File di Azure accessibile in locale e protetto da Servizi di dominio Active Directory

Questa architettura illustra un modo per fornire condivisioni file nel cloud a utenti e applicazioni locali che accedono anche ai file in Windows Server.

Architettura

Scaricare un file di Visio di questa architettura.

Workflow

1. Questa soluzione sincronizza i servizi di dominio Active Directory locali e l'ID Microsoft Entra basato sul cloud. La sincronizzazione rende gli utenti più produttivi fornendo un'identità comune per l'accesso alle risorse cloud e locali.

   Microsoft Entra Connessione è l'applicazione Microsoft locale che esegue la sincronizzazione. Per altre informazioni su Microsoft Entra Connessione, vedere Che cos'è Microsoft Entra Connessione? e Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione.

2. Azure Rete virtuale fornisce una rete virtuale nel cloud. Per questa soluzione, ha almeno due subnet, una per DNS di Azure e una per un endpoint privato per accedere alla condivisione file.

3. VPN o Azure ExpressRoute fornisce connessioni sicure tra la rete locale e la rete virtuale nel cloud. Se si usa la VPN, creare un gateway usando Azure Gateway VPN. Se si usa ExpressRoute, creare un gateway di rete virtuale ExpressRoute. Per altre informazioni, vedere Che cos'è Gateway VPN? e Informazioni sui gateway di rete virtuale ExpressRoute.

4. File di Azure fornisce una condivisione file nel cloud. Questo richiede un account Archiviazione di Azure. Per altre informazioni sulle condivisioni file, vedere Che cos'è File di Azure?.

5. Un endpoint privato fornisce l'accesso alla condivisione file. Un endpoint privato è simile a una scheda di interfaccia di rete (NIC) all'interno di una subnet collegata a un servizio di Azure. In questo caso, il servizio è la condivisione file. Per altre informazioni sugli endpoint privati, vedere Usare endpoint privati per Archiviazione di Azure.

6. Il server DNS locale risolve gli indirizzi IP. Tuttavia, DNS di Azure risolve il nome di dominio completo (FQDN) della condivisione file di Azure. Tutte le query DNS in DNS di Azure provengono dalla rete virtuale. È presente un proxy DNS all'interno della rete virtuale per instradare queste query a DNS di Azure. Per altre informazioni, vedere Carichi di lavoro locali con un server d'inoltro DNS.

   È possibile fornire il proxy DNS in un server Windows o Linux oppure è possibile usare Firewall di Azure. Per informazioni sull'opzione Firewall di Azure, che offre il vantaggio di non dover gestire una macchina virtuale, vedere Firewall di Azure impostazioni DNS.

7. Il DNS personalizzato locale è configurato per inoltrare il traffico DNS a DNS di Azure tramite un server d'inoltro condizionale. Le informazioni sull'inoltro condizionale sono disponibili anche nei carichi di lavoro locali usando un server d'inoltro DNS.

8. Active Directory Domain Services locale autentica l'accesso alla condivisione file. Si tratta di un processo in quattro passaggi, come descritto nella prima parte: abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure

Componenti

• Archiviazione di Azure è un set di servizi cloud altamente scalabili e sicuri per dati, app e carichi di lavoro. Include File di Azure, Archiviazione tabelle di Azure e Archiviazione code di Azure.
• File di Azure offre condivisioni file completamente gestite in un account Archiviazione di Azure. I file sono accessibili dal cloud o dall'ambiente locale. Le distribuzioni di Windows, Linux e macOS possono montare contemporaneamente condivisioni file di Azure. L'accesso ai file usa il protocollo SMB (Server Message Block) standard del settore.
• Rete virtuale di Azure rappresenta il blocco costitutivo delle reti private in Azure. Fornisce l'ambiente per le risorse di Azure, ad esempio le macchine virtuali, per comunicare in modo sicuro tra loro, con Internet e con le reti locali.
• Azure ExpressRoute estende le reti locali nel cloud Microsoft tramite una connessione privata.
• Azure Gateway VPN connette le reti locali ad Azure tramite VPN da sito a sito, nello stesso modo in cui ci si connette a una succursale remota. La connettività è sicura e usa i protocolli standard del settore IPsec (Internet Protocol Security) e IKE (Internet Key Exchange).
• collegamento privato di Azure fornisce connettività privata da una rete virtuale alla piattaforma distribuita come servizio (PaaS), di proprietà del cliente o dei servizi partner Microsoft. Semplifica l'architettura di rete e protegge la connessione tra endpoint in Azure eliminando l'esposizione dei dati alla rete Internet pubblica.
• L'endpoint privato è un'interfaccia di rete che usa un indirizzo IP provato della rete virtuale. È possibile usare endpoint privati per gli account Archiviazione di Azure per consentire ai client in una rete virtuale di accedere ai dati tramite un collegamento privato.
• Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che consente di proteggere le risorse della rete virtuale di Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti. È possibile configurare Firewall di Azure come proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.

Dettagli dello scenario

Si consideri la situazione comune seguente. Windows Server locale fornisce file agli utenti e alle applicazioni. Windows Server Dominio di Active Directory Services (AD DS) protegge i file ed è presente un server DNS locale. Tutto si trova nella stessa rete privata.

Si supponga ora che la necessità di avere condivisioni file nel cloud.

L'architettura descritta di seguito illustra come usare Azure per soddisfare questa esigenza e come farlo a costi bassi e continuando a usare la rete locale, Servizi di dominio Active Directory e DNS.

In questa architettura File di Azure fornisce la condivisione file. Vpn da sito a sito o Azure ExpressRoute fornisce connessioni sicure tra la rete locale e la rete virtuale di Azure. Gli utenti e le applicazioni usano le connessioni per accedere ai file. Microsoft Entra ID e DNS di Azure collaborano con Active Directory Domain Services locale e DNS per proteggere l'accesso.

In breve, se ci si trova nella situazione descritta, è possibile fornire file cloud agli utenti locali a basso costo e continuare a fornire l'accesso sicuro ai file con Servizi di dominio Active Directory e DNS locali.

Potenziali casi d'uso

• Il file server passa al cloud, ma gli utenti devono rimanere in locale.
• Le applicazioni di cui viene eseguita la migrazione al cloud devono accedere ai file locali e anche ai file migrati nel cloud.
• È necessario ridurre i costi spostando l'archiviazione file nel cloud.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni assunti dai clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

• Archiviazione di Azure archivia sempre più copie dei dati nella stessa zona, in modo che siano protette da interruzioni pianificate e non pianificate. Sono disponibili opzioni per la creazione di copie aggiuntive in altre zone o aree. Per altre informazioni, vedere Ridondanza di Archiviazione di Azure.
• Firewall di Azure offre disponibilità elevata predefinita. Per altre informazioni, vedere Firewall di Azure funzionalità Standard.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Questi articoli contengono informazioni sulla sicurezza per i componenti di Azure:

• Informazioni di base sulla sicurezza di Azure per Archiviazione di Azure
• Baseline di sicurezza di Azure per collegamento privato di Azure
• Baseline di sicurezza di Azure per Rete virtuale
• Baseline di sicurezza di Azure per Firewall di Azure

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Per stimare il costo dei prodotti e delle configurazioni di Azure, usare il calcolatore prezzi di Azure.

Questi articoli contengono informazioni sui prezzi per i componenti di Azure:

• Prezzi di File di Azure
• Prezzi del collegamento privato di Azure
• Prezzi della rete virtuale
• Prezzi del servizio Firewall di Azure

Efficienza prestazionale

L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Per altre informazioni, vedere Panoramica dell'efficienza delle prestazioni.

• Gli account Archiviazione di Azure contengono tutti gli oggetti dati Archiviazione di Azure, incluse le condivisioni file. Un account di archiviazione fornisce uno spazio dei nomi univoco per i dati, uno spazio dei nomi accessibile da qualsiasi parte del mondo tramite HTTP o HTTPS. Per questa architettura, l'account di archiviazione contiene condivisioni file fornite da File di Azure. Per ottenere prestazioni ottimali, è consigliabile:
  • Non inserire database, BLOB e così via negli account di archiviazione che contengono condivisioni file.
  • Non avere più di una condivisione file altamente attiva per ogni account di archiviazione. È possibile raggruppare condivisioni file meno attive nello stesso account di archiviazione.
  • Se il carico di lavoro richiede grandi quantità di operazioni di I/O al secondo, velocità di trasferimento dei dati estremamente veloci o una latenza molto bassa, è consigliabile scegliere gli account di archiviazione Premium (File Archiviazione). Un account standard per utilizzo generico v2 è appropriato per la maggior parte dei carichi di lavoro di condivisione file SMB. Per altre informazioni sulla scalabilità e sulle prestazioni delle condivisioni file, vedere File di Azure obiettivi di scalabilità e prestazioni.
  • Non usare un account di archiviazione per utilizzo generico v1, perché non dispone di funzionalità importanti. Eseguire invece l'aggiornamento a un account di archiviazione per utilizzo generico v2. I tipi di account di archiviazione sono descritti in Archiviazione panoramica dell'account.
  • Prestare attenzione a dimensioni, velocità e altre limitazioni. Vedere Sottoscrizione di Azure e limiti del servizio, quote e vincoli.
• C'è poco da fare per migliorare le prestazioni dei componenti non di archiviazione, tranne per assicurarsi che la distribuzione soddisfi i limiti, le quote e i vincoli descritti in Sottoscrizione di Azure e limiti del servizio, quote e vincoli.
• Per informazioni sulla scalabilità per i componenti di Azure, vedere Sottoscrizione di Azure e limiti del servizio, quote e vincoli.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Rudnei Oliveira | Senior Customer Engineer

Passaggi successivi

• Guida introduttiva: Creare una rete virtuale usando il portale di Azure
• Che cos'è un gateway VPN?
• Esercitazione: Creare e gestire un gateway VPN usando portale di Azure
• Condivisione file cloud aziendale di Azure
• Concetti e procedure consigliate per Rete virtuale di Azure
• Pianificazione per la distribuzione di File di Azure
• Usare endpoint privati per l'Archiviazione di Azure
• Configurazione DNS dell'endpoint privato di Azure
• Firewall di Azure impostazioni DNS
• Confrontare Active Directory Domain Services autogestito, Microsoft Entra ID e Microsoft Entra Domain Services gestito

Risorse correlate

• Condivisione file ibrida con ripristino di emergenza per i lavoratori presso filiali locali e remote
• Condivisione file cloud aziendale di Azure
• Uso di condivisioni file di Azure in un ambiente ibrido
• Servizi file ibridi