Planeamiento de una implementación de Azure Files
Puede implementar Azure Files de dos formas: montando directamente los recursos compartidos de archivos de Azure sin servidor o almacenando en caché recursos compartidos de archivos de Azure localmente mediante Azure File Sync. Las consideraciones de implementación cambiarán en función de la opción que escoja.
Montaje directo de un recurso compartido de archivos de Azure: dado que Azure Files proporciona acceso mediante Bloque de mensajes del servidor (SMB) o Network File System (NFS), puede montar recursos compartidos de archivos de Azure en el entorno local o en la nube mediante los clientes SMB o NFS estándar disponibles en el sistema operativo. Dado que los recursos compartidos de archivos de Azure no tienen servidor, la implementación en escenarios de producción no requiere la administración de un servidor de archivos o un dispositivo NAS. lo que significa que no tiene que aplicar revisiones de software ni intercambiar discos físicos.
Almacenamiento en caché de recursos compartidos de archivos de Azure localmente con Azure File Sync: Azure File Sync le permite centralizar los recursos compartidos de archivos de su organización en Azure Files sin renunciar a la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Azure File Sync transforma una instancia de Windows Server local (o en la nube) en una caché rápida del recurso compartido de archivos SMB de Azure.
En este artículo se abordan principalmente las consideraciones de implementación de un recurso compartido de archivos de Azure que se va a montar directamente mediante un cliente local o en la nube. Para planear una implementación de Azure File Sync, consulte Planeamiento de una implementación de Azure File Sync.
Protocolos disponibles
Azure Files ofrece dos protocolos de sistema de archivos estándar del sector para montar recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes del servidor (SMB) y el protocolo Network File System (NFS), permitiéndole elegir el protocolo que se ajuste más a su carga de trabajo. Los recursos compartidos de archivos de Azure no admiten los protocolos SMB y NFS en el mismo recurso compartido de archivos, aunque puede crear recursos compartidos de archivos de Azure SMB y NFS dentro de la misma cuenta de almacenamiento. Actualmente, NFS 4.1 solo se admite en el nuevo tipo de cuenta de almacenamiento FileStorage (solo recursos compartidos de archivos premium).
Con los recursos compartidos de archivos SMB y NFS, Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que pueden acceder simultáneamente miles de clientes.
| Característica | SMB | NFS |
|---|---|---|
| Versiones de protocolo admitidas | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| SO recomendado |
|
Versión posterior a la 4.3 del kernel de Linux |
| Niveles disponibles | Premium, optimizado para transacciones, acceso frecuente y acceso esporádico | Premium |
| Modelo de facturación | Capacidad aprovisionada | |
| Puntos de conexión de zona de Azure DNS (versión preliminar) | Compatible | Compatible |
| Redundancia | LRS, ZRS, GRS, GZRS | LRS, ZRS |
| Semántica del sistema de archivos | Win32 | POSIX |
| Authentication | Autenticación basada en identidad (Kerberos), autenticación de clave compartida (NTLMv2) | Autenticación basada en host |
| Authorization | Listas de control de acceso (ACL) de estilo Win32 | Permisos de estilo UNIX |
| Distinción entre mayúsculas y minúsculas | Sin distinción de mayúsculas y minúsculas, conservación de mayúsculas y minúsculas | Distingue mayúsculas de minúsculas |
| Eliminación o modificación de archivos abiertos | Solo con bloqueo | Sí |
| Uso compartido de archivos | Modo de uso compartido de Windows | Network Lock Manager con bloqueo aconsejado de intervalo de bytes |
| Compatibilidad con vínculos físicos | No compatible | Compatible |
| Compatibilidad con los vínculos simbólicos | No compatible | Compatible |
| Opcionalmente accesible desde Internet | Sí (solo SMB 3.0 o posterior) | No |
| Admite FileREST | Sí | Subconjunto: |
| Bloqueos de intervalo de bytes obligatorios | Compatible | No compatible |
| Bloqueos de intervalo de bytes de aviso | No compatible | Compatible |
| Atributos extendidos o con nombre | No compatible | No compatible |
| Flujos de datos alternativos | No compatible | N/D |
| Identificadores de objeto | No compatible | N/D |
| Puntos de repetición de análisis | No compatible | N/D |
| Archivos dispersos | No compatible | N/D |
| Compresión | No compatible | N/D |
| Canalizaciones con nombre | No compatible | N/D |
| SMB directo | No compatible | N/D |
| Concesión de directorio SMB | No compatible | N/D |
| Instantánea de volumen | No compatible | N/D |
| Nombres de archivos cortos (alias 8.3) | No compatible | N/D |
| Servicio de servidor | No compatible | N/D |
| Transacciones del sistema de archivos (TxF) | No compatible | N/D |
Conceptos de administración
Los recursos compartidos de archivos de Azure se implementan en cuentas de almacenamiento, que son objetos de nivel superior que representan un grupo compartido de almacenamiento. Este grupo de almacenamiento se puede usar para implementar varios recursos compartidos de archivos, así como otros recursos de almacenamiento, tales como contenedores de blobs, colas o tablas. Todos los recursos de almacenamiento que se implementan en una cuenta de almacenamiento comparten los límites que se aplican a esa cuenta de almacenamiento. Para ver los límites actuales de una cuenta de almacenamiento, consulte Objetivos de escalabilidad y rendimiento de Azure Files.
