Compartilhamento de arquivo em nuvem do Azure Enterprise

DNS do Azure
Arquivos do Azure
Link Privado do Azure
Armazenamento do Azure
Rede Virtual do Azure

Esta arquitetura de referência ilustra uma solução de compartilhamento de arquivos em nuvem de nível empresarial que usa serviços do Azure, incluindo Arquivos do Azure, Sincronização de Arquivos do Azure, DNS Privado do Azure e Ponto de Extremidade Privado do Azure. A solução gera redução de custos ao terceirizar o gerenciamento de servidores de arquivos e infraestrutura, mantendo o controle dos dados.

Arquitetura

O diagrama a seguir mostra como os clientes podem acessar compartilhamentos de arquivos do Azure:

  • Localmente por meio de um servidor de arquivos em camadas na nuvem.
  • Remotamente por emparelhamento privado da Rota Expressa ou túneis VPN em um ambiente de rede privada.

Enterprise-level cloud file share diagram that shows how clients can access Azure file shares locally through a cloud tiering file server or remotely over ExpressRoute private peering or VPN tunnel in a private network environment.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

A solução de compartilhamento de arquivos em nuvem de nível empresarial usa os seguintes métodos para fornecer a mesma experiência de usuário que o compartilhamento de arquivos tradicional, mas com compartilhamentos de arquivos do Azure:

  • Usa a Sincronização de Arquivos do Azure para sincronizar ACL (Listas de Controle de Acesso) de arquivos e pastas entre servidores de arquivos locais e compartilhamentos de arquivos do Azure.
  • Usa o recurso de hierarquização na nuvem do agente do Azure File Sync para armazenar em cache arquivos acessados com frequência localmente.
  • Impõe a autenticação do AD DS sobre compartilhamentos de arquivos do Azure.
  • Acessa serviços de compartilhamento e sincronização de arquivos via IP privado por meio de Link Privado e Ponto de Extremidade Privado por meio de um emparelhamento privado da Rota Expressa ou túnel VPN.

Ao implementar o Ponto de Extremidade Privado do Azure nos Arquivos do Azure e na Sincronização de Arquivos do Azure, o acesso ao ponto de extremidade público é desabilitado para que o acesso aos Arquivos do Azure e à Sincronização de Arquivos do Azure seja restrito a partir da rede virtual do Azure.

O túnel site a site da VPN de emparelhamento privado da Rota Expressa estende a rede local para a rede virtual do Azure. O tráfego SMB (Sincronização de Arquivos do Azure) e SMB (Server Message Block) do local para os Arquivos do Azure e os pontos de extremidade privados do Azure File Sync são restritos apenas à conexão privada. Durante a transição, os Arquivos do Azure só permitirão a conexão se ela for feita com o SMB 3.0+. As conexões feitas a partir do agente de Sincronização de Arquivos do Azure com um compartilhamento de Arquivos do Azure ou Serviço de Sincronização de Armazenamento são sempre criptografadas. Em repouso, o Armazenamento do Azure criptografa automaticamente seus dados quando eles são mantidos na nuvem, assim como os Arquivos do Azure.

Um resolvedor de DNS (Sistema de Nomes de Domínio) é um componente crítico da solução. Cada serviço do Azure, neste caso Arquivos do Azure e Sincronização de Arquivos do Azure, tem um FQDN (nome de domínio totalmente qualificado). Os FQDNs desses serviços são resolvidos para seus endereços IP públicos nestes casos:

  • Quando um cliente acessa um compartilhamento de Arquivos do Azure.
  • Quando um agente de Sincronização de Arquivos do Azure, implantado em um servidor de arquivos local, acessa o serviço de Sincronização de Arquivos do Azure.

Depois de habilitar um ponto de extremidade privado, os endereços IP privados são alocados na rede virtual do Azure. Esses endereços permitem o acesso a esses serviços por meio de uma conexão privada, e os mesmos FQDNs agora devem ser resolvidos para endereços IP privados. Para conseguir isso, os Arquivos do Azure e a Sincronização de Arquivos do Azure criam um registro DNS de nome canônico (CNAME) para redirecionar a resolução para um nome de domínio privado:

  • O nome de domínio público do Azure File Sync obtém um redirecionamento CNAME para o nome *.afs.azure.net*.<region>.privatelink.afs.azure.netde domínio privado.
  • O nome de domínio público dos Arquivos do Azure obtém um redirecionamento CNAME para o nome <name>.file.core.windows.net<name>.privatelink.file.core.windows.netde domínio privado.

A solução mostrada nesta arquitetura configura corretamente as configurações de DNS local para que elas resolvam nomes de domínio privados para endereços IP privados, usando os seguintes métodos:

  • As zonas DNS privadas (componentes 11 e 12) são criadas a partir do Azure para fornecer resolução de nome privado para a Sincronização de Arquivos do Azure e os Arquivos do Azure.
  • As zonas DNS privadas são vinculadas à rede virtual do Azure para que um servidor DNS implantado na rede virtual ou o resolvedor DNS privado do Azure (componente 8) possa resolver nomes de domínio privados.
  • Os registros DNS A são criados para Arquivos do Azure e Sincronização de Arquivos do Azure em zonas DNS privadas. Para obter as etapas de configuração de ponto de extremidade, consulte Configurando pontos de extremidade de rede dos Arquivos do Azure e Configurando pontos de extremidade de rede do Azure File Sync.
  • O servidor DNS local (componente 3) configura o encaminhamento condicional para encaminhar a consulta DNS de domain afs.azure.net e file.core.windows.net para o servidor DNS na rede virtual do Azure (componente 8).
  • Depois de receber a consulta DNS encaminhada do servidor DNS local, o servidor DNS (componente 8) na rede virtual do Azure usa o resolvedor recursivo DNS do Azure para resolver nomes de domínio privados e retornar endereços IP privados para o cliente.

Componentes

A solução descrita no diagrama de arquitetura usa os seguintes componentes:

  • Cliente (componente 1 ou 2) - Normalmente, o cliente é uma área de trabalho Windows, Linux ou Mac OSX que pode se comunicar com um servidor de arquivos ou Arquivos do Azure por meio do protocolo SMB.

  • Servidores DC e DNS (componente 3) - Um controlador de domínio (DC) é um servidor que responde a solicitações de autenticação e verifica usuários em redes de computadores. Um servidor DNS fornece serviços de resolução de nomes de mapeamento de nome para endereço IP para computadores e usuários. Os servidores DC e DNS podem ser combinados em um único servidor ou podem ser separados em servidores diferentes.

  • Servidor de arquivos (componente 4) - Um servidor que hospeda compartilhamentos de arquivos e fornece serviços de compartilhamento de arquivos por meio do protocolo SMB.

  • Dispositivo CE/VPN (componente 5) - Um roteador de borda do cliente (CE) ou dispositivo VPN é usado para estabelecer conexão de Rota Expressa ou VPN com a rede virtual do Azure.

  • Azure ExpressRoute ou Gateway de VPN do Azure (componente 6) – o Azure ExpressRoute é um serviço que permite estender sua rede local para a nuvem da Microsoft por meio de uma conexão privada facilitada por um provedor de conectividade. O Gateway de VPN do Azure é um tipo específico de gateway de rede virtual usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública. A Rota Expressa ou o Gateway VPN estabelece uma conexão de Rota Expressa ou VPN com sua rede local.

  • Ponto de extremidade privado do Azure (componente 7) - Uma interface de rede que conecta você de forma privada e segura a um serviço alimentado pelo Link Privado do Azure. Nesta solução, um ponto de extremidade privado do Azure File Sync se conecta ao Azure File Sync (9) e um ponto de extremidade privado do Azure Files se conecta aos Arquivos do Azure (10).

  • Servidor DNS/resolvedor de DNS privado do Azure (componente 8) na instância da Rede Virtual do Azure usa o resolvedor recursivo de DNS do Azure para resolver o nome de domínio privado e retornar um endereço IP privado para o cliente, depois de receber uma consulta DNS encaminhada de um servidor DNS local.

  • Sincronização de Arquivos do Azure e hierarquização na nuvem (componente 9) – a Sincronização de Arquivos do Azure é um recurso do Armazenamento do Azure para centralizar os compartilhamentos de arquivos da sua organização no Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. A camada de nuvem é um recurso opcional da Sincronização de Arquivos do Azure em que arquivos acessados frequentemente são armazenados em cache localmente no servidor, enquanto todos os outros arquivos são organizados em camadas para Arquivos do Azure com base nas configurações de política.

  • Arquivos do Azure (componente 10) - Um serviço totalmente gerenciado que oferece compartilhamentos de arquivos na nuvem que são acessíveis por meio do protocolo SMB (Server Message Block) padrão do setor. Os Arquivos do Azure implementam o protocolo SMB v3 e dão suporte à autenticação por meio dos Serviços de Domínio Active Directory (AD DS) locais e dos Serviços de Domínio Microsoft Entra (Serviços de Domínio Microsoft Entra). Os compartilhamentos de arquivos do Azure Files podem ser montados simultaneamente por implantações locais ou na nuvem do Windows, Linux e macOS. Além disso, os compartilhamentos de arquivos do Azure podem ser armazenados em cache mais perto de onde os dados estão sendo usados, em Servidores Windows com Sincronização de Arquivos do Azure para acesso rápido.

  • DNS Privado do Azure (componentes 11 e 12) - Um serviço DNS oferecido pelo Azure, o DNS Privado gerencia e resolve nomes de domínio em uma rede virtual, sem a necessidade de adicionar uma solução DNS personalizada.

  • Backup do Azure (componente 13) - O Backup do Azure é um serviço de backup de compartilhamento de arquivos do Azure que usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup baseada em nuvem. Para obter considerações, consulte Perda de dados e backup.

Detalhes do cenário

Essa solução permite que você acesse os compartilhamentos de arquivos do Azure em um ambiente de trabalho híbrido em uma rede virtual privada entre redes locais e virtuais do Azure sem atravessar a Internet. Ele também permite controlar e limitar o acesso a arquivos por meio da autenticação dos Serviços de Domínio Microsoft Entra (AD DS).

Possíveis casos de uso

A solução de compartilhamento de arquivos na nuvem oferece suporte aos seguintes casos de uso potenciais:

  • Servidor de arquivos ou compartilhamento de arquivos lift and shift. Ao levantar e deslocar, você elimina a necessidade de reestruturar ou reformatar dados. Você também mantém aplicativos legados no local enquanto se beneficia do armazenamento em nuvem.
  • Acelere a inovação na nuvem com maior eficiência operacional. Reduz o custo de manutenção de hardware e espaço físico, protege contra corrupção e perda de dados.
  • Acesso privado a compartilhamentos de arquivos do Azure. Protege contra exfiltração de dados.

Fluxos de tráfego

Depois de habilitar a Sincronização de Arquivos do Azure e os Arquivos do Azure, os compartilhamentos de arquivos do Azure podem ser acessados em dois modos, modo de cache local ou modo remoto. Em ambos os modos, o cliente usa credenciais existentes do AD DS para se autenticar.

  • Modo de cache local - O cliente acessa arquivos e compartilhamentos de arquivos por meio de um servidor de arquivos local com a hierarquização na nuvem habilitada. Quando um usuário abre um arquivo do servidor de arquivos local, os dados do arquivo são servidos do cache local do servidor de arquivos ou o agente do Azure File Sync recupera perfeitamente os dados de arquivo dos Arquivos do Azure. No diagrama de arquitetura dessa solução, isso acontece entre os componentes 1 e 4.

  • Modo remoto - O cliente acessa arquivos e compartilhamentos de arquivos diretamente de um compartilhamento de arquivos remoto do Azure. No diagrama de arquitetura desta solução, o fluxo de tráfego percorre os componentes 2, 5, 6, 7 e 10.

O tráfego do Azure File Sync viaja entre os componentes 4, 5, 6 e 7, usando um circuito de Rota Expressa para uma conexão confiável.

As consultas de resolução de nome de domínio privado passam pelos componentes 3, 5, 6, 8, 11 e 12 usando a seguinte sequência:

  1. O cliente envia uma consulta a um servidor DNS local para resolver um nome DNS dos Arquivos do Azure ou do Azure File Sync.
  2. O servidor DNS local tem um encaminhador condicional que aponta a resolução de nomes DNS do Arquivo do Azure e do Azure File Sync para um servidor DNS na rede virtual do Azure.
  3. A consulta é redirecionada para um Servidor DNS ou resolvedor de DNS privado do Azure na rede virtual do Azure.
  4. Dependendo da configuração de DNS da rede virtual:
    • Se um servidor DNS personalizado estiver configurado, o Servidor DNS na rede virtual do Azure enviará uma consulta de nome para o resolvedor recursivo DNS fornecido pelo Azure (168.63.129.16).
    • Se o resolvedor de DNS privado do Azure estiver configurado e a consulta corresponder às zonas DNS privadas vinculadas à rede virtual, essas zonas serão consultadas.
  5. O servidor DNS/resolvedor DNS privado do Azure retorna um IP privado, depois de resolver o nome de domínio privado para a respectiva zona DNS privada. Ele usa os links da rede virtual do Azure para a zona DNS de Arquivos do Azure e a zona DNS privada do Azure File Sync.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Considere os seguintes pontos ao implementar esta solução.

Planejamento

  • Para obter o planejamento da Sincronização de Arquivos do Azure, consulte Planejando uma implantação da Sincronização de Arquivos do Azure.
  • Para o planejamento de Arquivos do Azure, consulte Planejando uma implantação de Arquivos do Azure.

Rede

  • Para considerações de rede do Azure File Sync, consulte Considerações de rede do Azure File Sync.
  • Para considerações de rede dos Arquivos do Azure, consulte Considerações de rede dos Arquivos do Azure.

