Editar

Uso de recursos compartidos de archivos de Azure en un entorno híbrido

Microsoft Entra ID
Archivos de Azure

Esta arquitectura muestra cómo incluir los recursos compartidos de archivos de Azure en su entorno híbrido. Los recursos compartidos de archivos de Azure se usan como recursos compartidos de archivos sin servidor. Al integrarlos con Active Directory Domain Services (AD DS), puede controlar y limitar el acceso a los usuarios de AD DS. A continuación, los recursos compartidos de archivos de Azure pueden reemplazar a los servidores de archivos tradicionales.

Architecture

Diagrama de arquitectura de los recursos compartidos de archivos de Azure que muestra cómo los clientes pueden acceder directamente a un recurso compartido de archivos de Azure a través del puerto TCP 445 (SMB 3.0) o al establecer primero una conexión VPN.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

La arquitectura consta de los siguientes componentes:

  • Inquilino de Microsoft Entra. Este componente es una instancia de Microsoft Entra creada por su organización. Actúa como un servicio de directorio de aplicaciones en la nube mediante el almacenamiento de objetos copiados desde la instancia local de Active Directory. También proporciona servicios de identidad al acceder a recursos compartidos de archivos de Azure.
  • Servidor de AD DS. Este componente es un servicio de identidad y directorio local. El directorio de AD DS se puede sincronizar con Microsoft Entra ID para permitir la autenticación de los usuarios locales.
  • Servidor de sincronización de Microsoft Entra Connect. Este componente es un servidor local que ejecuta el servicio de sincronización Microsoft Entra Connect. Este servicio sincroniza la información contenida en Active Directory local para Microsoft Entra ID.
  • Puerta de enlace de red virtual. Este componente opcional se utiliza para enviar tráfico cifrado entre Azure Virtual Network y una ubicación local a través de Internet.
  • Recursos compartidos de archivos de Azure Los recursos compartidos de archivos de Azure proporcionan almacenamiento para archivos y carpetas a los que puede acceder a través de los protocolos de bloque de mensajes del servidor (SMB), Network File System (NFS) y el protocolo de transferencia de hipertexto (HTTP). Los recursos compartidos de archivos se implementan en las cuentas de Azure Storage.
  • Almacén de Recovery Services. Este componente opcional proporciona copias de seguridad de recursos compartidos de archivos de Azure.
  • Clientes. Estos componentes son equipos miembros de AD DS, desde los que los usuarios pueden acceder a recursos compartidos de archivos de Azure.

Componentes

Tecnologías clave que se usan para implementar esta arquitectura:

  • Microsoft Entra ID es un servicio de identidad empresarial que proporciona inicio de sesión único, autenticación multifactor y acceso condicional.
  • Azure Files ofrece recursos compartidos de archivos en la nube totalmente administrados, a los que se puede acceder mediante protocolos estándar del sector.
  • VPN Gateway: VPN Gateway envía el tráfico cifrado entre una red virtual de Azure y una ubicación local mediante la red pública de Internet.

Detalles del escenario

Posibles casos de uso

Los usos habituales de esta arquitectura incluyen:

  • Reemplazar o complementar servidores de archivos locales. Azure Files puede reemplazar totalmente o complementar los servidores de archivos tradicionales locales o en dispositivos de almacenamiento conectado a la red. Con los recursos compartidos de archivos de Azure y la autenticación de AD DS, puede migrar datos a Azure Files. Esta migración puede aprovechar la alta disponibilidad y la escalabilidad y, al mismo tiempo, minimizar los cambios de cliente.
  • Migración mediante lift-and-shift. Azure Files facilita la migración mediante "lift and shift" de aplicaciones que esperan un recurso compartido de archivos para almacenar datos de la aplicación o el usuario en la nube.
  • Copia de seguridad y recuperación ante desastres. Puede usar Azure Files como almacenamiento para copias de seguridad o para la recuperación ante desastres con el fin de mejorar la continuidad empresarial. Puede usar Azure Files para hacer copias de seguridad de los datos a partir de servidores de archivos existentes, a la vez que conserva las listas de control de acceso discrecionales de Windows que se han configurado. Los datos que se almacenan en recursos compartidos de archivos de Azure no se ven afectados por desastres que podrían afectar a ubicaciones en el entorno local.
  • Azure File Sync. Con Azure File Sync, los recursos compartidos de archivos de Azure se pueden replicar en Windows Server, ya sea de forma local o en la nube. Esta replicación mejora el rendimiento y distribuye el almacenamiento en caché de los datos donde se usa.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Uso de cuentas de almacenamiento de uso general v2 (GPv2) o FileStorage para los recursos compartidos de archivos de Azure

Puede crear un recurso compartido de archivos de Azure en varias cuentas de almacenamiento. Aunque las cuentas de almacenamiento clásico y de uso general v1 (GPv1) pueden contener recursos compartidos de archivos de Azure, la mayoría de las nuevas características de Azure Files solo están disponibles en las cuentas de almacenamiento de GPv2 y FileStorage. Aunque un recurso compartido de archivos de Azure almacena datos de cuentas de almacenamiento GPv2 en hardware basado en unidad de disco duro (HDD), almacena los datos de las cuentas de almacenamiento de FileStorage en hardware basado en unidades de estado sólido (SSD). Para más información, consulte Creación de un recurso compartido de archivos de Azure.

