que contenham vários pontos de extremidade de servidor, pois um Windows Server só pode ser registrado em um Serviço de Sincronização de Armazenamento por vez.

Preste atenção às limitações de IOPS (operações de E/S por segundo) em uma conta de armazenamento ao implantar compartilhamentos de arquivos do Azure. O ideal é mapear compartilhamentos de arquivos um a um com contas de armazenamento. Nem sempre é possível fazer isso devido a vários limites e restrições da sua organização e do Azure. Quando não for possível ter apenas um compartilhamento de arquivos implantado em uma conta de armazenamento, verifique se os compartilhamentos de arquivos mais ativos não estão na mesma conta de armazenamento.

Recomendações de topologia: firewalls, redes de borda e conectividade de proxy

Considere as recomendações a seguir para a topologia da solução.

Firewall e filtragem de tráfego

Com base nas políticas da sua organização ou em requisitos normativos exclusivos, talvez seja necessário restringir a comunicação com o Azure. Portanto, a Sincronização de Arquivos do Azure fornece vários mecanismos para configurar o sistema de rede. Com base em seus requisitos, você pode:

  • Encapsular a sincronização e o tráfego de carregamento e download de arquivos em seu Azure ExpressRoute ou na VPN (rede virtual privada) do Azure.
  • Fazer uso de Arquivos do Azure e recursos do sistema de rede do Azure, como pontos de extremidade de serviço e pontos de extremidade privados.
  • Configurar a Sincronização de Arquivos do Azure para compatibilidade com o proxy em seu ambiente.
  • Restringir a atividade de rede da Sincronização de Arquivos do Azure.

Para saber mais sobre a Sincronização de Arquivos do Azure e rede, confira Considerações de rede da Sincronização de Arquivos do Azure.

Configurar servidores proxy

Muitas organizações usam um servidor proxy como um intermediário entre recursos dentro da rede local e recursos fora da rede, como no Azure. Os servidores proxy são úteis para muitos aplicativos, como segurança e isolamento de rede, além de monitoramento e registro em log. A Sincronização de Arquivos do Azure pode interoperar totalmente com um servidor proxy, porém, você deve configurar manualmente as configurações do ponto de extremidade do proxy para o seu ambiente com a Sincronização de Arquivos do Azure. Para fazer isso, use os cmdlets do servidor da Sincronização de Arquivos no Azure PowerShell.

Para obter mais informações sobre como configurar Sincronização de Arquivos do Azure com um servidor proxy, consulte Configurações de proxy e firewall da Sincronização de Arquivos do Azure.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você deve assumir com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

  • Você deve considerar o tipo e o desempenho da conta de armazenamento que usa para hospedar compartilhamentos de arquivos do Azure. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites aplicáveis a essa conta de armazenamento. Para saber mais sobre como determinar os limites atuais de uma conta de armazenamento, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
  • Há dois tipos principais de contas de armazenamento para implantações de Arquivos do Azure:
    • Contas de armazenamento de uso geral versão 2 (GPv2). As contas de armazenamento GPv2 permitem implantar compartilhamentos de arquivos do Azure em hardware padrão baseado em HDD (unidade de disco rígido). Além de armazenar compartilhamentos de arquivo do Azure, as contas de armazenamento GPv2 podem armazenar outros recursos de armazenamento, como contêineres de blob, filas e tabelas.
    • Contas de armazenamento FileStorage: as contas de armazenamento FileStorage permitem que você implante compartilhamentos de arquivos do Azure em hardware premium baseado em SSD (disco de estado sólido). As contas FileStorage só podem ser usadas para armazenar compartilhamentos de arquivos do Azure. Não é possível implantar outros recursos de armazenamento, como contêineres de blob, filas e tabelas em uma conta FileStorage.
  • Você deve garantir que a Sincronização de Arquivos do Azure tenha suporte nas regiões onde você implanta sua solução. Para saber mais, consulte Disponibilidade da região de Sincronização de Arquivos do Azure.
  • Você deve garantir que os serviços referenciados na seção Arquitetura tenham suporte na região onde você implanta a arquitetura de serviços de arquivo híbridos.
  • Para proteger os dados em seus compartilhamentos de arquivo do Azure contra perda ou corrupção de dados, todos os compartilhamentos de arquivos do Azure armazenam várias cópias de cada arquivo conforme são gravados. Será possível selecionar mais graus de redundância dependendo dos requisitos de sua carga de trabalho.
  • Versões anteriores é um recurso do Windows que permite usar instantâneos VSS (Serviço de Cópias de Sombra de Volume) do lado do servidor de um volume para apresentar versões restauráveis de um arquivo a um cliente SMB. Os instantâneos do VSS e as versões anteriores funcionam independentemente da Sincronização de Arquivos do Azure. No entanto, a camada de nuvem precisa ser definida como um modo compatível. Muitos pontos de extremidade de servidor da Sincronização de Arquivos do Azure podem existir no mesmo volume. Você precisa fazer a chamada do PowerShell a seguir por volume que tenha pelo menos um ponto de extremidade de servidor no qual você planeja usar ou está usando a camada de nuvem. Para obter mais informações sobre versões anteriores e VSS, consulte Restauração de autoatendimento através de versões anteriores e VSS (Serviço de Cópias de Sombra de Volume).

