Considerações de rede para o Sincronização de Arquivos do Azure
Você pode se conectar a um compartilhamento de arquivo do Azure de duas maneiras:
- Acesse o compartilhamento diretamente através dos protocolos SMB ou FileREST. Esse padrão de acesso é empregado principalmente para eliminar o máximo possível de servidores locais.
- Crie um cache do compartilhamento de arquivos do Azure em um servidor local (ou máquina virtual do Azure) com o Sincronização de Arquivos do Azure e acesse os dados do compartilhamento de arquivos do servidor local com o protocolo de sua escolha (SMB, NFS, FTPS, etc.). Esse padrão de acesso é útil porque combina o melhor do desempenho local e da escala de nuvem com serviços de valor agregado, como o Backup do Azure.
Esse artigo centra-se no segundo cenário: como configurar a rede quando o seu caso de utilização exige a utilização do Sincronização de Arquivos do Azure para armazenar ficheiros em cache no local, em vez de montar diretamente a partilha de ficheiros do Azure através de SMB. Para obter mais informações sobre considerações de rede para uma implantação de Arquivos do Azure, confira Considerações de rede de Arquivos do Azure.
A configuração de rede para a Sincronização de Arquivos do Azure abrange dois objetos diferentes do Azure: um Serviço de Sincronização de Armazenamento e uma conta de armazenamento do Azure. Uma conta de armazenamento é uma construção de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como blobs ou filas. Um Serviço de Sincronização de Armazenamento é um constructo de gerenciamento que representa servidores registrados, que são servidores de arquivos do Windows com uma relação de confiança estabelecida com a Sincronização de Arquivos do Azure e grupos de sincronização, que definem a topologia do relacionamento de sincronização.
Importante
A Sincronização de Arquivos do Azure não dá suporte ao roteamento da internet. A opção de roteamento de rede padrão, Roteamento da Microsoft, é compatível com a Sincronização de Arquivos do Azure.
Como conectar o servidor de arquivos do Windows ao Azure com a Sincronização de Arquivos do Azure
Para configurar e usar Arquivos do Azure e a Sincronização de Arquivos do Azure com um servidor de arquivos do Windows local, não é necessária nenhuma rede especial para o Azure além de uma conexão básica com a Internet. Para implantar a Sincronização de Arquivos do Azure, instale o agente de Sincronização de Arquivos do Azure no servidor de arquivos do Windows que você deseja sincronizar com o Azure. O agente de Sincronização de Arquivos do Azure obtém a sincronização com um compartilhamento de arquivo do Azure por meio de dois canais:
- O protocolo FileREST, que é um protocolo baseado em HTTPS usado para acessar o compartilhamento de arquivo do Azure. Como o protocolo FileREST usa HTTPS padrão para transferência de dados, a porta 443 deve estar acessível na saída. A Sincronização de Arquivos do Azure não utiliza o protocolo SMB para transferir dados entre os seus Windows Servers locais e a sua partilha de ficheiros do Azure.
- O protocolo de sincronização da Sincronização de Arquivos do Azure, que é um protocolo baseado em HTTPS utilizado para a troca de conhecimentos de sincronização, nomeadamente as informações de versão sobre os ficheiros e pastas entre pontos de extremidade no seu ambiente. Esse protocolo também é usado para trocar metadados sobre arquivos e pastas, como carimbos de data e hora e listas de controle de acesso (ACLs).
Como os Arquivos do Azure oferecem acesso direto ao protocolo SMB nos compartilhamentos de arquivos do Azure, os clientes costumam imaginar se precisam configurar a rede especial para montar os compartilhamentos de arquivos do Azure usando SMB para o agente de Sincronização de Arquivos do Azure acessar. Isso não é necessário e, na verdade, é desencorajado, exceto em cenários de administrador, devido à falta de deteção rápida de alterações nas alterações feitas diretamente na partilha de ficheiros do Azure. As alterações poderão não ser descobertas durante mais de 24 horas, dependendo do tamanho e do número de itens na partilha de ficheiros do Azure. Se quiser utilizar a partilha de ficheiros Azure diretamente em vez de utilizar o Sincronização de Arquivos do Azure para armazenar em cache no local, veja a visão geral da rede de Ficheiros Azure.
Embora o Sincronização de Arquivos do Azure não exija qualquer configuração de rede especial, alguns clientes poderão querer configurar definições de rede avançadas para permitir os seguintes cenários:
- Interopere com a configuração do servidor proxy da sua organização.
- Abra o firewall local da sua organização para os Arquivos do Azure e os serviços Sincronização de Arquivos do Azure.
- Túnel do tráfego dos Arquivos do Azure e do Sincronização de Arquivos do Azure por meio de um ExpressRoute ou de uma conexão de rede privada virtual (VPN).
Configurar servidores proxy
Muitas organizações usam um servidor proxy como um intermediário entre recursos dentro da rede local e recursos fora da rede, como no Azure. Os servidores proxy são úteis para muitos aplicativos, como isolamento e segurança de rede, monitoramento e registro. A Sincronização de Arquivos do Azure pode interoperar totalmente com um servidor proxy, porém, você deve configurar manualmente as configurações do ponto de extremidade do proxy para o seu ambiente com a Sincronização de Arquivos do Azure. Isso deve ser feito por meio do PowerShell usando o cmdlet Set-StorageSyncProxyConfiguration
do servidor da Sincronização de Arquivos do Azure.
Para obter mais informações sobre como configurar Sincronização de Arquivos do Azure com um servidor proxy, confira Como configurar a Sincronização de Arquivos do Azure com um servidor proxy.
Como configurar firewalls e marcas de serviço
Muitas organizações isolam seus servidores de arquivos da maioria dos locais da internet para fins de segurança. Para usar a Sincronização de Arquivos do Azure em tal ambiente, você precisa configurar o firewall para permitir o acesso de saída para selecionar os serviços do Azure. Você pode fazer isso permitindo o acesso de saída da porta 443 aos pontos de extremidade de nuvem necessários que hospedam esses serviços específicos do Azure se o firewall dá suporte a url/domínios. Caso contrário, você poderá recuperar os intervalos de endereços IP para esses serviços do Azure por meio de marcas de serviço.
A Sincronização de Arquivos do Azure requer os intervalos de endereços IP para os seguintes serviços, conforme identificado pelas marcas de serviço:
Serviço | Descrição | Marca de serviço |
---|---|---|
Sincronização de Arquivos do Azure | O serviço de Sincronização de Arquivos do Azure, conforme representado pelo objeto Serviço de Sincronização de Armazenamento, é responsável pela atividade principal de sincronização de dados entre um compartilhamento de arquivo do Azure e um servidor de arquivos do Windows. | StorageSyncService |
Arquivos do Azure | Todos os dados sincronizados por meio da Sincronização de Arquivos do Azure são armazenados no compartilhamento de arquivo do Azure. Os arquivos alterados nos servidores de arquivos do Windows são replicados para o compartilhamento de arquivo do Azure e os arquivos em camadas no servidor de arquivos local são baixados diretamente quando um usuário os solicita. | Storage |
Azure Resource Manager | O Azure Resource Manager é a interface de gerenciamento do Azure. Todas as chamadas de gerenciamento, incluindo o registro do Sincronização de Arquivos do Azure Server e as tarefas de servidor de sincronização contínua, são feitas por meio do Azure Resource Manager. | AzureResourceManager |
ID do Microsoft Entra | O Microsoft Entra ID (antigo Azure AD), contém as entidades de usuário necessárias para autorizar o registro do servidor em um serviço de sincronização de armazenamento e as entidades de serviço necessárias para que a Sincronização de Arquivos do Azure seja autorizada a acessar seus recursos de nuvem. | AzureActiveDirectory |
Se você estiver usando a Sincronização de Arquivos do Azure no Azure, mesmo que esteja em uma região diferente, poderá usar o nome da marca de serviço diretamente no grupo de segurança de rede para permitir o tráfego para esse serviço. Para saber mais, confira Grupos de segurança de rede.
Se você estiver usando a Sincronização de Arquivos do Azure local, poderá usar a API de marca de serviço para obter intervalos de endereços IP específicos para a lista de permissões do firewall. Há dois métodos para obter essas informações:
- A lista atual de intervalos de endereços IP para todos os serviços do Azure compatíveis com marcas de serviço é publicada semanalmente no centro de download da Microsoft na forma de um documento JSON. Cada nuvem do Azure tem o próprio documento JSON com os intervalos de endereços IP relevantes para essa nuvem:
- A API de descoberta de marca de serviço (versão prévia) permite a recuperação programática da lista atual de marcas de serviço. Na versão prévia, a API de descoberta de marca de serviço pode retornar informações menos atualizadas do que as retornadas pelos documentos JSON publicados no centro de download da Microsoft. Você pode usar a superfície da API conforme sua preferência de automação:
Para saber mais sobre como usar a API de marca de serviço para recuperar os endereços de seus serviços, confira Lista de permissões para endereços IP da Sincronização de Arquivos do Azure.
Criação de um túnel de tráfego por uma rede privada virtual ou ExpressRoute
Algumas organizações exigem que a comunicação com o Azure passe por um túnel de rede, como uma VPN ou ExpressRoute, para obter uma camada adicional de segurança ou para garantir que a comunicação com o Azure siga uma rota determinística.
Ao estabelecer um túnel de rede entre a sua rede local e o Azure, você está emparelhamento sua rede local com uma ou mais redes virtuais no Azure. Uma rede virtual, ou VNET, é semelhante a uma rede tradicional que você operaria no local. Tal como uma conta de armazenamento Azure ou um Azure VM, um VNET é um recurso Azure que é implantado num grupo de recursos.
Os Arquivos do Azure e a Sincronização de Arquivos do Azure dão suporte aos seguintes mecanismos para criar túnel de tráfego entre os servidores locais e o Azure:
Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual do Azure e uma localização alternativa (como localmente) na Internet. Um Gateway de VPN do Azure é um recurso do Azure que pode ser implantado em um grupo de recursos junto com uma conta de armazenamento ou outros recursos do Azure. Como a Sincronização de Arquivos do Azure foi feita para ser usada com um servidor de arquivos do Windows local, normalmente você usaria uma VPN S2S (site a site), embora tecnicamente seja possível usar uma VPN P2S (ponto a site).
As conexões VPN S2S (site a site) conectam sua rede virtual do Azure e a rede local da sua organização. Uma conexão VPN S2S permite que você configure uma conexão VPN uma vez, para um servidor VPN ou dispositivo hospedado na rede de sua organização, em vez de fazer isso para cada dispositivo cliente que precisar acessar o compartilhamento de arquivo do Azure. Para simplificar a implantação de uma conexão VPN S2S, confira Configurar uma VPN S2S (Site a Site) para uso com os Arquivos do Azure.
ExpressRoute, que permite que você crie uma rota definida (conexão privada) entre o Azure e sua rede local que não atravesse a internet. Como o ExpressRoute fornece um caminho dedicado entre o seu datacenter local e o Azure, o ExpressRoute pode ser útil quando o desempenho da rede é uma consideração fundamental. O ExpressRoute também é uma boa opção quando os requisitos regulatórios ou de política de sua organização exigem um caminho determinístico para seus recursos na nuvem.
Pontos de extremidade privados
Além dos pontos de extremidade públicos padrão que os Ficheiros do Azure e o Sincronização de Arquivos do Azure fornecem através da conta de armazenamento e do Serviço de Sincronização de Armazenamento, eles fornecem a opção de ter um ou mais pontos de extremidade privados por recurso. Isso permite-lhe ligar-se de forma privada e segura a partilhas de ficheiros do Azure a partir do local utilizando VPN ou ExpressRoute e a partir de um VNET do Azure. Quando você cria um ponto de extremidade privado para um recurso do Azure, ele obtém um endereço IP privado dentro do espaço de endereço de sua rede virtual de modo muito semelhante a como o servidor de arquivos do Windows local tem um endereço IP dentro do espaço de endereço dedicado da rede local.
Importante
Para usar pontos de extremidade privados no recurso de serviço de sincronização de armazenamento, você deve usar o agente de Sincronização de Arquivos do Azure versão 10.1 ou superior. As versões do agente anteriores à 10.1 não suportam pontos de extremidade privados no Serviço de Sincronização de Armazenamento. Todas as versões anteriores de agentes dão suporte a pontos de extremidade privados no recurso da conta de armazenamento.
Um ponto de extremidade privado individual está associado a uma sub-rede de rede virtual do Azure específica. As contas de armazenamento e os Serviços de Sincronização de Armazenamento podem ter pontos de extremidade privados em mais de uma rede virtual.
O uso de pontos de extremidade privados permite que você:
- Conecte-se com segurança aos seus recursos do Azure de redes locais usando uma conexão VPN ou ExpressRoute com emparelhamento privado.
- Proteja os seus recursos do Azure desabilitando os pontos de extremidade públicos para Arquivos do Azure e Sincronização de Arquivos. Por padrão, a criação de um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público.
- Aumente a segurança da rede virtual permitindo que você bloqueie o vazamento de dados da rede virtual (e limites de emparelhamento).
Para criar um ponto de extremidade privado, confira Configuração de pontos de extremidade privados para os Sincronização de Arquivos do Azure.
Pontos de extremidade privados e DNS
Ao criar um ponto de extremidade privado, por padrão também criamos uma zona DNS privada (ou atualizamos uma existente) correspondente ao subdomínio privatelink
. Para regiões de nuvem pública, essas zonas DNS são privatelink.file.core.windows.net
para Arquivos do Azure e privatelink.afs.azure.net
para Sincronização de Arquivos do Azure.
Observação
Este artigo usa o sufixo DNS da conta de armazenamento para as regiões Públicas do Azure, core.windows.net
. Isso também se aplica às nuvens Azure Sovereign, como a nuvem Azure do Governo dos EUA e o Microsoft Azure operado pela nuvem 21Vianet - basta substituir os sufixos apropriados para o seu ambiente.
Quando você cria pontos de extremidade privados para uma conta de armazenamento e um Serviço de Sincronização de Armazenamento, criamos registros para eles nas respectivas zonas DNS privado. Também atualizamos a entrada DNS pública de modo que os nomes de domínio totalmente qualificados regulares sejam CNAMEs para o nome privatelink
relevante. Isso permite que os nomes de domínio totalmente qualificados apontem para os endereços IP do ponto de extremidade privado quando o solicitante está dentro da rede virtual e apontem para os endereços IP do ponto de extremidade público quando o solicitante está fora da rede virtual.
Para Arquivos do Azure, cada ponto de extremidade privado tem um único nome de domínio totalmente qualificado, seguindo o padrão storageaccount.privatelink.file.core.windows.net
, mapeado para um endereço IP privado para o ponto de extremidade privado. Para a Sincronização de Arquivos do Azure, cada ponto de extremidade privado tem quatro nomes de domínio totalmente qualificados para os quatro pontos de extremidade diferentes que a Sincronização de Arquivos do Azure expõe: gerenciamento, sincronização (primário), sincronização (secundário) e monitoramento. Os nomes de domínio totalmente qualificados para esses pontos de extremidade costumam seguir o nome do Serviço de Sincronização de Armazenamento, a menos que o nome contenha caracteres não ASCII. Por exemplo, se o nome do Serviço de Sincronização de Armazenamento for mysyncservice
na região oeste dos EUA 2, os pontos de extremidade equivalentes serão mysyncservicemanagement.westus2.afs.azure.net
, mysyncservicesyncp.westus2.afs.azure.net
, mysyncservicesyncs.westus2.afs.azure.net
e mysyncservicemonitoring.westus2.afs.azure.net
. Cada ponto de extremidade privado de um Serviço de Sincronização de Armazenamento conterá quatro endereços IP distintos.
Como a sua zona DNS privada do Azure está ligada à rede virtual que contém o ponto de extremidade privado, pode observar a configuração do DNS ao chamar o Resolve-DnsName
cmdlet do PowerShell num VM do Azure (alternadamente nslookup
no Windows e no Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Nesse exemplo, a conta de armazenamento storageaccount.file.core.windows.net
resolve para o endereço IP privado do ponto de extremidade privado, que é 192.168.0.4
.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Se você executar o mesmo comando localmente, verá que a mesma conta de armazenamento resolve o endereço IP público da conta de armazenamento; storageaccount.file.core.windows.net
é um registro CNAME para storageaccount.privatelink.file.core.windows.net
, que, por sua vez, é um registro CNAME do cluster de armazenamento do Azure que hospeda a conta de armazenamento:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Isso reflete o fato de que os Arquivos do Azure e a Sincronização de Arquivos do Azure podem expor os pontos de extremidade públicos e um ou mais pontos de extremidade privados por recurso. Para garantir que os nomes de domínio totalmente qualificados para seus recursos sejam resolvidos para os endereços IP privados dos pontos de extremidade privados, você deve alterar a configuração nos servidores DNS locais. Isso pode ser realizado de várias maneiras:
- Modificar o arquivo de hosts em seus clientes para fazer com que os nomes de domínio totalmente qualificados para suas contas de armazenamento e serviços de sincronização de armazenamento sejam resolvidos para os endereços IP privados desejados. Isso é fortemente desencorajado para ambientes de produção, uma vez que terá de fazer essas alterações em cada cliente que precisa de aceder aos seus pontos de extremidade privados. As alterações nos seus pontos de extremidade privado/recursos (exclusões, modificações, etc.) não serão tratadas automaticamente.
- Criar zonas DNS em seus servidores locais para
privatelink.file.core.windows.net
eprivatelink.afs.azure.net
com registros A para os recursos do Azure. Isso tem a vantagem de que os clientes no seu ambiente local poderão resolver automaticamente os recursos do Azure sem precisar configurar cada cliente. No entanto, essa solução também não é boa para modificar o arquivo de hosts porque as alterações não serão refletidas. Embora essa solução seja frágil, ela pode ser a melhor opção para alguns ambientes. - Encaminhe as zonas
core.windows.net
eafs.azure.net
de seus servidores DNS locais para a zona DNS privado do Azure. O host DNS privado do Azure pode ser acessado por meio de um endereço IP especial (168.63.129.16
) que só pode ser acessado dentro de redes virtuais vinculadas à zona DNS privada do Azure. Para solucionar essa limitação, você pode executar servidores DNS adicionais dentro de sua rede virtual que encaminharãocore.windows.net
eafs.azure.net
para as zonas DNS privadas do Azure equivalentes. Para simplificar essa configuração, fornecemos cmdlets do PowerShell que implantarão automaticamente servidores DNS na sua rede virtual do Azure e os configurarão conforme desejado. Para saber como configurar o encaminhamento de DNS, confira Configurar DNS com os Arquivos do Azure.
Criptografia em trânsito
As conexões feitas do agente de Sincronização de Arquivos do Azure para o compartilhamento de arquivo do Azure ou o Serviço de Sincronização de Armazenamento são sempre criptografadas. Embora as contas de armazenamento do Azure tenham uma configuração para desabilitar a exigência de criptografia em trânsito para comunicações com Arquivos do Azure (e outros serviços de armazenamento do Azure gerenciados fora da conta de armazenamento), desabilitar essa configuração não afetará a criptografia do Sincronização de Arquivos do Azure ao se comunicar com o Azure Arquivos. Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada.
Para obter mais informações sobre criptografia em trânsito, consulte Exigir transferência segura no armazenamento do Azure.