Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode acessar seus compartilhamentos de arquivos do Azure pelo ponto de extremidade acessível pela Internet pública, em um ou mais pontos de extremidade privados em suas redes ou armazenando em cache seu compartilhamento de arquivos do Azure localmente com a Sincronização de Arquivos do Azure (somente compartilhamentos de arquivos SMB). Este artigo foca em como configurar o Azure Files para acesso direto por meio de endpoints públicos e/ou privados. Para saber como armazenar em cache seu compartilhamento de arquivos do Azure local com a Sincronização de Arquivos do Azure, consulte Introdução à Sincronização de Arquivos do Azure.
É recomendável ler Planejamento para uma implantação de Arquivos do Azure antes de ler este guia.
O acesso direto a um compartilhamento de arquivos do Azure geralmente requer um pensamento adicional em relação à rede:
Os compartilhamentos de arquivos SMB se comunicam pela porta 445, que muitas organizações e provedores de serviços de Internet (ISPs) bloqueiam para tráfego de saída (Internet). Essa prática se origina de diretrizes de segurança herdadas sobre versões preteridas e não seguras para a Internet do protocolo SMB. Embora o SMB 3.x seja um protocolo seguro para a Internet, as políticas organizacionais ou ISP podem não ser possíveis de alterar. Portanto, a montagem de um compartilhamento de arquivos SMB geralmente requer uma configuração de rede adicional para usar fora do Azure.
Os compartilhamentos de arquivo NFS dependem da autenticação no nível da rede e, portanto, só podem ser acessados por meio de redes restritas. O uso de um compartilhamento de arquivo NFS sempre requer algum nível de configuração de rede.
A configuração de pontos de extremidade públicos e privados para Arquivos do Azure é feita no objeto de gerenciamento de nível superior para Arquivos do Azure, ou seja, a conta de armazenamento do Azure. Uma conta de armazenamento é um constructo de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos do Azure, bem como os recursos de armazenamento para outros serviços de armazenamento do Azure, como contêineres de blob ou filas.
Este vídeo é um guia e uma demonstração de como expor com segurança compartilhamentos de arquivos do Azure diretamente para os operadores de informações e aplicativos em cinco etapas simples. As seções abaixo fornecem links e contexto adicional para a documentação referenciada no vídeo. Observe que o Azure Active Directory agora é Microsoft Entra ID. Para obter mais informações, consulte Novo nome para o Azure AD.
Aplica-se a
| Tipo de compartilhamento de arquivos | SMB | NFS |
|---|---|---|
| Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS |  |
 |
| Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS | |
|
| Compartilhamento de arquivos premium (FileStorage), LRS/ZRS | |
|
Transferência segura
Por padrão, as contas de armazenamento do Azure exigem transferência segura, independentemente de os dados serem acessados pelo ponto de extremidade público ou privado. Para arquivos do Azure, a configuração necessária de transferência segura é imposta para todo o acesso de protocolo aos dados armazenados em compartilhamentos de arquivos do Azure, incluindo SMB, NFS e FileREST. Você pode desabilitar a configuração necessária de transferência segura para permitir o tráfego não criptografado.
Os protocolos SMB, NFS e FileREST têm um comportamento ligeiramente diferente em relação à configuração necessária de transferência segura :
Quando a transferência segura necessária estiver habilitada em uma conta de armazenamento, todos os compartilhamentos de arquivos SMB nessa conta de armazenamento exigirão o protocolo SMB 3.x com algoritmos de criptografia AES-128-CCM, AES-128-GCM ou AES-256-GCM, dependendo da negociação de criptografia disponível/necessária entre o cliente SMB e os Arquivos do Azure. Você pode alternar quais algoritmos de criptografia SMB são permitidos por meio das configurações de segurança SMB. Desabilitar a configuração necessária de transferência segura habilita as montagens SMB 2.1 e SMB 3.x sem criptografia.
Os compartilhamentos de arquivos do Azure do NFS usam o pacote do utilitário AZNFS para simplificar as montagens criptografadas instalando e configurando o Stunnel (um wrapper TLS de software livre) no cliente. Consulte Criptografia em trânsito para obter compartilhamentos de arquivos do Azure NFS.
Quando a transferência segura é necessária, o protocolo FileREST só pode ser usado com HTTPS.
Observação
A comunicação entre um cliente e uma conta de armazenamento do Azure é criptografada usando o TLS (Transport Layer Security). Os Arquivos do Azure dependem de uma implementação do Windows de SSL que não se baseia no OpenSSL e, portanto, não é exposta a vulnerabilidades relacionadas ao OpenSSL. Os usuários que preferem manter a flexibilidade entre conexões TLS e não TLS na mesma conta de armazenamento devem desabilitar a transferência segura necessária.
Ponto de extremidade público
O ponto de extremidade público dos compartilhamentos de arquivo do Azure em uma conta de armazenamento é um ponto de extremidade exposto na Internet. O ponto de extremidade público é o ponto de extremidade padrão de uma conta de armazenamento, no entanto, ele pode ser desabilitado se desejado.
Os protocolos SMB, NFS e FileREST podem usar o ponto de extremidade público. No entanto, cada uma tem regras ligeiramente diferentes para acesso:
Os compartilhamentos de arquivos SMB são acessíveis de qualquer lugar do mundo através do endpoint público da conta de armazenamento com suporte à SMB 3.x e criptografia. Isso significa que as solicitações autenticadas, como solicitações autorizadas pela identidade de logon de um usuário, podem se originar com segurança de dentro ou fora da região do Azure. Se o SMB 2.1 ou SMB 3.x sem criptografia for desejado, duas condições deverão ser atendidas:
- A configuração requer transferência segura da conta de armazenamento deve ser desabilitada.
- A solicitação deve ser originária de dentro da região do Azure. Conforme mencionado anteriormente, solicitações SMB criptografadas são permitidas de qualquer lugar, dentro ou fora da região do Azure.
Os compartilhamentos de arquivos NFS estarão acessíveis do ponto de extremidade público da conta de armazenamento se e somente se o ponto de extremidade público da conta de armazenamento estiver restrito a redes virtuais específicas usando pontos de extremidade de serviço. Consulte as configurações de firewall do ponto de extremidade público para obter informações adicionais sobre pontos de extremidade de serviço.
FileREST está acessível por meio de um endpoint público. Se a transferência segura for necessária, somente as solicitações HTTPS serão aceitas. Se a transferência segura estiver desabilitada, as solicitações HTTP serão aceitas pelo ponto de extremidade público, independentemente da origem.
Configurações do firewall de ponto de extremidade público
O firewall da conta de armazenamento restringe o acesso ao ponto de extremidade público de uma conta de armazenamento. Usando o firewall da conta de armazenamento, você pode restringir o acesso a determinados endereços IP/intervalos de endereços IP, a redes virtuais específicas ou desabilitar totalmente o ponto de extremidade público.
Quando você restringe o tráfego do ponto de extremidade público a uma ou mais redes virtuais, está utilizando uma capacidade da rede virtual conhecida como pontos de extremidade de serviço. As solicitações direcionadas ao endpoint de serviço do Azure Files ainda estão sendo redirecionadas para o endereço IP público da conta de armazenamento; no entanto, a camada de rede está realizando uma verificação adicional das solicitações para validar que elas vêm de uma rede virtual autorizada. Os protocolos SMB, NFS e FileREST possuem suporte para endpoints de serviço. Mas ao contrário do SMB e do FileREST, os compartilhamentos de arquivo NFS só podem ser acessados com o ponto de extremidade público usando um ponto de extremidade de serviço.
Para saber mais sobre como configurar o firewall da conta de armazenamento, consulte configurar firewalls de armazenamento do Azure e redes virtuais.
Roteamento de rede de ponto de extremidade público
Os Arquivos do Azure dão suporte a várias opções de roteamento de rede. A opção padrão, roteamento Microsoft, funciona com todas as configurações de Arquivos do Azure. A opção de roteamento da Internet não dá suporte a cenários de ingresso no domínio do AD nem à Sincronização de Arquivos do Azure.
Pontos de extremidade privados
Além do ponto de extremidade público padrão para uma conta de armazenamento, os Arquivos do Azure fornecem a opção de ter um ou mais pontos de extremidade privados. Um ponto de extremidade privado é um ponto de extremidade acessível apenas em uma rede virtual do Azure. Quando você cria um ponto de extremidade privado para sua conta de armazenamento, sua conta de armazenamento obtém um endereço IP privado de dentro do espaço de endereço da sua rede virtual, assim como um servidor de arquivos local ou dispositivo NAS recebe um endereço IP dentro do espaço de endereço dedicado da rede local.
Um ponto de extremidade privado individual está associado a uma sub-rede de rede virtual do Azure específica. Uma conta de armazenamento pode ter pontos de extremidade privados em mais de uma rede virtual.
O uso de pontos de extremidade privados com Arquivos do Azure permite que você:
- Conecte-se com segurança aos compartilhamentos de arquivo do Azure de redes locais usando uma conexão VPN ou ExpressRoute com emparelhamento privado.
- Projeta seus compartilhamentos de arquivo do Azure configurando o firewall da conta de armazenamento para bloquear todas as conexões no ponto de extremidade público. Por padrão, a criação de um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público.
- Aumente a segurança da rede virtual permitindo que você bloqueie o vazamento de dados da rede virtual (e limites de emparelhamento).
Para criar um ponto de extremidade privado, consulte Configurar pontos de extremidade privados para arquivos do Azure.
Criação de um túnel de tráfego por uma rede privada virtual ou ExpressRoute
Para usar pontos de extremidade privados para acessar compartilhamentos de arquivos SMB ou NFS do local, você deve estabelecer um túnel de rede entre sua rede local e o Azure. Uma rede virtual, ou VNet, é semelhante a uma rede local tradicional. Como uma conta de armazenamento do Azure ou uma VM do Azure, uma VNet é um recurso do Azure implantado em um grupo de recursos.
O Azure Files oferece suporte aos seguintes mecanismos para estabelecer túneis de tráfico entre suas estações de trabalho e servidores locais e os compartilhamentos de arquivos SMB/NFS do Azure.
- Gateway de VPN do Azure: um gateway de VPN é um tipo específico de gateway de rede virtual usado para enviar o tráfego criptografado entre uma rede virtual do Azure e uma localização alternativa (como no local) na Internet. Um Gateway de VPN do Azure é um recurso do Azure que pode ser implantado em um grupo de recursos junto com uma conta de armazenamento ou outros recursos do Azure. Os gateways de VPN expõem dois tipos diferentes de conexões:
- Conexões de gateway de VPN P2S (ponto a site), que são conexões VPN entre o Azure e um cliente individual. Essa solução é útil principalmente para dispositivos que não fazem parte da rede local da sua organização. Um caso de uso comum é para os trabalhadores remotos que desejam poder montar o compartilhamento de arquivos do Azure de casa, de uma cafeteria ou de um hotel enquanto estão viajando. Para usar uma conexão VPN P2S com arquivos do Azure, você precisará configurar uma conexão VPN P2S para cada cliente que deseja se conectar. Consulte Configurar uma VPN P2S (ponto a site) no Windows para uso com arquivos do Azure e configurar uma VPN P2S (ponto a site) no Linux para uso com arquivos do Azure.
- VPN S2S (site a site), que são conexões VPN entre o Azure e a rede da sua organização. Uma conexão VPN S2S permite configurar uma conexão VPN uma vez para um servidor VPN ou dispositivo hospedado na rede da sua organização, em vez de configurar uma conexão para cada dispositivo cliente que precisa acessar o compartilhamento de arquivos do Azure. Consulte Configurar uma VPN S2S (Site a Site) para uso com arquivos do Azure.
- ExpressRoute, que permite que você crie uma rota definida entre o Azure e sua rede local que não percorra a Internet. Como o ExpressRoute fornece um caminho dedicado entre o datacenter local e o Azure, o ExpressRoute pode ser útil quando o desempenho da rede é uma consideração. O ExpressRoute também é uma boa opção quando os requisitos regulatórios ou de política de sua organização exigem um caminho determinístico para seus recursos na nuvem.
Observação
Embora seja recomendável usar pontos de extremidade privados para ajudar a estender sua rede local para o Azure, tecnicamente é possível rotear para o ponto de extremidade público pela conexão VPN. No entanto, isso requer a codificação fixa do endereço IP para o endpoint público do cluster de armazenamento do Azure que serve sua conta de armazenamento. Como as contas de armazenamento podem ser movidas entre clusters de armazenamento a qualquer momento e novos clusters são frequentemente adicionados e removidos, isso requer a codificação regular de todos os endereços IP de armazenamento do Azure possíveis em suas regras de roteamento.
Configuração de DNS
Quando você cria um ponto de extremidade privado, por padrão, também criamos uma zona DNS privada (ou atualizamos uma existente) correspondente ao privatelink subdomínio. Estritamente falando, a criação de uma zona DNS privada não é necessária para usar um ponto de extremidade privado para sua conta de armazenamento. No entanto, é altamente recomendável em geral e explicitamente necessário ao montar o compartilhamento de arquivo do Azure com uma entidade de usuário do Active Directory ou ao acessá-lo da API FileREST.
Observação
Este artigo usa o sufixo DNS da conta de armazenamento para as regiões Públicas do Azure, core.windows.net. Esse comentário também se aplica a nuvens soberanas do Azure, como a nuvem do Azure US Government e o Microsoft Azure operado pela nuvem 21Vianet, basta substituir os sufixos apropriados para seu ambiente.
Em sua zona DNS privada, criamos uma entrada A para storageaccount.privatelink.file.core.windows.net e uma entrada CNAME para o nome regular da conta de armazenamento, que segue o padrão storageaccount.file.core.windows.net. Como sua zona DNS privada do Azure está conectada à rede virtual que contém o ponto de extremidade privado, você pode observar a configuração de DNS chamando o Resolve-DnsName cmdlet do PowerShell em uma VM do Azure (como alternativa nslookup no Windows e no Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Nesse exemplo, a conta de armazenamento storageaccount.file.core.windows.net resolve para o endereço IP privado do ponto de extremidade privado, que é 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Se você executar o mesmo comando no local, verá que o mesmo nome da conta de armazenamento é resolvido para o endereço IP público da conta de armazenamento. Por exemplo, storageaccount.file.core.windows.net é um registro CNAME para storageaccount.privatelink.file.core.windows.net, que, por sua vez, é um registro CNAME para o cluster de armazenamento do Azure que hospeda a conta de armazenamento.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Isso reflete o fato de que a conta de armazenamento pode expor o ponto de extremidade público e um ou mais pontos de extremidade privados. Para garantir que o nome da conta de armazenamento aponte para o endereço IP privado do endpoint privado, você deve alterar a configuração nos seus servidores DNS locais. Isso pode ser realizado de várias maneiras:
- Modificar os arquivos de hosts nos clientes para fazer com que o
storageaccount.file.core.windows.netseja resolvido para o endereço IP privado do ponto de extremidade privado desejado. Isso é altamente desaconselhável para ambientes de produção, pois você precisará fazer essas alterações em todos os clientes que desejarem montar seus compartilhamentos de arquivos do Azure, e as alterações na conta de armazenamento ou no ponto de extremidade privado não serão tratadas automaticamente. - Criando um registro A em
storageaccount.file.core.windows.netnos servidores DNS no local. Isso tem a vantagem de que os clientes em seu ambiente local poderão resolver automaticamente a conta de armazenamento sem a necessidade de configurar cada cliente. No entanto, essa solução é igualmente frágil para modificar o arquivo de hosts porque as alterações não são refletidas. Embora essa solução seja frágil, ela pode ser a melhor opção para alguns ambientes. - Encaminhe a
core.windows.netzona de seus servidores DNS locais para a zona DNS privada do Azure. O host DNS privado do Azure pode ser acessado por meio de um endereço IP especial (168.63.129.16) que só pode ser acessado dentro de redes virtuais vinculadas à zona DNS privada do Azure. Para contornar essa limitação, você pode executar servidores DNS adicionais em sua rede virtual que serão encaminhadoscore.windows.netpara a zona DNS privada do Azure. Para simplificar essa configuração, fornecemos cmdlets do PowerShell que implantarão automaticamente servidores DNS em sua rede virtual do Azure e os configurarão conforme desejado. Para saber como configurar o encaminhamento de DNS, confira Configurar DNS com os Arquivos do Azure.
SMB sobre QUIC
O Windows Server 2022 Azure Edition dá suporte a um novo protocolo de transporte chamado QUIC para o servidor SMB fornecido pela função servidor de arquivos. O QUIC é uma substituição do TCP que é criado com base no UDP, fornecendo inúmeras vantagens em relação ao TCP, ao mesmo tempo em que fornece um mecanismo de transporte confiável. Uma vantagem fundamental para o protocolo SMB é que, em vez de usar a porta 445, todo o transporte é feito pela porta 443, que é de saída amplamente aberta para dar suporte a HTTPS. Isso significa efetivamente que o SMB sobre QUIC oferece uma "VPN SMB" para compartilhamento de arquivos pela Internet pública. O Windows 11 vem com um cliente compatível com SMB sobre QUIC.
No momento, os Arquivos do Azure não dão suporte diretamente ao SMB via QUIC. No entanto, você pode obter acesso aos compartilhamentos de arquivos do Azure por meio da Sincronização de Arquivos do Azure em execução no Windows Server, como no diagrama abaixo. Isso também oferece a opção de ter caches de Sincronização de Arquivos do Azure localmente ou em datacenters diferentes do Azure para fornecer caches locais para uma força de trabalho distribuída. Para saber mais sobre essa opção, consulte Implantar Sincronização de Arquivos do Azure e SMB no QUIC.