Creación de recursos compartidos de archivos de Azure en cuentas de almacenamiento que contienen solo recursos compartidos de archivos de Azure

Las cuentas de almacenamiento le permiten usar diferentes servicios de almacenamiento en la misma cuenta de almacenamiento. Estos servicios de almacenamiento incluyen recursos compartidos de archivos, contenedores de blobs y tablas de Azure. Todos los servicios de almacenamiento de una sola cuenta de almacenamiento comparten los mismos límites que la cuenta de almacenamiento. La combinación de servicios de almacenamiento en la misma cuenta de almacenamiento dificulta la solución de problemas de rendimiento.

Nota

Si es posible, implemente cada recurso compartido de archivos de Azure en su propia cuenta de almacenamiento independiente. Si se implementan varios recursos compartidos de archivos de Azure en la misma cuenta de almacenamiento, todos ellos comparten los límites de la cuenta de almacenamiento.

Uso de recursos compartidos de archivos Premium para cargas de trabajo que requieren un alto rendimiento

Los recursos compartidos de archivos Premium se implementan en cuentas de almacenamiento de FileStorage y se almacenan en hardware basado en unidades de estado sólido (basado en SSD). Con esta configuración resultan adecuados para almacenar y obtener acceso a los datos que requieren un rendimiento constante y alto y una latencia baja. (Por ejemplo, estos recursos compartidos de archivos prémium funcionan bien con las bases de datos). Puede almacenar otras cargas de trabajo menos sensibles a la variabilidad del rendimiento en recursos compartidos de archivos estándar. Estos tipos de carga de trabajo incluyen recursos compartidos de archivos de uso general y entornos de desarrollo y pruebas. Para más información, consulte Creación de un recurso compartido de archivos de Azure.

Cifrado como requisito para acceder a recursos compartidos de archivos de SMB de Azure

Use siempre el cifrado en tránsito al acceder a los datos en los recursos compartidos de archivos de SMB de Azure. El cifrado en tránsito está habilitado de forma predeterminada. Azure Files solo permitirá la conexión si se realiza con el protocolo que usa el cifrado, como SMB 3.0. Los clientes que no admiten SMB 3.0 no podrán montar el recurso compartido de archivos de Azure si es necesario el cifrado en tránsito.

Uso de una VPN si el puerto que usa SMB (puerto 445) está bloqueado

Muchos proveedores de servicios de Internet bloquean el puerto 445 del protocolo de control de transmisión (TCP) , que se usa para acceder a los recursos compartidos de archivos de Azure. Si no es posible desbloquear el puerto TCP 445, puede acceder a los recursos compartidos de archivos de Azure a través de una conexión de ExpressRoute o de red privada virtual (VPN) (de sitio a sitio o de punto a sitio) para evitar el bloqueo del tráfico. Para obtener más información, consulte Configuración de una VPN de punto a sitio (P2S) en Windows para su uso con Azure Files y Configuración de una VPN de sitio a sitio para su uso con Azure Files.

Posibilidad de usar Azure File Sync con los recursos compartidos de archivos de Azure

El servicio Azure File Sync permite almacenar en caché los recursos compartidos de archivos de Azure en un servidor de archivos de Windows Server local. Si habilita la opción de nube por niveles, File Sync ayuda a garantizar que un servidor de archivos siempre tenga espacio libre disponible, al mismo tiempo que existen más archivos disponibles de los que un servidor de archivos podría almacenar localmente. Si tiene servidores de archivos de Windows Server locales, considere la posibilidad de integrarlos con recursos compartidos de archivos de Azure mediante Azure File Sync. Para obtener más información, consulte Planeamiento de una implementación de Azure File Sync.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Escalabilidad

  • El tamaño del recurso compartido de archivos de Azure se limita a 100 tebibytes (TiB). No hay ningún tamaño mínimo de recurso compartido de archivos ni ningún límite en el número de recursos compartidos de archivos de Azure.
  • El tamaño máximo de un archivo en un recurso compartido de archivos es de 1 TiB y no hay ningún límite en el número de archivos que puede contener un recurso compartido de archivos.
  • Los límites de IOPS y rendimiento son para cada cuenta de Azure Storage y se comparten entre los recursos compartidos de archivos de Azure que estén en la misma cuenta de almacenamiento.

Para más información, consulte Objetivos de escalabilidad y rendimiento de Azure Files.

Disponibilidad

Nota:

Una cuenta de Azure Storage es el recurso primario de un recurso compartido de archivos de Azure. El recurso compartido de archivos de Azure tiene el nivel de redundancia que le proporciona la cuenta de almacenamiento contenedora.

  • Actualmente, los recursos compartidos de archivos de Azure admiten las siguientes opciones de redundancia de datos:
    • Almacenamiento con redundancia local (LRS) . Los datos se copian de forma sincrónica tres veces dentro de una sola ubicación física en la región primaria. Esta práctica protege contra la pérdida de datos debido a errores de hardware, como una unidad de disco incorrecta.
    • Almacenamiento con redundancia de zona (ZRS). Los datos se copian de forma sincrónica en tres zonas de disponibilidad de Azure en la región primaria. Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes.
    • Almacenamiento con redundancia geográfica (GRS) . Los datos se copian de forma sincrónica tres veces dentro de una sola ubicación física en la región primaria mediante LRS. Después, los datos se copian de forma asincrónica en una única ubicación física en la región secundaria. El almacenamiento con redundancia geográfica proporciona seis copias de los datos distribuidas entre dos regiones de Azure.
    • Almacenamiento con redundancia de zona geográfica (GZRS) . Los datos se copian de forma sincrónica en tres zonas de disponibilidad de Azure en la región primaria mediante ZRS. Después, los datos se copian de forma asincrónica en una única ubicación física en la región secundaria.
  • Los recursos compartidos de archivos Premium solo se pueden almacenar en el almacenamiento con redundancia local (LRS) y en el almacenamiento con redundancia de zona (ZRS). Los recursos compartidos de archivos estándar se pueden almacenar en LRS, ZRS, el almacenamiento con redundancia geográfica (GRS) y el almacenamiento con redundancia de zona geográfica (GZRS). Para más información, consulte Planeamiento de una implementación de Azure Files y Redundancia de Azure Storage.
  • Azure Files es un servicio en la nube y, al igual que con todos los servicios en la nube, debe tener conectividad a Internet para acceder a los recursos compartidos de archivos de Azure. Se recomienda una solución de conexión a Internet redundante para evitar las interrupciones.

Facilidad de uso

  • Puede administrar recursos compartidos de archivos de Azure con las mismas herramientas que cualquier otro servicio de Azure. Estas herramientas incluyen Azure Portal, la Interfaz de la línea de comandos de Azure y Azure PowerShell.
  • Los recursos compartidos de archivos de Azure exigen permisos de archivo estándar de Windows. Puede configurar permisos de nivel de archivo o directorio al montar un recurso compartido de archivos de Azure y configurar dichos permisos mediante el explorador de archivos, el comando icacls.exe de Windows o el cmdlet de Windows PowerShell Set-Acl.
  • Puede usar la instantánea del recurso compartido de archivos de Azure para crear una copia de solo lectura de un momento dado para los datos del recurso compartido de archivos de Azure. Cree una instantánea de recurso compartido en el nivel de recurso compartido de archivos. Después, podrá restaurar archivos individuales en Azure Portal o el explorador de archivos, desde donde también podrá restaurar un recurso compartido completo. Puede tener hasta 200 instantáneas por recurso compartido, lo que le permite restaurar archivos en diferentes versiones de un momento dado. Si elimina un recurso compartido, también se eliminan sus instantáneas. Las instantáneas de recurso compartido son incrementales. Solo se guardan los datos que hayan cambiado después de realizar la instantánea de recurso compartido más reciente. Esta práctica minimiza el tiempo necesario para crear la instantánea de recurso compartido y ahorra en costos de almacenamiento. Las instantáneas de recurso compartido de archivos de Azure también se usan para proteger recursos compartidos de archivos de Azure con Azure Backup. Para obtener más información, consulte Información general de las instantáneas de recurso compartido de Azure Files.
  • Para evitar la eliminación accidental de recursos compartidos de archivos de Azure, habilite la eliminación temporal de estos recursos. Si se elimina un recurso compartido de archivos cuando la opción de eliminación temporal está habilitada, este realiza la transición a un estado de eliminación temporal, en lugar de borrarse de forma permanente. Se puede configurar el tiempo durante el que los datos eliminados de forma temporal se pueden recuperar antes de que se eliminen permanentemente y durante este período de retención el recurso compartido se puede restaurar en cualquier momento. Para más información, consulte Habilitación de la eliminación temporal en recursos compartidos de archivos de Azure.

Nota

Azure Backup habilita la eliminación temporal para todos los recursos compartidos de archivos en la cuenta de almacenamiento cuando configura la copia de seguridad para el primer recurso compartido de archivos de la cuenta de almacenamiento correspondiente.

Nota

Los recursos compartidos de archivos Estándar y Premium se facturan según la capacidad usada cuando se han eliminado temporalmente, en lugar de la capacidad aprovisionada.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

  • Use la autenticación de AD DS a través de SMB para acceder a recursos compartidos de archivos de Azure. Esta configuración proporciona la misma experiencia de inicio de sesión único (SSO) sin problemas al acceder a recursos compartidos de archivos de Azure que cuando accede a recursos compartidos de archivos locales. Para obtener más información, consulte Cómo funciona esta característica, así como los pasos de habilitación. El cliente debe estar unido a un dominio en AD DS, ya que la autenticación la realiza el controlador de dominio de AD DS. Además, debe asignar los permisos de nivel de recurso compartido y de nivel de archivo o directorio para obtener acceso a los datos. La asignación de permisos del nivel de recurso compartido se realiza mediante el modelo RBAC de Azure. El permiso de nivel de archivo o directorio se administra como ACL de Windows.

    Nota

    Siempre se autentica el acceso a los recursos compartidos de archivos de Azure. Los recursos compartidos de archivos de Azure no admiten el acceso anónimo. Además de la autenticación basada en identidades a través de SMB, los usuarios también pueden autenticarse en el recurso compartido de archivos de Azure mediante la clave de acceso de almacenamiento y la firma de acceso compartido.

  • Todos los datos que se almacenan en un recurso compartido de archivos de Azure se cifran en reposo mediante Storage Service Encryption (SSE) de Azure. SSE funciona de forma similar a BitLocker Drive Encryption en Windows, ya que los datos se cifran bajo el nivel del sistema de archivos. De manera predeterminada, los datos almacenados en Azure Files se cifran con claves administradas por Microsoft. Con las claves administradas por Microsoft, Microsoft conserva las claves para cifrar o descifrar los datos y administra su rotación de forma periódica. También puede elegir administrar sus propias claves, lo que le permitirá controlar el proceso de rotación.

  • Todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito de manera predeterminada. Esta configuración significa que toda la comunicación con los recursos compartidos de archivos de Azure está cifrada. Los clientes que no admiten el cifrado no pueden conectarse a los recursos compartidos de archivos de Azure. Si deshabilita el cifrado en tránsito, los clientes que ejecutan sistemas operativos anteriores, como Windows Server 2008 R2 o Linux anterior, también pueden conectarse. En tales casos, los datos no se cifran en tránsito desde los recursos compartidos de archivos de Azure.

  • De manera predeterminada, los clientes pueden conectarse a un recurso compartido de archivos de Azure desde cualquier ubicación. Para limitar las redes desde las que pueden conectarse los clientes a los recursos compartidos de archivos de Azure, configure las conexiones del punto de conexión privado, las redes virtuales y el firewall. Para más información, consulte Configuración de redes virtuales y firewalls de Azure Storage y Configuración de puntos de conexión de red de Azure Files.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Descripción general del pilar de optimización de costes y Descripción de la facturación de Azure Files.

  • Azure Files tiene dos niveles de almacenamiento y dos modelos de precios:
    • Almacenamiento estándar: usa el almacenamiento basado en HDD. No hay un tamaño mínimo de recurso compartido de archivos y solo se paga por el espacio de almacenamiento usado. Además, paga por las operaciones de archivo, como la enumeración de un directorio o la lectura de un archivo.
    • Almacenamiento premium: usa el almacenamiento basado en SSD. El tamaño mínimo de un recurso compartido de archivos Premium es 100 gibibytes y se paga por el espacio de almacenamiento aprovisionado. Cuando se usa el almacenamiento Premium, todas las operaciones de archivo son gratuitas.
  • Los costos adicionales están asociados a las instantáneas de recursos compartidos de archivos y las transferencias de datos salientes. (Cuando se transfieren datos desde recursos compartidos de archivos de Azure, la transferencia de datos entrante es gratuita). Los costos de transferencia de datos dependen de la cantidad de datos transferidos y de la referencia de almacén (SKU) de la puerta de enlace de red virtual, si usa una. Para obtener más información sobre los costes, consulte Precios de Azure Files y Calculadora de precios de Azure. El costo real varía en función de la región de Azure y de su contrato individual. Póngase en contacto con un representante de ventas de Microsoft para obtener información adicional sobre los precios.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Más información sobre las tecnologías de los componentes:

Explore las arquitecturas relacionadas: