Arquivos do Azure acessados localmente e protegidos pelo AD DS em uma rede privada

Azure Virtual Network
Azure ExpressRoute
Azure Storage Accounts
Azure Files
Azure DNS

Essa arquitetura demonstra uma maneira de fornecer compartilhamentos de arquivos na nuvem para usuários locais e aplicativos que também acessam arquivos no Windows Server por meio de um ponto de extremidade privado.

Arquitetura

Arquitetura do Azure para fornecer desktops, tanto locais quanto baseados em nuvem, para uma empresa com muitas filiais.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

  1. Esta solução sincroniza o AD DS local e o Microsoft Entra ID baseado na nuvem. A sincronização torna os usuários mais produtivos, fornecendo uma identidade comum para acessar recursos locais e na nuvem.

    O Microsoft Entra Connect é o aplicativo local da Microsoft que faz a sincronização. Para obter mais informações sobre o Microsoft Entra Connect, consulte O que é o Microsoft Entra Connect? e Microsoft Entra Connect Sync: entender e personalizar a sincronização.

  2. A Rede Virtual do Azure fornece uma rede virtual na nuvem. Para essa solução, ele tem pelo menos duas sub-redes, uma para o DNS do Azure e outra para um ponto de extremidade privado para acessar o compartilhamento de arquivos.

  3. A VPN ou o Azure ExpressRoute fornecem conexões seguras entre a rede local e a rede virtual na nuvem. Se você usa VPN, crie um gateway usando o Gateway de VPN do Azure. Se você usar a Rota Expressa, crie um gateway de rede virtual da Rota Expressa. Para obter mais informações, consulte O que é VPN Gateway? e Sobre gateways de rede virtual ExpressRoute.

  4. Os Arquivos do Azure fornecem um compartilhamento de arquivos na nuvem. Isso requer uma conta de Armazenamento do Azure. Para obter mais informações sobre compartilhamentos de arquivos, consulte O que são arquivos do Azure?.

  5. Um ponto de extremidade privado fornece acesso ao compartilhamento de arquivos. Um ponto de extremidade privado é como uma placa de interface de rede (NIC) dentro de uma sub-rede que se anexa a um serviço do Azure. Nesse caso, o serviço é o compartilhamento de arquivos. Para obter mais informações sobre pontos de extremidade privados, consulte Usar pontos de extremidade privados para o Armazenamento do Azure.

  6. O servidor DNS local resolve endereços IP. No entanto, o DNS do Azure resolve o FQDN (Nome de Domínio Totalmente Qualificado) de compartilhamento de arquivos do Azure. Todas as consultas DNS ao DNS do Azure são originadas da rede virtual. Há um proxy DNS dentro da rede virtual para rotear essas consultas para o DNS do Azure. Para obter mais informações, consulte Cargas de trabalho locais usando um encaminhador DNS.

    Você pode fornecer o proxy DNS em um servidor Windows ou Linux ou pode usar o Firewall do Azure. Para obter informações sobre a opção Firewall do Azure, que tem a vantagem de não precisar gerenciar uma máquina virtual, consulte Configurações de DNS do Firewall do Azure.

  7. O DNS personalizado local é configurado para encaminhar o tráfego DNS para o DNS do Azure por meio de um encaminhador condicional. Informações sobre encaminhamento condicional também são encontradas em cargas de trabalho locais usando um encaminhador DNS.

  8. O AD DS local autentica o acesso ao compartilhamento de arquivos. Este é um processo de quatro etapas, conforme descrito na Parte um: habilitar a autenticação do AD DS para seus compartilhamentos de arquivos do Azure

Componentes

  • O Armazenamento do Azure é um conjunto de serviços de nuvem massivamente escaláveis e seguros para dados, aplicativos e cargas de trabalho. Inclui os Arquivos do Azure, o Armazenamento de Tabela do Azure e o Armazenamento de Filas do Azure.
  • O Azure Files oferece compartilhamentos de arquivos totalmente gerenciados em uma conta de Armazenamento do Azure. Os ficheiros podem ser acedidos a partir da nuvem ou no local. As implantações do Windows, Linux e macOS podem montar compartilhamentos de arquivos do Azure simultaneamente. O acesso a arquivos usa o protocolo SMB (Server Message Block) padrão do setor.
  • A Rede Virtual do Azure é o bloco de construção fundamental para redes privadas no Azure. Ele fornece o ambiente para que os recursos do Azure, como máquinas virtuais, se comuniquem com segurança entre si, com a Internet e com redes locais.
  • O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft através de uma ligação privada.
  • O Gateway de VPN do Azure conecta redes locais ao Azure por meio de VPNs site a site, da mesma forma que você se conecta a uma filial remota. A conectividade é protegida e utiliza os protocolos padrão da indústria: segurança IPsec e IKE (Internet Key Exchange).
  • O Azure Private Link fornece conectividade privada de uma rede virtual para a plataforma Azure como serviço (PaaS), de propriedade do cliente ou serviços de parceiros da Microsoft. Simplifica a arquitetura da rede e protege a ligação entre os pontos finais no Azure ao eliminar a exposição dos dados à Internet pública.
  • Um ponto final privado é uma interface de rede que utiliza um endereço IP privado a partir da rede virtual. Você pode usar pontos de extremidade privados para suas contas de Armazenamento do Azure para permitir que clientes em uma rede virtual acessem dados por meio de um link privado.
  • O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Você pode configurar o Firewall do Azure para atuar como um proxy DNS. Um proxy DNS é um intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS.

Detalhes do cenário

Considere o seguinte cenário comum: um Windows Server local é usado para fornecer compartilhamentos de arquivos para usuários e aplicativos. Os Serviços de Domínio Ative Directory (AD DS) são usados para proteger os arquivos e um servidor DNS local gerencia os recursos da rede. Tudo opera dentro da mesma rede privada.

Agora, imagine a necessidade de estender os compartilhamentos de arquivos para a nuvem.

A arquitetura descrita aqui demonstra como o Azure pode atender a essa necessidade de forma econômica, mantendo o uso de sua rede local, AD DS e DNS.

Nesta configuração, os Arquivos do Azure são usados para hospedar os compartilhamentos de arquivos, enquanto uma VPN site a site ou a Rota Expressa do Azure fornece conexões seguras entre a rede local e a rede virtual do Azure. Os utilizadores e aplicações acedem aos ficheiros através destas ligações seguras. O Microsoft Entra ID e o DNS do Azure trabalham em conjunto com o AD DS e o DNS locais para garantir o acesso seguro.

Em resumo, se você estiver enfrentando esse cenário, poderá oferecer compartilhamentos de arquivos baseados em nuvem para seus usuários locais a um baixo custo, mantendo o acesso seguro usando sua infraestrutura AD DS e DNS existente.

Potenciais casos de utilização

  • O servidor de arquivos é movido para a nuvem, mas os usuários devem permanecer no local.
  • Os aplicativos que são migrados para a nuvem precisam acessar arquivos locais e também arquivos que são migrados para a nuvem.
  • Você precisa reduzir custos movendo o armazenamento de arquivos para a nuvem.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

  • O Armazenamento do Azure armazena sempre várias cópias dos seus dados na mesma zona, para que estejam protegidos contra interrupções planeadas e não planeadas. Há opções para criar cópias adicionais em outras zonas ou regiões. Para obter mais informações, veja Redundância do Armazenamento do Microsoft Azure.
  • O Firewall do Azure tem alta disponibilidade interna. Para obter mais informações, consulte Recursos padrão do Firewall do Azure.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Estes artigos têm informações de segurança para componentes do Azure:

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Para estimar o custo dos produtos e configurações do Azure, use a calculadora de preços do Azure.

Estes artigos têm informações de preços para componentes do Azure:

Eficiência de desempenho

Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

  • Suas contas de Armazenamento do Azure contêm todos os seus objetos de dados do Armazenamento do Azure, incluindo compartilhamentos de arquivos. Uma conta de armazenamento fornece um namespace exclusivo para seus dados, um namespace que pode ser acessado de qualquer lugar do mundo por HTTP ou HTTPS. Para essa arquitetura, sua conta de armazenamento contém compartilhamentos de arquivos fornecidos pelos Arquivos do Azure. Para obter o melhor desempenho, recomendamos o seguinte:
    • Não coloque bancos de dados, blobs e assim por diante em contas de armazenamento que contenham compartilhamentos de arquivos.
    • Não tenha mais de um compartilhamento de arquivos altamente ativo por conta de armazenamento. Você pode agrupar compartilhamentos de arquivos menos ativos na mesma conta de armazenamento.
    • Se sua carga de trabalho exigir grandes quantidades de IOPS, velocidades de transferência de dados extremamente rápidas ou latência muito baixa, você deve escolher contas de armazenamento premium (FileStorage). Uma conta v2 padrão de uso geral é apropriada para a maioria das cargas de trabalho de compartilhamento de arquivos SMB. Para obter mais informações sobre a escalabilidade e o desempenho de compartilhamentos de arquivos, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
    • Não use uma conta de armazenamento v1 de uso geral, porque ela não possui recursos importantes. Em vez disso, atualize para uma conta de armazenamento v2 de uso geral. Os tipos de conta de armazenamento são descritos em Visão geral da conta de armazenamento.
    • Preste atenção ao tamanho, velocidade e outras limitações. Consulte Limites, cotas e restrições de assinatura e serviço do Azure.
  • Há pouco que você possa fazer para melhorar o desempenho de componentes que não sejam de armazenamento, exceto para garantir que sua implantação respeite os limites, cotas e restrições descritos em Assinatura, cotas e restrições de serviço e assinatura do Azure.
  • Para obter informações sobre escalabilidade para componentes do Azure, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Próximos passos