Editar

Serviços de ficheiros híbridos

Azure Active Directory
Azure ExpressRoute
Arquivos do Azure
Contas de Armazenamento do Azure

Esta arquitetura de referência ilustra como utilizar Azure File Sync e Ficheiros do Azure para expandir as capacidades de alojamento de serviços de ficheiros em recursos de partilha de ficheiros na cloud e no local.

Arquitetura

Um diagrama de topologia de serviços de ficheiros híbridos do Azure.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

A arquitetura é composta pelos seguintes componentes:

  • Conta de armazenamento do Azure. Uma conta de armazenamento que é utilizada para alojar partilhas de ficheiros.
  • Ficheiros do Azure. Uma partilha de ficheiros na cloud sem servidor que fornece o ponto final da cloud de uma relação de sincronização com Azure File Sync. Os ficheiros numa partilha de ficheiros do Azure podem ser acedidos diretamente com o Protocolo SMB (Server Message Block) ou FileREST.
  • Grupos de sincronização. Agrupamentos lógicos de partilhas de ficheiros e servidores do Azure que executam o Windows Server. Os grupos de sincronização são implementados no Serviço de Sincronização de Armazenamento, que regista servidores para utilização com Azure File Sync e contém as relações do grupo de sincronização.
  • Azure File Sync agente. Esta ação é instalada em computadores Windows Server para ativar e configurar a sincronização com pontos finais da cloud.
  • Windows Servers. Computadores Windows Server no local ou baseados na nuvem que alojam uma partilha de ficheiros que é sincronizada com uma partilha de ficheiros do Azure.
  • Azure Active Directory. O inquilino do Azure Active Directory (Azure AD) utilizado para sincronização de identidades em ambientes do Azure e no local.

Componentes

Detalhes do cenário

Utilizações típicas desta arquitetura:

  • Alojar partilhas de ficheiros que precisam de estar acessíveis a partir de ambientes na cloud e no local.
  • Sincronizar dados entre vários arquivos de dados no local com uma única origem baseada na cloud.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que tenha um requisito que as substitua.

Ficheiros do Azure utilização e implementação

Armazena os seus ficheiros na nuvem em partilhas de ficheiros do Azure sem servidor. Pode utilizá-las de duas formas: ao montá-las diretamente (SMB) ou ao coloca-las em cache no local com Azure File Sync. O que tem de considerar à medida que planeia a implementação depende de qual das duas formas que escolher.

  • Montagem direta de uma partilha de ficheiros do Azure. Uma vez que Ficheiros do Azure fornece acesso SMB, pode montar partilhas de ficheiros do Azure no local ou na cloud com o cliente SMB padrão disponível nos sistemas operativos Windows, macOS e Linux. As partilhas de ficheiros do Azure são sem servidor, pelo que implementá-las para cenários de produção não requer a gestão de um servidor de ficheiros ou de um dispositivo de armazenamento ligado à rede (NAS). Isto significa que não tem de aplicar patches de software nem trocar discos físicos.
  • Coloque a partilha de ficheiros do Azure em cache no local com Azure File Sync. Azure File Sync permite-lhe centralizar as partilhas de ficheiros da sua organização no Ficheiros do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de ficheiros no local. Azure File Sync transforma um Windows Server no local (ou na nuvem) numa cache rápida da partilha de ficheiros do Azure.

Implementar o Serviço de Sincronização de Armazenamento

Comece Azure File Sync implementação ao implementar um recurso do Serviço de Sincronização de Armazenamento num grupo de recursos da subscrição selecionada. Recomendamos que aprovisione o menor número possível de objetos do Serviço de Sincronização de Armazenamento. Irá criar uma relação de confiança entre os servidores e este recurso e um servidor só pode ser registado num Serviço de Sincronização de Armazenamento. Como resultado, recomendamos que implemente o número de Serviços de Sincronização de Armazenamento necessários para separar grupos de servidores. Tenha em atenção que os servidores de diferentes Serviços de Sincronização de Armazenamento não conseguem sincronizar entre si.

Registar máquinas virtuais do Windows Server com o agente do Azure File Sync

Para ativar a capacidade de sincronização no Windows Server, tem de instalar o Azure File Sync agente transferível. O agente Azure File Sync fornece dois componentes principais:

  • FileSyncSvc.exe. O serviço Windows em segundo plano responsável pela monitorização das alterações nos pontos finais do servidor e pelo início de sessões de sincronização.
  • StorageSync.sys. Um filtro do sistema de ficheiros que permite o arrumo na cloud e uma recuperação após desastre mais rápida.

Pode transferir o agente a partir da página Transferência do Agente do Azure File Sync no Centro de Transferências da Microsoft.

Requisitos do sistema operativo

Azure File Sync é suportado pelas versões do Windows Server listadas na tabela seguinte.

Versão SKUs Suportados Opções de implementação suportadas
Windows Server 2019 Datacenter, Standard e IoT Completo e Núcleo
Windows Server 2016 Datacenter, Standard e Servidor de Armazenamento Completo e Núcleo
Windows Server 2012 R2 Datacenter, Standard e Servidor de Armazenamento Completo e Núcleo

Para obter mais informações, veja Considerações sobre o servidor de ficheiros do Windows.

Configurar grupos de sincronização e pontos finais da cloud

Um grupo de sincronização define a topologia de sincronização para um conjunto de ficheiros. Os pontos finais num grupo de sincronização são mantidos em sincronia entre si. Um grupo de sincronização tem de conter um ponto final da cloud, que representa uma partilha de ficheiros do Azure, e um ou mais pontos finais do servidor. Um ponto final de servidor representa um caminho num servidor registado. Um servidor pode ter pontos finais de servidor em vários grupos de sincronização. Pode criar o número de grupos de sincronização necessários para descrever adequadamente a topologia de sincronização pretendida.

Um ponto final da cloud é um ponteiro para uma partilha de ficheiros do Azure. Todos os pontos finais do servidor serão sincronizados com um ponto final da cloud, tornando o ponto final da cloud no hub. A conta de armazenamento da partilha de ficheiros do Azure tem de estar localizada na mesma região que o Serviço de Sincronização de Armazenamento. A totalidade da partilha de ficheiros do Azure é sincronizada, com uma exceção: é aprovisionada uma pasta especial, comparável à pasta de Informações de Volume do Sistema oculta num volume de sistema de ficheiros NT (NTFS). Este diretório chama-se . SystemShareInformation e contém metadados de sincronização importantes que não são sincronizados com outros pontos finais.

Configurar pontos finais do servidor

Os pontos finais de servidor representam uma localização específica num servidor registado, como uma pasta num volume do servidor. Um ponto final de servidor tem de ser um caminho num servidor registado (em vez de uma partilha montada) e tem de utilizar o arrumo na cloud. O caminho do ponto final do servidor tem de estar num volume que não seja do sistema. O NAS não é suportado.

Partilha de Ficheiros do Azure para relações de partilha de ficheiros do Windows

Deve implementar partilhas de ficheiros do Azure um-para-um com partilhas de ficheiros do Windows sempre que possível. O objeto de ponto final do servidor dá-lhe um grande grau de flexibilidade na forma como configura a topologia de sincronização no lado do servidor da relação de sincronização. Para simplificar a gestão, faça com que o caminho do ponto final do servidor corresponda ao caminho da partilha de ficheiros do Windows.

Utilize o menor número possível de Serviços de Sincronização de Armazenamento. Isto simplifica a gestão quando tem grupos de sincronização que contêm vários pontos finais do servidor, porque um Windows Server só pode ser registado num Serviço de Sincronização de Armazenamento de cada vez.

Preste atenção às limitações das operações de E/S por segundo (IOPS) numa conta de armazenamento ao implementar partilhas de ficheiros do Azure. O ideal é mapear partilhas de ficheiros um-para-um com contas de armazenamento. Nem sempre é possível fazê-lo devido a vários limites e restrições da sua organização e do Azure. Quando não for possível ter apenas uma partilha de ficheiros implementada numa conta de armazenamento, certifique-se de que as partilhas de ficheiros mais ativas não estão na mesma conta de armazenamento.

Recomendações de topologia: firewalls, redes edge e conectividade de proxy

Considere as seguintes recomendações para a topologia da solução.

Filtragem de firewall e tráfego

Com base nas políticas da sua organização ou em requisitos regulamentares exclusivos, poderá ter de restringir a comunicação com o Azure. Por conseguinte, Azure File Sync fornece vários mecanismos para configurar a rede. Com base nos seus requisitos, pode:

  • Faça um túnel entre a sincronização e o carregamento de ficheiros e transfira o tráfego através do Azure ExpressRoute ou da rede privada virtual (VPN) do Azure.
  • Utilize Ficheiros do Azure e funcionalidades de rede do Azure, como pontos finais de serviço e pontos finais privados.
  • Configure Azure File Sync para suportar o proxy no seu ambiente.
  • Limitar a atividade de rede do Azure File Sync.

Para saber mais sobre Azure File Sync e redes, veja considerações sobre a rede Azure File Sync.

Configurar servidores proxy

Muitas organizações utilizam um servidor proxy como intermediário entre recursos dentro da rede no local e recursos fora da rede, como no Azure. Os servidores proxy são úteis para muitas aplicações, como isolamento de rede e segurança, e monitorização e registo. Azure File Sync pode interagir totalmente com um servidor proxy; no entanto, tem de configurar manualmente as definições de ponto final de proxy para o seu ambiente com Azure File Sync. Para tal, utilize os cmdlets do servidor Azure File Sync no Azure PowerShell.

Para obter mais informações sobre como configurar Azure File Sync com um servidor proxy, veja Azure File Sync definições de proxy e firewall.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser utilizados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, veja Microsoft Azure Well-Architected Framework.

Fiabilidade

A fiabilidade garante que a sua aplicação pode cumprir os compromissos assumidos com os seus clientes. Para obter mais informações, veja Descrição geral do pilar de fiabilidade.

  • Deve considerar o tipo e o desempenho da conta de armazenamento que utiliza para alojar partilhas de ficheiros do Azure. Todos os recursos de armazenamento implementados numa conta de armazenamento partilham os limites que se aplicam a essa conta de armazenamento. Para saber mais sobre como determinar os limites atuais de uma conta de armazenamento, veja Ficheiros do Azure metas de escalabilidade e desempenho.
  • Existem dois tipos principais de contas de armazenamento para implementações de Ficheiros do Azure:
    • Contas de armazenamento de fins gerais versão 2 (GPv2). As contas de armazenamento GPv2 permitem-lhe implementar partilhas de ficheiros do Azure em hardware padrão baseado em disco rígido (baseado em HDD). Além de armazenar partilhas de ficheiros do Azure, as contas de armazenamento GPv2 podem armazenar outros recursos de armazenamento, como contentores de blobs, filas e tabelas.
    • Contas de armazenamento FileStorage: as contas de armazenamento FileStorage permitem-lhe implementar partilhas de ficheiros do Azure em hardware premium baseado em disco de estado sólido (baseado em SSD). As contas FileStorage só podem ser utilizadas para armazenar partilhas de ficheiros do Azure. Não pode implementar outros recursos de armazenamento, como contentores de blobs, filas e tabelas numa conta FileStorage.
  • Por predefinição, as partilhas de ficheiros padrão não podem abranger mais de 5 terabytes (TiB), embora o limite de partilhas possa ser aumentado para 100 TiB. Para tal, a funcionalidade de partilha de ficheiros grande tem de estar ativada ao nível da conta de armazenamento. As contas de armazenamento Premium (contas de armazenamento FileStorage) não têm o sinalizador de funcionalidade de partilha de ficheiros grande, uma vez que todas as partilhas de ficheiros premium já estão ativadas para aprovisionamento até à capacidade total de 100 TiB. Só pode ativar partilhas de ficheiros grandes em contas de armazenamento padrão localmente redundantes ou com redundância entre zonas. Depois de ativar o sinalizador de funcionalidade de partilha de ficheiros grande, não pode alterar o nível de redundância para armazenamento georredundante ou armazenamento com redundância entre zonas geográficas. Para ativar partilhas de ficheiros grandes numa conta de armazenamento existente, ative a opção Partilha de ficheiros grande na vista Configuração da conta de armazenamento associada.
  • Deve certificar-se de que Azure File Sync é suportado nas regiões onde implementa a solução. Para obter mais informações, veja Disponibilidade da região de sincronização de ficheiros do Azure.
  • Deve garantir que os serviços referenciados na secção Arquitetura são suportados na região onde implementa a arquitetura de serviços de ficheiros híbridos.
  • Para proteger os dados nas partilhas de ficheiros do Azure contra perda de dados ou danos, todas as partilhas de ficheiros do Azure armazenam várias cópias de cada ficheiro à medida que são escritos. Consoante os requisitos da carga de trabalho, pode selecionar mais graus de redundância.
  • As Versões Anteriores são uma funcionalidade do Windows que lhe permite utilizar instantâneos do Serviço de Cópia Sombra de Volumes (VSS) do lado do servidor de um volume para apresentar versões restauráveis de um ficheiro a um cliente SMB. Os instantâneos do VSS e as Versões Anteriores funcionam independentemente do Azure File Sync. No entanto, o arrumo na cloud tem de ser definido para um modo compatível. Muitos Azure File Sync pontos finais do servidor podem existir no mesmo volume. Tem de fazer a seguinte chamada do PowerShell por volume que tenha até um ponto final do servidor, onde planeia ou está a utilizar o arrumo na cloud. Para obter mais informações sobre Versões Anteriores e VSS, veja Restauro self-service através de Versões Anteriores e VSS (Serviço de Cópia Sombra de Volumes).

Segurança

A segurança fornece garantias contra ataques deliberados e abuso dos seus valiosos dados e sistemas. Para obter mais informações, veja Descrição geral do pilar de segurança.

  • Azure File Sync funciona com a sua identidade de Active Directory Domain Services padrão (AD DS) sem qualquer configuração especial para além de configurar Azure File Sync. Quando utiliza Azure File Sync, o acesso a ficheiros normalmente passa pelos servidores de colocação em cache Azure File Sync em vez de através da partilha de ficheiros do Azure. Uma vez que os pontos finais do servidor estão localizados em máquinas do Windows Server, o único requisito para a integração de identidades é utilizar servidores de ficheiros Windows associados a um domínio para se registarem no Serviço de Sincronização de Armazenamento. Azure File Sync armazena listas de controlo de acesso (ACLs) para os ficheiros na partilha de ficheiros do Azure e replica-as para todos os pontos finais do servidor.
  • Apesar de as alterações efetuadas diretamente na partilha de ficheiros do Azure demorarem mais tempo a sincronizar com os pontos finais do servidor no grupo de sincronização, poderá querer garantir que também pode impor as permissões do AD DS na partilha de ficheiros diretamente na cloud. Para tal, tem de associar a sua conta de armazenamento ao domínio do AD DS no local, tal como os servidores de ficheiros do Windows estão associados a um domínio. Para saber mais sobre como associar o domínio à sua conta de armazenamento a uma instância do AD DS pertencente ao cliente, veja Descrição geral das opções de autenticação baseadas em identidade Ficheiros do Azure para acesso SMB.
  • Quando utiliza Azure File Sync, existem três camadas diferentes de encriptação a considerar:
    • Encriptação inativa para dados armazenados no Windows Server. Existem duas estratégias para encriptar dados no Windows Server que funcionam geralmente com Azure File Sync: encriptação abaixo do sistema de ficheiros, de modo a que o sistema de ficheiros e todos os dados escritos no mesmo sejam encriptados e encriptação no próprio formato de ficheiro. Estes métodos podem ser utilizados em conjunto, se assim o desejarem, porque as respetivas finalidades diferem.
    • Encriptação em trânsito entre o agente Azure File Sync e o Azure. Azure File Sync agente comunica com o Serviço de Sincronização de Armazenamento e a partilha de ficheiros do Azure através do protocolo REST Azure File Sync e do protocolo FileREST, que utilizam sempre HTTPS através da porta 443. Azure File Sync não envia pedidos não encriptados através de HTTP.
    • Encriptação inativa para dados armazenados na partilha de ficheiros do Azure. Todos os dados armazenados no Ficheiros do Azure são encriptados inativos com a encriptação do serviço de armazenamento do Azure (SSE). A encriptação do serviço de armazenamento funciona muito como o BitLocker no Windows: os dados são encriptados abaixo do nível do sistema de ficheiros. Uma vez que os dados são encriptados por baixo do sistema de ficheiros da partilha de ficheiros do Azure à medida que os dados são codificados para o disco, não precisa de aceder à chave subjacente no cliente para ler ou escrever na partilha de ficheiros do Azure.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, veja Descrição geral do pilar de otimização de custos.

Excelência Operacional

A excelência operacional abrange os processos de operações que implementam uma aplicação e a mantêm em execução na produção. Para obter mais informações, veja Descrição geral do pilar de excelência operacional.

  • O agente Azure File Sync é atualizado regularmente para adicionar novas funcionalidades e resolver problemas. A Microsoft recomenda que configure o Microsoft Update para fornecer atualizações para o agente Azure File Sync à medida que ficam disponíveis. Para obter mais informações, veja Azure File Sync política de atualização do agente.
  • O Armazenamento do Azure oferece eliminação recuperável para partilhas de ficheiros para que possa recuperar os seus dados quando são eliminados por engano por uma aplicação ou por outro utilizador da conta de armazenamento. Para saber mais sobre a eliminação recuperável, veja Ativar a eliminação recuperável nas partilhas de ficheiros do Azure.
  • O arrumo na cloud é uma funcionalidade opcional do Azure File Sync que coloca em cache ficheiros acedidos frequentemente localmente no servidor e coloca os outros em camadas para Ficheiros do Azure com base nas definições de política. Quando um ficheiro está em camadas, o filtro Azure File Sync sistema de ficheiros (StorageSync.sys) substitui o ficheiro localmente por um ponteiro para o ficheiro no Ficheiros do Azure. Um ficheiro em camadas tem o atributo offline e o atributo FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS definido no NTFS para que as aplicações de terceiros possam identificar ficheiros em camadas de forma segura. Para obter mais informações, veja Cloud Tiering Overview (Descrição Geral do Arrumo na Cloud).

Passos seguintes

Documentação de orientação híbrida relacionada:

Arquiteturas relacionadas: