Archivos de Azure a los que se accede de forma local y que protege AD DS

Esta arquitectura muestra una manera de proporcionar recursos compartidos de archivos en la nube a usuarios y aplicaciones locales que también acceden a archivos en Windows Server.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

1. Esta solución sincroniza AD DS local y Microsoft Entra ID basado en la nube. La sincronización hace que los usuarios sean más productivos, ya que proporciona una identidad común para tener acceso a recursos de la nube y del entorno local.

   Microsoft Entra Connect es la aplicación de Microsoft local que realiza la sincronización. Para obtener más información sobre Microsoft Entra Connect, consulte ¿Qué es Microsoft Entra Connect? y Sincronización con Microsoft Entra Connect: Descripción y personalización de la sincronización.

2. Azure Virtual Network proporciona una red virtual en la nube. Para esta solución, tiene al menos dos subredes, una para Azure DNS y otra para que un punto de conexión privado tenga acceso al recurso compartido de archivos.

3. VPN o Azure ExpressRoute proporciona conexiones seguras entre la red local y la red virtual en la nube. Si usa VPN, cree una puerta de enlace mediante Azure VPN Gateway. Si usa ExpressRoute, cree una puerta de enlace de red virtual de ExpressRoute. Para más información, consulte ¿Qué es VPN Gateway? y Acerca de las puertas de enlace de red virtual de ExpressRoute.

4. Azure Files proporciona un recurso compartido de archivos en la nube. Esto requiere una cuenta de Azure Storage. Para obtener más información sobre los recursos compartidos de archivos, consulte ¿Qué es Azure Files?

5. Un punto de conexión privado proporciona acceso al recurso compartido de archivos. Un punto de conexión privado es como una tarjeta de interfaz de red (NIC) dentro de una subred que se asocia a un servicio de Azure. En este caso, el servicio es el recurso compartido de archivos. Para más información sobre los puntos de conexión privados, consulte Uso de puntos de conexión privados para Azure Storage.

6. El servidor DNS local resuelve las direcciones IP. Sin embargo, Azure DNS resuelve el nombre de dominio completo (FQDN) del recurso compartido de archivos de Azure. Todas las consultas de DNS a Azure DNS se originan desde la red virtual. Hay un proxy DNS dentro de la red virtual para enrutar estas consultas a Azure DNS. Para más información, consulte Cargas de trabajo locales que utilizan un reenviador DNS.

   Puede proporcionar el proxy DNS en un servidor Windows o Linux, o bien puede usar Azure Firewall. Para obtener información sobre la opción de Azure Firewall, que tiene la ventaja de que no tiene que administrar una máquina virtual, consulte Configuración DNS de Azure Firewall.

7. El DNS personalizado local está configurado para reenviar el tráfico DNS a Azure DNS a través de un reenviador condicional. También encontrará información sobre el reenvío condicional en Cargas de trabajo locales que utilizan un reenviador DNS.

8. AD DS local autentica el acceso al recurso compartido de archivos. Se trata de un proceso de cuatro pasos, como se describe en Parte 1: Habilitación de la autenticación de AD DS para los recursos compartidos de archivos de Azure.

Componentes

• Azure Storage es un conjunto de servicios en la nube seguros y escalables de forma masiva para datos, aplicaciones y cargas de trabajo. Incluye Azure Files, Azure Table Storage y Azure Queue Storage.
• Azure Files ofrece recursos compartidos de archivos totalmente administrados en una cuenta de Azure Storage. Se puede acceder a los archivos desde la nube o de forma local. Con las implementaciones de Windows, Linux y macOS se pueden montar recursos compartidos de archivos de Azure de forma simultánea. El acceso a archivos usa el protocolo Bloque de mensajes del servidor (SMB) estándar del sector.
• Azure Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Proporciona el entorno para que los recursos de Azure, como las máquinas virtuales, se comuniquen de forma segura entre sí, con Internet y con las redes locales.
• Azure ExpressRoute amplía las redes locales a la nube de Microsoft a través de una conexión privada.
• Azure VPN Gateway conecta redes locales a Azure a través de VPN de sitio a sitio, prácticamente del mismo modo en que se conecta a una sucursal remota. La conectividad es segura y usa los protocolos estándar del sector, el protocolo de seguridad de Internet (IPsec) e Intercambio de claves por red (IKE).
• Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma como servicio (PaaS) de Azure, propiedad del cliente o servicios de asociados de Microsoft. Simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure mediante la eliminación de la exposición de los datos a la red pública de Internet.
• Un punto de conexión privado es una interfaz de red que usa una dirección IP privada de la red virtual. Puede usar puntos de conexión privados en sus cuentas de Azure Storage para que los clientes de una red virtual puedan acceder a los datos a través de una instancia de Private Link.
• Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de red virtual de Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Puede configurar Azure Firewall para que actúe como proxy DNS. Un proxy DNS es un intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS.

Detalles del escenario

Considere la siguiente situación común. Una instancia de Windows Server local proporciona los archivos a los usuarios y las aplicaciones. Windows Server Active Directory Domain Services (AD DS) protege los archivos y hay un servidor DNS local. Todo está en la misma red privada.

Ahora supongamos que surge la necesidad de tener recursos compartidos de archivos en la nube.

La arquitectura que se describe aquí muestra cómo usar Azure para satisfacer esta necesidad y cómo hacerlo a bajo costo, y continuando con el uso de la red local, AD DS y DNS.

En esta arquitectura, Azure Files proporciona el recurso compartido de archivos. VPN de sitio a sitio o Azure ExpressRoute proporciona conexiones seguras entre la red local y la red virtual de Azure. Los usuarios y las aplicaciones usan las conexiones para acceder a los archivos. Microsoft Entra ID y Azure DNS colaboran con AD DS local y DNS para proteger el acceso.

En resumen, si se encuentra en la situación descrita, puede proporcionar archivos en la nube a los usuarios locales a bajo costo y seguir proporcionando acceso seguro a los archivos con AD DS local y DNS.

Posibles casos de uso

• El servidor de archivos se mueve a la nube, pero los usuarios deben permanecer en el entorno local.
• Las aplicaciones que se migran a la nube deben acceder a los archivos locales y también a los archivos que se migran a la nube.
• Debe reducir los costos moviendo el almacenamiento de archivos a la nube.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

• Azure Storage siempre almacena varias copias de los datos en la misma zona, de modo que estén protegidos frente a interrupciones planeadas y no planeadas. Hay opciones para crear copias adicionales en otras zonas o regiones. Para más información, vea Redundancia de Azure Storage.
• Azure Firewall tiene alta disponibilidad integrada. Para más información, consulte Características de Azure Firewall Estándar.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Estos artículos tienen información de seguridad de los componentes de Azure:

• Línea de base de seguridad de Azure Storage
• Línea base de seguridad de Azure para Azure Private Link
• Base de referencia de seguridad de Azure para Virtual Network
• Base de referencia de seguridad de Azure para Azure Firewall

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Para calcular el costo de los productos y las configuraciones de Azure, use la calculadora de precios de Azure.

Estos artículos tienen información de precios de los componentes de Azure:

• Precios de Azure Files
• Precios de Azure Private Link
• Precios de Virtual Network
• Precios de Azure Firewall

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

• Las cuentas de Azure Storage contienen todos los objetos de datos de Azure Storage, incluidos los recursos compartidos de archivos. Una cuenta de almacenamiento proporciona un espacio de nombres único para sus datos que es accesible desde cualquier lugar del mundo mediante HTTP o HTTPS. Para esta arquitectura, la cuenta de almacenamiento contiene recursos compartidos de archivos proporcionados por Azure Files. Para obtener un rendimiento óptimo, se recomienda lo siguiente:
  • No coloque bases de datos ni blobs, entre otras cosas, en cuentas de almacenamiento que contengan recursos compartidos de archivos.
  • No tiene más de un recurso compartido de archivos muy activo por cuenta de almacenamiento. Puede agrupar recursos compartidos de archivos menos activos en la misma cuenta de almacenamiento.
  • Use almacenamiento basado en SSD en lugar de HDD. Para obtener información sobre la escalabilidad y el rendimiento de los recursos compartidos de archivos, consulte Objetivos de escalabilidad y rendimiento de Azure Files.
  • No seleccione una cuenta de almacenamiento de uso general v1, ya que carece de características importantes. Los tipos de cuenta de almacenamiento se describen en Introducción a las cuentas de almacenamiento.
  • Preste atención al tamaño, la velocidad y otras limitaciones. Para obtener esta información, consulte Límites, cuotas y restricciones de suscripción y servicios de Azure.
• Poco puede hacer para mejorar el rendimiento de los componentes que no son de almacenamiento, salvo asegurarse de que la implementación respeta los límites, cuotas y restricciones que se describen en Límites, cuotas y restricciones de suscripción y servicios de Azure.
• Para obtener información sobre la escalabilidad de los componentes de Azure, consulte Límites, cuotas y restricciones de suscripción y servicios de Azure.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Rudnei Oliveira | Ingeniero sénior de clientes

Pasos siguientes

• Inicio rápido: Creación de una red virtual mediante el Portal de Azure
• ¿Qué es VPN Gateway?
• Tutorial: Creación y administración de una puerta de enlace de VPN mediante Azure Portal
• Recurso compartido de archivos de la nube empresarial de Azure
• Conceptos y procedimientos recomendados de Azure Virtual Network
• Planeamiento de una implementación de Azure Files
• Uso de puntos de conexión privados para Azure Storage
• Configuración de DNS para puntos de conexión privados de Azure
• Configuración DNS de Azure Firewall
• Compare los servicios de dominio de Active Directory autoadministrados, Microsoft Entra ID y los servicios de dominio de Microsoft Entra administrados

Recursos relacionados

• Recurso compartido de archivos híbrido con recuperación ante desastres para trabajos tanto remotos como de sucursales locales
• Recurso compartido de archivos de la nube empresarial de Azure
• Uso de recursos compartidos de archivos de Azure en un entorno híbrido
• Servicios de archivo híbridos