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

  • A Sincronização de Arquivos do Azure funciona com sua identidade padrão de AD DS (Active Directory Domain Services) sem nenhuma configuração especial além da configuração da Sincronização de Arquivos do Azure. Quando você usa a Sincronização de Arquivos do Azure, o acesso a arquivos normalmente passa pelos servidores de cache da Sincronização de Arquivos do Azure e não pelo compartilhamento de arquivos do Azure. Como os pontos de extremidade do servidor estão localizados em computadores com Windows Server, o único requisito para a integração de identidade é usar servidores de arquivos do Windows ingressados no domínio para se registrar no Serviço de Sincronização de Armazenamento. A Sincronização de Arquivos do Azure armazena ACLs (listas de controle de acesso) para os arquivos no compartilhamento de arquivos do Azure e os replica para todos os pontos de extremidade do servidor.
  • Embora as alterações feitas diretamente no compartilhamento de arquivos do Azure demorem mais para sincronizar com os pontos de extremidade do servidor no grupo de sincronização, também é interessante garantir a imposição das suas permissões do AD DS no compartilhamento de arquivo diretamente na nuvem. Para fazer isso, você deve ingressar no domínio da sua conta de armazenamento no domínio do AD DS local, assim como os servidores de arquivos do Windows são ingressados no domínio. Para saber mais sobre como ingressar sua conta de armazenamento de domínio em uma instância do AD DS de propriedade do cliente, consulte Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso SMB.
  • Quando você usa a Sincronização de Arquivos do Azure, há três camadas diferentes de criptografia a serem consideradas:
    • Criptografia em repouso para dados armazenados no Windows Server. Há duas estratégias para criptografar dados no Windows Server que funcionam geralmente com a Sincronização de Arquivos do Azure: criptografia subjacente do sistema de arquivos de modo que o sistema de arquivos e todos os dados gravados nele sejam criptografados e criptografia no próprio formato de arquivo. Esses métodos podem ser usados em conjunto, se desejado, porque suas finalidades são diferentes.
    • Criptografia em trânsito entre o agente de Sincronização de Arquivos do Azure e o Azure. O agente de Sincronização de Arquivos do Azure se comunica com o Serviço de Sincronização de Armazenamento e o compartilhamento de arquivo do Azure ao usar o protocolo REST e o protocolo FileREST da Sincronização de Arquivos do Azure e ambos sempre usam HTTPS pela porta 443. A Sincronização de Arquivos do Azure não envia solicitações não criptografadas por HTTP.
    • Criptografia em repouso para dados armazenados no compartilhamento de arquivos do Azure. Todos os dados que são armazenados nos Arquivos do Azure são criptografados em repouso usando a SSE (Criptografia do Serviço de Armazenamento) do Azure. A criptografia do serviço de armazenamento funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados sob o sistema de arquivos do compartilhamento de arquivos do Azure à medida que são codificados no disco, você não precisa acessar a chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

  • O agente de Sincronização de arquivos do Azure é atualizado regularmente para adicionar novos recursos e resolver problemas. A Microsoft recomenda que você configure o Microsoft Update para fornecer atualizações para o agente de Sincronização de arquivos do Azure assim que estiverem disponíveis. Para saber mais, confira Política de atualização do agente da Sincronização de Arquivos do Azure.
  • O Armazenamento do Azure oferece exclusão reversível para compartilhamentos de arquivos para que você possa recuperar seus dados quando forem excluídos por engano por um aplicativo ou por outro usuário da conta de armazenamento. Para saber mais sobre a exclusão flexível, consulte Habilitar exclusão flexível em compartilhamentos de arquivos do Azure.
  • A camada de nuvem é um recurso opcional da Sincronização de Arquivos do Azure que armazena em cache arquivos acessados com frequência localmente no servidor e classifica os outros para Arquivos do Azure com base nas configurações de política. Quando um arquivo está disposto em camadas, o filtro do sistema de arquivos da Sincronização de Arquivos do Azure (StorageSync.sys) substitui o arquivo localmente por um ponteiro para o arquivo nos Arquivos do Azure. Um arquivo em camadas tem o atributo offline e o atributo FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS definidos em NTFS, de modo que aplicativos de terceiros podem identificar com segurança os arquivos dispostos em camadas. Para obter mais informações, consulte Visão geral de camada de nuvem.

Próximas etapas

Orientações híbridas relacionadas:

Arquiteturas relacionadas