Esta arquitetura de referência ilustra uma solução de partilha de ficheiros na nuvem de nível empresarial que utiliza os serviços do Azure, incluindo os Ficheiros do Azure, a Sincronização de Ficheiros do Azure, o DNS Privado do Azure e o Ponto de Extremidade Privado do Azure. A solução gera economia de custos ao terceirizar o gerenciamento de servidores de arquivos e infraestrutura, mantendo o controle dos dados.
Arquitetura
O diagrama a seguir mostra como os clientes podem acessar compartilhamentos de arquivos do Azure:
- Localmente, através de um servidor de ficheiros hierárquico na nuvem.
- Remotamente através de emparelhamento privado ExpressRoute ou túneis VPN em um ambiente de rede privada.
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
A solução de compartilhamento de arquivos na nuvem de nível empresarial usa os seguintes métodos para fornecer a mesma experiência do usuário que o compartilhamento de arquivos tradicional, mas com compartilhamentos de arquivos do Azure:
- Utiliza a Sincronização de Ficheiros do Azure para sincronizar Listas de Controlo de Acesso (ACL) de ficheiros e pastas entre servidores de ficheiros no local e partilhas de ficheiros do Azure.
- Usa o recurso de hierarquização na nuvem do agente do Azure File Sync para armazenar em cache arquivos acessados com frequência localmente.
- Impõe a autenticação do AD DS em compartilhamentos de arquivos do Azure.
- Acede a serviços de partilha de ficheiros e sincronização de ficheiros através de IP privado através de Private Link e Private Endpoint através de um emparelhamento privado ExpressRoute ou túnel VPN.
Ao implementar o Ponto de Extremidade Privado do Azure nos Arquivos do Azure e na Sincronização de Arquivos do Azure, o acesso ao ponto de extremidade público é desabilitado para que o acesso aos Arquivos do Azure e à Sincronização de Arquivos do Azure seja restrito da rede virtual do Azure.
O túnel site a site da VPN de emparelhamento privado da Rota Expressa estende a rede local para a rede virtual do Azure. O tráfego SMB (Sincronização de Ficheiros do Azure) e do Bloco de Mensagens do Servidor (SMB) do local para os Pontos de extremidade privados dos Ficheiros do Azure e do Azure File Sync está restrito apenas à ligação privada. Durante a transição, os Arquivos do Azure só permitirão a conexão se ela for feita com o SMB 3.0+. As conexões feitas do agente do Azure File Sync para um compartilhamento de Arquivos do Azure ou Serviço de Sincronização de Armazenamento são sempre criptografadas. Em repouso, o Armazenamento do Azure criptografa automaticamente seus dados quando eles persistem na nuvem, assim como os Arquivos do Azure.
Um resolvedor de DNS (Sistema de Nomes de Domínio) é um componente crítico da solução. Cada serviço do Azure, neste caso Arquivos do Azure e Sincronização de Arquivos do Azure, tem um FQDN (nome de domínio totalmente qualificado). Os FQDNs desses serviços são resolvidos para seus endereços IP públicos nestes casos:
- Quando um cliente acessa um compartilhamento do Azure Files.
- Quando um agente de Sincronização de Arquivos do Azure, implantado em um servidor de arquivos local, acessa o serviço de Sincronização de Arquivos do Azure.
Depois de habilitar um ponto de extremidade privado, os endereços IP privados são alocados na rede virtual do Azure. Esses endereços permitem o acesso a esses serviços por meio de uma conexão privada, e os mesmos FQDNs agora devem ser resolvidos para endereços IP privados. Para conseguir isso, os Arquivos do Azure e a Sincronização de Arquivos do Azure criam um registro DNS de nome canônico (CNAME) para redirecionar a resolução para um nome de domínio privado:
- O nome
*.afs.azure.net
de domínio público da Sincronização de Ficheiros do Azure obtém um redirecionamento CNAME para o nome*.<region>.privatelink.afs.azure.net
de domínio privado . - O nome
<name>.file.core.windows.net
de domínio público dos Arquivos do Azure obtém um redirecionamento CNAME para o nome<name>.privatelink.file.core.windows.net
de domínio privado .
A solução mostrada nessa arquitetura configura corretamente as configurações de DNS local para que elas resolvam nomes de domínio privados para endereços IP privados, usando os seguintes métodos:
- As zonas DNS privadas (componentes 11 e 12) são criadas a partir do Azure para fornecer resolução de nomes privados para a Sincronização de Ficheiros do Azure e os Ficheiros do Azure.
- As zonas DNS privadas são vinculadas à rede virtual do Azure para que um servidor DNS implantado na rede virtual ou no resolvedor de DNS privado do Azure (componente 8) possa resolver nomes de domínio privados.
