Planeamiento de una implementación de Azure Files
Azure Files se puede implementar de dos formas: montando directamente los recursos compartidos de archivos de Azure sin servidor (SMB) o almacenando en caché recursos compartidos de archivos de Azure localmente mediante Azure File Sync. Las consideraciones de implementación cambiarán en función de la opción que escoja.
Montaje directo de un recurso compartido de archivos de Azure: dado que Azure Files proporciona acceso mediante Bloque de mensajes del servidor (SMB) o Network File System (NFS), puede montar recursos compartidos de archivos de Azure en el entorno local o en la nube mediante los clientes SMB o NFS estándar disponibles en el sistema operativo. Dado que los recursos compartidos de archivos de Azure no tienen servidor, la implementación en escenarios de producción no requiere la administración de un servidor de archivos o un dispositivo NAS, lo que significa que no tiene que aplicar revisiones de software ni intercambiar discos físicos.
Almacenamiento en caché de recursos compartidos de archivos de Azure localmente con Azure File Sync: Azure File Sync le permite centralizar los recursos compartidos de archivos de su organización en Azure Files sin renunciar a la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Azure File Sync transforma una instancia de Windows Server local (o en la nube) en una caché rápida del recurso compartido de archivos SMB de Azure.
En este artículo se abordan principalmente las consideraciones de implementación de un recurso compartido de archivos de Azure que se va a montar directamente mediante un cliente local o en la nube. Para planear una implementación de Azure File Sync, consulte Planeamiento de una implementación de Azure File Sync.
Protocolos disponibles
Azure Files ofrece dos protocolos de sistema de archivos estándar del sector para montar recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes del servidor (SMB) y el protocolo Network File System (NFS), permitiéndole elegir el protocolo que se ajuste más a su carga de trabajo. Los recursos compartidos de archivos de Azure no admiten los protocolos SMB y NFS en el mismo recurso compartido de archivos, aunque puede crear recursos compartidos de archivos de Azure SMB y NFS dentro de la misma cuenta de almacenamiento. Actualmente, NFS 4.1 solo se admite en el nuevo tipo de cuenta de almacenamiento FileStorage (solo recursos compartidos de archivos premium).
Con los recursos compartidos de archivos SMB y NFS, Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que pueden acceder simultáneamente miles de clientes.
| Característica | SMB | NFS |
|---|---|---|
| Versiones de protocolo admitidas | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| SO recomendado |
|
Versión posterior a la 4.3 del kernel de Linux |
| Niveles disponibles | Premium, optimizado para transacciones, acceso frecuente y acceso esporádico | Premium |
| Modelo de facturación | Capacidad aprovisionada | |
| Puntos de conexión de zona de Azure DNS (versión preliminar) | Compatible | Compatible |
| Redundancia | LRS, ZRS, GRS, GZRS | LRS, ZRS |
| Semántica del sistema de archivos | Win32 | POSIX |
| Authentication | Autenticación basada en identidad (Kerberos), autenticación de clave compartida (NTLMv2) | Autenticación basada en host |
| Authorization | Listas de control de acceso (ACL) de estilo Win32 | Permisos de estilo UNIX |
| Distinción entre mayúsculas y minúsculas | Sin distinción de mayúsculas y minúsculas, conservación de mayúsculas y minúsculas | Distingue mayúsculas de minúsculas |
| Eliminación o modificación de archivos abiertos | Solo con bloqueo | Sí |
| Uso compartido de archivos | Modo de uso compartido de Windows | Network Lock Manager con bloqueo aconsejado de intervalo de bytes |
| Compatibilidad con vínculos físicos | No compatible | Compatible |
| Compatibilidad con los vínculos simbólicos | No compatible | Compatible |
| Opcionalmente accesible desde Internet | Sí (solo SMB 3.0 o posterior) | No |
| Admite FileREST | Sí | Subconjunto: |
| Bloqueos de intervalo de bytes obligatorios | Compatible | No compatible |
| Bloqueos de intervalo de bytes de aviso | No compatible | Compatible |
| Atributos extendidos o con nombre | No compatible | No compatible |
| Flujos de datos alternativos | No compatible | N/D |
| Identificadores de objeto | No compatible | N/D |
| Puntos de repetición de análisis | No compatible | N/D |
| Archivos dispersos | No compatible | N/D |
| Compresión | No compatible | N/D |
| Canalizaciones con nombre | No compatible | N/D |
| SMB directo | No compatible | N/D |
| Concesión de directorio SMB | No compatible | N/D |
| Instantánea de volumen | No compatible | N/D |
| Nombres de archivos cortos (alias 8.3) | No compatible | N/D |
| Servicio de servidor | No compatible | N/D |
| Transacciones del sistema de archivos (TxF) | No compatible | N/D |
Conceptos de administración
Los recursos compartidos de archivos de Azure se implementan en cuentas de almacenamiento, que son objetos de nivel superior que representan un grupo compartido de almacenamiento. Este grupo de almacenamiento se puede usar para implementar varios recursos compartidos de archivos, así como otros recursos de almacenamiento, tales como contenedores de blobs, colas o tablas. Todos los recursos de almacenamiento que se implementan en una cuenta de almacenamiento comparten los límites que se aplican a esa cuenta de almacenamiento. Para ver los límites actuales de una cuenta de almacenamiento, consulte Objetivos de escalabilidad y rendimiento de Azure Files.
Hay dos tipos principales de cuentas de almacenamiento que se usarán para las implementaciones de Azure Files:
- Cuentas de almacenamiento de uso general, versión 2 (GPv2) : Las cuentas de almacenamiento de GPv2 permiten implementar recursos compartidos de archivos de Azure en hardware estándar o basado en disco duro (HDD). Además de almacenar recursos compartidos de archivos de Azure, las cuentas de almacenamiento de GPv2 pueden almacenar otros recursos de almacenamiento, como contenedores de blobs, colas o tablas.
- Cuentas de almacenamiento FileStorage: Las cuentas de almacenamiento FileStorage permiten implementar recursos compartidos de archivos de Azure en hardware prémium o basado en unidades de estado sólido (SSD). Las cuentas FileStorage solo se pueden usar para almacenar recursos compartidos de archivos de Azure. No se puede implementar ningún otro recurso de almacenamiento (contenedores de blobs, colas, tablas, etc.) en una cuenta FileStorage. Solo las cuentas de FileStorage pueden implementar recursos compartidos de archivos SMB y NFS.
Existen otros tipos de cuenta de almacenamiento que puede encontrar en el Azure Portal, PowerShell o la CLI. Dos tipos de cuentas de almacenamiento, BlockBlobStorage y BlobStorage, no pueden contener recursos compartidos de archivos de Azure. Los otros dos tipos de cuenta de almacenamiento que puede ver son las cuentas de almacenamiento clásico y de uso general de la versión 1 (GPv1), y ambas pueden contener recursos compartidos de archivos de Azure. Aunque las cuentas de almacenamiento clásico y de GPv1 pueden contener recursos compartidos de archivos de Azure, la mayoría de las nuevas características de Azure Files solo están disponibles en las cuentas de almacenamiento de GPv2 y FileStorage. Por lo tanto, se recomienda usar solo las cuentas de almacenamiento de GPv2 y FileStorage para las nuevas implementaciones, así como actualizar las cuentas de almacenamiento de GPv1 y clásico si ya existen en su entorno.
Al implementar recursos compartidos de archivos de Azure en cuentas de almacenamiento, se recomienda:
Implementar solo recursos compartidos de archivos de Azure en cuentas de almacenamiento con otros recursos compartidos de archivos de Azure. Aunque las cuentas de almacenamiento de GPv2 permiten tener cuentas de almacenamiento de propósito combinado, dado que los recursos de almacenamiento como los recursos compartidos de archivos de Azure y los contenedores de blobs comparten los límites de la cuenta de almacenamiento, la combinación de recursos puede dificultar la solución de problemas de rendimiento más adelante.
Prestar atención a las limitaciones de IOPS de la cuenta de almacenamiento al implementar recursos compartidos de archivos de Azure. Lo ideal sería asignar recursos compartidos de archivos 1:1 con cuentas de almacenamiento. Sin embargo, quizás no sea posible debido a diversos límites y restricciones, tanto de su organización como de Azure. Cuando no sea posible tener un solo recurso compartido de archivos implementado en una cuenta de almacenamiento, tenga en cuenta qué recursos compartidos estarán muy activos y cuales estarán menos activos, con el fin de asegurarse de que los recursos compartidos de archivos más activos no se colocan en la misma cuenta de almacenamiento.
