Condivisione file del cloud aziendale di Azure

Questa architettura di riferimento illustra una soluzione di condivisione file cloud a livello aziendale che usa i servizi di Azure, tra cui File di Azure, Sincronizzazione file di Azure, Azure DNS privato e endpoint privato di Azure. La soluzione genera risparmi sui costi esternalizzando la gestione dei file server e dell'infrastruttura mantenendo al tempo stesso il controllo dei dati.

Architettura

Il diagramma seguente illustra come i client possono accedere alle condivisioni file di Azure:

• In locale tramite un file server a livelli cloud.
• In remoto tramite il peering privato ExpressRoute o i tunnel VPN in un ambiente di rete privata.

Scaricare un file di Visio di questa architettura.

Workflow

La soluzione di condivisione file cloud a livello aziendale usa i metodi seguenti per offrire la stessa esperienza utente della condivisione file tradizionale, ma con condivisioni file di Azure:

• Usa Sincronizzazione file di Azure per sincronizzare file e cartelle Controllo di accesso Elenchi (ACL) tra file server locali e condivisioni file di Azure.
• Usa la funzionalità di suddivisione in livelli cloud dall'agente Sincronizzazione file di Azure per memorizzare nella cache i file a cui si accede di frequente in locale.
• Applica l'autenticazione di Active Directory Domain Services sulle condivisioni file di Azure.
• Accede ai servizi di condivisione file e sincronizzazione file tramite IP privato tramite collegamento privato ed endpoint privato tramite un peering privato ExpressRoute o un tunnel VPN.

Implementando l'endpoint privato di Azure in File di Azure e Sincronizzazione file di Azure, l'accesso agli endpoint pubblici è disabilitato in modo che l'accesso a File di Azure e Sincronizzazione file di Azure sia limitato dalla rete virtuale di Azure.

Il tunnel VPN da sito a sito privato di ExpressRoute estende la rete locale alla rete virtuale di Azure. Sincronizzazione file di Azure e il traffico SMB (Server Message Block) da locale a File di Azure e Sincronizzazione file di Azure endpoint privati è limitato solo alla connessione privata. Durante la transizione, File di Azure consentirà la connessione solo se viene stabilita con SMB 3.0+. le Connessione effettuate dall'agente Sincronizzazione file di Azure a una condivisione file di Azure o Archiviazione servizio di sincronizzazione vengono sempre crittografate. Inattivi, Archiviazione di Azure crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud, come File di Azure.

Un sistema di risoluzione DNS (Domain Name System) è un componente critico della soluzione. Ogni servizio di Azure, in questo caso File di Azure e Sincronizzazione file di Azure, ha un nome di dominio completo (FQDN). I nomi di dominio completo di tali servizi vengono risolti negli indirizzi IP pubblici in questi casi:

• Quando un client accede a una condivisione File di Azure.
• Quando un agente Sincronizzazione file di Azure, distribuito in un file server locale, accede al servizio Sincronizzazione file di Azure.

Dopo aver abilitato un endpoint privato, gli indirizzi IP privati vengono allocati nella rete virtuale di Azure. Questi indirizzi consentono l'accesso a tali servizi tramite una connessione privata e gli stessi FQDN devono ora risolversi in indirizzi IP privati. A tale scopo, File di Azure e Sincronizzazione file di Azure creare un record DNS del nome canonico (CNAME) per reindirizzare la risoluzione a un nome di dominio privato:

• Il nome *.afs.azure.net di dominio pubblico del Sincronizzazione file di Azure ottiene un reindirizzamento CNAME al nome *.<region>.privatelink.afs.azure.netdi dominio privato .
• Il File di Azure nome <name>.file.core.windows.net di dominio pubblico ottiene un reindirizzamento CNAME al nome <name>.privatelink.file.core.windows.netdi dominio privato .

La soluzione illustrata in questa architettura configura correttamente le impostazioni DNS locali in modo che risolvano i nomi di dominio privati in indirizzi IP privati, usando i metodi seguenti:

• DNS privato zone (componenti 11 e 12) vengono create da Azure per fornire la risoluzione dei nomi privati per Sincronizzazione file di Azure e File di Azure.
• DNS privato zone sono collegate alla rete virtuale di Azure in modo che un server DNS distribuito nella rete virtuale o il resolver DNS privato di Azure(componente 8) possa risolvere i nomi di dominio privati.
• I record DNS A vengono creati per File di Azure e Sincronizzazione file di Azure nelle zone DNS private. Per i passaggi di configurazione dell'endpoint, vedere Configurazione degli endpoint di rete File di Azure e Configurazione degli endpoint di rete Sincronizzazione file di Azure.
• Il server DNS locale (componente 3) configura l'inoltro condizionale per inoltrare la query DNS di domain afs.azure.net e file.core.windows.net al server DNS nella rete virtuale di Azure (componente 8).
• Dopo aver ricevuto la query DNS inoltrata dal server DNS locale, il server DNS (componente 8) nella rete virtuale di Azure usa il sistema di risoluzione ricorsivo DNS di Azure per risolvere i nomi di dominio privati e restituire indirizzi IP privati al client.

Componenti

La soluzione illustrata nel diagramma dell'architettura usa i componenti seguenti:

• Client (componente 1 o 2): in genere, il client è un desktop Windows, Linux o Mac OSX che può comunicare con un file server o File di Azure tramite il protocollo SMB.

• Server DC e DNS (componente 3): un controller di dominio (DC) è un server che risponde alle richieste di autenticazione e verifica gli utenti nelle reti di computer. Un server DNS fornisce servizi di risoluzione dei nomi da nome a INDIRIZZO IP a computer e utenti. I server DC e DNS possono essere combinati in un singolo server o possono essere separati in server diversi.

• File server (componente 4): server che ospita condivisioni file e fornisce servizi di condivisione file tramite il protocollo SMB.

• Dispositivo CE/VPN (componente 5): viene usato un router perimetrale del cliente (CE) o un dispositivo VPN per stabilire una connessione ExpressRoute o VPN alla rete virtuale di Azure.

• Azure ExpressRoute o Azure Gateway VPN (componente 6): Azure ExpressRoute è un servizio che consente di estendere la rete locale nel cloud Microsoft tramite una connessione privata facilitata da un provider di connettività. Azure Gateway VPN è un tipo specifico di gateway di rete virtuale usato per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico. ExpressRoute o Gateway VPN stabilisce una connessione ExpressRoute o VPN alla rete locale.

• Endpoint privato di Azure (componente 7): interfaccia di rete che consente di connettersi privatamente e in modo sicuro a un servizio basato su collegamento privato di Azure. In questa soluzione un endpoint privato Sincronizzazione file di Azure si connette a Sincronizzazione file di Azure (9) e un endpoint privato File di Azure si connette a File di Azure (10).

• Il server DNS/il resolver DNS privato di Azure (componente 8) nell'istanza di Azure Rete virtuale usa il sistema di risoluzione ricorsivo DNS di Azure per risolvere il nome di dominio privato e restituire un indirizzo IP privato al client, dopo aver ricevuto una query DNS inoltrata da un server DNS locale.

• Sincronizzazione file di Azure e cloud a livelli (componente 9): Sincronizzazione file di Azure è una funzionalità di Archiviazione di Azure per centralizzare le condivisioni file dell'organizzazione in Azure, mantenendo al tempo stesso la flessibilità, le prestazioni e la compatibilità di un file locale Server. La suddivisione in livelli nel cloud è una funzionalità facoltativa di Sincronizzazione file di Azure in base alla quale i file a cui si accede di frequente vengono memorizzati nella cache locale del server, mentre tutti gli altri file vengono archiviati a livelli in File di Azure in base alle impostazioni dei criteri.

• File di Azure (componente 10): servizio completamente gestito che offre condivisioni file nel cloud accessibili tramite il protocollo SMB (Server Message Block) standard del settore. File di Azure implementa il protocollo SMB v3 e supporta l'autenticazione tramite Active Directory locale Domain Services (AD DS) e Microsoft Entra Domain Services (Microsoft Entra Domain Services). Le condivisioni file di File di Azure possono essere montate simultaneamente da distribuzioni cloud o locali di Windows, Linux e macOS. Inoltre, le condivisioni file di Azure possono essere memorizzate nella cache più vicino alla posizione in cui vengono usati i dati, nei server Windows con Sincronizzazione file di Azure per l'accesso rapido.

• Azure DNS privato (componenti 11 e 12): un servizio DNS offerto da Azure, DNS privato gestisce e risolve i nomi di dominio in una rete virtuale, senza la necessità di aggiungere una soluzione DNS personalizzata.

• Backup di Azure (componente 13): Backup di Azure è un servizio di backup della condivisione file di Azure che usa snapshot di condivisione file per fornire una soluzione di backup basata sul cloud. Per considerazioni, vedere Perdita e backup dei dati.

Dettagli dello scenario

Questa soluzione consente di accedere alle condivisioni file di Azure in un ambiente di lavoro ibrido tramite una rete privata virtuale tra reti virtuali locali e di Azure senza attraversare Internet. Consente inoltre di controllare e limitare l'accesso ai file tramite l'autenticazione di Microsoft Entra Domain Services (AD DS).

Potenziali casi d'uso

La soluzione di condivisione file cloud supporta i possibili casi d'uso seguenti:

• File server o condivisione file lift-and-shift. Sollevando e spostando, si elimina la necessità di ristrutturare o riformattare i dati. È anche possibile mantenere le applicazioni legacy in locale, traendo vantaggio dall'archiviazione cloud.
• Accelerare l'innovazione nel cloud con maggiore efficienza operativa. Riduce il costo per gestire l'hardware e lo spazio fisico, protegge dal danneggiamento dei dati e dalla perdita di dati.
• Accesso privato alle condivisioni file di Azure. Protegge dall'esfiltrazione dei dati.

Flussi di traffico

Dopo aver abilitato Sincronizzazione file di Azure e File di Azure, è possibile accedere alle condivisioni file di Azure in due modalità, la modalità cache locale o la modalità remota. In entrambe le modalità, il client usa le credenziali di Active Directory Domain Services esistenti per autenticarsi.

• Modalità cache locale: il client accede a file e condivisioni file tramite un file server locale con la suddivisione in livelli cloud abilitata. Quando un utente apre un file dal file server locale, i dati dei file vengono serviti dalla cache locale del file server o l'agente Sincronizzazione file di Azure richiama facilmente i dati del file da File di Azure. Nel diagramma dell'architettura per questa soluzione si verifica tra il componente 1 e 4.

• Modalità remota: il client accede a file e condivisioni file direttamente da una condivisione file di Azure remota. Nel diagramma dell'architettura per questa soluzione, il flusso del traffico attraversa i componenti 2, 5, 6, 7 e 10.

Sincronizzazione file di Azure traffico si sposta tra componenti 4, 5, 6 e 7, usando un circuito ExpressRoute per una connessione affidabile.

Le query di risoluzione dei nomi di dominio privato passano attraverso i componenti 3, 5, 6, 8, 11 e 12 usando la sequenza seguente:

1. Il client invia una query a un server DNS locale per risolvere un File di Azure o Sincronizzazione file di Azure nome DNS.
2. Il server DNS locale ha un server d'inoltro condizionale che punta file di Azure e Sincronizzazione file di Azure risoluzione dei nomi DNS a un server DNS nella rete virtuale di Azure.
3. La query viene reindirizzata a un server DNS o a un resolver DNS privato di Azure nella rete virtuale di Azure.
4. A seconda della configurazione DNS della rete virtuale:
   • Se è configurato un server DNS personalizzato, il server DNS nella rete virtuale di Azure invia una query di nome al sistema di risoluzione ricorsivo fornito da Azure (168.63.129.16).
   • Se il sistema di risoluzione DNS privato di Azure è configurato e la query corrisponde alle zone DNS private collegate alla rete virtuale, tali zone vengono consultate.
5. Il resolver DNS privato/server DNS di Azure restituisce un indirizzo IP privato, dopo aver risolto il nome di dominio privato nella rispettiva zona DNS privata. Usa i collegamenti della rete virtuale di Azure alla zona DNS File di Azure e alla zona DNS privata Sincronizzazione file di Azure.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Quando si implementa questa soluzione, tenere presente quanto segue.

Pianificazione

• Per Sincronizzazione file di Azure pianificazione, vedere Pianificazione per una distribuzione Sincronizzazione file di Azure.
• Per File di Azure pianificazione, vedere Pianificazione per una distribuzione File di Azure.

Rete

• Per Sincronizzazione file di Azure considerazioni sulla rete, vedere Sincronizzazione file di Azure considerazioni sulla rete.
• Per File di Azure considerazioni sulla rete, vedere File di Azure considerazioni sulla rete.

DNS

Quando si gestisce la risoluzione dei nomi per gli endpoint privati, i nomi di dominio privati di File di Azure e Sincronizzazione file di Azure vengono risolti nel modo seguente:

Dal lato Azure:

• Se viene usata la risoluzione dei nomi fornita da Azure, la rete virtuale di Azure deve collegarsi alle zone DNS private di cui è stato effettuato il provisioning.
• Se si usa "bring your own DNS server", la rete virtuale in cui viene distribuito il proprio server DNS deve collegarsi alle zone DNS private di cui è stato effettuato il provisioning.

Dal lato locale, il nome di dominio privato viene mappato a un indirizzo IP privato in uno dei modi seguenti:

• Tramite l'inoltro DNS a un server DNS distribuito nella rete virtuale di Azure o nel resolver DNS privato di Azure, come illustrato nel diagramma.
• Tramite il server DNS locale che configura le zone per il dominio <region>.privatelink.afs.azure.net privato e privatelink.file.core.windows.net. Il server registra gli indirizzi IP di File di Azure e Sincronizzazione file di Azure endpoint privati come record DNS A nelle rispettive zone DNS. Il client locale risolve il nome di dominio privato direttamente dal server DNS locale.

File system distribuito (DFS)

Quando si tratta di una soluzione di condivisione file locale, molti amministratori scelgono di usare un file server DFS anziché un file server autonomo tradizionale. DFS consente agli amministratori di consolidare le condivisioni file che possono esistere in più server in modo che vengano visualizzate come se fossero tutte presenti nella stessa posizione, consentendo agli utenti di accedervi da un singolo punto nella rete. Durante il passaggio a una soluzione di condivisione file cloud, la distribuzione DFS-R tradizionale può essere sostituita da Sincronizzazione file di Azure distribuzione. Per altre informazioni, vedere Eseguire la migrazione di una distribuzione di Replica DFS (DFS-R) in Sincronizzazione file di Azure.

Perdita e backup dei dati

La perdita di dati è un problema grave per le aziende di tutte le dimensioni. Il backup della condivisione file di Azure usa snapshot di condivisione file per fornire una soluzione di backup basata sul cloud che protegge i dati nel cloud ed elimina un sovraccarico di manutenzione aggiuntivo coinvolto nelle soluzioni di backup locali. I vantaggi principali del backup della condivisione file di Azure includono:

• Infrastruttura zero
• Conservazione personalizzata
• Funzionalità di gestione predefinite
• Ripristini istantanei
• Avvisi e report
• Protezione dall'eliminazione accidentale di condivisioni file

Per altre informazioni, vedere Informazioni sul backup della condivisione file di Azure

Supporto per le identità ibride in File di Azure

Anche se questo articolo descrive Active Directory per l'autenticazione in File di Azure, è possibile usare Microsoft Entra ID per l'autenticazione delle identità utente ibride. File di Azure supporta l'autenticazione basata su identità su Server Message Block (SMB), usando il protocollo di autenticazione Kerberos tramite i tre metodi seguenti:

• Istanza locale di Active Directory Domain Services
• Microsoft Entra Domain Services (Microsoft Entra Domain Services)
• Microsoft Entra Kerberos (Microsoft Entra ID) solo per le identità utente ibride

Per altre informazioni, vedere Abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride in File di Azure (anteprima).

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Protezione DDoS di Azure, in combinazione con le procedure consigliate per la progettazione di applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi meglio dagli attacchi DDoS. È consigliabile abilitare Protezione DDOS di Azure in qualsiasi rete virtuale perimetrale.

Il controllo della sicurezza è un requisito necessario per mantenere la sicurezza di un'azienda. Gli standard di settore richiedono alle aziende di seguire un set rigoroso di regole relative alla sicurezza e alla privacy dei dati.

Controllo dell'accesso ai file

Il controllo dell'accesso ai file può essere abilitato in locale e in remoto:

• In locale, tramite Controllo di accesso dinamica. Per altre informazioni, vedere Pianificare il controllo dell'accesso ai file.
• In remoto, usando i log di Archiviazione di Azure in Monitoraggio di Azure in File di Azure. Archiviazione di Azure log contiene Archiviazione Read, Archiviazione Write, Archiviazione Delete e Log delle transazioni. L'accesso ai file di Azure può essere registrato in un account di archiviazione, in un'area di lavoro Log Analytics o trasmesso separatamente a un hub eventi. Per altre informazioni, vedere Monitoraggio Archiviazione di Azure.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Yingting Huang | Senior Cloud Solution Architect

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Pianificazione per la distribuzione di File di Azure
• Come distribuire File di Azure
• Considerazioni sulla rete per File di Azure
• Configurazione degli endpoint di rete di File di Azure
• Monitoraggio di archiviazione di Azure
• Pianificare il controllo dell'accesso ai file
• Eseguire il backup di condivisioni file di Azure
• Panoramica: Autenticazione di Active Directory Domain Services locale tramite SMB per le condivisioni file di Azure
• Come distribuire Sincronizzazione file di Azure
• Configurazione degli endpoint di rete Sincronizzazione file di Azure
• Panoramica della suddivisione in livelli nel cloud
• Creare una connessione da sito a sito nel portale di Azure
• Circuiti e peering ExpressRoute
• Creare e modificare i peering per un circuito ExpressRoute
• Informazioni sul backup delle condivisioni file di Azure
• Che cos'è il resolver privato DNS di Azure
• Abilitare l'autenticazione Kerberos di Microsoft Entra per le identità ibride in File di Azure (anteprima)

Risorse correlate

• Condivisione file cloud aziendale di Azure
• File di Azure a cui si accede in locale e protetto da Active Directory Domain Services
• Servizi file ibridi
• Usare condivisioni file di Azure in un ambiente ibrido
• Condivisione file ibrida con ripristino di emergenza per i lavoratori presso filiali locali e remote