Hay dos tipos principales de cuentas de almacenamiento que se usarán para las implementaciones de Azure Files:
- Cuentas de almacenamiento de uso general, versión 2 (GPv2) : Las cuentas de almacenamiento de GPv2 permiten implementar recursos compartidos de archivos de Azure en hardware estándar o basado en disco duro (HDD). Además de almacenar recursos compartidos de archivos de Azure, las cuentas de almacenamiento de GPv2 pueden almacenar otros recursos de almacenamiento, como contenedores de blobs, colas o tablas.
- Cuentas de almacenamiento FileStorage: Las cuentas de almacenamiento FileStorage permiten implementar recursos compartidos de archivos de Azure en hardware prémium o basado en unidades de estado sólido (SSD). Las cuentas FileStorage solo se pueden usar para almacenar recursos compartidos de archivos de Azure. No se puede implementar ningún otro recurso de almacenamiento (contenedores de blobs, colas, tablas, etc.) en una cuenta FileStorage. Solo las cuentas de FileStorage pueden implementar recursos compartidos de archivos SMB y NFS.
Existen otros tipos de cuenta de almacenamiento que puede encontrar en el Azure Portal, PowerShell o la CLI. Dos tipos de cuentas de almacenamiento, BlockBlobStorage y BlobStorage, no pueden contener recursos compartidos de archivos de Azure. Los otros dos tipos de cuenta de almacenamiento que puede ver son las cuentas de almacenamiento clásico y de uso general de la versión 1 (GPv1), y ambas pueden contener recursos compartidos de archivos de Azure. Aunque las cuentas de almacenamiento clásico y de GPv1 pueden contener recursos compartidos de archivos de Azure, la mayoría de las nuevas características de Azure Files solo están disponibles en las cuentas de almacenamiento de GPv2 y FileStorage. Por lo tanto, se recomienda usar solo las cuentas de almacenamiento de GPv2 y FileStorage para las nuevas implementaciones, así como actualizar las cuentas de almacenamiento de GPv1 y clásico si ya existen en su entorno.
Al implementar recursos compartidos de archivos de Azure en cuentas de almacenamiento, se recomienda:
Implementar solo recursos compartidos de archivos de Azure en cuentas de almacenamiento con otros recursos compartidos de archivos de Azure. Aunque las cuentas de almacenamiento de GPv2 permiten tener cuentas de almacenamiento de propósito combinado, dado que los recursos de almacenamiento como los recursos compartidos de archivos de Azure y los contenedores de blobs comparten los límites de la cuenta de almacenamiento, la combinación de recursos puede dificultar la solución de problemas de rendimiento más adelante.
Prestar atención a las limitaciones de IOPS de la cuenta de almacenamiento al implementar recursos compartidos de archivos de Azure. Lo ideal sería asignar recursos compartidos de archivos 1:1 con cuentas de almacenamiento. Sin embargo, quizás no sea posible debido a diversos límites y restricciones, tanto de su organización como de Azure. Cuando no sea posible tener un solo recurso compartido de archivos implementado en una cuenta de almacenamiento, tenga en cuenta qué recursos compartidos estarán muy activos y cuales estarán menos activos, con el fin de asegurarse de que los recursos compartidos de archivos más activos no se colocan en la misma cuenta de almacenamiento.
Implementar solamente cuentas de GPv2 y FileStorage, y actualizar las cuentas de almacenamiento clásicas y de GPv1, cuando las encuentre en su entorno.
Identidad
Para acceder a un recurso compartido de archivos de Azure, el usuario debe estar autenticado y tener la debida autorización. Esto se hace en función de la identidad del usuario que accede al recurso compartido de archivos. Azure Files admite los siguientes métodos de autenticación:
- Active Directory Domain Services local (AD DS, o AD DS local): las cuentas de almacenamiento de Azure pueden estar unidas a un dominio de Active Directory Domain Services propiedad del cliente, al igual que un servidor de archivos de Windows Server o un dispositivo NAS. Puede implementar un controlador de dominio en el entorno local, en una VM de Azure o, incluso, como VM en otro proveedor de nube. Azure Files es independiente de la ubicación donde se hospeda el controlador de dominio. Una vez que una cuenta de almacenamiento está unida a un dominio, el usuario final puede montar un recurso compartido de archivos con la cuenta de usuario con la que inició sesión en su equipo. La autenticación basada en AD usa el protocolo de autenticación Kerberos.
- Microsoft Entra Domain Services: Microsoft Entra Domain Services proporciona un controlador de dominio administrado por Microsoft que se puede usar para los recursos de Azure. La unión a un dominio de la cuenta de almacenamiento a Microsoft Entra Domain Services proporciona ventajas similares a la unión a un dominio de dicha cuenta a una instancia de AD DS propiedad del cliente. Esta opción de implementación es especialmente útil para escenarios de migración mediante lift-and-shift de aplicaciones que requieren permisos basados en AD. Dado que Microsoft Entra Domain Services proporciona autenticación basada en AD, esta opción también usa el protocolo de autenticación Kerberos.
- Microsoft Entra Kerberos para identidades híbridas: Microsoft Entra Kerberos permite usar Microsoft Entra ID para autenticar identidades de usuario híbridas, que son identidades de AD locales que se sincronizan con la nube. Esta configuración usa Microsoft Entra ID para emitir tickets de Kerberos para acceder al archivo compartido con el protocolo SMB. Esto significa que los usuarios finales pueden acceder a los recursos compartidos de archivos de Azure a través de Internet sin necesidad de tener conectividad de red a los controladores de dominio desde máquinas virtuales unidas a Microsoft Entra híbrido y a Microsoft Entra.
- Autenticación de Active Directory a través de SMB para clientes Linux: Azure Files admite la autenticación basada en identidades a través de SMB para clientes Linux mediante el protocolo de autenticación Kerberos mediante AD DS o Microsoft Entra Domain Services.
- Clave de la cuenta de Azure Storage: los recursos compartidos de archivos de Azure también se pueden montar con una clave de cuenta de almacenamiento de Azure. Para montar un recurso compartido de archivos de esta forma, el nombre de la cuenta de almacenamiento se usa como nombre de usuario y la clave de la cuenta de almacenamiento se usa como contraseña. El uso de la clave de la cuenta de almacenamiento para montar el recurso compartido de archivos de Azure es realmente una operación de administrador, porque el recurso compartido de archivos montado tendrá permisos completos para todos los archivos y todas las carpetas del recurso compartido, aunque tengan ACL. Cuando se usa la clave de la cuenta de almacenamiento para el montaje a través de SMB, se usa el protocolo de autenticación NTLMv2. Si tiene previsto usar la clave de la cuenta de almacenamiento para acceder a los recursos compartidos de archivos de Azure, se recomienda usar puntos de conexión privados o puntos de conexión de servicio como se describe en la sección Redes.
