Partage de fichiers cloud Azure en entreprise

Cette architecture de référence illustre une solution de partage de fichiers cloud au niveau de l’entreprise qui utilise des services Azure tels que Azure Files, Azure File Sync, Azure Private DNS et Azure Private Endpoint. La solution permet de réaliser des économies en sous-traitant la gestion de l’infrastructure et des serveurs de fichiers tout en gardant le contrôle des données.

Architecture

Le diagramme suivant illustre l’accès des clients aux partages de fichiers Azure :

• Localement via un serveur de fichiers de hiérarchisation cloud.
• À distance via un peering privé ExpressRoute ou des tunnels VPN dans un environnement réseau privé.

Téléchargez un fichier Visio de cette architecture.

Workflow

La solution de partage de fichiers cloud au niveau de l’entreprise utilise les méthodes suivantes pour fournir la même expérience utilisateur qu’un partage de fichiers classique mais avec des partages de fichiers Azure :

• Utilisation d’Azure File Sync pour synchroniser les listes de contrôle d’accès aux fichiers et dossiers entre les serveurs de fichiers locaux et les partages de fichiers Azure.
• Utilisation de la fonctionnalité de hiérarchisation cloud de l’agent Azure File Sync pour mettre en cache localement les fichiers fréquemment utilisés.
• Application de l’authentification AD DS sur les partages de fichiers Azure.
• Accès aux services de partage de fichiers et de synchronisation de fichiers via une adresse IP privée via Private Link et Private Endpoint sur un peering privé ExpressRoute ou un tunnel VPN.

En implémentant Azure Private Endpoint sur Azure Files et Azure File Sync, l’accès au point de terminaison public est désactivé pour que l’accès à Azure Files et Azure File Sync soit limité à partir du réseau virtuel Azure.

Le tunnel de site à site VPN ou le peering privé ExpressRoute étend le réseau local au réseau virtuel Azure. Le trafic Azure File Sync et SMB (Server Message Block) de l’environnement local vers les points de terminaison privés Azure Files et Azure File Sync est limité à la connexion privée uniquement. Pendant la transition, Azure Files autorise uniquement la connexion si elle est établie avec SMB 3.0+. Les connexions établies à partir de l’agent Azure File Sync vers un partage de fichiers Azure ou un service de synchronisation de stockage sont toujours chiffrées. Au repos, Stockage Azure chiffre automatiquement vos données lors de leur conservation dans le cloud, à l’instar d’Azure Files.

Un programme de résolution DNS (Domain Name System) est un composant essentiel de la solution. Chaque service Azure, dans le cas présent Azure Files et Azure File Sync, possède un nom de domaine complet. Les noms de domaine complets de ces services sont résolus en adresses IP publiques dans les cas suivants :

• Lorsqu’un client accède à un partage Azure Files.
• Lorsqu’un agent Azure File Sync, déployé sur un serveur de fichiers local, accède au service Azure File Sync.

Une fois le point de terminaison privé activé, les adresses IP privées sont allouées dans le réseau virtuel Azure. Ces adresses permettent d’accéder aux services via une connexion privée, et les mêmes noms de domaine complets doivent alors être résolus en adresses IP privées. Pour cela, Azure Files et Azure File Sync créent un enregistrement DNS de nom canonique (CNAME) pour rediriger la résolution en nom de domaine privé :

• Le nom de domaine public d’Azure File Sync *.afs.azure.net obtient une redirection CNAME vers le nom de domaine privé *.<region>.privatelink.afs.azure.net.
• Le nom de domaine public d’Azure Files <name>.file.core.windows.net obtient une redirection CNAME vers le nom de domaine privé <name>.privatelink.file.core.windows.net.

La solution présentée dans cette architecture configure correctement les paramètres DNS locaux pour qu’ils résolvent les noms de domaine privé en adresses IP privées, à l’aide des méthodes suivantes :

• Des zones DNS privées (composants 11 et 12) sont créées à partir d’Azure pour fournir la résolution de nom privé pour Azure File Sync et Azure Files.
• Les zones DNS privées sont liées au réseau virtuel Azure pour qu’un serveur DNS déployé dans le réseau virtuel ou un programme de résolution DNS privé Azure (composant 8) puisse résoudre les noms de domaine privés.
• Les enregistrements DNS A sont créés pour Azure Files et Azure File Sync dans des zones DNS privées. Pour connaître les étapes de configuration des points de terminaison, consultez Configuration des points de terminaison de réseau Azure Files et Configuration des points de terminaison de réseau Azure File Sync.
• Le serveur DNS local (composant 3) configure le transfert conditionnel pour transmettre la requête DNS de domain afs.azure.net et file.core.windows.net au serveur DNS du réseau virtuel Azure (composant 8).
• Après avoir reçu la requête DNS transférée à partir du serveur DNS local, le serveur DNS (composant 8) du réseau virtuel Azure utilise le programme de résolution récursif DNS Azure pour résoudre les noms de domaine privé et renvoyer des adresses IP privées au client.

Composants

La solution décrite dans le diagramme d’architecture utilise les composants suivants :

• Client (composant 1 ou 2) : il s’agit généralement d’un ordinateur Windows, Linux ou Mac OSX capable de parler à un serveur de fichiers ou à Azure Files via le protocole SMB.

• Serveurs DC et DNS (composant 3) : un contrôleur de domaine (DC) est un serveur qui répond aux demandes d’authentification et vérifie les utilisateurs sur les réseaux informatiques. Un serveur DNS fournit des services de résolution de noms de mappage de nom d’ordinateur en adresse IP aux ordinateurs et aux utilisateurs. Les serveurs DC et DNS peuvent être combinés en un seul serveur ou séparés en différents serveurs.

• Serveur de fichiers (composant 4) : serveur qui héberge les partages de fichiers et fournit des services de partage de fichiers.

• Périphérique CE/VPN (composant 5) : un routeur de périphérie du client (CE) ou un périphérique VPN permet d’établir une connexion ExpressRoute ou VPN au réseau virtuel Azure.

• Azure ExpressRoute/Passerelle VPN Azure (composant 6) : Azure ExpressRoute est un service qui vous permet d’étendre votre réseau local à Microsoft Cloud via une connexion privée facilitée par un fournisseur de connectivité. Une passerelle VPN Azure représente un type spécifique de passerelle de réseau virtuel qui est utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local via le réseau Internet public. ExpressRoute ou la passerelle VPN établit une connexion ExpressRoute ou VPN à votre réseau local.

• Point de terminaison privé Azure (composant 7) : interface réseau qui vous connecte de façon privée et sécurisée à un service basé sur Azure Private Link. Dans cette solution, un point de terminaison privé Azure File Sync se connecte à Azure File Sync (9) et un point de terminaison privé Azure Files se connecte à Azure Files (10).

• Le serveur DNS/programme de résolution DNS privé Azure (composant 8) de l’instance de Réseau virtuel Azure utilise le programme de résolution récursif Azure DNS pour résoudre le nom de domaine privé et retourner une adresse IP privée au client après avoir reçu une requête DNS transférée à partir d’un serveur DNS local.

• Azure File Sync et hiérarchisation cloud (composant 9) : Azure File Sync vous permet de centraliser les partages de fichiers de votre organisation dans Azure, tout en conservant la flexibilité, le niveau de performance et la compatibilité d’un serveur de fichiers local. La hiérarchisation cloud est une fonctionnalité facultative d’Azure File Sync, qui met en cache sur le serveur local les fichiers faisant l’objet d’accès fréquents, tous les autres fichiers étant hiérarchisés sur Azure Files en fonction de paramètres de stratégie.

• Azure Files (composant 10) : service complètement managé qui offre des partages de fichiers dans le cloud accessibles via le protocole SMB (Server Message Block) standard. Azure Files implémente le protocole SMB v3 et prend en charge l’authentification via Active Directory Domain Services (AD DS) en local et Microsoft Entra Domain Services Les partages de fichiers Azure Files peuvent être montés simultanément sur des déploiements cloud ou locaux de Windows, Linux et macOS. En outre, les partages de fichiers Azure SMB peuvent être mis en cache plus près de l’emplacement où les données sont utilisées, sur les serveurs Windows avec Azure File Sync pour un accès rapide.

• DNS privé Azure (composants 11 et 12) : service DNS proposé par Azure pour gérer et résoudre les noms de domaine dans un réseau virtuel sans avoir à ajouter une solution DNS personnalisée.

• Sauvegarde Azure (composant 13) : la sauvegarde Azure est un service de sauvegarde des partages de fichiers Azure qui utilise des instantanés de partage de fichiers pour fournir une solution de sauvegarde basée sur le cloud. Pour connaître les point à prendre en compte, consultez Perte de données et sauvegarde.

Détails du scénario

Cette solution vous permet d’accéder à des partages de fichiers Azure dans un environnement de travail hybride sur un réseau virtuel privé entre des réseaux virtuels locaux et Azure sans passer par l’Internet. Ils vous permettent également de contrôler et de limiter l'accès aux fichiers grâce à une authentification basée sur l'identité.

Cas d’usage potentiels

La solution de partage de fichiers cloud prend en charge les cas d’utilisation potentiels suivants :

• Migration lift-and-shift de serveur de fichiers ou de partage de fichiers. Avec une migration lift-and-shift, vous n’avez plus besoin de restructurer ou de reformater les données. Vous conservez également les applications héritées en local tout en bénéficiant du stockage cloud.
• Accélérer l’innovation dans le cloud avec une efficacité opérationnelle accrue. Réduit le coût de maintenance du matériel et de l’espace physique, protège contre l’altération et la perte des données.
• Accès privé aux partages de fichiers Azure. Protège contre l’exfiltration de données.

Flux de trafic

Une fois Azure File Sync et Azure Files activés, les partages de fichiers Azure sont accessibles en deux modes, le mode cache local ou le mode distant. Dans les deux modes, le client utilise les informations d’identification AD DS existantes pour s’authentifier.

• Mode cache local : le client accède aux fichiers et aux partages de fichiers via un serveur de fichiers local sur lequel la hiérarchisation cloud est activée. Lorsqu’un utilisateur ouvre un fichier à partir du serveur de fichiers local, les données du fichier sont soit fournies à partir du cache local du serveur de fichiers, soit l’agent Azure File Sync rappelle en toute transparence les données du fichier à partir d’Azure Files. Dans le diagramme d’architecture de cette solution, cela se produit entre les composants 1 et 4.

• Mode distant : le client accède aux fichiers et aux partages de fichiers directement à partir d’un partage de fichiers Azure distant. Dans le diagramme d’architecture de cette solution, le flux de trafic passe par les composants 2, 5, 6, 7 et 10.

Le trafic Azure File Sync passe entre les composants 4, 5, 6 et 7 en utilisant un circuit ExpressRoute pour une connexion fiable.

Les requêtes de résolution de nom de domaine privé passent par les composants 3, 5, 6, 8, 11 et 12 selon la séquence suivante :

1. Le client envoie une requête à un serveur DNS local pour résoudre un nom DNS Azure Files ou Azure File Sync.
2. Le serveur DNS local dispose d’un redirecteur conditionnel qui dirige la résolution de nom DNS Azure File et Azure File Sync vers un serveur DNS du réseau virtuel Azure.
3. La requête est redirigée vers un serveur DNS ou un programme de résolution DNS privé Azure dans le réseau virtuel Azure.
4. Selon la configuration DNS du réseau virtuel :
   • Si un serveur DNS personnalisé est configuré, le serveur DNS du réseau virtuel Azure envoie une requête de nom au programme de résolution récursif DNS (168.63.129.16) fourni par Azure.
   • Si le programme de résolution DNS privé Azure est configuré et que la requête correspond aux zones DNS privées liées au réseau virtuel, ces zones sont consultées.
5. Le serveur DNS/programme de résolution DNS privé Azure retourne une adresse IP privée après avoir résolu le nom de domaine privé en zone DNS privée correspondante. Il utilise les liens du réseau virtuel Azure vers la zone DNS Azure Files et la zone DNS privée Azure File Sync.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Prenez en compte les points suivants lorsque vous implémentez cette solution.

Planification

• Pour la planification Azure File Sync, consultez Planification d’un déploiement Azure File Sync.
• Pour la planification Azure Files, consultez Planification d’un déploiement Azure Files.

Mise en réseau

• Pour connaître les considérations relatives au réseau Azure File Sync, consultez Considérations relatives à la mise en réseau Azure File Sync.
• Pour connaître les considérations relatives au réseau Azure Files, consultez Considérations relatives à la mise en réseau Azure Files.

DNS

Lors de la gestion de la résolution de noms pour les points de terminaison privés, les noms de domaine privé d’Azure Files et d’Azure File Sync sont résolus de la façon suivante :

Du côté d’Azure :

• Si vous utilisez la résolution de noms fournie par Azure, le réseau virtuel Azure doit établir une liaison vers des zones DNS privées approvisionnées.
• Si vous utilisez votre propre serveur DNS, le réseau virtuel sur lequel celui-ci est déployé doit être lié à des zones DNS privées approvisionnées.

En local, le nom de domaine privé est mappé à une adresse IP privée de l’une des manières suivantes :

• Par transfert de DNS à un serveur DNS déployé dans le réseau virtuel Azure ou un programme de résolution DNS privé Azure, comme illustré dans le diagramme.
• Via le serveur DNS local qui définit des zones pour les domaines privés <region>.privatelink.afs.azure.net et privatelink.file.core.windows.net. Le serveur enregistre les adresses IP des points de terminaison privés Azure Files et Azure File Sync en tant qu’enregistrements DNS A dans leurs zones DNS respectives. Le client local résout le nom de domaine privé directement à partir du serveur DNS local.

Système de fichiers DFS

Les administrateurs qui recherchent une solution de partage de fichiers locale sont nombreux à choisir d’utiliser un DFS plutôt qu’un serveur de fichiers autonome classique. Un DFS permet aux administrateurs de consolider les éventuels partages de fichiers sur plusieurs serveurs, de sorte qu’ils semblent tous se trouver dans le même emplacement. Les utilisateurs peuvent ainsi y accéder à partir d’un point unique du réseau. Lors du passage à une solution de partage de fichiers cloud, un déploiement DFS-R classique peut être remplacé par un déploiement Azure File Sync. Pour plus d’informations, consultez Migrer un déploiement de la réplication DFS (DFS-R) vers Azure File Sync.

Perte de données et sauvegarde

La perte de données représente un problème sérieux pour les entreprises de toutes tailles. La sauvegarde des partages de fichiers Azure utilise des instantanés de partage de fichiers pour fournir une solution de sauvegarde cloud qui protège vos données dans le cloud et élimine les frais de maintenance supplémentaires impliqués dans les solutions de sauvegarde locales. Les principaux avantages de la sauvegarde des partages de fichiers Azure sont les suivants :

• Aucune infrastructure
• Rétention personnalisée
• Capacités de gestion intégrées
• Restauration instantanée
• Alertes et rapports
• Protection contre la suppression accidentelle de partages de fichiers

Pour plus d’informations, consultez À propos de la sauvegarde des partages de fichiers Azure.

Prise en charge des identités hybrides sur Azure Files

Bien que cet article décrive Active Directory pour l’authentification sur Azure Files, il est possible d’utiliser Microsoft Entra ID pour authentifier des identités utilisateur hybrides. Azure Files prend en charge l’authentification basée sur l’identité via SMB (Server Message Block) à l’aide du protocole d’authentification Kerberos par le biais des méthodes suivantes :

• Active Directory Domain Services (AD DS) en local
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos pour les identités utilisateur hybrides uniquement
• Authentification AD pour les clients Linux

Pour plus d’informations, consultez Activer l’authentification Kerberos Microsoft Entra pour les identités hybrides sur Azure Files.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Azure DDoS Protection, combiné aux bonnes pratiques de conception d’application, offre des fonctionnalités d’atténuation des attaques DDoS améliorées pour une meilleure défense contre les attaques DDoS. Vous devez activer Azure DDOS Protection sur tout réseau virtuel de périmètre.

L’audit de la sécurité est une condition requise pour contribuer au maintien de la sécurité d’une entreprise. Les normes du secteur exigent que les entreprises suivent un ensemble strict de règles en matière de sécurité et de confidentialité des données.

Audit d’accès aux fichiers

L’audit de l’accès aux fichiers peut être activé localement et à distance :

• Localement, à l’aide de Dynamic Access Control. Pour plus d’informations, consultez Planifier l’audit de l’accès aux fichiers.
• À distance, à l’aide des journaux Azure Storage dans Azure Monitor sur Azure Files. Les journaux Azure Storage contiennent les journaux StorageRead, StorageWrite, StorageDelete et Transaction. L’accès aux fichiers Azure peut être enregistré dans un compte de stockage ou un espace de travail Log Analytics, ou transmis à un Event Hub séparément. Pour plus d'informations, consultez la section Superviser Azure Files.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Yingting Huang | Architecte de solutions cloud senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Planification d’un déploiement Azure Files
• Comment déployer Azure Files
• Considérations relatives aux réseaux Azure Files
• Configuration des points de terminaison réseau Azure Files
• Superviser Azure Files
• Planifier l’audit d’accès aux fichiers
• Sauvegarder des partages de fichiers Azure
• Vue d’ensemble - Authentification Active Directory Domain Services locale sur SMB pour les partages de fichiers Azure
• Déployer Azure File Sync
• Configuration des points de terminaison réseau Azure File Sync
• Vue d’ensemble de la hiérarchisation cloud
• Création d’une connexion de site à site dans le portail Azure
• Circuits ExpressRoute et peering
• Créer et modifier le Peering pour un circuit ExpressRoute
• À propos de la sauvegarde des partages de fichiers Azure
• Qu’est-ce qu’Azure DNS Private Resolver ?
• Activer l’authentification Kerberos Microsoft Entra pour les identités hybrides sur Azure Files

Ressources associées

• Partage de fichiers cloud Azure en entreprise
• Fichiers Azure accessibles localement et sécurisés par AD DS
• Services de fichiers hybrides
• Utiliser des partages de fichiers Azure dans un environnement hybride
• Partage de fichiers hybride avec reprise d’activité pour les travailleurs des succursales distantes et locales