- Os registos DNS A são criados para os Ficheiros do Azure e para a Sincronização de Ficheiros do Azure em zonas DNS privadas. Para obter as etapas de configuração do ponto de extremidade, consulte Configurando pontos de extremidade de rede do Azure Files e Configurando pontos de extremidade de rede do Azure File Sync.
- O servidor DNS local (componente 3) configura o encaminhamento condicional para encaminhar a consulta DNS de
domain afs.azure.net
efile.core.windows.net
para o servidor DNS na rede virtual do Azure (componente 8). - Depois de receber a consulta DNS encaminhada do servidor DNS local, o servidor DNS (componente 8) na rede virtual do Azure usa o resolvedor recursivo do DNS do Azure para resolver nomes de domínio privados e retornar endereços IP privados para o cliente.
Componentes
A solução descrita no diagrama de arquitetura usa os seguintes componentes:
Cliente (componente 1 ou 2) - Normalmente, o cliente é um desktop Windows, Linux ou Mac OSX que pode falar com um servidor de arquivos ou Arquivos do Azure por meio do protocolo SMB.
Servidores DC e DNS (componente 3) - Um controlador de domínio (DC) é um servidor que responde a pedidos de autenticação e verifica os utilizadores em redes de computadores. Um servidor DNS fornece serviços de resolução de nomes de nome de computador para endereço IP para computadores e usuários. Os servidores DC e DNS podem ser combinados em um único servidor ou podem ser separados em servidores diferentes.
Servidor de arquivos (componente 4) - Um servidor que hospeda compartilhamentos de arquivos e fornece serviços de compartilhamento de arquivos.
Dispositivo CE/VPN (componente 5) - Um roteador de borda do cliente (CE) ou dispositivo VPN é usado para estabelecer a conexão ExpressRoute ou VPN com a rede virtual do Azure.
Azure ExpressRoute ou Azure VPN Gateway (componente 6) – O Azure ExpressRoute é um serviço que permite estender sua rede local para a nuvem da Microsoft por meio de uma conexão privada facilitada por um provedor de conectividade. O Gateway de VPN do Azure é um tipo específico de gateway de rede virtual usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública. ExpressRoute ou VPN Gateway estabelece conexão ExpressRoute ou VPN com sua rede local.
Ponto de extremidade privado do Azure (componente 7) - Uma interface de rede que o conecta de forma privada e segura a um serviço alimentado pelo Azure Private Link. Nesta solução, um ponto de extremidade privado do Azure File Sync se conecta ao Azure File Sync (9) e um ponto de extremidade privado do Azure Files se conecta ao Azure Files (10).
Servidor DNS/resolvedor de DNS privado do Azure (componente 8) na instância da Rede Virtual do Azure usa o resolvedor recursivo de DNS do Azure para resolver o nome de domínio privado e retornar um endereço IP privado para o cliente, depois de receber uma consulta DNS encaminhada de um servidor DNS local.
Sincronização de Ficheiros do Azure e hierarquização na nuvem (componente 9) – A Sincronização de Ficheiros do Azure permite-lhe centralizar as partilhas de ficheiros da sua organização no Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de ficheiros no local. A hierarquização na nuvem é um recurso opcional da Sincronização de Arquivos do Azure na qual os arquivos acessados com frequência são armazenados em cache localmente no servidor, enquanto todos os outros arquivos são hierarquizados nos Arquivos do Azure com base nas configurações de política.
Arquivos do Azure (componente 10) - Um serviço totalmente gerenciado que oferece compartilhamentos de arquivos na nuvem acessíveis por meio do protocolo SMB (Server Message Block) padrão do setor. O Azure Files implementa o protocolo SMB v3 e dá suporte à autenticação por meio dos Serviços de Domínio Ative Directory (AD DS) locais e dos Serviços de Domínio Microsoft Entra. Os compartilhamentos de arquivos dos Arquivos do Azure podem ser montados simultaneamente por implantações na nuvem ou locais do Windows, Linux e macOS. Além disso, os compartilhamentos de arquivos do SMB Azure podem ser armazenados em cache mais perto de onde os dados estão sendo usados, em servidores Windows com o Azure File Sync para acesso rápido.
Azure Private DNS (componentes 11 e 12) - Um serviço DNS oferecido pelo Azure, o Private DNS gerencia e resolve nomes de domínio em uma rede virtual, sem a necessidade de adicionar uma solução DNS personalizada.
Backup do Azure (componente 13) - O Backup do Azure é um serviço de backup de compartilhamento de arquivos do Azure que usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup baseada em nuvem. Para obter considerações, consulte Perda de dados e backup.
Detalhes do cenário
Esta solução permite-lhe aceder a partilhas de ficheiros do Azure num ambiente de trabalho híbrido através de uma rede privada virtual entre redes virtuais locais e do Azure sem atravessar a Internet. Ele também permite que você controle e limite o acesso a arquivos por meio de autenticação baseada em identidade.
Potenciais casos de utilização
A solução de compartilhamento de arquivos na nuvem suporta os seguintes casos de uso potenciais:
- Servidor de arquivos ou compartilhamento de arquivos lift and shift. Ao levantar e deslocar, você elimina a necessidade de reestruturar ou reformatar dados. Você também mantém aplicativos herdados no local enquanto se beneficia do armazenamento em nuvem.
- Acelere a inovação na nuvem com maior eficiência operacional. Reduz o custo de manutenção de hardware e espaço físico, protege contra corrupção e perda de dados.
- Acesso privado a partilhas de ficheiros do Azure. Protege contra a exfiltração de dados.
Fluxos de tráfego
Depois de habilitar a Sincronização de Arquivos do Azure e os Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser acessados em dois modos, modo de cache local ou modo remoto. Em ambos os modos, o cliente usa credenciais existentes do AD DS para se autenticar.
Modo de cache local - O cliente acessa arquivos e compartilhamentos de arquivos por meio de um servidor de arquivos local com a hierarquização na nuvem habilitada. Quando um usuário abre um arquivo do servidor de arquivos local, os dados de arquivo são servidos do cache local do servidor de arquivos ou o agente do Azure File Sync recupera perfeitamente os dados de arquivo dos Arquivos do Azure. No diagrama de arquitetura para esta solução, isso acontece entre os componentes 1 e 4.
Modo remoto - O cliente acessa arquivos e compartilhamentos de arquivos diretamente de um compartilhamento de arquivos remoto do Azure. No diagrama de arquitetura para esta solução, o fluxo de tráfego percorre os componentes 2, 5, 6, 7 e 10.
O tráfego do Azure File Sync viaja entre os componentes 4, 5, 6 e 7, usando um circuito de Rota Expressa para uma conexão confiável.
As consultas de resolução de nomes de domínio privados passam pelos componentes 3, 5, 6, 8, 11 e 12 usando a seguinte sequência:
- O cliente envia uma consulta a um servidor DNS local para resolver um nome DNS dos Arquivos do Azure ou do Azure File Sync.
- O servidor DNS local tem um encaminhador condicional que aponta a resolução de nomes DNS do Arquivo do Azure e do Azure File Sync para um servidor DNS na rede virtual do Azure.
- A consulta é redirecionada para um Servidor DNS ou resolvedor de DNS privado do Azure na rede virtual do Azure.
- Dependendo da configuração de DNS da rede virtual:
- Se um servidor DNS personalizado estiver configurado, o Servidor DNS na rede virtual do Azure enviará uma consulta de nome para o resolvedor recursivo DNS (168.63.129.16) fornecido pelo Azure.
- Se o resolvedor de DNS privado do Azure estiver configurado e a consulta corresponder às zonas DNS privadas vinculadas à rede virtual, essas zonas serão consultadas.
- O servidor DNS/resolvedor de DNS privado do Azure retorna um IP privado, depois de resolver o nome de domínio privado para a respetiva zona DNS privada. Ele usa os links da rede virtual do Azure para a zona DNS dos Arquivos do Azure e a zona DNS privada do Azure File Sync.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Considere os seguintes pontos ao implementar esta solução.
Planeamento
- Para obter o planejamento da Sincronização de Arquivos do Azure, consulte Planejando uma implantação da Sincronização de Arquivos do Azure.
- Para planejar Arquivos do Azure, consulte Planejando uma implantação de Arquivos do Azure.
Rede
- Para obter considerações de rede do Azure File Sync, consulte Considerações de rede do Azure File Sync.
- Para obter considerações de rede dos Arquivos do Azure, consulte Considerações de rede dos Arquivos do Azure.
DNS
Ao gerenciar a resolução de nomes para pontos de extremidade privados, os nomes de domínio privados dos Arquivos do Azure e da Sincronização de Arquivos do Azure são resolvidos da seguinte maneira:
Do lado do Azure:
- Se a resolução de nomes fornecida pelo Azure for usada, a rede virtual do Azure deverá ser vinculada a zonas DNS privadas provisionadas.
- Se "traga seu próprio servidor DNS" for usado, a rede virtual onde seu próprio servidor DNS está implantado deverá ser vinculada a zonas DNS privadas provisionadas.
Do lado local, o nome de domínio privado é mapeado para um endereço IP privado de uma das seguintes maneiras:
- Através do encaminhamento de DNS para um servidor DNS implantado na rede virtual do Azure ou no resolvedor de DNS privado do Azure, como mostra o diagrama.
- Através do servidor DNS local que configura zonas para o domínio
<region>.privatelink.afs.azure.net
privado eprivatelink.file.core.windows.net
. O servidor registra os endereços IP dos Arquivos do Azure e dos pontos de extremidade privados do Azure File Sync como registros DNS A em suas respetivas zonas DNS. O cliente local resolve o nome de domínio privado diretamente do servidor DNS local local.
Sistema de ficheiros distribuídos (DFS)
Quando se trata de uma solução de compartilhamento de arquivos local, muitos administradores optam por usar um DFS em vez de um servidor de arquivos autônomo tradicional. O DFS permite que os administradores consolidem compartilhamentos de arquivos que possam existir em vários servidores para que pareçam todos viver no mesmo local, permitindo que os usuários os acessem a partir de um único ponto na rede. Ao mudar para uma solução de partilha de ficheiros na nuvem, a implementação DFS-R tradicional pode ser substituída pela implementação do Azure File Sync. Para obter mais informações, consulte Migrar uma implantação da Replicação DFS (DFS-R) para a Sincronização de Arquivos do Azure.
Perda de dados e backup
A perda de dados é um problema sério para empresas de todos os tamanhos. O backup de compartilhamento de arquivos do Azure usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup baseada em nuvem que protege seus dados na nuvem e elimina a sobrecarga de manutenção adicional envolvida em soluções de backup locais. Os principais benefícios do backup de compartilhamento de arquivos do Azure incluem:
- Infraestrutura zero
- Retenção personalizada
- Capacidades de gestão incorporadas
- Restaurações instantâneas
- Alertas e relatórios
- Proteção contra exclusão acidental de compartilhamentos de arquivos
Para obter mais informações, consulte Sobre o backup de compartilhamento de arquivos do Azure
Suporte para identidades híbridas em Arquivos do Azure
Embora este artigo descreva o Ative Directory para autenticação em Arquivos do Azure, é possível usar a ID do Microsoft Entra para autenticar identidades de usuário híbridas. Os Arquivos do Azure dão suporte à autenticação baseada em identidade no SMB (Server Message Block), usando o protocolo de autenticação Kerberos por meio dos seguintes métodos:
- Serviços de Domínio Ative Directory (AD DS) locais
- Microsoft Entra Domain Services
- Microsoft Entra Kerberos (somente para identidades de usuário híbridas)
- Autenticação do AD para clientes Linux
Para obter mais informações, consulte Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Arquivos do Azure.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.
A auditoria de segurança é um requisito necessário para ajudar a manter a segurança de uma empresa. As normas do setor exigem que as empresas sigam um conjunto rigoroso de regras relacionadas à segurança e privacidade de dados.
Auditoria de acesso a arquivos
A auditoria de acesso a arquivos pode ser habilitada local e remotamente:
- Localmente, usando o Controle de Acesso Dinâmico. Para obter mais informações, consulte Planejar a auditoria de acesso a arquivos.
- Remotamente, usando os logs de Armazenamento do Azure no Azure Monitor em Arquivos do Azure. Os logs do Armazenamento do Azure contêm StorageRead, StorageWrite, StorageDelete e logs de transações. O acesso a arquivos do Azure pode ser registrado em uma conta de armazenamento, espaço de trabalho de análise de log ou transmitido para um hub de eventos separadamente. Para obter mais informações, consulte Monitorar arquivos do Azure.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Yingting Huang - Brasil | Arquiteto de Soluções Cloud Sênior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
- Planear uma implementação de Ficheiros do Azure
- Como implementar os Ficheiros do Azure
- Considerações de rede dos Arquivos do Azure
- Configurando pontos de extremidade de rede do Azure Files
- Monitorar arquivos do Azure
- Planejar a auditoria de acesso a arquivos
- Fazer cópia de segurança das partilhas de ficheiros do Azure
- Visão geral - autenticação local dos Serviços de Domínio Ative Directory sobre SMB para compartilhamentos de arquivos do Azure
- Implementar o Azure File Sync
- Configurando pontos de extremidade de rede do Azure File Sync
- Visão geral da hierarquização na nuvem
- Criar uma ligação Site a Site no portal do Azure
- ExpressRoute circuits and peering (Circuitos e peering do ExpressRoute)
- Criar e modificar o peering de um circuito ExpressRoute
- Sobre o backup de compartilhamento de arquivos do Azure
- O que é o Azure DNS Private Resolver
- Ativar a autenticação Kerberos do Microsoft Entra para identidades híbridas nos Ficheiros do Azure
Recursos relacionados
- Compartilhamento de arquivos na nuvem corporativa do Azure
- Arquivos do Azure acessados no local e protegidos pelo AD DS
- Serviços de arquivo híbridos
- Usar compartilhamentos de arquivos do Azure em um ambiente híbrido
- Compartilhamento de arquivos híbrido com recuperação de desastres para funcionários de filiais locais e remotos