En el caso de los clientes que realizan la migración desde servidores de archivos locales o que crean nuevos recursos compartidos de archivos en Azure Files destinados a comportarse como servidores de archivos de Windows o dispositivos NAS, la unión a un dominio de la cuenta de almacenamiento a una instancia AD DS propiedad del cliente es la opción recomendada. Para obtener más información sobre la unión de dominio de su cuenta de almacenamiento a un AD DS propiedad del cliente, consulte Información general: autenticación de Active Directory Domain Services local en SMB para recursos compartidos de archivos de Azure.
Redes
El montaje directo del recurso compartido de archivos de Azure a menudo requiere cierta idea sobre la configuración de red, debido a las siguientes razones:
- El puerto que usan los recursos compartidos de archivos SMB para la comunicación, el puerto 445, se suele bloquear por parte de muchas organizaciones y proveedores de servicios de Internet (ISP) para el tráfico saliente (Internet).
- Los recursos compartidos de archivos NFS se basan en la autenticación de nivel de red y, por tanto, solo son accesibles mediante redes restringidas. El uso de un recurso compartido de archivos NFS siempre requiere algún nivel de configuración de redes.
Para configurar las redes, Azure Files proporciona un punto de conexión público accesible a través de Internet e integración con características de red de Azure como puntos de conexión de servicio, que ayudan a restringir el punto de conexión público a redes virtuales específicas y puntos de conexión privados, que proporcionan a la cuenta de almacenamiento una dirección IP privada desde un espacio de direcciones IP de red virtual. Aunque no hay ningún cargo adicional por el uso de puntos de conexión públicos o puntos de conexión de servicio, las tasas de procesamiento de datos estándar se aplican a los puntos de conexión privados.
Esto significa que deberá tener en cuenta las siguientes configuraciones de red:
- Si el protocolo necesario es SMB y todo el acceso a través de SMB procede de clientes de Azure, no se requiere ninguna configuración de conexión en red especial.
- Si el protocolo requerido es SMB y el acceso es desde clientes locales, entonces se requiere una conexión VPN o ExpressRoute desde los locales a su red Azure, con Azure Files expuestos en su red interna usando puntos de conexión privados.
- Si el protocolo necesario es NFS, puede usar puntos de conexión de servicio o puntos de conexión privados para restringir la red a redes virtuales específicas. Si necesita una dirección IP estática o la carga de trabajo requiere alta disponibilidad, use un punto de conexión privado. Con los puntos de conexión de servicio, un evento poco frecuente, como una interrupción zonal, podría provocar que la dirección IP subyacente de la cuenta de almacenamiento cambiase. Aunque los datos seguirán estando disponibles en el recurso compartido de archivos, el cliente requeriría un remontaje del recurso compartido.
Para más información sobre cómo configurar las redes para Azure Files, consulte Consideraciones sobre redes de Azure Files.
Además de conectarse directamente al recurso compartido de archivos mediante el punto de conexión público o mediante una conexión VPN o ExpressRoute con un punto de conexión privado, SMB proporciona una estrategia de acceso de cliente adicional: SMB a través de QUIC. SMB vía QUIC ofrece "VPN SMB" de configuración cero para el acceso SMB a través del protocolo de transporte QUIC. Aunque Azure Files no admite directamente SMB a través de QUIC, puede crear una caché ligera de los recursos compartidos de archivos de Azure en una máquina virtual de Azure Edition de Windows Server 2022 mediante Azure File Sync. Para más información sobre esta opción, consulte SMB a través de QUIC con Azure File Sync.
Cifrado
Azure Files admite dos tipos diferentes de cifrado:
- Cifrado en tránsito, que se relaciona con el cifrado usado al montar o acceder al recurso compartido de archivos de Azure
- Cifrado en reposo, que se relaciona con la manera en que cifran los datos cuando se almacenan en el disco
Cifrado en tránsito
Importante
En esta sección se tratan los detalles del cifrado en tránsito para recursos compartidos SMB. Para más información sobre el cifrado en tránsito con recursos compartidos de NFS, consulte Seguridad y redes.
De forma predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito. Esto significa que, al montar un recurso compartido de archivos a través de SMB o acceder a él a través del protocolo de FileREST (por ejemplo, a través de Azure Portal, la CLI o PowerShell, o los SDK de Azure), Azure Files solo permitirá la conexión si se realiza con una versión posterior a SMB 3.x con cifrado o HTTPS. Los clientes que no admiten SMB 3.x, o los clientes que admiten SMB 3.x pero no el cifrado SMB, no podrán montar el recurso compartido de archivos de Azure si está habilitado el cifrado en tránsito. Para obtener más información sobre qué sistemas operativos admiten SMB 3.x con cifrado, consulte nuestra documentación para Windows, macOS y Linux. Todas las versiones actuales de PowerShell, la CLI y los SDK admiten HTTPS.
Puede deshabilitar el cifrado en tránsito para una cuenta de almacenamiento de Azure. Cuando el cifrado está deshabilitado, Azure Files también permite el uso de SMB 2.1 y SMB 3.x sin cifrado, y de llamadas a la API de FileREST sin cifrar a través de HTTP. La razón principal para deshabilitar el cifrado en tránsito es admitir una aplicación heredada que debe ejecutarse en un sistema operativo anterior, como Windows Server 2008 R2 o una distribución de Linux anterior. Azure Files solo permite conexiones SMB 2.1 dentro de la misma región de Azure del recurso compartido de archivos de Azure. Un cliente SMB 2.1 fuera de la región de Azure del recurso compartido de archivos de Azure (por ejemplo, en un entorno local o en una región de Azure diferente) no podrá acceder al recurso compartido de archivos.
Se recomienda encarecidamente asegurarse de que está habilitado el cifrado de los datos en tránsito.
Para obtener más información sobre el cifrado en tránsito, consulte Requerir transferencia segura en Azure Storage.
Cifrado en reposo
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
De manera predeterminada, los datos almacenados en Azure Files se cifran con claves administradas por Microsoft. Con las claves administradas por Microsoft, Microsoft mantiene las claves para cifrar o descifrar los datos y es responsable de rotarlas de forma periódica. También puede elegir administrar sus propias claves, lo que le permitirá controlar el proceso de rotación. Si decide cifrar los recursos compartidos de archivos con claves administradas por el cliente, Azure Files está autorizado para tener acceso a las claves con el fin de satisfacer las solicitudes de lectura y escritura de los clientes. Con las claves administradas por el cliente, puede revocar esta autorización en cualquier momento, pero esto significa que el recurso compartido de archivos de Azure ya no será accesible a través de SMB o la API FileREST.
Azure Files usa el mismo esquema de cifrado que los otros servicios de almacenamiento de Azure, como Azure Blob Storage. Para aprender más sobre el cifrado del servicio de almacenamiento (SSE) de Azure, consulte Cifrado de Azure Storage para datos en reposo.
Protección de los datos
Azure Files tiene un enfoque de varias capas para garantizar la copia de seguridad de los datos, su recuperación y su protección contra amenazas de seguridad. Consulte Introducción a la protección de datos de Azure Files.
Eliminación temporal
La eliminación temporal es una configuración de nivel de cuenta de almacenamiento de recursos compartidos de archivos de SMB que permite recuperar el recurso compartido de archivos cuando se elimina accidentalmente. Cuando se elimina un recurso compartido de archivos, pasa a un estado de eliminación temporal, en lugar de borrarse de forma permanente. Se puede configurar el tiempo durante el que los recursos compartidos eliminados de forma temporal se pueden recuperar antes de que se eliminen permanentemente y durante este período de retención el recurso compartido se puede recuperar en cualquier momento.
La eliminación temporal está habilitada de manera predeterminada para las nuevas cuentas de almacenamiento desde enero de 2021 y se recomienda dejarla activada para la mayoría de los recursos compartidos de archivos SMB. Si tiene un flujo de trabajo en el que la eliminación de recursos compartidos es común y se espera, puede que decida tener un período de retención corto o no tener habilitada la eliminación temporal. La eliminación temporal no funciona con los recursos compartidos de NFS, incluso si está habilitada para la cuenta de almacenamiento.
Para obtener más información acerca de la eliminación temporal, consulte Evitar la eliminación accidental de datos.
Copia de seguridad
Puede realizar una copia de seguridad del recurso compartido de archivos de Azure a través de instantáneas de recurso compartido, que son copias de solo lectura de un momento dado del recurso compartido. Las instantáneas son incrementales, lo que significa que solo contienen los datos que han cambiado desde la instantánea anterior. Puede tener hasta 200 instantáneas por recurso compartido de archivos y conservarlas durante un máximo de diez años. Puede realizar instantáneas manualmente en Azure Portal, a través de PowerShell o en la interfaz de la línea de comandos (CLI), o bien puede usar Azure Backup.
Azure Backup para recursos compartidos de archivos de Azure controla la programación y retención de instantáneas. Sus capacidades de abuelo-padre-hijo (GFS) significan que puede tomar instantáneas diarias, semanales, mensuales y anuales, cada una con su propio período de retención distinto. Azure Backup también organiza la habilitación de la eliminación temporal y toma un bloqueo de eliminación en una cuenta de almacenamiento en cuanto se configura un recurso compartido de archivos en ella para la copia de seguridad. Por último, Azure Backup proporciona ciertas capacidades clave de supervisión y alertas que permiten a los clientes tener una vista consolidada de su copia de seguridad.
Puede realizar restauraciones de nivel de elemento y de nivel de recurso compartido en Azure Portal mediante Azure Backup. Lo único que debe hacer es elegir el punto de restauración (una instantánea concreta), el archivo o directorio en cuestión si es pertinente y, a continuación, la ubicación (original o alternativa) en la que quiere realizar la restauración. El servicio de copia de seguridad controla la copia de los datos de instantáneas y muestra el progreso de la restauración en el portal.
Protección de Azure Files con Microsoft Defender para Storage
Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Proporciona una seguridad completa mediante el análisis de la telemetría del plano de datos y el plano de control generados por Azure Files. Usa capacidades avanzadas de detección de amenazas con tecnología de Inteligencia contra amenazas Microsoft para proporcionar alertas de seguridad contextuales, incluidos los pasos para mitigar las amenazas detectadas y evitar futuros ataques.
Defender para Storage analiza continuamente el flujo de telemetría generado por Azure Files. Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Microsoft Defender for Cloud junto con los detalles de la actividad sospechosa, los pasos de investigación, las acciones de corrección y las recomendaciones de seguridad.
Defender para Storage detecta malware conocido, como ransomware, virus, spyware y otro malware cargado en una cuenta de almacenamiento basada en un hash de archivo completo (solo se admite para la API de REST). Esto ayuda a evitar que el malware entre en la organización y se propague a más usuarios y recursos. Consulte Descripción de las diferencias entre el examen de malware y el análisis de reputación de hash.
Defender para Storage no tiene acceso a los datos de la cuenta de almacenamiento y no afecta a su rendimiento. Puede habilitar Microsoft Defender para Storage en el nivel de suscripción (recomendado) o de recursos.
Niveles de almacenamiento
Azure Files ofrece dos niveles multimedia diferentes de almacenamiento, SSD y HDD, que permiten adaptar los recursos compartidos a los requisitos de rendimiento y precio de su escenario:
SSD (Premium): recursos compartidos de archivos Premium que usan las unidades de estado sólido (SSD) y proporcionan un alto rendimiento coherente y una baja latencia, en milisegundos de un solo dígito para la mayoría de las operaciones de E/S y para cargas de trabajo intensivas de E/S. Los recursos compartidos de archivos Premium son adecuados para una amplia variedad de cargas de trabajo como bases de datos, hospedaje de sitios web y entornos de desarrollo. Los recursos compartidos de archivos Premium se pueden usar con los protocolos Bloque de mensajes del servidor (SMB) y Network File System (NFS). Los recursos compartidos de archivos Premium se implementan en la cuenta de almacenamiento de FileStorage y solo están disponibles en un modelo de facturación aprovisionado. Para más información sobre el modelo de facturación aprovisionado para recursos compartidos de archivos Premium, consulte Planeamiento de una implementación de Azure Files. Los recursos compartidos de archivos Premium ofrecen una SLA de mayor disponibilidad que los recursos compartidos de archivos estándar (consulte "Nivel Premium de Azure Files").
HDD (estándar):los recursos compartidos de archivos estándar usan unidades de disco duro (HDD) y proporcionan una opción de almacenamiento rentable para recursos compartidos de archivos de uso general. Los recursos compartidos de archivos estándar se implementan en la cuenta de almacenamiento de tipo de cuenta de almacenamiento de uso general 2 (GPv2). Para obtener información sobre el Acuerdo de Nivel de Servicio, consulte la página de acuerdos de nivel de servicio de Azure (consulte "Cuentas de almacenamiento"). Los recursos compartidos de archivos estándar usan un modelo de pago por uso que proporciona precios basados en el uso. El nivel de acceso de un recurso compartido de archivos le permite ajustar los costos de almacenamiento con respecto al costo de IOPS para optimizar la factura total:
- Los recursos compartidos de archivos optimizados para transacciones ofrecen los precios de transacción de menor costo para cargas de trabajo pesadas de transacciones que no necesitan la baja latencia que ofrecen los recursos compartidos de archivos premium. Se recomienda al migrar datos a Azure Files.
- Los recursos compartidos de archivos de nivel de acceso frecuente ofrecen precios equilibrados de almacenamiento y transacciones para cargas de trabajo que realizan estos procesos en gran medida.
- Los recursos compartidos de archivos de nivel de acceso esporádico ofrecen los precios de almacenamiento más rentable para cargas de trabajo que consumen mucho almacenamiento.
Al seleccionar un nivel multimedia para la carga de trabajo, tenga en cuenta los requisitos de rendimiento y uso. Si la carga de trabajo requiere latencia de un solo dígito o usa medios de almacenamiento SSD en el entorno local, es probable que el nivel Premium sea el mejor ajuste. Si no es muy importante que la latencia sea baja, por ejemplo, en el caso de recursos compartidos de equipo montados localmente desde Azure o almacenados en la caché local mediante Azure File Sync, desde el punto de vista del costo es posible que sea más adecuado usar el almacenamiento estándar.
Una vez que haya creado un recurso compartido de archivos en una cuenta de almacenamiento, no podrá moverlo a niveles exclusivos de diferentes tipos de cuentas de almacenamiento. Por ejemplo, para cambiar un recurso compartido de archivos optimizado para transacciones al nivel Premium, es preciso crear un recurso compartido de archivos en una cuenta de almacenamiento de FileStorage y copiar los datos desde el recurso compartido original a un nuevo recurso compartido de archivos en la cuenta de FileStorage. Se recomienda usar AzCopy para copiar datos entre recursos compartidos de archivos de Azure, pero también se pueden usar herramientas como robocopy en Windows o rsync en macOS y Linux.
Para más información, consulte Facturación de Azure Files.
Limitaciones
Actualmente, los recursos compartidos de archivos estándar con recursos compartidos de archivos grandes habilitados (hasta una capacidad de 100 TiB) tienen ciertas limitaciones.
- Solo se admiten cuentas de almacenamiento con redundancia local (LRS) y almacenamiento con redundancia de zona (ZRS).
- Una vez que habilite recursos compartidos de archivos grandes en una cuenta de almacenamiento, no podrá convertir la cuenta de almacenamiento para usar ni el almacenamiento con redundancia geográfica (GRS) ni el almacenamiento con redundancia de zona geográfica (GZRS).
- Una vez que habilite los recursos compartidos de archivos de gran tamaño, no podrá deshabilitarlos.
Si desea usar GRS o GZRS con recursos compartidos de archivos de Azure SMB estándar, consulte Redundancia geográfica de Azure Files para recursos compartidos de archivos grandes (versión preliminar).
Redundancia
Para proteger los datos de los recursos compartidos de archivos de Azure contra la pérdida o daños de los datos, Azure Files almacena varias copias de cada archivo a medida que se escriben. En función de sus requisitos, podrá seleccionar diferentes grados de redundancia. Actualmente, Azure Files admite las siguientes opciones de redundancia de datos:
- Almacenamiento con redundancia local (LRS) : con LRS, todos los archivos se almacenan tres veces dentro de un clúster de almacenamiento de Azure. Esto protege contra la pérdida de datos debido a errores de hardware, como una unidad de disco incorrecta. No obstante, si se produjera un desastre, como un incendio o una inundación en el centro de datos, es posible que todas las réplicas de las cuentas de almacenamiento que usen LRS se pierdan o no se puedan recuperar.
- Almacenamiento con redundancia de zona (ZRS): con ZRS, se almacenan tres copias de cada archivo. Sin embargo, estas copias están aisladas físicamente en tres clústeres de almacenamiento distintos en diferentes zonas de disponibilidad de Azure. Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. No se acepta la escritura en el almacenamiento hasta que se realice la escritura en los clústeres de almacenamiento en las tres zonas de disponibilidad.
- Almacenamiento con redundancia geográfica (GRS): con GRS, hay dos regiones, una primaria y una secundaria. Los archivos se almacenan tres veces dentro de un clúster de almacenamiento de Azure en la región primaria. Las escrituras se replican de forma asincrónica en una región secundaria definida por Microsoft. GRS proporciona seis copias de los datos distribuidas entre dos regiones de Azure. En caso de un desastre importante, como la pérdida permanente de una región de Azure debido a una catástrofe natural o a otro evento similar, Microsoft realizará una conmutación por error. En este caso, la base de datos secundaria se convertiría en la principal, atendiendo todas las operaciones. Dado que la replicación entre las regiones principal y secundaria es asincrónica, en caso de que se produzca un desastre importante, se perderán los datos que todavía no se hayan replicado en la región secundaria. También puede realizar una conmutación por error manual de una cuenta de almacenamiento con redundancia geográfica.
- Almacenamiento con redundancia de zona geográfica (GZRS): GZRS es como ZRS, pero con redundancia geográfica. Con GZRS, los archivos se almacenan tres veces en tres clústeres de almacenamiento distintos en la región primaria. Todas las escrituras se replican de forma asincrónica en una región secundaria definida por Microsoft. El proceso de conmutación por error de GZRS funciona igual que en GRS.
Los recursos compartidos de archivos estándar de Azure de hasta 5 TiB admiten los cuatro tipos de redundancia. Los recursos compartidos de archivos estándar de más de 5 TiB solo admiten LRS y ZRS. Los recursos compartidos de archivos premium de Azure solo admiten LRS y ZRS.
Las cuentas de almacenamiento de uso general versión 2 (GPv2) proporcionan otras dos opciones de redundancia que Azure Files no admite: almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) y almacenamiento con redundancia de zona geográfica con acceso de lectura (RA-GZRS). Puede aprovisionar recursos compartidos de archivos de Azure en cuentas de almacenamiento con estas opciones establecidas; sin embargo, Azure Files no admite la lectura desde la región secundaria. Los recursos compartidos de archivos de Azure implementados en cuentas de almacenamiento con RA-GRS o RA-GZRS se facturan como GRS o GZRS, respectivamente.
Para obtener más información sobre la redundancia, consulte Redundancia de datos de Azure Files.
Disponibilidad de ZRS estándar
ZRS para cuentas de almacenamiento estándar de uso general v2 está disponible para un subconjunto de regiones de Azure.
Disponibilidad de ZRS premium
ZRS para recursos compartidos de archivos premium está disponible para un subconjunto de regiones de Azure.
Disponibilidad de GZRS estándar
GZRS está disponible para un subconjunto de regiones de Azure.
Recuperación ante desastres y conmutación por error
En el caso de una interrupción de servicio regional no planeada, debe tener un plan de recuperación ante desastres (DR) para los recursos compartidos de archivos de Azure. Para comprender los conceptos y los procesos implicados en la conmutación por error de la cuenta de almacenamiento y recuperación ante desastres, consulte Recuperación ante desastres y conmutación por error para Azure Files.
Migración
En muchos casos, no podrá establecer un nuevo recurso compartido de archivos para su organización, sino que se migrará uno existente de un servidor de archivos local o un dispositivo NAS a Azure Files. La elección de la herramienta y estrategia de migración adecuadas para el escenario es importante para el éxito de la migración.
En el artículo de introducción a la migración se describen brevemente los aspectos básicos y se incluye una tabla que le conduce a guías de migración que probablemente cubran su escenario.