Implementar solamente cuentas de GPv2 y FileStorage, y actualizar las cuentas de almacenamiento clásicas y de GPv1, cuando las encuentre en su entorno.
Identidad
Para acceder a un recurso compartido de archivos de Azure, el usuario debe estar autenticado y tener la debida autorización. Esto se hace en función de la identidad del usuario que accede al recurso compartido de archivos. Azure Files se integra con cuatro proveedores de identidades principales:
- Active Directory Domain Services local (AD DS, o AD DS local): las cuentas de almacenamiento de Azure pueden estar unidas a un dominio de Active Directory Domain Services propiedad del cliente, al igual que un servidor de archivos de Windows Server o un dispositivo NAS. Puede implementar un controlador de dominio en el entorno local, en una VM de Azure o, incluso, como VM en otro proveedor de nube. Azure Files es independiente de la ubicación donde se hospeda el controlador de dominio. Una vez que una cuenta de almacenamiento está unida a un dominio, el usuario final puede montar un recurso compartido de archivos con la cuenta de usuario con la que inició sesión en su equipo. La autenticación basada en AD usa el protocolo de autenticación Kerberos.
- Azure Active Directory Domain Services (Azure AD DS) : Azure AD DS proporciona un controlador de dominio administrado por Microsoft que se puede usar para los recursos de Azure. La unión a un dominio de la cuenta de almacenamiento a Azure AD DS proporciona ventajas similares a la unión a un dominio de dicha cuenta a una instancia de AD DS propiedad del cliente. Esta opción de implementación es especialmente útil para escenarios de migración mediante lift-and-shift de aplicaciones que requieren permisos basados en AD. Dado que Azure AD DS proporciona autenticación basada en AD, esta opción también usa el protocolo de autenticación Kerberos.
- Kerberos de Azure Active Directory (Azure AD) para identidades híbridas: Kerberos de Azure AD permite usar Azure AD para autenticar identidades de usuario híbridas, que son identidades de AD locales que se sincronizan con la nube. Esta configuración usa Azure AD para emitir tickets Kerberos para acceder al archivo compartido con el protocolo SMB. Esto significa que los usuarios finales pueden acceder a los recursos compartidos de archivos de Azure a través de Internet sin necesidad de una línea de visión a los controladores de dominio desde VM unidas a Azure AD híbrido y Azure AD.
- Clave de la cuenta de Azure Storage: los recursos compartidos de archivos de Azure también se pueden montar con una clave de cuenta de almacenamiento de Azure. Para montar un recurso compartido de archivos de esta forma, el nombre de la cuenta de almacenamiento se usa como nombre de usuario y la clave de la cuenta de almacenamiento se usa como contraseña. El uso de la clave de la cuenta de almacenamiento para montar el recurso compartido de archivos de Azure es realmente una operación de administrador, porque el recurso compartido de archivos montado tendrá permisos completos para todos los archivos y todas las carpetas del recurso compartido, aunque tengan ACL. Cuando se usa la clave de la cuenta de almacenamiento para el montaje a través de SMB, se usa el protocolo de autenticación NTLMv2.
En el caso de los clientes que realizan la migración desde servidores de archivos locales o que crean nuevos recursos compartidos de archivos en Azure Files destinados a comportarse como servidores de archivos de Windows o dispositivos NAS, la unión a un dominio de la cuenta de almacenamiento a una instancia AD DS propiedad del cliente es la opción recomendada. Para obtener más información sobre la unión de dominio de su cuenta de almacenamiento a un AD DS propiedad del cliente, consulte Información general: autenticación de Active Directory Domain Services local en SMB para recursos compartidos de archivos de Azure.
Si tiene previsto usar la clave de la cuenta de almacenamiento para acceder a los recursos compartidos de archivos de Azure, se recomienda usar puntos de conexión privados o puntos de conexión de servicio como se describe en la sección Redes.
Redes
El montaje directo del recurso compartido de archivos de Azure a menudo requiere cierta idea sobre la configuración de red, debido a las siguientes razones:
- El puerto que usan los recursos compartidos de archivos SMB para la comunicación, el puerto 445, se suele bloquear por parte de muchas organizaciones y proveedores de servicios de Internet (ISP) para el tráfico saliente (Internet).
- Los recursos compartidos de archivos NFS se basan en la autenticación de nivel de red y, por tanto, solo son accesibles mediante redes restringidas. El uso de un recurso compartido de archivos NFS siempre requiere algún nivel de configuración de redes.
Para configurar las redes, Azure Files proporciona un punto de conexión público accesible a través de Internet e integración con características de red de Azure como puntos de conexión de servicio, que ayudan a restringir el punto de conexión público a redes virtuales específicas y puntos de conexión privados, que proporcionan a la cuenta de almacenamiento una dirección IP privada desde un espacio de direcciones IP de red virtual.
Desde un punto de vista práctico, esto significa que deberá tener en cuenta las siguientes configuraciones de red:
- Si el protocolo necesario es SMB y todo el acceso a través de SMB procede de clientes de Azure, no se requiere ninguna configuración de red especial.
- Si el protocolo necesario es SMB y el acceso procede de clientes locales, se requiere una conexión VPN o ExpressRoute desde el entorno local a la red de Azure, con Azure Files expuesto en la red interna mediante puntos de conexión privados.
- Si el protocolo necesario es NFS, puede usar puntos de conexión de servicio o puntos de conexión privados para restringir la red a redes virtuales específicas.
Para más información sobre cómo configurar las redes para Azure Files, consulte Consideraciones sobre redes de Azure Files.
Además de conectarse directamente al recurso compartido de archivos mediante el punto de conexión público o mediante una conexión VPN o ExpressRoute con un punto de conexión privado, SMB proporciona una estrategia de acceso de cliente adicional: SMB a través de QUIC. SMB vía QUIC ofrece "VPN SMB" de configuración cero para el acceso SMB a través del protocolo de transporte QUIC. Aunque Azure Files no admite directamente SMB a través de QUIC, puede crear una caché ligera de los recursos compartidos de archivos de Azure en una máquina virtual de Azure Edition de Windows Server 2022 mediante Azure File Sync. Para más información sobre esta opción, consulte SMB a través de QUIC con Azure File Sync.
Cifrado
Azure Files admite dos tipos de cifrado diferentes: el cifrado en tránsito, que se relaciona con el cifrado que se usa al montar el recurso compartido de archivos de Azure y acceder a este, y el cifrado en reposo, relacionado con la forma en que se cifran los datos cuando se almacenan en el disco.
Cifrado en tránsito
Importante
En esta sección se tratan los detalles del cifrado en tránsito para recursos compartidos SMB. Para más información sobre el cifrado en tránsito con recursos compartidos de NFS, consulte Seguridad y redes.
De forma predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito. Esto significa que, al montar un recurso compartido de archivos a través de SMB o acceder a él a través del protocolo de FileREST (por ejemplo, a través de Azure Portal, la CLI o PowerShell, o los SDK de Azure), Azure Files solo permitirá la conexión si se realiza con una versión posterior a SMB 3.x con cifrado o HTTPS. Los clientes que no admiten SMB 3.x, o los clientes que admiten SMB 3.x pero no el cifrado SMB, no podrán montar el recurso compartido de archivos de Azure si está habilitado el cifrado en tránsito. Para más información sobre qué sistemas operativos admiten SMB 3.x con cifrado, consulte nuestra documentación detallada para Windows, macOS y Linux. Todas las versiones actuales de PowerShell, la CLI y los SDK admiten HTTPS.
Puede deshabilitar el cifrado en tránsito para una cuenta de almacenamiento de Azure. Cuando el cifrado está deshabilitado, Azure Files también permite el uso de SMB 2.1 y SMB 3.x sin cifrado, y de llamadas a la API de FileREST sin cifrar a través de HTTP. La razón principal para deshabilitar el cifrado en tránsito es admitir una aplicación heredada que debe ejecutarse en un sistema operativo anterior, como Windows Server 2008 R2 o una distribución de Linux anterior. Azure Files solo permite conexiones SMB 2.1 dentro de la misma región de Azure del recurso compartido de archivos de Azure. Un cliente SMB 2.1 fuera de la región de Azure del recurso compartido de archivos de Azure (por ejemplo, en un entorno local o en una región de Azure diferente) no podrá acceder al recurso compartido de archivos.
Se recomienda encarecidamente asegurarse de que está habilitado el cifrado de los datos en tránsito.
Para obtener más información sobre el cifrado en tránsito, consulte Requerir transferencia segura en Azure Storage.
Cifrado en reposo
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
De manera predeterminada, los datos almacenados en Azure Files se cifran con claves administradas por Microsoft. Con las claves administradas por Microsoft, Microsoft mantiene las claves para cifrar o descifrar los datos y es responsable de rotarlas de forma periódica. También puede elegir administrar sus propias claves, lo que le permitirá controlar el proceso de rotación. Si decide cifrar los recursos compartidos de archivos con claves administradas por el cliente, Azure Files está autorizado para tener acceso a las claves con el fin de satisfacer las solicitudes de lectura y escritura de los clientes. Con las claves administradas por el cliente, puede revocar esta autorización en cualquier momento, pero esto significa que el recurso compartido de archivos de Azure ya no será accesible a través de SMB o la API FileREST.
Azure Files usa el mismo esquema de cifrado que los otros servicios de almacenamiento de Azure, como Azure Blob Storage. Para aprender más sobre el cifrado del servicio de almacenamiento (SSE) de Azure, consulte Cifrado de Azure Storage para datos en reposo.
Protección de los datos
Azure Files tiene un enfoque de varias capas para garantizar la copia de seguridad de los datos, su recuperación y su protección contra amenazas de seguridad.
Eliminación temporal
La eliminación temporal es una configuración de nivel de cuenta de almacenamiento de recursos compartidos de archivos de SMB que permite recuperar el recurso compartido de archivos cuando se elimina accidentalmente. Cuando se elimina un recurso compartido de archivos, pasa a un estado de eliminación temporal, en lugar de borrarse de forma permanente. Se puede configurar el tiempo durante el que los datos eliminados de forma temporal se pueden recuperar antes de que se eliminen permanentemente y durante este período de retención el recurso compartido se puede recuperar en cualquier momento.
Se recomienda activar la eliminación temporal para la mayoría de los recursos compartidos de archivos de SMB. Si tiene un flujo de trabajo en el que la eliminación de recursos compartidos es común y se espera, puede que decida tener un período de retención corto o no tener habilitada la eliminación temporal. La eliminación temporal no funciona con los recursos compartidos de NFS, incluso si está habilitada para la cuenta de almacenamiento.
Para obtener más información acerca de la eliminación temporal, consulte Evitar la eliminación accidental de datos.
Copia de seguridad
Puede realizar una copia de seguridad del recurso compartido de archivos de Azure a través de instantáneas de recurso compartido, que son copias de solo lectura de un momento dado del recurso compartido. Las instantáneas son incrementales, lo que significa que solo contienen los datos que han cambiado desde la instantánea anterior. Puede tener hasta 200 instantáneas por recurso compartido de archivos y conservarlas durante un máximo de diez años. Puede realizar estas instantáneas manualmente en Azure Portal, a través de PowerShell o en la interfaz de la línea de comandos (CLI), o bien puede usar Azure Backup. Las instantáneas se almacenan en el recurso compartido de archivos, lo que significa que si lo elimina, también se eliminarán las instantáneas. Para proteger las copias de seguridad de instantáneas contra eliminaciones accidentales, asegúrese de que la eliminación temporal está habilitada para el recurso compartido.
Azure Backup para recursos compartidos de archivos de Azure controla la programación y retención de instantáneas. Sus capacidades de abuelo-padre-hijo (GFS) significan que puede tomar instantáneas diarias, semanales, mensuales y anuales, cada una con su propio período de retención distinto. Azure Backup también organiza la habilitación de la eliminación temporal y toma un bloqueo de eliminación en una cuenta de almacenamiento en cuanto se configura un recurso compartido de archivos en ella para la copia de seguridad. Por último, Azure Backup proporciona ciertas capacidades clave de supervisión y alertas que permiten a los clientes tener una vista consolidada de su copia de seguridad.
Puede realizar restauraciones de nivel de elemento y de nivel de recurso compartido en Azure Portal mediante Azure Backup. Lo único que debe hacer es elegir el punto de restauración (una instantánea concreta), el archivo o directorio en cuestión si es pertinente y, a continuación, la ubicación (original o alternativa) en la que quiere realizar la restauración. El servicio de copia de seguridad controla la copia de los datos de instantáneas y muestra el progreso de la restauración en el portal.
Protección de Azure Files con Microsoft Defender para Storage
Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Proporciona una seguridad completa mediante el análisis de la telemetría del plano de datos y el plano de control generados por Azure Files. Usa capacidades avanzadas de detección de amenazas con tecnología de Inteligencia contra amenazas Microsoft para proporcionar alertas de seguridad contextuales, incluidos los pasos para mitigar las amenazas detectadas y evitar futuros ataques.
Defender para Storage analiza continuamente el flujo de telemetría generado por Azure Files. Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Microsoft Defender for Cloud junto con los detalles de la actividad sospechosa, los pasos de investigación, las acciones de corrección y las recomendaciones de seguridad.
Defender para Storage detecta malware conocido, como ransomware, virus, spyware y otro malware cargado en una cuenta de almacenamiento basada en un hash de archivo completo (solo se admite para la API de REST). Esto ayuda a evitar que el malware entre en la organización y se propague a más usuarios y recursos. Consulte también las Limitaciones del análisis de reputación de hash.
Defender para Storage no tiene acceso a los datos de la cuenta de almacenamiento y no afecta a su rendimiento. Puede habilitar Microsoft Defender para Storage en el nivel de suscripción (recomendado) o de recursos.
Niveles de almacenamiento
Azure Files ofrece cuatro niveles diferentes de almacenamiento: Premium, Optimizado para transacciones, Frecuente y Esporádico, con el fin de que pueda adaptar sus recursos compartidos a los requisitos de rendimiento y precio de su escenario:
- Premium: Los recursos compartidos de archivos Premium tienen el respaldo de discos SSD y proporcionan alto rendimiento y baja latencia de forma consistente en menos de 10 milisegundos en la mayoría de las operaciones de E/S para las cargas de trabajo con mayor uso de E/S. Los recursos compartidos de archivos Premium son adecuados para una amplia variedad de cargas de trabajo como bases de datos, hospedaje de sitios web y entornos de desarrollo. Los recursos compartidos de archivos Premium se pueden usar con los protocolos Bloque de mensajes del servidor (SMB) y Network File System (NFS).
- Optimizado para transacciones: Los recursos compartidos de archivos con el nivel Optimizado para transacciones permiten cargas de trabajo con muchas transacciones que no necesitan la latencia que ofrecen los recursos compartidos de archivos Premium. Los recursos compartidos de archivos optimizados para transacciones se ofrecen en el hardware de almacenamiento estándar respaldado por unidades de disco duro (HDD). A los optimizados para transacciones se les ha llamado históricamente "estándar"; sin embargo, realmente es el tipo de soporte físico de almacenamiento, en lugar del propio nivel (tanto el acceso frecuente como el esporádico también son niveles "estándar", ya que se encuentran en el hardware de almacenamiento estándar).
- Acceso frecuente: Los recursos compartidos de nivel de acceso frecuente ofrecen almacenamiento optimizado para escenarios de uso compartido de archivos de uso general, como los recursos compartidos de los equipos. Los recursos compartidos de archivos de nivel de acceso frecuente se ofrecen en el hardware de almacenamiento estándar respaldado por unidades de disco duro.
- Acceso esporádico: Los recursos compartidos de archivos de acceso esporádico ofrecen un almacenamiento económico optimizado para escenarios de almacenamiento de archivo en línea. Los recursos compartidos de archivos de nivel de acceso esporádico se ofrecen en el hardware de almacenamiento estándar respaldado por unidades de disco duro.
Los recursos compartidos de archivos Premium se implementan en la cuenta de almacenamiento de FileStorage y solo están disponibles en un modelo de facturación aprovisionado. Para más información sobre el modelo de facturación aprovisionado para recursos compartidos de archivos Premium, consulte Planeamiento de una implementación de Azure Files. Los recursos compartidos de archivos estándar, que incluyen los optimizados para las transacciones, los de nivel de acceso frecuente y los de nivel de acceso esporádico, se implementan en la cuenta de almacenamiento de uso general, versión 2 (GPv2) y están disponibles en un modelo de pago por uso.
Al seleccionar una capa de almacenamiento para la carga de trabajo, tenga en cuenta los requisitos de rendimiento y uso. Si la carga de trabajo requiere una latencia de un solo dígito o si usa medios de almacenamiento SSD en un entorno local, es probable que el nivel Premium sea el más adecuado. Si no es muy importante que la latencia sea baja, por ejemplo, en el caso de recursos compartidos de equipo montados localmente desde Azure o almacenados en la caché local mediante Azure File Sync, desde el punto de vista del costo es posible que sea más adecuado usar el almacenamiento estándar.
Una vez que se haya creado un recurso compartido de archivos en una cuenta de almacenamiento, no se podrá mover a niveles exclusivos de diferentes tipos de cuenta de almacenamiento. Por ejemplo, para cambiar un recurso compartido de archivos optimizado para transacciones al nivel Premium, es preciso crear un recurso compartido de archivos en una cuenta de almacenamiento de FileStorage y copiar los datos desde el recurso compartido original a un nuevo recurso compartido de archivos en la cuenta de FileStorage. Se recomienda usar AzCopy para copiar datos entre recursos compartidos de archivos de Azure, pero también se pueden usar herramientas como robocopy en Windows o rsync en macOS y Linux.
Para más información, consulte Facturación de Azure Files.
Limitaciones
Los recursos compartidos de archivos Estándar con 100 TiB de capacidad tienen algunas limitaciones.
- Actualmente, solo se admiten cuentas de almacenamiento con redundancia local (LRS) y almacenamiento con redundancia de zona (ZRS).
- Una vez que habilite los recursos compartidos de archivos de gran tamaño, no podrá convertir las cuentas de almacenamiento en cuentas de almacenamiento con redundancia geográfica (GRS) o con redundancia de zona geográfica (GZRS).
- Una vez que habilite los recursos compartidos de archivos de gran tamaño, no podrá deshabilitarlos.
Redundancia
Para proteger los datos de los recursos compartidos de archivos de Azure contra la pérdida o daños de los datos, todos los recursos compartidos de los archivos de Azure almacenan varias copias de cada archivo a medida que se escriben. En función de los requisitos de la carga de trabajo, puede seleccionar niveles adicionales de redundancia. Actualmente, Azure Files admite las siguientes opciones de redundancia de datos:
- Almacenamiento con redundancia local (LRS) : con LRS, todos los archivos se almacenan tres veces dentro de un clúster de almacenamiento de Azure. Esto protege contra la pérdida de datos debido a errores de hardware, como una unidad de disco incorrecta. No obstante, si se produce un desastre como un incendio o una inundación en el centro de datos, es posible que todas las réplicas de una cuenta de almacenamiento con LRS se pierdan o no se puedan recuperar.
- Almacenamiento con redundancia de zona (ZRS): con ZRS, se almacenan tres copias de cada archivo. Sin embargo, estas copias están aisladas físicamente en tres clústeres de almacenamiento distintos en distintas zonas de disponibilidad de Azure. Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. No se acepta la escritura en el almacenamiento hasta que se escribe en los clústeres de almacenamiento en las tres zonas de disponibilidad.
- Almacenamiento con redundancia geográfica (GRS): con GRS, tiene dos regiones, una principal y una secundaria. Los archivos se almacenan tres veces dentro de un clúster de almacenamiento de Azure en la región primaria. Las escrituras se replican de forma asincrónica en una región secundaria definida por Microsoft. GRS proporciona seis copias de los datos distribuidas entre dos regiones de Azure. En caso de un desastre importante, como la pérdida permanente de una región de Azure debido a una catástrofe natural o a otro evento similar, Microsoft realiza una conmutación por error y el servidor secundario se convierte en el primario y atiende a todas las operaciones. Dado que la replicación entre las regiones principal y secundaria es asincrónica, en caso de que se produzca un desastre importante, se perderán los datos que todavía no se hayan replicado en la región secundaria. También puede realizar una conmutación por error manual de una cuenta de almacenamiento con redundancia geográfica.
- Almacenamiento con redundancia de zona geográfica (GZRS) : puede imaginarse GZRS como si fuera ZRS, pero con redundancia geográfica. Con GZRS, los archivos se almacenan tres veces en tres clústeres de almacenamiento distintos en la región primaria. Todas las escrituras se replican de forma asincrónica en una región secundaria definida por Microsoft. El proceso de conmutación por error de GZRS funciona igual que en GRS.
Los recursos compartidos de archivos estándar de Azure de hasta 5 TiB admiten los cuatro tipos de redundancia. Los recursos compartidos de archivos estándar de más de 5 TiB solo admiten LRS y ZRS. Los recursos compartidos de archivos premium de Azure solo admiten LRS y ZRS.
Las cuentas de almacenamiento de uso general versión 2 (GPv2) proporcionan dos opciones de redundancia adicionales que no son compatibles con Azure Files: almacenamiento con redundancia geográfica con acceso de lectura, que a menudo se conoce como RA-GRS, y almacenamiento con redundancia de zona geográfica accesible. se conoce como RA-GZRS. Puede aprovisionar recursos compartidos de archivos de Azure en cuentas de almacenamiento con estas opciones establecidas, pero Azure Files no admite la lectura desde la región secundaria. Los recursos compartidos de archivos de Azure implementados en cuentas de almacenamiento con redundancia geográfica o con redundancia de zona geográfica con acceso de lectura se facturarán como almacenamiento con redundancia geográfica o con redundancia de zona geográfica, respectivamente.
Disponibilidad de ZRS estándar
ZRS para cuentas de almacenamiento estándar de uso general v2 está disponible para un subconjunto de regiones de Azure:
- (África) Norte de Sudáfrica
- (Asia Pacífico) Este de Australia
- (Asia Pacífico) Centro de la India
- (Asia Pacífico) Este de Asia
- (Asia Pacífico) Este de Japón
- (Asia Pacífico) Centro de Corea del Sur
- (Asia Pacífico) Sudeste de Asia
- (Europa) Centro de Francia
- (Europa) Centro-oeste de Alemania
- (Europa) Norte de Europa
- (Europa) Este de Noruega
- (Europa) Centro de Suecia
- (Europa) Norte de Suiza
- (Europa) Sur de Reino Unido
- (Europa) Oeste de Europa
- (Oriente Medio) Centro de Catar
- (Oriente Medio) Norte de Emiratos Árabes Unidos
- (Norteamérica) Centro de Canadá
- (Norteamérica) Centro de EE. UU.
- (Norteamérica) Este de EE. UU.
- (Norteamérica) Este de EE. UU. 2
- (Norteamérica) Centro-sur de EE. UU.
- (Norteamérica) US Gov Virginia
- (Norteamérica) Oeste de EE. UU. 2
- (Norteamérica) Oeste de EE. UU. 3
- (Sudamérica) Sur de Brasil
Disponibilidad de ZRS premium
ZRS para recursos compartidos de archivos premium está disponible para un subconjunto de regiones de Azure:
- (Asia Pacífico) Este de Australia
- (Asia Pacífico) Este de Japón
- (Asia Pacífico) Sudeste de Asia
- (Asia Pacífico) Centro de Corea del Sur
- (Europa) Centro de Francia
- (Europa) Norte de Europa
- (Europa) Oeste de Europa
- (Europa) Sur de Reino Unido
- (Oriente Medio) Centro de Catar
- (Norteamérica) Este de EE. UU.
- (Norteamérica) Este de EE. UU. 2
- (Norteamérica) Oeste de EE. UU. 2
- (Norteamérica) Centro-sur de EE. UU.
- (Sudamérica) Sur de Brasil
Disponibilidad de GZRS estándar
GZRS está disponible para un subconjunto de regiones de Azure:
- (África) Norte de Sudáfrica
- (Asia Pacífico) Este de Australia
- (Asia Pacífico) Este de Asia
- (Asia Pacífico) Este de Japón
- (Asia Pacífico) Centro de Corea del Sur
- (Asia Pacífico) Sudeste de Asia
- (Asia Pacífico) Centro de la India
- (Europa) Centro de Francia
- (Europa) Centro-oeste de Alemania
- (Europa) Norte de Europa
- (Europa) Este de Noruega
- (Europa) Centro de Suecia
- (Europa) Norte de Suiza
- (Europa) Sur de Reino Unido
- (Europa) Oeste de Europa
- (Norteamérica) Centro de Canadá
- (Norteamérica) Centro de EE. UU.
- (Norteamérica) Este de EE. UU.
- (Norteamérica) Este de EE. UU. 2
- (Norteamérica) Centro-sur de EE. UU.
- (Norteamérica) Oeste de EE. UU. 2
- (Norteamérica) Oeste de EE. UU. 3
- (Norteamérica) US Gov Virginia
- (Sudamérica) Sur de Brasil
Migración
En muchos casos, no se establecerá un nuevo recurso compartido de archivos para su organización, sino que se migrará uno existente de un servidor de archivos local o un dispositivo NAS a Azure Files. La elección de la herramienta y estrategia de migración adecuadas para el escenario es importante para el éxito de la migración.
En el artículo de introducción a la migración se describen brevemente los aspectos básicos y se incluye una tabla que le conduce a guías de migración que probablemente cubran su escenario.