Essa arquitetura mostra como incluir compartilhamentos de arquivos do Azure em seu ambiente híbrido. Os compartilhamentos de arquivos do Azure são usados como compartilhamentos de arquivos sem servidor. Ao integrá-los aos Serviços de Diretório do Ative Directory (AD DS), você pode controlar e limitar o acesso aos usuários do AD DS. Em seguida, os compartilhamentos de arquivos do Azure podem substituir os servidores de arquivos tradicionais.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
A arquitetura é composta pelos seguintes componentes:
- Inquilino do Microsoft Entra. Este componente é uma instância do Microsoft Entra criada pela sua organização. Ele atua como um serviço de diretório para aplicativos em nuvem, armazenando objetos que são copiados do Ative Directory local. Ele também fornece serviços de identidade ao acessar compartilhamentos de arquivos do Azure.
- Servidor AD DS. Este componente é um serviço de diretório e identidade local. O diretório do AD DS é sincronizado com a ID do Microsoft Entra para permitir que ele autentique usuários locais.
- Servidor Microsoft Entra Connect Sync. Este componente é um servidor local que executa o serviço Microsoft Entra Connect Sync. Este serviço sincroniza as informações mantidas no Ative Directory local com o Microsoft Entra ID.
- Gateway de rede virtual. Este componente opcional é utilizado para enviar tráfego encriptado entre uma Rede Virtual do Azure e uma localização no local através da Internet.
- Compartilhamentos de arquivos do Azure. Os compartilhamentos de arquivos do Azure fornecem armazenamento para arquivos e pastas que você pode acessar por meio de protocolos SMB (Server Message Block), NFS (Network File System) e HTTP (Hypertext Transfer Protocol). Os compartilhamentos de arquivos são implantados em contas de armazenamento do Azure.
- Cofre dos Serviços de Recuperação. Este componente opcional fornece backup de compartilhamentos de arquivos do Azure.
- clientes. Esses componentes são computadores membros do AD DS, a partir dos quais os usuários podem acessar compartilhamentos de arquivos do Azure.
Componentes
Principais tecnologias utilizadas para implementar esta arquitetura:
- O Microsoft Entra ID é um serviço de identidade corporativa que fornece logon único, autenticação multifator e acesso condicional.
- O Azure Files oferece compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados usando os protocolos padrão do setor.
- O Gateway VPN envia tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública.
Detalhes do cenário
Potenciais casos de utilização
Utilizações típicas desta arquitetura:
- Substitua ou complemente servidores de arquivos locais. Os Arquivos do Azure podem substituir ou complementar completamente os servidores de arquivos locais tradicionais ou dispositivos de armazenamento conectados à rede. Com os compartilhamentos de arquivos do Azure e a autenticação do AD DS, você pode migrar dados para os Arquivos do Azure. Essa migração pode tirar vantagem da alta disponibilidade e escalabilidade, minimizando as alterações do cliente.
- Levante e mude. O Azure Files facilita a "elevação e deslocamento" de aplicativos que esperam que um compartilhamento de arquivos armazene dados de aplicativos ou usuários na nuvem.
- Backup e recuperação de desastres. Você pode usar os Arquivos do Azure como armazenamento para backups ou recuperação de desastres para melhorar a continuidade dos negócios. Você pode usar os Arquivos do Azure para fazer backup de seus dados de servidores de arquivos existentes, preservando as listas de controle de acesso discricionário do Windows configuradas. Os dados armazenados em compartilhamentos de arquivos do Azure não são afetados por desastres que possam afetar locais locais.
- Sincronização de Ficheiros do Azure. Com a Sincronização de Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser replicados para o Windows Server, no local ou na nuvem. Essa replicação melhora o desempenho e distribui o cache de dados para onde eles estão sendo usados.
Recomendações
As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.
Usar contas de armazenamento de uso geral v2 (GPv2) ou FileStorage para compartilhamentos de arquivos do Azure
Você pode criar um compartilhamento de arquivos do Azure em várias contas de armazenamento. Embora as contas de armazenamento clássico e v1 de uso geral (GPv1) possam conter compartilhamentos de arquivos do Azure, a maioria dos novos recursos dos Arquivos do Azure está disponível apenas em contas de armazenamento GPv2 e FileStorage. Enquanto um compartilhamento de arquivos do Azure armazena dados de contas de armazenamento GPv2 em hardware baseado em unidade de disco rígido (baseado em HDD), ele armazena dados de contas de armazenamento de armazenamento de armazenamento de arquivos em hardware baseado em unidade de estado sólido (baseado em SSD). Para obter mais informações, consulte Criar um compartilhamento de arquivos do Azure.
