Usar compartilhamentos de arquivos do Azure em um ambiente híbrido

Essa arquitetura mostra como incluir compartilhamentos de arquivos do Azure em seu ambiente híbrido. Os compartilhamentos de arquivos do Azure são usados como compartilhamentos de arquivos sem servidor. Ao integrá-los aos Serviços de Diretório do Active Directory (AD DS), você pode controlar e limitar o acesso aos usuários do AD DS. Os compartilhamentos de arquivos do Azure podem substituir os servidores de arquivos tradicionais.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Essa arquitetura consiste nos seguintes componentes:

• Locatário do Microsoft Entra. Esse componente é uma instância do Microsoft Entra criada pela sua organização. Ele atua como um serviço de diretório para aplicativos em nuvem, armazenando objetos que são copiados do Active Directory local. Ele também fornece serviços de identidade ao acessar compartilhamentos de arquivos do Azure.
• Servidor AD DS. Esse componente é um serviço de identidade e diretório local. O diretório do AD DS é sincronizado com a ID do Microsoft Entra para permitir que ele autentique usuários locais.
• Servidor Microsoft Entra Connect Sync. Esse componente é um servidor local que executa o serviço Microsoft Entra Connect Sync. Esse serviço sincroniza as informações mantidas no Active Directory local com o Microsoft Entra ID.
• Gateway de rede virtual. Esse componente opcional é usado para enviar tráfego criptografado entre uma Rede Virtual do Azure e um local local pela Internet.
• Compartilhamentos de arquivos do Azure. Os compartilhamentos de arquivos do Azure fornecem armazenamento para arquivos e pastas que você pode acessar por meio dos protocolos SMB (Server Message Block), NFS (Network File System) e HTTP (Hypertext Transfer Protocol). Os compartilhamentos de arquivos são implantados em contas de armazenamento do Azure.
• Cofre de Serviços de Recuperação. Este componente opcional fornece backup de compartilhamentos de arquivos do Azure.
• clientes. Esses componentes são computadores membros do AD DS, a partir dos quais os usuários podem acessar compartilhamentos de arquivos do Azure.

Componentes

Principais tecnologias usadas para implementar essa arquitetura:

• O Microsoft Entra ID é um serviço de identidade empresarial que fornece logon único, autenticação multifator e acesso condicional.
• Os Arquivos do Azure oferecem compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados usando os protocolos padrão do setor.
• O Gateway VPN envia tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública.

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

• Substitua ou complemente servidores de arquivos locais. Os Arquivos do Azure podem substituir ou complementar completamente os servidores de arquivos locais tradicionais ou os dispositivos de armazenamento conectados à rede. Com os compartilhamentos de arquivos do Azure e a autenticação do AD DS, você pode migrar dados para os Arquivos do Azure. Essa migração pode aproveitar a alta disponibilidade e a escalabilidade e, ao mesmo tempo, minimizar as alterações do cliente.
• Lift-and-shift. Os Arquivos do Azure facilitam a "elevação e deslocamento" de aplicativos que esperam que um compartilhamento de arquivos armazene dados de aplicativos ou usuários na nuvem.
• Backup e recuperação de desastres. Você pode usar os Arquivos do Azure como armazenamento para backups ou para recuperação de desastres para melhorar a continuidade dos negócios. Você pode usar os Arquivos do Azure para fazer backup de seus dados de servidores de arquivos existentes, preservando as listas de controle de acesso discricionário do Windows configuradas. Os dados armazenados em compartilhamentos de arquivos do Azure não são afetados por desastres que podem afetar localizações locais.
• Sincronização de arquivos do Azure. Com a Sincronização de Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser replicados para o Windows Server, no local ou na nuvem. Essa replicação melhora o desempenho e distribui o cache de dados para onde eles estão sendo usados.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Usar contas de armazenamento de uso geral v2 (GPv2) ou de Armazenamento de Arquivos para compartilhamentos de arquivos do Azure

Você pode criar um compartilhamento de arquivos do Azure em várias contas de armazenamento. Embora as contas de armazenamento de uso geral (GPv1) e clássicas possam conter compartilhamentos de arquivos do Azure, a maioria dos novos recursos dos Arquivos do Azure está disponível apenas em contas de armazenamento GPv2 e FileStorage. Enquanto um compartilhamento de arquivos do Azure armazena dados de contas de armazenamento GPv2 em hardware baseado em disco rígido (HDD), ele armazena dados de contas de armazenamento de Armazenamento de Arquivos em hardware baseado em unidade de estado sólido (SSD). Para mais informações confira Criar um compartilhamento de arquivo do Azure.

Criar compartilhamentos de arquivos do Azure em contas de armazenamento que contêm apenas compartilhamentos de arquivos do Azure

As contas de armazenamento permitem que você use diferentes serviços de armazenamento na mesma conta de armazenamento. Esses serviços de armazenamento incluem compartilhamentos de arquivos do Azure, contêineres de blob e tabelas. Todos os serviços de armazenamento em uma única conta de armazenamento compartilham os mesmos limites de conta de armazenamento. A combinação de serviços de armazenamento na mesma conta de armazenamento dificulta a solução de problemas de desempenho.

Usar compartilhamentos de arquivos premium para cargas de trabalho que exigem alta taxa de transferência

Os compartilhamentos de arquivos premium são implantados em contas de armazenamento de Armazenamento de Arquivos e armazenados em hardware baseado em unidade de estado sólido (SSD). Essa configuração os torna adequados para armazenar e acessar dados que exigem desempenho consistente, alta taxa de transferência e baixa latência. (Por exemplo, esses compartilhamentos de arquivos premium funcionam bem com bancos de dados.) Você pode armazenar outras cargas de trabalho menos sensíveis à variabilidade de desempenho em compartilhamentos de arquivos padrão. Esses tipos de carga de trabalho incluem compartilhamentos de arquivos de uso geral e ambientes de desenvolvimento/teste. Para obter mais informações, consulte Como criar um compartilhamento de arquivos do Azure.

Sempre exigir criptografia ao acessar compartilhamentos de arquivos do Azure

Sempre use a criptografia em trânsito ao acessar dados em compartilhamentos de arquivos do Azure. (A criptografia em trânsito é habilitada por padrão.) Os Arquivos do Azure só permitirão a conexão se ela for feita com um protocolo que usa criptografia, como o SMB 3.0. Os clientes que não oferecem suporte ao SMB 3.0 não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito for necessária.

Use VPN se a porta que o SMB usa (porta 445) estiver bloqueada

Muitos provedores de serviços de Internet bloqueiam a porta TCP (Transmission Control Protocol) 445, que é usada para acessar compartilhamentos de arquivos do Azure. Se desbloquear a porta TCP 445 não for uma opção, você poderá acessar os compartilhamentos de arquivos do Azure por meio de uma conexão de Rota Expressa ou VPN (rede virtual privada) (site a site ou ponto a site) para evitar o bloqueio de tráfego. Para obter mais informações, consulte Configurar uma VPN Ponto a Site (P2S) no Windows para uso com Arquivos do Azure e Configurar uma VPN Site a Site para uso com Arquivos do Azure.

Considere usar a Sincronização de Arquivos do Azure com compartilhamentos de arquivos do Azure

O serviço de Sincronização de Arquivos do Azure permite armazenar em cache os compartilhamentos de arquivos do Azure em um servidor de arquivos do Windows Server local. Quando você habilita a hierarquização na nuvem, o File Sync ajuda a garantir que um servidor de arquivos sempre tenha espaço livre disponível, mesmo que disponibilize mais arquivos do que um servidor de arquivos poderia armazenar localmente. Se você tiver servidores de arquivos do Windows Server locais, considere integrar servidores de arquivos com compartilhamentos de arquivos do Azure usando a Sincronização de Arquivos do Azure. Para obter mais informações, consulte Planejando uma implantação do Azure File Sync.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Escalabilidade

• O tamanho do compartilhamento de arquivos do Azure é limitado a 100 tebibytes (TiB). Não há tamanho mínimo de compartilhamento de arquivos e nem limite no número de compartilhamentos de arquivos do Azure.
• O tamanho máximo de um arquivo em um compartilhamento de arquivos é de 1 TiB e não há limite no número de arquivos em um compartilhamento de arquivos.
• O máximo de operações de E/S por segundo (IOPS) por compartilhamento de arquivos padrão é de 10.000 IOPS e 100.000 IOPS por compartilhamento de arquivos premium.
• A taxa de transferência máxima para um único compartilhamento de arquivos padrão é de até 300 mebibytes/s (MiB/s) e até 6.204 MiB/s para compartilhamentos de arquivos premium.
• Os limites de IOPS e taxa de transferência são por conta de armazenamento do Azure e são compartilhados entre compartilhamentos de arquivos do Azure na mesma conta de armazenamento.
• Para obter mais informações, confira Metas de desempenho e escalabilidade de Arquivos do Azure.

Disponibilidade

• Atualmente, os compartilhamentos de arquivos do Azure oferecem suporte às seguintes opções de redundância de dados:
  • LRS (armazenamento com redundância local) . Os dados serão copiados três vezes em uma localização física única de maneira síncrona na região primária. Essa prática protege contra a perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa.
  • Armazenamento com redundância de zona (ZRS). Os dados são copiados de maneira síncrona em três zonas de disponibilidade do Azure na região primária. As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes.
  • Armazenamento com redundância geográfica (GRS). Os dados são copiados de forma síncrona três vezes em um único local físico na região primária usando LRS. Os dados são então copiados de forma assíncrona para um único local físico na região secundária. O armazenamento com redundância geográfica fornece seis cópias de seus dados distribuídos entre duas regiões do Azure.
  • Armazenamento com redundância geográfica (GZRS). Os dados são copiados de forma síncrona em três zonas de disponibilidade do Azure na região primária usando o ZRS. Os dados são então copiados de forma assíncrona para um único local físico na região secundária.
• Os compartilhamentos de arquivos Premium podem ser armazenados somente em armazenamento com redundância local (LRS) e ZRS (zone redundant storage). Os compartilhamentos de arquivos padrão podem ser armazenados em LRS, ZRS, armazenamento com redundância geográfica (GRS) e armazenamento com redundância de zona geográfica (GZRS). Para obter mais informações, consulte Planejando uma implantação de Arquivos do Azure e redundância de Armazenamento do Azure.
• Os Arquivos do Azure são um serviço de nuvem e, como acontece com todos os serviços de nuvem, você deve ter conectividade com a Internet para acessar os compartilhamentos de arquivos do Azure. Uma solução redundante de conexão à Internet é altamente recomendada para evitar interrupções.

Capacidade de gerenciamento

• Você pode gerenciar compartilhamentos de arquivos do Azure usando as mesmas ferramentas que qualquer outro serviço do Azure. Essas ferramentas incluem o portal do Azure, a Interface de Linha de Comando do Azure e o Azure PowerShell.
• Os compartilhamentos de arquivos do Azure impõem permissões de arquivo padrão do Windows. Você pode configurar permissões em nível de diretório ou arquivo montando um compartilhamento de arquivos do Azure e configurando permissões usando o Explorador de Arquivos, o comando Windows icacls.exe ou o cmdlet Set-Acl do Windows PowerShell.
• Você pode usar o instantâneo de compartilhamento de arquivos do Azure para criar uma cópia point-in-time, somente leitura, dos dados de compartilhamento de arquivos do Azure. Você cria um instantâneo de compartilhamento no nível de compartilhamento de arquivo. Em seguida, você pode restaurar arquivos individuais no portal do Azure ou no Explorador de Arquivos, onde também pode restaurar um compartilhamento inteiro. Você pode ter até 200 instantâneos por compartilhamento, o que permite restaurar arquivos para diferentes versões de ponto em tempo. Se você excluir um compartilhamento, seus instantâneos também serão excluídos. Os instantâneos de compartilhamento são incrementais. Somente os dados que foram alterados depois que o instantâneo mais recente do compartilhamento é salvo. Essa prática minimiza o tempo necessário para criar o snapshot de compartilhamento e economiza nos custos de armazenamento. Os instantâneos de compartilhamento de arquivos do Azure também são usados quando você protege os compartilhamentos de arquivos do Azure com o Backup do Azure. Para mais informações, consulte Visão geral dos instantâneos para Arquivos do Azure.
• Você pode impedir a exclusão acidental de compartilhamentos de arquivos do Azure habilitando a exclusão flexível para compartilhamentos de arquivos. Se você excluir um compartilhamento de arquivos quando uma exclusão flexível estiver habilitada, o compartilhamento de arquivos fará a transição para um estado de exclusão suave em vez de ser apagado permanentemente. Você pode configurar a quantidade de tempo que os dados excluídos são recuperáveis antes de serem excluídos permanentemente e restaurar o compartilhamento a qualquer momento durante esse período de retenção. Para obter mais informações, consulte Habilitar exclusão flexível em compartilhamentos de arquivos do Azure.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

• Use a autenticação do AD DS sobre SMB para acessar compartilhamentos de arquivos do Azure. Essa configuração fornece a mesma experiência de logon único (SSO) perfeita ao acessar compartilhamentos de arquivos do Azure que acessar compartilhamentos de arquivos locais. Para obter mais informações, consulte Como funciona e etapas de habilitação de recursos. Seu cliente precisa ingressar no domínio do AD DS, porque a autenticação ainda é feita pelo controlador de domínio do AD DS. Além disso, você precisa atribuir permissões de nível de compartilhamento e de nível de arquivo/diretório para obter acesso aos dados. A atribuição de permissão de nível de compartilhamento passa pelo modelo RBAC do Azure. A permissão de nível de arquivo/diretório é gerenciada como ACLs do Windows.

  Observação

  O acesso aos compartilhamentos de arquivos do Azure é sempre autenticado. Os compartilhamentos de arquivos do Azure não oferecem suporte ao acesso anônimo. Além da autenticação baseada em identidade sobre SMB, os usuários também podem se autenticar no compartilhamento de arquivos do Azure usando a chave de acesso de armazenamento e a Assinatura de Acesso Compartilhado.

• Todos os dados armazenados no compartilhamento de arquivos do Azure são criptografados em repouso usando a criptografia do serviço de armazenamento do Azure (SSE). O SSE funciona de forma semelhante à Criptografia de Unidade de Disco BitLocker no Windows, em que os dados são criptografados abaixo do nível do sistema de arquivos. Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com as chaves gerenciadas pela Microsoft. Com as chaves gerenciadas pela Microsoft, a Microsoft mantém as chaves para criptografar/descriptografar os dados e gerencia a rotação deles regularmente. Você também pode optar por gerenciar as próprias chaves, o que dá controle a você sobre o processo de rotação.

• Todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada por padrão. Essa configuração significa que toda a comunicação com os compartilhamentos de arquivos do Azure é criptografada. Os clientes que não oferecem suporte à criptografia não podem se conectar aos compartilhamentos de arquivos do Azure. Se você desabilitar a criptografia em trânsito, os clientes que executam sistemas operacionais mais antigos, como o Windows Server 2008 R2 ou Linux mais antigo, também poderão se conectar. Nesses casos, os dados não são criptografados em trânsito a partir de compartilhamentos de arquivos do Azure.

• Por padrão, os clientes podem se conectar ao compartilhamento de arquivos do Azure de qualquer lugar. Para limitar as redes a partir das quais os clientes podem se conectar aos compartilhamentos de arquivos do Azure, configure o Firewall, as redes virtuais e as conexões de ponto de extremidade privadas. Para obter mais informações, consulte Configurar firewalls e redes virtuais do Armazenamento do Azure e Configurando pontos de extremidade de rede dos Arquivos do Azure.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

• Os Arquivos do Azure têm duas camadas de armazenamento e dois modelos de preços:
  • Armazenamento padrão: usa armazenamento baseado em HDD. Não há um tamanho mínimo de compartilhamento de arquivos e você paga apenas pelo espaço de armazenamento usado. Além disso, você precisa pagar por operações de arquivo, como enumerar um diretório ou ler um arquivo.
  • Armazenamento premium: usa armazenamento baseado em SSD. O tamanho mínimo para um compartilhamento de arquivos premium é de 100 gibibytes e você paga por espaço de armazenamento provisionado. Ao usar o armazenamento premium, todas as operações de arquivo são gratuitas.
• Custos extras estão associados a instantâneos de compartilhamento de arquivos e transferências de dados de saída. (Quando você transfere dados de compartilhamentos de arquivos do Azure, a transferência de dados de entrada é gratuita.) Os custos de transferência de dados dependem da quantidade de dados transferidos e da unidade de manutenção de estoque (SKU) do gateway de rede virtual, se você usar um. Para obter mais informações sobre os custos reais, consulte Preços de arquivos do Azure e Calculadora de preços do Azure. O custo real varia de acordo com a região do Azure e seu contrato individual. Entre em contato com um representante de vendas da Microsoft para obter mais informações sobre os preços.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Andrew Coughlin - Brasil | Arquiteto de Soluções em Nuvem Sênior

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Saiba mais sobre as tecnologias dos componentes:

• Como criar um compartilhamento de arquivos do Azure para obter instruções sobre como começar a usar um compartilhamento SMB.
• Como criar um compartilhamento NFS para obter instruções sobre como começar a usar um compartilhamento de montagem NFS.
• Habilite e crie documentação de compartilhamentos de arquivos grandes sobre a criação de compartilhamentos de arquivos grandes de até 100 TiB.

Recursos relacionados

Explorar arquiteturas relacionadas:

• Compartilhamento de arquivo em nuvem do Azure Enterprise
• Serviços de arquivo híbrido
• Fazer backup de arquivos e aplicativos no Azure Stack Hub
• Várias florestas com o AD DS e o Microsoft Entra ID
• Várias florestas com AD DS, ID do Microsoft Entra e Serviços de Domínio do Microsoft Entra
• Área de Trabalho Virtual do Azure para empresas