Editar

Compartir a través de

Archivos de Azure a los que se accede desde el entorno local y que AD DS protege en una red privada

Azure Virtual Network
Azure ExpressRoute
Cuentas de Azure Storage
Archivos de Azure
Azure DNS

Esta arquitectura muestra una manera de proporcionar recursos compartidos de archivos en la nube a usuarios y aplicaciones locales que también acceden a archivos en Windows Server mediante un punto de conexión privado.

Arquitectura

Arquitectura de Azure que proporciona escritorios, locales y basados en la nube, para una empresa con muchas sucursales.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

  1. Esta solución sincroniza AD DS local y Microsoft Entra ID basado en la nube. La sincronización hace que los usuarios sean más productivos, ya que proporciona una identidad común para tener acceso a recursos de la nube y del entorno local.

    Microsoft Entra Connect es la aplicación de Microsoft local que realiza la sincronización. Para obtener más información sobre Microsoft Entra Connect, consulte ¿Qué es Microsoft Entra Connect? y Sincronización con Microsoft Entra Connect: Descripción y personalización de la sincronización.

  2. Azure Virtual Network proporciona una red virtual en la nube. Para esta solución, tiene al menos dos subredes, una para Azure DNS y otra para que un punto de conexión privado tenga acceso al recurso compartido de archivos.

  3. VPN o Azure ExpressRoute proporciona conexiones seguras entre la red local y la red virtual en la nube. Si usa VPN, cree una puerta de enlace mediante Azure VPN Gateway. Si usa ExpressRoute, cree una puerta de enlace de red virtual de ExpressRoute. Para más información, consulte ¿Qué es VPN Gateway? y Acerca de las puertas de enlace de red virtual de ExpressRoute.

  4. Azure Files proporciona un recurso compartido de archivos en la nube. Esto requiere una cuenta de Azure Storage. Para obtener más información sobre los recursos compartidos de archivos, consulte ¿Qué es Azure Files?

  5. Un punto de conexión privado proporciona acceso al recurso compartido de archivos. Un punto de conexión privado es como una tarjeta de interfaz de red (NIC) dentro de una subred que se asocia a un servicio de Azure. En este caso, el servicio es el recurso compartido de archivos. Para más información sobre los puntos de conexión privados, consulte Uso de puntos de conexión privados para Azure Storage.

  6. El servidor DNS local resuelve las direcciones IP. Sin embargo, Azure DNS resuelve el nombre de dominio completo (FQDN) del recurso compartido de archivos de Azure. Todas las consultas de DNS a Azure DNS se originan desde la red virtual. Hay un proxy DNS dentro de la red virtual para enrutar estas consultas a Azure DNS. Para más información, consulte Cargas de trabajo locales que utilizan un reenviador DNS.

    Puede proporcionar el proxy DNS en un servidor Windows o Linux, o bien puede usar Azure Firewall. Para obtener información sobre la opción de Azure Firewall, que tiene la ventaja de que no tiene que administrar una máquina virtual, consulte Configuración DNS de Azure Firewall.

  7. El DNS personalizado local está configurado para reenviar el tráfico DNS a Azure DNS a través de un reenviador condicional. También encontrará información sobre el reenvío condicional en Cargas de trabajo locales que utilizan un reenviador DNS.

  8. AD DS local autentica el acceso al recurso compartido de archivos. Se trata de un proceso de cuatro pasos, como se describe en Parte 1: Habilitación de la autenticación de AD DS para los recursos compartidos de archivos de Azure.

Componentes

  • Azure Storage es un conjunto de servicios en la nube seguros y escalables de forma masiva para datos, aplicaciones y cargas de trabajo. Incluye Azure Files, Azure Table Storage y Azure Queue Storage.
  • Azure Files ofrece recursos compartidos de archivos totalmente administrados en una cuenta de Azure Storage. Se puede acceder a los archivos desde la nube o de forma local. Con las implementaciones de Windows, Linux y macOS se pueden montar recursos compartidos de archivos de Azure de forma simultánea. El acceso a archivos usa el protocolo Bloque de mensajes del servidor (SMB) estándar del sector.
  • Azure Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Proporciona el entorno para que los recursos de Azure, como las máquinas virtuales, se comuniquen de forma segura entre sí, con Internet y con las redes locales.
  • Azure ExpressRoute amplía las redes locales a la nube de Microsoft a través de una conexión privada.
  • Azure VPN Gateway conecta redes locales a Azure a través de VPN de sitio a sitio, prácticamente del mismo modo en que se conecta a una sucursal remota. La conectividad es segura y usa los protocolos estándar del sector, el protocolo de seguridad de Internet (IPsec) e Intercambio de claves por red (IKE).
  • Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma como servicio (PaaS) de Azure, propiedad del cliente o servicios de asociados de Microsoft. Simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure mediante la eliminación de la exposición de los datos a la red pública de Internet.
  • Un punto de conexión privado es una interfaz de red que usa una dirección IP privada de la red virtual. Puede usar puntos de conexión privados en sus cuentas de Azure Storage para que los clientes de una red virtual puedan acceder a los datos a través de una instancia de Private Link.
  • Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de red virtual de Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Puede configurar Azure Firewall para que actúe como proxy DNS. Un proxy DNS es un intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS.

Detalles del escenario

Tenga en cuenta el siguiente escenario común: Windows Server local se usa para proporcionar recursos compartidos de archivos para usuarios y aplicaciones. Servicios de dominio de Active Directory (AD DS) se usa para proteger los archivos y un servidor DNS local administra los recursos de red. Todo funciona dentro de la misma red privada.

Ahora, imagine que surge la necesidad de ampliar los recursos compartidos de archivos a la nube.

La arquitectura que se describe aquí muestra cómo Azure puede satisfacer esta necesidad de forma rentable a la vez que mantiene el uso de la red local, AD DS y DNS.

En esta configuración, Azure Files se usa para hospedar los recursos compartidos de archivos, mientras que una VPN de sitio a sitio o Azure ExpressRoute proporciona conexiones seguras entre la red local y la red virtual de Azure. Los usuarios y las aplicaciones acceden a los archivos mediante esas conexiones seguras. Microsoft Entra ID y Azure DNS funcionan junto con AD DS local y DNS para garantizar el acceso seguro.

En resumen, si se enfrenta a este escenario, puede ofrecer recursos compartidos de archivos basados en la nube a los usuarios locales a un bajo coste, a la vez que mantiene el acceso seguro mediante la infraestructura de AD DS y DNS existente.

Posibles casos de uso

  • El servidor de archivos se mueve a la nube, pero los usuarios deben permanecer en el entorno local.
  • Las aplicaciones que se migran a la nube deben acceder a los archivos locales y también a los archivos que se migran a la nube.
  • Debe reducir los costos moviendo el almacenamiento de archivos a la nube.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

  • Azure Storage siempre almacena varias copias de los datos en la misma zona, de modo que estén protegidos frente a interrupciones planeadas y no planeadas. Hay opciones para crear copias adicionales en otras zonas o regiones. Para más información, vea Redundancia de Azure Storage.
  • Azure Firewall tiene alta disponibilidad integrada. Para más información, consulte Características de Azure Firewall Estándar.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Estos artículos tienen información de seguridad de los componentes de Azure:

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Para calcular el costo de los productos y las configuraciones de Azure, use la calculadora de precios de Azure.

Estos artículos tienen información de precios de los componentes de Azure:

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

  • Las cuentas de Azure Storage contienen todos los objetos de datos de Azure Storage, incluidos los recursos compartidos de archivos. Una cuenta de almacenamiento proporciona un espacio de nombres único para sus datos que es accesible desde cualquier lugar del mundo mediante HTTP o HTTPS. Para esta arquitectura, la cuenta de almacenamiento contiene recursos compartidos de archivos proporcionados por Azure Files. Para obtener un rendimiento óptimo, se recomienda lo siguiente:
    • No coloque bases de datos ni blobs, entre otras cosas, en cuentas de almacenamiento que contengan recursos compartidos de archivos.
    • No tiene más de un recurso compartido de archivos muy activo por cuenta de almacenamiento. Puede agrupar recursos compartidos de archivos menos activos en la misma cuenta de almacenamiento.
    • Si la carga de trabajo requiere grandes cantidades de IOPS, velocidades de transferencia de datos extremadamente rápidas o una latencia muy baja, debe elegir cuentas de almacenamiento premium (FileStorage). Una cuenta estándar de uso general v2 es adecuada para la mayoría de las cargas de trabajo de recursos compartidos de archivos SMB. Para obtener información sobre la escalabilidad y el rendimiento de los recursos compartidos de archivos, consulte Objetivos de escalabilidad y rendimiento de Azure Files.
    • No use una cuenta de almacenamiento de uso general v1, ya que carece de características importantes. En su lugar, actualice a una cuenta de almacenamiento de uso general v2. Los tipos de cuenta de almacenamiento se describen en Introducción a las cuentas de almacenamiento.
    • Preste atención al tamaño, la velocidad y otras limitaciones. Consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.
  • Poco puede hacer para mejorar el rendimiento de los componentes que no son de almacenamiento, salvo asegurarse de que la implementación respeta los límites, cuotas y restricciones que se describen en Límites, cuotas y restricciones de suscripción y servicios de Azure.
  • Para obtener información sobre la escalabilidad de los componentes de Azure, consulte Límites, cuotas y restricciones de suscripción y servicios de Azure.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Pasos siguientes