Planejando uma implantação de Arquivos do Azure
Você pode implantar os Arquivos do Azure de duas maneiras principais: montando diretamente os compartilhamentos de arquivos do Azure sem servidor ou armazenando em cache os compartilhamentos de arquivos do Azure no local usando a Sincronização de Arquivos do Azure. As considerações de implantação serão diferentes com base na opção que você escolher.
Montagem direta de um compartilhamento de arquivo do Azure: como os Arquivos do Azure fornecem acesso do protocolo SMB ou NFS (Network File System), você pode montar os compartilhamentos de arquivo do Azure localmente ou na nuvem usando os clientes SMB ou NFS padrão disponíveis no sistema operacional. Como os compartilhamentos de arquivos do Azure são sem servidor, a implantação para cenários de produção não exige o gerenciamento de um servidor de arquivos ou dispositivo NAS. Isso significa que você não precisa aplicar patches de software nem trocar discos físicos.
Armazenar em cache o compartilhamento de arquivo do Azure local com a Sincronização de Arquivos do Azure: a Sincronização de Arquivos do Azure permite centralizar os compartilhamentos de arquivo da organização nos Arquivos do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. A Sincronização de Arquivos do Azure transforma um Windows Server local (ou em nuvem) em um cache rápido do compartilhamento de arquivo SMB do Azure.
Este artigo aborda principalmente as considerações de implantação para implantar um compartilhamento de arquivos do Azure para ser montado diretamente por um cliente local ou em nuvem. Para planejar uma implantação de Sincronização de Arquivos do Azure, consulte Planejando uma implantação de sincronização de Arquivos do Azure.
Protocolos disponíveis
Os Arquivos do Azure oferecem dois protocolos de sistema de arquivos padrão do setor para montar compartilhamentos de arquivo do Azure: o protocolo SMB e o protocolo NFS (Network File System) e você pode escolher o mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não têm suporte para os protocolos SMB e NFS no mesmo compartilhamento de arquivos, embora você possa criar compartilhamentos de arquivos SMB e NFS do Azure na mesma conta de armazenamento. No momento, só há suporte para o NFS 4.1 no novo tipo de conta de armazenamento de FileStorage (somente nos compartilhamentos de arquivo Premium).
Com os compartilhamentos de arquivo SMB e NFS, os Arquivos do Azure oferecem compartilhamentos de arquivo de nível empresarial que podem ser escalados verticalmente para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.
| Recurso | SMB | NFS |
|---|---|---|
| Versões de protocolo com suporte | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Sistema operacional recomendado |
|
Kernel do Linux versão 4.3+ |
| Camadas disponíveis | Premium, otimizado para transação, quente e frio | Premium |
| Modelo de cobrança | Capacidade provisionada | |
| Pontos de extremidade da Zona DNS do Azure (versão prévia) | Com suporte | Com suporte |
| Redundância | LRS, ZRS, GRS e GZRS | LRS, ZRS |
| Semântica do sistema de arquivos | Win32 | POSIX |
| Autenticação | Autenticação baseada em identidade (Kerberos), autenticação de chave compartilhada (NTLMv2) | Autenticação baseada em host |
| Autorização | ACLs (listas de controle de acesso) estilo Win32 | Permissões de estilo UNIX |
| Diferenciar maiúsculas de minúsculas | Não diferencia maiúsculas de minúsculas, elas são preservadas | Diferencia maiúsculas de minúsculas |
| Excluir ou modificar arquivos abertos | Somente com bloqueio | Sim |
| Compartilhamento de arquivos | Modo de compartilhamento do Windows | Gerenciador de bloqueio de rede de aviso de intervalo de bytes |
| Suporte a links físicos | Sem suporte | Com suporte |
| Suporte a links simbólicos | Sem suporte | Com suporte |
| Acessível pela Internet opcionalmente | Sim (somente SMB 3.0 ou superior) | Não |
| Dá suporte a FileREST | Sim | Subconjunto: |
| Bloqueios de intervalo de bytes obrigatórios | Com suporte | Sem suporte |
| Bloqueios de intervalo de bytes recomendados | Sem suporte | Com suporte |
| Atributos estendidos/nomeados | Sem suporte | Sem suporte |
| Fluxos de dados alternativos | Sem suporte | N/D |
| Identificadores de objeto | Sem suporte | N/D |
| Pontos de nova análise | Sem suporte | N/D |
| Arquivos esparsos | Sem suporte | N/D |
| Compactação | Sem suporte | N/D |
| Pipes nomeados | Sem suporte | N/D |
| SMB Direct | Sem suporte | N/D |
| Concessão de Diretório do SMB | Sem suporte | N/D |
| Cópias de Sombra de Volume | Sem suporte | N/D |
| Nomes de arquivo curtos (alias 8.3) | Sem suporte | N/D |
| Serviço do servidor | Sem suporte | N/D |
| Transações do sistema de arquivos (TxF) | Sem suporte | N/D |
Conceitos de gerenciamento
Os compartilhamentos de arquivo do Azure são implantados em contas de armazenamento, que são objetos de nível superior que representam um pool de armazenamento compartilhado. Esse pool de armazenamento pode ser usado para implantar vários compartilhamentos de arquivo, bem como outros recursos de armazenamento, como contêineres de blob, filas ou tabelas. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites aplicáveis a essa conta de armazenamento. Para obter os limites atuais de uma conta de armazenamento, confira Metas de desempenho e escalabilidade dos Arquivos do Azure.
Há dois tipos principais de contas de armazenamento que serão usadas para implantações dos Arquivos do Azure:
- Contas de armazenamento GPv2 (uso geral versão 2) : as contas de armazenamento GPv2 permitem que você implante compartilhamentos de arquivo do Azure em hardware padrão/baseado em HD (disco rígido). Além de armazenar compartilhamentos de arquivo do Azure, as contas de armazenamento GPv2 podem armazenar outros recursos de armazenamento, como contêineres de blob, filas ou tabelas.
- Contas de armazenamento FileStorage: as contas de armazenamento FileStorage permitem que você implante compartilhamentos de arquivo do Azure em hardware premium/baseado em SSD (disco de estado sólido). As contas FileStorage só podem ser usadas para armazenar compartilhamentos de arquivo do Azure; nenhum outro recurso de armazenamento (contêineres de blob, filas, tabelas etc.) pode ser implantado em uma conta FileStorage. Somente contas FileStorage podem implantar compartilhamentos de arquivo SMB e NFS.
Há vários outros tipos de contas de armazenamento que podem ser incluídos no portal do Azure, no PowerShell ou na CLI. Dois tipos de conta de armazenamento, contas de armazenamento BlockBlobStorage e BlobStorage, não podem conter compartilhamentos de arquivo do Azure. Os outros dois tipos de conta de armazenamento que você pode ver são GPv1 (uso geral versão 1) e contas de armazenamento clássicas; ambos podem conter compartilhamentos de arquivo do Azure. Embora as contas de armazenamento GPv1 e clássicas possam conter compartilhamentos de arquivo do Azure, a maioria dos novos recursos dos Arquivos do Azure está disponível apenas nas contas de armazenamento GPv2 e FileStorage. Portanto, recomendamos que você use apenas contas de armazenamento GPv2 e FileStorage para novas implantações e atualize as contas de armazenamento GPv1 e clássicas se elas já existirem em seu ambiente.
Ao implantar compartilhamentos de arquivos do Azure em contas de armazenamento, recomendamos:
Implantar somente compartilhamentos de arquivos do Azure em contas de armazenamento com outros compartilhamentos de arquivos do Azure. Embora a opção GPv2 permita contas de armazenamento de finalidade combinada, visto que os recursos de armazenamento, como compartilhamentos de arquivo do Azure e contêineres de blob, compartilham os limites da conta de armazenamento, a combinação de recursos poderá dificultar a solução de problemas de desempenho mais tarde.
Prestar atenção às limitações de IOPS de uma conta de armazenamento ao implantar compartilhamentos de arquivo do Azure. O ideal é mapear os compartilhamentos de arquivo individualmente com as contas de armazenamento. No entanto, isso nem sempre é possível devido a vários limites e restrições, tanto da organização quanto do Azure. Quando não for possível ter apenas um compartilhamento de arquivo implantado em uma conta de armazenamento, considere quais compartilhamentos serão altamente ativos e quais compartilhamentos serão menos ativos para garantir que os compartilhamentos de arquivos mais ativos não sejam colocados na mesma conta de armazenamento.
Implante somente contas GPv2 e FileStorage e atualize GPv1 e contas de armazenamento clássicas quando as encontrar em seu ambiente.
Identidade
Para acessar um compartilhamento de arquivo do Azure, o respectivo usuário precisa ser autenticado e autorizado para acessar o compartilhamento. Isso é feito com base na identidade do usuário que está acessando o compartilhamento de arquivos. Os Arquivos do Azure têm suporte aos seguintes métodos de autenticação:
- AD DS ou AD DS local (Active Directory Domain Services local): as contas de armazenamento do Azure podem ser conectadas ao domínio em um Active Directory Domain Services de propriedade do cliente, bem como a um servidor de arquivos do Windows Server ou um dispositivo NAS. Você pode implantar um controlador de domínio local, em uma VM do Azure ou até mesmo como uma VM em outro provedor de nuvem; Os Arquivos do Azure são independentes de onde seu controlador de domínio está hospedado. Quando uma conta de armazenamento está ingressada no domínio, o usuário final pode montar um compartilhamento de arquivos com a conta de usuário com a qual ele entrou em seu PC. A autenticação baseada em AD usa o protocolo de autenticação Kerberos.
- Microsoft Entra Domain Services: o Microsoft Entra Domain Services fornece um controlador de domínio gerenciado pela Microsoft que pode ser usado para recursos do Azure. O ingresso no domínio de sua conta de armazenamento no Microsoft Entra Domain Services fornece benefícios semelhantes ao ingresso no domínio para um AD DS de propriedade do cliente. Essa opção de implantação é mais útil para cenários de elevação e deslocamento de aplicativos que exigem permissões baseadas no AD. Como o Microsoft Entra Domain Services fornece autenticação baseada em AD, essa opção também usa o protocolo de autenticação Kerberos.
- Kerberos do Microsoft Entra para identidades híbridas: o Kerberos do Microsoft Entra permite que você use o Microsoft Entra ID para autenticar as identidades de usuário híbridas, que são as identidades do AD locais sincronizadas com a nuvem. Essa configuração usa o Microsoft Entra ID para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio de VMs ingressadas de forma híbrida no Microsoft Entra e ingressadas no Microsoft Entra.
- Autenticação do Active Directory em SMB para clientes Linux: Os Arquivos do Azure dão suporte à autenticação baseada em identidade em SMB para clientes Linux usando o protocolo de autenticação Kerberos por meio do AD DS ou do Microsoft Entra Domain Services.
- Chave de conta de armazenamento do Azure: Compartilhamentos de arquivos do Azure também podem ser montados com uma chave de conta de armazenamento do Azure. Para montar um compartilhamento de arquivos dessa forma, o nome da conta de armazenamento é usado como o nome de usuário e a chave da conta de armazenamento é usada como uma senha. O uso da chave de conta de armazenamento para montar o compartilhamento de arquivo do Azure é uma operação de administrador, pois o compartilhamento de arquivo montado terá permissões completas para todos os arquivos e as pastas no compartilhamento, mesmo que eles tenham ACLs. Ao usar a chave da conta de armazenamento para montar por SMB, o protocolo de autenticação NTLMv2 é usado. Se você quiser usar a chave da conta de armazenamento para acessar os compartilhamentos de arquivos do Azure, é recomendável usar pontos de extremidade privados ou pontos de extremidade de serviço, conforme descrito na seção Rede.
Para clientes que migram de servidores de arquivos locais ou que criam compartilhamentos de arquivos nos Arquivos do Azure destinados a se comportar como servidores de arquivos do Windows ou dispositivos NAS, o ingresso no domínio com sua conta de armazenamento para AD DS de propriedade do cliente é a opção recomendada. Para saber mais sobre o ingresso no domínio de sua conta de armazenamento para um AD DS de propriedade do cliente, consulte Visão geral – autenticação do Active Directory Domain Services local sobre SMB para compartilhamentos de arquivos do Azure.
Rede
A montagem direta do compartilhamento de arquivo do Azure geralmente exige algumas considerações sobre a configuração de rede porque:
- A porta que os compartilhamentos de arquivo SMB usam para comunicação, a 445, geralmente é bloqueada por várias organizações e ISPs (provedores de serviços de Internet) para tráfego de saída (Internet).
- Os compartilhamentos de arquivo NFS dependem da autenticação no nível da rede e, portanto, só podem ser acessados por meio de redes restritas. O uso de um compartilhamento de arquivo NFS sempre exige algum nível de configuração de rede.
Para configurar a rede, os Arquivos do Azure fornecem um ponto de extremidade público acessível pela Internet e a integração com recursos de rede do Azure, como pontos de extremidade de serviço, que ajudam a restringir o ponto de extremidade público a redes virtuais especificadas, e pontos de extremidade privados, que fornecem à conta de armazenamento um endereço IP privado contido em um espaço de endereços IP da rede virtual. Embora não haja nenhum custo extra para usar pontos de extremidade públicos ou pontos de extremidade de serviço, as taxas de processamento de dados padrão se aplicam a pontos de extremidade privados.
Isso significa que você precisará considerar as seguintes configurações de rede:
- Se o protocolo necessário for SMB e todo o acesso pelo SMB for de clientes no Azure, não será necessária nenhuma configuração de rede específica.
- Se o protocolo necessário for SMB e o acesso for de clientes locais, será necessária uma conexão VPN ou do ExpressRoute do ambiente local com a rede do Azure, e os Arquivos do Azure deverão ser expostos na rede interna usando pontos de extremidade privados.
- Se o protocolo necessário for NFS, você poderá usar pontos de extremidade de serviço ou pontos de extremidade privados para restringir a rede a redes virtuais especificadas. Se você precisar de um endereço IP estático e/ou sua carga de trabalho exigir alta disponibilidade, use um ponto de extremidade privado. Com pontos de extremidade de serviço, um evento raro, como uma interrupção zonal, pode fazer com que o endereço IP subjacente da conta de armazenamento seja alterado. Embora os dados ainda estejam disponíveis no compartilhamento de arquivos, o cliente exigiria uma remontagem do compartilhamento.
Para saber mais sobre como configurar a rede para os Arquivos do Azure, confira Considerações de rede dos Arquivos do Azure.
Além de se conectar diretamente ao compartilhamento de arquivo usando o ponto de extremidade público ou usando uma conexão VPN/ExpressRoute com um ponto de extremidade privado, o SMB oferece uma estratégia de acesso de cliente adicional: SMB por QUIC. O SMB por QUIC oferece a "VPN SMB" sem nenhuma configuração para acesso SMB pelo protocolo de transporte QUIC. Embora nos Arquivos do Azure não haja suporte direto ao SMB por QUIC, você pode criar um cache leve com os compartilhamentos de arquivo do Azure em uma VM do Windows Server 2022 Azure Edition usando a Sincronização de Arquivos do Azure. Para saber mais sobre essa opção, confira SMB por QUIC com a Sincronização de Arquivos do Azure.
Criptografia
Os Arquivos do Azure dão suporte a dois tipos diferentes de criptografia:
- Criptografia em trânsito, que se relaciona à criptografia usada ao montar/acessar o compartilhamento de arquivos do Azure
- Criptografia em repouso, que se refere à forma como os dados são criptografados quando estão armazenados em disco
Criptografia em trânsito
Importante
Esta seção aborda os detalhes de criptografia em trânsito para compartilhamentos SMB. Para obter detalhes sobre a criptografia em trânsito com compartilhamentos NFS, confira Segurança e rede.
Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Isso significa que quando você montar um compartilhamento de arquivo via SMB ou acessá-lo por meio do protocolo FileREST (por exemplo, por meio do portal do Azure, do PowerShell/CLI ou de SDKs do Azure), Arquivos do Azure só permitirá a conexão se for feita com o SMB 3.x e com criptografia ou HTTPS. Os clientes que não dão suporte ao SMB 3.x ou os clientes que dão suporte ao SMB 3.x, mas não a criptografia SMB, não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito estiver habilitada. Para obter mais informações sobre quais sistemas operacionais dão suporte ao SMB 3.x com criptografia, consulte nossa documentação detalhada para Windows, macOS e Linux. Todas as versões atuais do PowerShell, da CLI e dos SDKs são compatíveis com HTTPS.
Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia estiver desabilitada, os Arquivos do Azure também permitirão o SMB 2.1 e o SMB 3.x sem criptografia e chamadas à API FileREST não criptografadas por HTTP. O principal motivo para desabilitar a criptografia em trânsito é dar suporte a alguma aplicativo herdado que precise ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição mais antiga do Linux. Os Arquivos do Azure só permitem conexões SMB 2.1 dentro da mesma região do Azure que o compartilhamento de arquivos do Azure. Um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivos do Azure, como no local ou em uma região diferente do Azure, não poderá acessar o compartilhamento de arquivos.
É altamente recomendável garantir que a criptografia de dados em trânsito esteja habilitada.
Para obter mais informações sobre criptografia em trânsito, consulte Exigir transferência segura no armazenamento do Azure.
Criptografia em repouso
Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a SSE (Criptografia do Serviço de Armazenamento) do Azure. A criptografia do serviço de armazenamento funciona de maneira semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados abaixo do sistema de arquivos do compartilhamento de arquivo do Azure, pois eles são codificados no disco, você não precisa ter acesso à chave subjacente no cliente para fazer a leitura ou gravação no compartilhamento de arquivo do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.
Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com as chaves gerenciadas pela Microsoft. Com as chaves gerenciadas pela Microsoft, a Microsoft mantém as chaves para criptografar/descriptografar os dados e é responsável pela rotação regular delas. Você também pode optar por gerenciar as próprias chaves, o que dá controle a você sobre o processo de rotação. Se você optar por criptografar seus compartilhamentos de arquivo com chaves gerenciadas pelo cliente, os Arquivos do Azure terão autorização para acessar suas chaves para atender a solicitações de leitura e gravação de seus clientes. Com as chaves gerenciadas pelo cliente, você pode revogar essa autorização a qualquer momento, mas isso significa que o compartilhamento de arquivo do Azure não estará mais acessível pelo SMB ou pela API FileREST.
Os Arquivos do Azure usam o mesmo esquema de criptografia que os outros serviços de armazenamento do Azure, como o Armazenamento de Blobs do Azure. Para saber mais sobre a SSE (Criptografia do Serviço de Armazenamento) do Azure, confira Criptografia do armazenamento do Azure para dados em repouso.
Proteção de dados
Os arquivos do Azure têm uma abordagem de várias camadas para garantir que seus dados sejam copiados em backup, recuperáveis e protegidos contra ameaças à segurança. Confira Visão geral da proteção de dados do Arquivos do Azure.
Exclusão reversível
A exclusão temporária é uma configuração de nível de conta de armazenamento em compartilhamentos de arquivo do SMB que permite recuperar o compartilhamento de arquivo quando ele é excluído acidentalmente. Quando um compartilhamento de arquivo é excluído, é feita a transição deles para um estado com exclusão temporária em vez de serem apagados permanentemente. É possível configurar o período de tempo em que os compartilhamentos excluídos temporariamente podem ser recuperados antes de serem excluídos permanentemente e recuperar a exclusão do compartilhamento a qualquer momento durante esse período de retenção.
A exclusão temporária é habilitada por padrão para novas contas de armazenamento a partir de janeiro de 2021 e recomendamos deixá-la ativada para a maioria dos compartilhamentos de arquivos SMB. Se você tem um fluxo de trabalho em que a exclusão de compartilhamentos é comum e esperada, pode decidir ter um período de retenção curto ou não habilitar a exclusão temporária. A exclusão temporária não funciona em compartilhamentos NFS, mesmo que esteja habilitada na conta de armazenamento.
Para obter mais informações sobre exclusão reversível, consulte Impedir a exclusão acidental de dados.
Backup
Você pode fazer backup do compartilhamento de arquivos do Azure por meio de instantâneos de compartilhamento, que são cópias pontuais somente leitura do seu compartilhamento. Os instantâneos são incrementais, o que significa que contêm apenas a quantidade de dados alterados desde o instantâneo anterior. Você pode ter até 200 instantâneos por compartilhamento de arquivos e mantê-los por até 10 anos. Você pode tirar instantâneos manualmente no portal do Azure, por meio do PowerShell ou da interface de linha de comando (CLI), ou pode usar o Backup do Azure.
O Backup do Azure para compartilhamentos de arquivos do Azure manipula o agendamento e a retenção de instantâneos. Seus recursos de GFS (avô-pai-filho) significam que você pode usar instantâneos diários, semanais, mensais e anuais, cada um com seu próprio período de retenção distinto. O backup do Azure também orquestra a habilitação da exclusão temporária e usa um bloqueio de exclusão em uma conta de armazenamento assim que qualquer compartilhamento de arquivos dentro dele é configurado para backup. Por fim, o backup do Azure fornece determinados recursos de monitoramento e alerta importantes que permitem aos clientes ter uma exibição consolidada de seus bens de backup.
Você pode executar restaurações em nível de item e de compartilhamento no portal do Azure usando o backup do Azure. Tudo o que você precisa fazer é escolher o ponto de restauração (um instantâneo específico), o arquivo ou diretório específico, se relevante, e depois o local (original ou alternativo) no qual você deseja restaurar. O serviço de backup lida com a cópia dos dados do instantâneo e mostra o progresso da restauração no Portal.
Proteger os Arquivos do Azure com o Microsoft Defender para Armazenamento
O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Ele fornece segurança abrangente analisando o plano de dados e a telemetria do plano de controle gerados pelos Arquivos do Azure. Ele utiliza os recursos avançados de detecção de ameaças da plataforma de Inteligência Contra Ameaças da Microsoft para fornecer alertas de segurança contextuais, incluindo etapas para mitigar as ameaças detectadas e evitar ataques futuros.
O Defender para Armazenamento analisa continuamente o fluxo de telemetria gerado pelos Arquivos do Azure. Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem, juntamente com os detalhes da atividade suspeita, as etapas de investigação, as ações de correção e as recomendações de segurança.
O Defender para Armazenamento detecta malwares conhecidos, como ransomware, vírus, spyware e outros malwares carregado em uma conta de armazenamento com base no hash do arquivo completo (compatível apenas com a API REST). Isso ajuda a evitar que o malware entre na organização e se espalhe para mais usuários e recursos. Consulte Reconhecendo as diferenças entre Rastreamento de Malware e análise de reputação de hash.
O Defender para Armazenamento não acessa os dados da conta de armazenamento e não afeta seu desempenho. Você pode habilitar o Microsoft Defender para Armazenamento no nível de assinatura (recomendado) ou no nível do recurso.
Camadas de armazenamento
Os Arquivos do Azure oferecem duas camadas de armazenamento de mídia diferentes, SSD e HDD, que permitem adaptar as ações aos requisitos de desempenho e preço específicos do cenário:
SSD (Premium): os compartilhamentos de arquivo Premium contam com SSDs (unidades de estado sólido) e fornecem alto desempenho consistente e baixa latência, com milissegundos de um dígito para a maioria das operações de E/S e para cargas de trabalho de uso intensivo de E/S. Compartilhamentos de arquivo Premium são adequados para uma ampla variedade de cargas de trabalho, como bancos de dados, hospedagem de websites e ambientes de desenvolvimento. Os compartilhamentos de arquivo Premium podem ser usados com protocolos SMB e NFS (Network File System). Os compartilhamentos de arquivo Premium são implantados no tipo de conta de armazenamento do FileStorage e só estão disponíveis em um modelo de cobrança provisionado. Para obter mais informações sobre o modelo de cobrança provisionado para compartilhamentos de arquivos premium, confira Noções básicas sobre provisionamento de compartilhamentos de arquivos premium. Os compartilhamentos de arquivos Premium oferecem um SLA de disponibilidade mais alta do que os compartilhamentos de arquivos Standard (confira “Camada Premium de Arquivos do Azure”).
HDD (Standard): os compartilhamentos de arquivos Standard usam HDDs (unidades de disco rígido) e fornecem uma opção de armazenamento econômica para compartilhamentos de arquivos de uso geral. Os compartilhamentos de arquivos Standard são implantados no tipo de conta de armazenamento de GPv2 (uso geral versão 2). Saiba mais sobre o SLA na página de contratos de nível de serviço do Azure (confira “Contas de Armazenamento”). Os compartilhamentos de arquivos Standard usam um modelo pré-pago que fornece preços com base no uso. A camada de acesso de um compartilhamento de arquivos permite ajustar os custos de armazenamento com relação ao custo de IOPS para otimizar a fatura total:
- Os compartilhamentos de arquivos otimizados para transações oferecem o menor preço de transação para cargas de trabalho com transações pesadas que não precisam da baixa latência oferecida pelos compartilhamentos de arquivos Premium. Recomendado ao migrar dados para os Arquivos do Azure.
- Os compartilhamentos de arquivos frequentes oferecem preços equilibrados de armazenamento e transação para cargas de trabalho que contam com uma boa medida de ambos.
- Os compartilhamentos de arquivos esporádicos oferecem o preço de armazenamento mais econômico para cargas de trabalho com uso intensivo de armazenamento.
Ao selecionar uma camada de mídia para a carga de trabalho, considere seus requisitos de desempenho e uso. Se a carga de trabalho exigir latência de um dígito ou você estiver usando uma mídia de armazenamento SSD local, o nível Premium será provavelmente a melhor opção. Se a baixa latência não for muito importante, por exemplo, com compartilhamentos de equipe montados localmente no Azure ou armazenados em cache no local usando a Sincronização de Arquivos do Azure, o armazenamento padrão poderá ser uma melhor opção da perspectiva de custo.
Depois de criar um compartilhamento de arquivos em uma conta de armazenamento, não será possível movê-lo para camadas exclusivas de diferentes tipos de contas de armazenamento. Por exemplo, para mover um compartilhamento de arquivo com transação otimizada para a camada Premium, você precisará criar um compartilhamento de arquivo em uma conta de armazenamento do FileStorage e copiar os dados do compartilhamento original para um novo compartilhamento de arquivo na conta do FileStorage. Recomendamos usar o AzCopy para copiar dados entre compartilhamentos de arquivo do Azure, mas você também pode usar ferramentas como o robocopy no Windows ou o rsync no macOS e no Linux.
Confira Noções básicas sobre a cobrança dos Arquivos do Azure para saber mais.
Limitações
Atualmente, os compartilhamentos de arquivos padrão com compartilhamentos de arquivos grandes habilitados (até 100 TiB de capacidade) têm certas limitações.
- Há suporte apenas para contas de LRS (armazenamento com redundância local) e ZRS (armazenamento com redundância de zona).
- Depois de habilitar compartilhamentos de arquivos grandes em uma conta de armazenamento, você não poderá converter a conta de armazenamento para usar o GRS (armazenamento com redundância geográfica) ou o GZRS (armazenamento com redundância de zona geográfica).
- Depois de habilitar compartilhamentos de arquivos grandes, não é possível desabilitá-los.
Se você quiser usar o GRS ou o GZRS com compartilhamentos de arquivos do Azure SMB padrão, consulte Pré-visualização da redundância geográfica do Arquivos do Azure para compartilhamentos de arquivos grandes.
Redundância
Para proteger os dados em seus compartilhamentos de arquivos do Azure contra perda ou corrupção de dados, o Arquivos do Azure armazena várias cópias de cada arquivo à medida que eles são gravados. Dependendo de seus requisitos, você pode selecionar diferentes graus de redundância. No momento, os Arquivos do Azure são compatíveis com as seguintes opções de redundância de dados:
- LRS (armazenamento com redundância local) : com o LRS, cada arquivo é armazenado três vezes em um cluster de armazenamento do Azure. Isso fornece proteção contra perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa. No entanto, se ocorrer um desastre como incêndio ou inundação no datacenter, todas as réplicas de uma conta de armazenamento que use o LRS poderão ser perdidas ou irrecuperáveis.
- Armazenamento com redundância de zona (ZRS): com ZRS, três cópias de cada arquivo são armazenadas. No entanto, essas cópias são fisicamente isoladas em três clusters de armazenamento distintos em diferentes zonas de disponibilidade do Azure. As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais data centers equipados com energia, resfriamento e rede independentes. Uma gravação no armazenamento não será aceita até que seja gravada nos clusters de armazenamento de todas as três zonas de disponibilidade.
- Armazenamento com redundância geográfica (GRS): com o GRS, você tem duas regiões, uma região primária e uma região secundária. Os arquivos são armazenados três vezes em um cluster de armazenamento do Azure na região primária. As gravações são replicadas de maneira assíncrona para uma região secundária definida pela Microsoft. O GRS fornece seis cópias de seus dados difundidos entre duas regiões do Azure. No caso de um grande desastre, como a perda permanente de uma região do Azure devido a um desastre natural ou outro evento semelhante, a Microsoft executará um failover. Nesse caso, o secundário se torna o primário, atendendo a todas as operações. Como a replicação entre as regiões primária e secundária é assíncrona, no caso de um grande desastre, os dados ainda não replicados para a região secundária serão perdidos. Também será possível executar um failover manual de uma conta de armazenamento com redundância geográfica.
- Armazenamento com redundância de zona geográfica (GZRS): você pode pensar em GZRS como ZRS, mas com redundância geográfica. Com o GZRS, os arquivos são armazenados três vezes em três clusters de armazenamento distintos na região primária. Todas as gravações depois são replicadas de maneira assíncrona para uma região secundária definida pela Microsoft. O processo de failover para GZRS funciona da mesma forma que o GRS.
Os compartilhamentos de arquivos padrão do Azure de até 5 TiB dão suporte a todos os quatro tipos de redundância. Os compartilhamentos de arquivos padrão maiores que 5 TiB dão suporte apenas a LRS e ZRS. Os compartilhamentos de arquivo premium do Azure dão suporte apenas a LRS e ZRS.
As contas de armazenamento de uso geral versão 2 (GPv2) fornecem duas outras opções de redundância que os Arquivos do Azure não dão suporte: armazenamento com redundância geográfica com acesso de leitura(RA-GRS) e armazenamento com redundância de zona geográfica com acesso de leitura (RA-GZRS). Você pode provisionar compartilhamentos de arquivos do Azure em contas de armazenamento com essas opções definidas, no entanto, os Arquivos do Azure não dão suporte à leitura da região secundária. Os compartilhamentos de arquivos do Azure implantados em contas de armazenamento RA-GRS ou RA-GZRS são cobrados como GRS ou GZRS, respectivamente.
Para obter mais informações sobre redundância, confira Redundância de dados dos Arquivos do Azure.
Disponibilidade do ZRS Standard
O ZRS para contas de armazenamento v2 de uso geral padrão está disponível para um subconjunto de regiões do Azure.
Disponibilidade do ZRS Premium
O ZRS para compartilhamentos de arquivos premium está disponível para um subconjunto de regiões do Azure.
Disponibilidade do GZRS Standard
O GZRS está disponível para um subconjunto de regiões do Azure.
Recuperação de desastre e failover
No caso de uma interrupção não planejada do serviço regional, você deve ter um plano de recuperação de desastres (DR) em vigor para seus compartilhamentos de arquivos do Azure. Para entender os conceitos e processos envolvidos com a DR e o failover da conta de armazenamento, consulte Recuperação de desastres e failover para o Arquivos do Azure.
Migração
Em muitos casos, você não estará estabelecendo um novo compartilhamento de arquivos para a sua rede organização, mas sim migrando um compartilhamento de arquivos existente de um servidor de arquivos local ou dispositivo NAS para os Arquivos do Azure. A escolha da estratégia e da ferramenta de migração correta para seu cenário é importante para o sucesso da sua migração.
O artigo Visão geral da migração aborda brevemente os conceitos básicos e contém uma tabela que leva você a guias de migração que provavelmente abrangem seu cenário.