Criar compartilhamentos de arquivos do Azure em contas de armazenamento que contêm apenas compartilhamentos de arquivos do Azure
As contas de armazenamento permitem que você use diferentes serviços de armazenamento na mesma conta de armazenamento. Esses serviços de armazenamento incluem compartilhamentos de arquivos do Azure, contêineres de blob e tabelas. Todos os serviços de armazenamento em uma única conta de armazenamento compartilham os mesmos limites de conta de armazenamento. A combinação de serviços de armazenamento na mesma conta de armazenamento dificulta a solução de problemas de desempenho.
Nota
Implante cada compartilhamento de arquivos do Azure em sua própria conta de armazenamento separada, se possível. Se vários compartilhamentos de arquivos do Azure forem implantados na mesma conta de armazenamento, todos eles compartilharão os limites da conta de armazenamento.
Use compartilhamentos de arquivos premium para cargas de trabalho que exigem alta taxa de transferência
Os compartilhamentos de arquivos Premium são implantados em contas de armazenamento de armazenamento de arquivos e são armazenados em hardware baseado em unidade de estado sólido (baseado em SSD). Essa configuração os torna adequados para armazenar e acessar dados que exigem desempenho consistente, alta taxa de transferência e baixa latência. (Por exemplo, esses compartilhamentos de arquivos premium funcionam bem com bancos de dados.) Você pode armazenar outras cargas de trabalho que são menos sensíveis à variabilidade de desempenho em compartilhamentos de arquivos padrão. Esses tipos de carga de trabalho incluem compartilhamentos de arquivos de uso geral e ambientes de desenvolvimento/teste. Para obter mais informações, consulte Como criar um compartilhamento de arquivos do Azure.
Sempre exija criptografia ao acessar compartilhamentos de arquivos SMB Azure
Sempre use a criptografia em trânsito ao acessar dados em compartilhamentos de arquivos do Azure SMB. A criptografia em trânsito está habilitada por padrão. Os Arquivos do Azure só permitirão a conexão se ela for feita com um protocolo que usa criptografia, como o SMB 3.0. Os clientes que não oferecem suporte ao SMB 3.0 não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito for necessária.
Use VPN se a porta que o SMB usa (porta 445) estiver bloqueada
Muitos provedores de serviços de Internet bloqueiam a porta TCP (Transmission Control Protocol) 445, que é usada para acessar compartilhamentos de arquivos do Azure. Se desbloquear a porta TCP 445 não for uma opção, pode aceder a partilhas de ficheiros do Azure através de uma ligação ExpressRoute ou de rede privada virtual (VPN) (site a site ou ponto a site) para evitar o bloqueio de tráfego. Para obter mais informações, consulte Configurar uma VPN Ponto a Site (P2S) no Windows para uso com Arquivos do Azure e Configurar uma VPN Site a Site para uso com Arquivos do Azure.
Considere usar o Azure File Sync com compartilhamentos de arquivos do Azure
O serviço Azure File Sync permite armazenar em cache compartilhamentos de arquivos do Azure em um servidor de arquivos local do Windows Server. Quando você habilita a hierarquização na nuvem, o File Sync ajuda a garantir que um servidor de arquivos sempre tenha espaço disponível livre, mesmo que disponibilize mais arquivos do que um servidor de arquivos poderia armazenar localmente. Se você tiver servidores de arquivos locais do Windows Server, considere integrar servidores de arquivos com compartilhamentos de arquivos do Azure usando a Sincronização de Arquivos do Azure. Para obter mais informações, consulte Planejando uma implantação do Azure File Sync.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Escalabilidade
- O tamanho do compartilhamento de arquivos do Azure é limitado a 100 tebibytes (TiB). Não há tamanho mínimo de compartilhamento de arquivos nem limite no número de compartilhamentos de arquivos do Azure.
- O tamanho máximo de um arquivo em um compartilhamento de arquivos é de 1 TiB e não há limite para o número de arquivos em um compartilhamento de arquivos.
- IOPS e limites de taxa de transferência são por conta de armazenamento do Azure e são compartilhados entre compartilhamentos de arquivos do Azure na mesma conta de armazenamento.
Para obter mais informações, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
Disponibilidade
Nota
Uma conta de armazenamento do Azure é o recurso pai para compartilhamentos de arquivos do Azure. O compartilhamento de arquivos do Azure tem o nível de redundância fornecido pela conta de armazenamento que contém o compartilhamento.
- Atualmente, os compartilhamentos de arquivos do Azure oferecem suporte às seguintes opções de redundância de dados:
- Armazenamento localmente redundante (LRS). Os dados são copiados de forma síncrona três vezes em um único local físico na região primária. Essa prática protege contra a perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa.
- Armazenamento com redundância entre zonas (ZRS). Os dados são copiados de forma síncrona em três zonas de disponibilidade do Azure na região primária. As zonas de disponibilidade são locais físicos exclusivos dentro de uma região do Azure. Cada zona consiste em um ou mais datacenters equipados com energia, resfriamento e rede independentes.
- Armazenamento georredundante (GRS). Os dados são copiados de forma síncrona três vezes dentro de um único local físico na região primária usando o LRS. Em seguida, os dados são copiados de forma assíncrona para um único local físico na região secundária. O armazenamento com redundância geográfica fornece seis cópias dos seus dados distribuídos entre duas regiões do Azure.
- Armazenamento com redundância de zona geográfica (GZRS). Os dados são copiados de forma síncrona em três zonas de disponibilidade do Azure na região primária usando o ZRS. Em seguida, os dados são copiados de forma assíncrona para um único local físico na região secundária.
- Os compartilhamentos de arquivos premium podem ser armazenados somente em armazenamento com redundância local (LRS) e armazenamento com redundância de zona (ZRS). Os compartilhamentos de arquivos padrão podem ser armazenados em LRS, ZRS, armazenamento com redundância geográfica (GRS) e armazenamento com redundância de zona geográfica (GZRS). Para obter mais informações, consulte Planejando uma implantação do Azure Files e redundância do Armazenamento do Azure.
- O Azure Files é um serviço de nuvem e, como acontece com todos os serviços de nuvem, você deve ter conectividade com a Internet para acessar compartilhamentos de arquivos do Azure. Uma solução de conexão redundante com a Internet é altamente recomendada para evitar interrupções.
Capacidade de gestão
- Você pode gerenciar compartilhamentos de arquivos do Azure usando as mesmas ferramentas que qualquer outro serviço do Azure. Essas ferramentas incluem o portal do Azure, a Interface de Linha de Comando do Azure e o Azure PowerShell.
- Os compartilhamentos de arquivos do Azure impõem permissões de arquivo padrão do Windows. Você pode configurar permissões de diretório ou de nível de arquivo montando um compartilhamento de arquivos do Azure e configurando permissões usando o Explorador de Arquivos, o comando Windows icacls.exe ou o cmdlet Set-Acl do Windows PowerShell.
- Você pode usar o instantâneo de compartilhamento de arquivos do Azure para criar uma cópia point-in-time, somente leitura dos dados de compartilhamento de arquivos do Azure. Você cria um instantâneo de compartilhamento no nível de compartilhamento de arquivos. Em seguida, você pode restaurar arquivos individuais no portal do Azure ou no Explorador de Arquivos, onde também pode restaurar um compartilhamento inteiro. Você pode ter até 200 instantâneos por compartilhamento, o que permite restaurar arquivos para diferentes versões point-in-time. Se você excluir um compartilhamento, seus instantâneos também serão excluídos. Os instantâneos de compartilhamento são incrementais. Somente os dados que foram alterados após o instantâneo de compartilhamento mais recente serão salvos. Essa prática minimiza o tempo necessário para criar o snapshot de compartilhamento e economiza nos custos de armazenamento. Os instantâneos de compartilhamento de arquivos do Azure também são usados quando você protege os compartilhamentos de arquivos do Azure com o Backup do Azure. Para obter mais informações, consulte Visão geral de instantâneos de compartilhamento para arquivos do Azure.
- Você pode evitar a exclusão acidental de compartilhamentos de arquivos do Azure habilitando a exclusão suave para compartilhamentos de arquivos. Se você excluir um compartilhamento de arquivos quando uma exclusão suave estiver habilitada, o compartilhamento de arquivos fará a transição para um estado de exclusão suave em vez de ser permanentemente apagado. Você pode configurar a quantidade de tempo que os dados excluídos por soft são recuperáveis antes de serem excluídos permanentemente e restaurar o compartilhamento a qualquer momento durante esse período de retenção. Para obter mais informações, consulte Habilitar exclusão suave em compartilhamentos de arquivos do Azure.
Nota
O Backup do Azure habilita a exclusão suave para todos os compartilhamentos de arquivos na conta de armazenamento quando você configura o backup para o primeiro compartilhamento de arquivos do Azure na respetiva conta de armazenamento.
Nota
Os compartilhamentos de arquivos padrão e premium são cobrados pela capacidade usada quando excluídos suavemente, em vez da capacidade provisionada.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
Use a autenticação do AD DS no SMB para acessar compartilhamentos de arquivos do Azure. Essa configuração fornece a mesma experiência de logon único (SSO) contínua ao acessar compartilhamentos de arquivos do Azure como acessar compartilhamentos de arquivos locais. Para obter mais informações, consulte Como funciona e etapas de ativação de recursos. Seu cliente precisa ser associado ao domínio do AD DS, porque a autenticação ainda é feita pelo controlador de domínio do AD DS. Além disso, você precisa atribuir permissões de nível de compartilhamento e nível de arquivo/diretório para obter acesso aos dados. A atribuição de permissão de nível de compartilhamento passa pelo modelo RBAC do Azure. A permissão no nível de arquivo/diretório é gerenciada como ACLs do Windows.
Nota
O acesso aos compartilhamentos de arquivos do Azure é sempre autenticado. Os compartilhamentos de arquivos do Azure não oferecem suporte ao acesso anônimo. Além da autenticação baseada em identidade sobre SMB, os usuários também podem se autenticar no compartilhamento de arquivos do Azure usando a chave de acesso de armazenamento e a Assinatura de Acesso Compartilhado.
Todos os dados armazenados no compartilhamento de arquivos do Azure são criptografados em repouso usando a criptografia do serviço de armazenamento do Azure (SSE). O SSE funciona de forma semelhante à Criptografia de Unidade de Disco BitLocker no Windows, onde os dados são criptografados abaixo do nível do sistema de arquivos. Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com chaves gerenciadas pela Microsoft. Com chaves gerenciadas pela Microsoft, a Microsoft mantém as chaves para criptografar/descriptografar os dados e gerencia a rotação deles regularmente. Também pode optar por gerir as suas próprias chaves, o que lhe dá controlo sobre o processo de rotação.
Todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada por padrão. Essa configuração significa que toda a comunicação com compartilhamentos de arquivos do Azure é criptografada. Os clientes que não oferecem suporte à criptografia não podem se conectar aos compartilhamentos de arquivos do Azure. Se você desabilitar a criptografia em trânsito, os clientes que executam sistemas operacionais mais antigos, como o Windows Server 2008 R2 ou Linux mais antigo, também poderão se conectar. Nesses casos, os dados não são criptografados em trânsito dos compartilhamentos de arquivos do Azure.
Por padrão, os clientes podem se conectar ao compartilhamento de arquivos do Azure de qualquer lugar. Para limitar as redes a partir das quais os clientes podem se conectar a compartilhamentos de arquivos do Azure, configure o Firewall, as redes virtuais e as conexões de ponto de extremidade privado. Para obter mais informações, consulte Configurar firewalls de armazenamento do Azure e redes virtuais e Configurar pontos de extremidade de rede do Azure Files.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos e Compreender a cobrança dos Arquivos do Azure.
- O Azure Files tem duas camadas de armazenamento e dois modelos de preços:
- Armazenamento padrão: Utiliza armazenamento baseado em HDD. Não há um tamanho mínimo de compartilhamento de arquivos e você paga apenas pelo espaço de armazenamento usado. Além disso, você paga por operações de arquivo, como enumerar um diretório ou ler um arquivo.
- Armazenamento premium: Utiliza armazenamento baseado em SSD. O tamanho mínimo para um compartilhamento de arquivos premium é de 100 gibibytes, e você paga por espaço de armazenamento provisionado. Ao usar o armazenamento premium, todas as operações de arquivo são gratuitas.
- Custos adicionais estão associados a instantâneos de compartilhamento de arquivos e transferências de dados de saída. (Quando você transfere dados de compartilhamentos de arquivos do Azure, a transferência de dados de entrada é gratuita.) Os custos de transferência de dados dependem da quantidade de dados transferidos e da unidade de manutenção de estoque (SKU) do seu gateway de rede virtual, se você usar um. Para obter mais informações sobre custos, consulte Preços dos Arquivos do Azure e Calculadora de Preços do Azure. O custo real varia de acordo com a região do Azure e o seu contrato individual. Contacte um representante de vendas da Microsoft para obter mais informações sobre preços.
Próximos passos
Saiba mais sobre as tecnologias de componentes:
- Como criar um compartilhamento de arquivos do Azure para obter instruções sobre como começar a usar um compartilhamento SMB.
- Como criar um compartilhamento NFS para obter instruções sobre como começar a usar um compartilhamento de montagem NFS.
Recursos relacionados
Explore arquiteturas relacionadas:
- Compartilhamento de arquivos na nuvem corporativa do Azure
- Serviços de arquivo híbridos
- Fazer backup de arquivos e aplicativos no Azure Stack Hub
- Várias florestas com AD DS e ID do Microsoft Entra
- Várias florestas com AD DS, ID do Microsoft Entra e Serviços de Domínio do Microsoft Entra
- Área de Trabalho Virtual do Azure para empresas