DNS

Ao gerenciar a resolução de nomes para Pontos de Extremidade Privados, os nomes de domínio privados dos Arquivos do Azure e da Sincronização de Arquivos do Azure são resolvidos da seguinte maneira:

Do lado do Azure:

  • Se a resolução de nomes fornecida pelo Azure for usada, a rede virtual do Azure deverá se vincular a zonas DNS privadas provisionadas.
  • Se "traga seu próprio servidor DNS" for usado, a rede virtual onde seu próprio servidor DNS está implantado deverá se vincular a zonas DNS privadas provisionadas.

Do lado local, o nome de domínio privado é mapeado para um endereço IP privado de uma das seguintes maneiras:

  • Por meio do encaminhamento de DNS para um servidor DNS implantado na rede virtual do Azure ou no resolvedor DNS privado do Azure, como mostra o diagrama.
  • Por meio do servidor DNS local que configura zonas para o domínio <region>.privatelink.afs.azure.net privado e privatelink.file.core.windows.neto . O servidor registra os endereços IP dos Arquivos do Azure e dos pontos de extremidade privados do Azure File Sync como registros DNS A em suas respectivas zonas DNS. O cliente local resolve o nome de domínio privado diretamente do servidor DNS local local.

DFS (Sistema de Arquivos Distribuído)

Quando se trata de uma solução de compartilhamento de arquivos local, muitos administradores optam por usar um DFS em vez de um servidor de arquivos autônomo tradicional. O DFS permite que os administradores consolidem compartilhamentos de arquivos que podem existir em vários servidores para que eles pareçam estar todos no mesmo local, permitindo que os usuários os acessem de um único ponto na rede. Ao migrar para uma solução de compartilhamento de arquivos na nuvem, a implantação tradicional do DFS-R pode ser substituída pela implantação do Azure File Sync. Para obter mais informações, consulte Migrar uma implantação de DFS-R (Replicação do DFS) para Sincronização de arquivos do Azure.

Perda de dados e backup

A perda de dados é um problema sério para empresas de todos os tamanhos. O backup de compartilhamento de arquivos do Azure usa instantâneos de compartilhamento de arquivos para fornecer uma solução de backup baseada em nuvem que protege seus dados na nuvem e elimina a sobrecarga de manutenção adicional envolvida em soluções de backup local. Os principais benefícios do backup de compartilhamento de arquivos do Azure incluem:

  • Infraestrutura zero
  • Retenção personalizada
  • Recursos de gerenciamento integrados
  • Restaurações instantâneas
  • Alertas e relatórios
  • Proteção contra exclusão acidental de compartilhamentos de arquivos

Para obter mais informações, consulte Sobre o backup de compartilhamento de arquivos do Azure

Suporte para identidades híbridas em Arquivos do Azure

Embora este artigo descreva o Active Directory para autenticação em Arquivos do Azure, é possível usar a ID do Microsoft Entra para autenticar identidades de usuário híbridas. Os Arquivos do Azure dão suporte à autenticação baseada em identidade sobre SMB (Server Message Block), usando o protocolo de autenticação Kerberos por meio dos três métodos a seguir:

  • AD DS (Active Directory Domain Services) local
  • Microsoft Entra Domain Services (Microsoft Entra Domain Services)
  • Microsoft Entra Kerberos (Microsoft Entra ID) apenas para identidades de usuário híbridas

Para obter mais informações, consulte Habilitar a autenticação Kerberos do Microsoft Entra para identidades híbridas em Arquivos do Azure (visualização).

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques de DDoS. Você deve habilitar a Proteção contra DDOS do Azure em qualquer rede virtual do perímetro.

A auditoria de segurança é um requisito necessário para ajudar a manter a segurança de uma empresa. Os padrões do setor exigem que as empresas sigam um conjunto rigoroso de regras relacionadas à segurança e privacidade de dados.

Auditoria de acesso a arquivos

A auditoria de acesso a arquivos pode ser habilitada local e remotamente:

  • Localmente, usando o Controle de Acesso Dinâmico. Para obter mais informações, consulte Planejar a auditoria de acesso a arquivos.
  • Remotamente, usando logs de Armazenamento do Azure no Azure Monitor em Arquivos do Azure. Os logs do Armazenamento do Azure contêm logs StorageRead, StorageWrite, StorageDelete e Transaction. O acesso a arquivos do Azure pode ser registrado em uma conta de armazenamento, espaço de trabalho de análise de log ou transmitido para um hub de eventos separadamente. Para obter mais informações, consulte Monitorando o armazenamento do Azure.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas