Considerações de rede para o Azure File Sync
Você pode se conectar a um compartilhamento de arquivos do Azure de duas maneiras:
- Aceda à partilha diretamente através dos protocolos SMB ou FileREST. Esse padrão de acesso é empregado principalmente para eliminar o maior número possível de servidores locais.
- Crie um cache do compartilhamento de arquivos do Azure em um servidor local (ou máquina virtual do Azure) com o Azure File Sync e acesse os dados do compartilhamento de arquivos do servidor local com seu protocolo de escolha (SMB, NFS, FTPS, etc.). Esse padrão de acesso é útil porque combina o melhor do desempenho local e da escala de nuvem com serviços de valor agregado, como o Backup do Azure.
Este artigo se concentra no segundo cenário: como configurar a rede quando seu caso de uso exige o uso do Azure File Sync para armazenar arquivos em cache no local em vez de montar diretamente o compartilhamento de arquivos do Azure no SMB. Para obter mais informações sobre considerações de rede para uma implantação de Arquivos do Azure, consulte Considerações de rede dos Arquivos do Azure.
A configuração de rede para o Azure File Sync abrange dois objetos diferentes do Azure: um Serviço de Sincronização de Armazenamento e uma conta de armazenamento do Azure. Uma conta de armazenamento é uma construção de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como blobs ou filas. Um Serviço de Sincronização de Armazenamento é uma construção de gerenciamento que representa servidores registrados, que são servidores de arquivos do Windows com uma relação de confiança estabelecida com o Azure File Sync, e grupos de sincronização, que definem a topologia da relação de sincronização.
Importante
O Azure File Sync não suporta o encaminhamento da Internet. A opção de encaminhamento de rede predefinida, o encaminhamento da Microsoft, é suportada pelo Azure File Sync.
Conectando o servidor de arquivos do Windows ao Azure com o Azure File Sync
Para configurar e usar os Arquivos do Azure e a Sincronização de Arquivos do Azure com um servidor de arquivos do Windows local, nenhuma rede especial para o Azure é necessária além de uma conexão básica com a Internet. Para implantar o Azure File Sync, instale o agente do Azure File Sync no servidor de arquivos do Windows que deseja sincronizar com o Azure. O agente do Azure File Sync alcança a sincronização com um compartilhamento de arquivos do Azure por meio de dois canais:
- O protocolo FileREST, que é um protocolo baseado em HTTPS usado para acessar seu compartilhamento de arquivos do Azure. Como o protocolo FileREST usa HTTPS padrão para transferência de dados, a porta 443 deve ser de saída acessível. O Azure File Sync não usa o protocolo SMB para transferir dados entre seus Servidores Windows locais e seu compartilhamento de arquivos do Azure.
- O protocolo de sincronização do Azure File Sync, que é um protocolo baseado em HTTPS usado para trocar conhecimento de sincronização, ou seja, as informações de versão sobre os arquivos e pastas entre pontos de extremidade em seu ambiente. Esse protocolo também é usado para trocar metadados sobre os arquivos e pastas, como carimbos de data/hora e listas de controle de acesso (ACLs).
Como o Azure Files oferece acesso direto ao protocolo SMB em compartilhamentos de arquivos do Azure, os clientes geralmente se perguntam se precisam configurar uma rede especial para montar os compartilhamentos de arquivos do Azure usando o SMB para o agente de Sincronização de Arquivos do Azure acessar. Isso não é necessário e é realmente desencorajado, exceto em cenários de administrador, devido à falta de deteção rápida de alterações feitas diretamente no compartilhamento de arquivos do Azure. As alterações podem não ser descobertas por mais de 24 horas, dependendo do tamanho e do número de itens no compartilhamento de arquivos do Azure. Se você quiser usar o compartilhamento de arquivos do Azure diretamente em vez de usar a Sincronização de Arquivos do Azure para armazenar em cache local, consulte Visão geral da rede dos Arquivos do Azure.
Embora o Azure File Sync não exija nenhuma configuração de rede especial, alguns clientes podem querer definir configurações avançadas de rede para habilitar os seguintes cenários:
- Interopere com a configuração do servidor proxy da sua organização.
- Abra o firewall local da sua organização nos Serviços Azure Files e Azure File Sync.
- Tráfego de Arquivos do Azure de Túnel e Sincronização de Arquivos do Azure em uma Rota Expressa ou uma conexão de rede virtual privada (VPN).
Configurando servidores proxy
Muitas organizações usam um servidor proxy como intermediário entre recursos dentro de sua rede local e recursos fora de sua rede, como no Azure. Os servidores proxy são úteis para muitos aplicativos, como isolamento e segurança de rede, monitoramento e registro. A Sincronização de Arquivos do Azure pode interoperar totalmente com um servidor proxy, no entanto, você deve definir manualmente as configurações de ponto de extremidade de proxy para seu ambiente com a Sincronização de Arquivos do Azure. Isso deve ser feito via PowerShell usando o cmdlet Set-StorageSyncProxyConfiguration
do servidor Azure File Sync .
Para obter mais informações sobre como configurar o Azure File Sync com um servidor proxy, consulte Configurando o Azure File Sync com um servidor proxy.
Configurando firewalls e tags de serviço
Muitas organizações isolam seus servidores de arquivos da maioria dos locais da Internet para fins de segurança. Para usar o Azure File Sync em tal ambiente, você precisa configurar seu firewall para permitir o acesso de saída para selecionar serviços do Azure. Você pode fazer isso permitindo o acesso de saída da porta 443 aos pontos de extremidade de nuvem necessários que hospedam esses serviços específicos do Azure se seu firewall oferecer suporte a url/domínios. Se isso não acontecer, você poderá recuperar os intervalos de endereços IP desses serviços do Azure por meio de marcas de serviço.
A Sincronização de Ficheiros do Azure requer os intervalos de endereços IP para os seguintes serviços, conforme identificados pelas respetivas etiquetas de serviço:
Serviço | Description | Etiqueta de serviço |
---|---|---|
Azure File Sync | O serviço Azure File Sync, conforme representado pelo objeto Storage Sync Service, é responsável pela atividade principal de sincronização de dados entre um compartilhamento de arquivos do Azure e um servidor de arquivos do Windows. | StorageSyncService |
Ficheiros do Azure | Todos os dados sincronizados por meio do Azure File Sync são armazenados no compartilhamento de arquivos do Azure. Os arquivos alterados em seus servidores de arquivos do Windows são replicados para seu compartilhamento de arquivos do Azure e os arquivos hierarquizados em seu servidor de arquivos local são baixados diretamente quando um usuário os solicita. | Storage |
Azure Resource Manager | O Azure Resource Manager é a interface de gerenciamento do Azure. Todas as chamadas de gerenciamento, incluindo o registro do servidor do Azure File Sync e as tarefas contínuas do servidor de sincronização, são feitas por meio do Gerenciador de Recursos do Azure. | AzureResourceManager |
Microsoft Entra ID | A ID do Microsoft Entra (anteriormente Azure AD) contém as entidades de usuário necessárias para autorizar o registro do servidor em um Serviço de Sincronização de Armazenamento e as entidades de serviço necessárias para que a Sincronização de Arquivos do Azure seja autorizada a acessar seus recursos de nuvem. | AzureActiveDirectory |
Se estiver a utilizar a Sincronização de Ficheiros do Azure no Azure, mesmo que esteja numa região diferente, pode utilizar o nome da etiqueta de serviço diretamente no seu grupo de segurança de rede para permitir o tráfego para esse serviço. Para obter mais informações, veja Grupos de segurança de rede.
Se estiver a utilizar o Azure File Sync no local, pode utilizar a API da etiqueta de serviço para obter intervalos de endereços IP específicos para a lista de permissões da firewall. Existem dois métodos para obter estas informações:
- A lista atual de intervalos de endereços IP para todos os serviços do Azure que suportam etiquetas de serviço é publicada semanalmente no Centro de Transferências da Microsoft, sob a forma de um documento JSON. Cada nuvem do Azure tem seu próprio documento JSON com os intervalos de endereços IP relevantes para essa nuvem:
- A API de deteção de etiquetas de serviço (pré-visualização) permite a obtenção programática da lista atual de etiquetas de serviço. Em pré-visualização, a API de deteção de etiquetas de serviço pode devolver informações menos precisas do que aquelas que são devolvidas pelos documentos JSON publicados no Centro de Transferências da Microsoft. Você pode usar a superfície da API com base em sua preferência de automação:
Para saber mais sobre como usar a API da marca de serviço para recuperar os endereços de seus serviços, consulte Lista de permissões para endereços IP do Azure File Sync.
Encapsulamento de tráfego em uma rede virtual privada ou Rota Expressa
Algumas organizações exigem comunicação com o Azure para passar por um túnel de rede, como uma VPN ou Rota Expressa, para obter uma camada adicional de segurança ou para garantir que a comunicação com o Azure siga uma rota determinística.
Ao estabelecer um túnel de rede entre sua rede local e o Azure, você está emparelhando sua rede local com uma ou mais redes virtuais no Azure. Uma rede virtual, ou VNET, é semelhante a uma rede tradicional que você operaria localmente. Como uma conta de armazenamento do Azure ou uma VM do Azure, uma VNET é um recurso do Azure que é implantado em um grupo de recursos.
Os Arquivos do Azure e a Sincronização de Arquivos do Azure dão suporte aos seguintes mecanismos para encapsular o tráfego entre seus servidores locais e o Azure:
Gateway de VPN do Azure: um gateway VPN é um tipo específico de gateway de rede virtual usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local alternativo (como local) pela Internet. Um Gateway de VPN do Azure é um recurso do Azure que pode ser implantado em um grupo de recursos ao lado de uma conta de armazenamento ou outros recursos do Azure. Como a Sincronização de Arquivos do Azure deve ser usada com um servidor de arquivos do Windows local, você normalmente usaria uma VPN Site a Site (S2S), embora seja tecnicamente possível usar uma VPN Ponto a Site (P2S).
As conexões VPN Site a Site (S2S) conectam sua rede virtual do Azure e a rede local da sua organização. Uma conexão VPN S2S permite que você configure uma conexão VPN uma vez, para um servidor VPN ou dispositivo hospedado na rede da sua organização, em vez de fazer para cada dispositivo cliente que precisa acessar seu compartilhamento de arquivos do Azure. Para simplificar a implantação de uma conexão VPN S2S, consulte Configurar uma VPN Site a Site (S2S) para uso com Arquivos do Azure.
ExpressRoute, que permite criar uma rota definida (conexão privada) entre o Azure e sua rede local que não atravessa a Internet. Como a Rota Expressa fornece um caminho dedicado entre seu datacenter local e o Azure, a Rota Expressa pode ser útil quando o desempenho da rede é uma consideração fundamental. O ExpressRoute também é uma boa opção quando os requisitos regulatórios ou de política da sua organização exigem um caminho determinístico para seus recursos na nuvem.
Pontos finais privados
Além dos pontos de extremidade públicos padrão que os Arquivos do Azure e a Sincronização de Arquivos do Azure fornecem por meio da conta de armazenamento e do Serviço de Sincronização de Armazenamento, eles fornecem a opção de ter um ou mais pontos de extremidade privados por recurso. Isso permite que você se conecte de forma privada e segura a compartilhamentos de arquivos do Azure a partir do local usando VPN ou ExpressRoute e de dentro de uma VNET do Azure. Quando você cria um ponto de extremidade privado para um recurso do Azure, ele obtém um endereço IP privado de dentro do espaço de endereço de sua rede virtual, de forma muito semelhante a como seu servidor de arquivos do Windows local tem um endereço IP dentro do espaço de endereço dedicado de sua rede local.
Importante
Para usar pontos de extremidade privados no recurso do Serviço de Sincronização de Armazenamento, você deve usar o agente do Azure File Sync versão 10.1 ou superior. As versões do agente anteriores à 10.1 não oferecem suporte a pontos de extremidade privados no Serviço de Sincronização de Armazenamento. Todas as versões anteriores do agente oferecem suporte a pontos de extremidade privados no recurso de conta de armazenamento.
Um ponto de extremidade privado individual está associado a uma sub-rede de rede virtual específica do Azure. As contas de armazenamento e o Storage Sync Services podem ter pontos de extremidade privados em mais de uma rede virtual.
A utilização de terminais privados permite-lhe:
- Conecte-se com segurança aos seus recursos do Azure a partir de redes locais usando uma conexão VPN ou ExpressRoute com emparelhamento privado.
- Proteja seus recursos do Azure desabilitando os pontos de extremidade públicos para Arquivos do Azure e Sincronização de Arquivos. Por padrão, a criação de um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público.
- Aumentar a segurança da rede virtual, permitindo-lhe bloquear a transferência de dados não autorizada a partir da rede virtual (e os limites de peering).
Para criar um ponto de extremidade privado, consulte Configurando pontos de extremidade privados para o Azure File Sync.
Pontos de extremidade privados e DNS
Quando você cria um ponto de extremidade privado, por padrão, também criamos (ou atualizamos uma zona DNS privada existente) correspondente ao privatelink
subdomínio. Para regiões de nuvem pública, essas zonas DNS são privatelink.file.core.windows.net
para Arquivos do Azure e privatelink.afs.azure.net
para a Sincronização de Arquivos do Azure.
Nota
Este artigo usa o sufixo DNS da conta de armazenamento para as regiões Públicas do Azure, core.windows.net
. Isso também se aplica às nuvens Sovereign do Azure, como a nuvem Azure US Government e o Microsoft Azure operado pela nuvem 21Vianet - basta substituir os sufixos apropriados para o seu ambiente.
Quando você cria pontos de extremidade privados para uma conta de armazenamento e um Serviço de Sincronização de Armazenamento, criamos registros A para eles em suas respetivas zonas DNS privadas. Também atualizamos a entrada DNS pública de modo que os nomes de domínio regulares totalmente qualificados sejam CNAMEs para o nome relevante privatelink
. Isso permite que os nomes de domínio totalmente qualificados apontem para o(s) endereço(s) IP do ponto de extremidade privado quando o solicitante estiver dentro da rede virtual e apontem para o(s) endereço(s) IP do ponto de extremidade público quando o solicitante estiver fora da rede virtual.
Para os Arquivos do Azure, cada ponto de extremidade privado tem um único nome de domínio totalmente qualificado, seguindo o padrão storageaccount.privatelink.file.core.windows.net
, mapeado para um endereço IP privado para o ponto de extremidade privado. Para o Azure File Sync, cada ponto de extremidade privado tem quatro nomes de domínio totalmente qualificados, para os quatro pontos de extremidade diferentes que o Azure File Sync expõe: gerenciamento, sincronização (principal), sincronização (secundária) e monitoramento. Os nomes de domínio totalmente qualificados para esses pontos de extremidade normalmente seguirão o nome do Serviço de Sincronização de Armazenamento, a menos que o nome contenha caracteres não-ASCII. Por exemplo, se o nome do Serviço de Sincronização de Armazenamento estiver mysyncservice
na região Oeste dos EUA 2, os pontos de extremidade equivalentes serão mysyncservicemanagement.westus2.afs.azure.net
, mysyncservicesyncp.westus2.afs.azure.net
, mysyncservicesyncs.westus2.afs.azure.net
e mysyncservicemonitoring.westus2.afs.azure.net
. Cada ponto de extremidade privado para um Serviço de Sincronização de Armazenamento conterá quatro endereços IP distintos.
Como sua zona DNS privada do Azure está conectada à rede virtual que contém o ponto de extremidade privado, você pode observar a configuração de DNS ao chamar o Resolve-DnsName
cmdlet do PowerShell em uma VM do Azure (alternadamente nslookup
no Windows e Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Neste exemplo, a conta storageaccount.file.core.windows.net
de armazenamento é resolvida para o endereço IP privado do ponto de extremidade privado, que por acaso é 192.168.0.4
.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Se você executar o mesmo comando localmente, verá que o mesmo nome de conta de armazenamento é resolvido para o endereço IP público da conta de armazenamento; storageaccount.file.core.windows.net
é um registro CNAME para storageaccount.privatelink.file.core.windows.net
, que, por sua vez, é um registro CNAME para o cluster de armazenamento do Azure que hospeda a conta de armazenamento:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Isso reflete o fato de que os Arquivos do Azure e a Sincronização de Arquivos do Azure podem expor seus pontos de extremidade públicos e um ou mais pontos de extremidade privados por recurso. Para garantir que os nomes de domínio totalmente qualificados para seus recursos sejam resolvidos para os endereços IP privados de pontos de extremidade privados, você deve alterar a configuração em seus servidores DNS locais. Isso pode ser feito de várias maneiras:
- Modificar o arquivo hosts em seus clientes para fazer com que os nomes de domínio totalmente qualificados para suas contas de armazenamento e o Storage Sync Services sejam resolvidos para os endereços IP privados desejados. Isso é fortemente desencorajado para ambientes de produção, já que você precisará fazer essas alterações em todos os clientes que precisam acessar seus endpoints privados. As alterações aos seus endpoints/recursos privados (eliminações, modificações, etc.) não serão tratadas automaticamente.
- Criar zonas DNS em seus servidores locais para
privatelink.file.core.windows.net
eprivatelink.afs.azure.net
com registros A para seus recursos do Azure. Isso tem a vantagem de que os clientes em seu ambiente local poderão resolver automaticamente os recursos do Azure sem a necessidade de configurar cada cliente. No entanto, essa solução é igualmente frágil para modificar o arquivo hosts porque as alterações não são refletidas. Embora esta solução seja frágil, pode ser a melhor escolha para alguns ambientes. - Encaminhe as
core.windows.net
zonas eafs.azure.net
de seus servidores DNS locais para sua zona DNS privada do Azure. O host DNS privado do Azure pode ser acessado por meio de um endereço IP especial (168.63.129.16
) que só é acessível dentro de redes virtuais vinculadas à zona DNS privada do Azure. Para contornar essa limitação, você pode executar servidores DNS adicionais em sua rede virtual que encaminharãocore.windows.net
eafs.azure.net
para as zonas DNS privadas equivalentes do Azure. Para simplificar essa configuração, fornecemos cmdlets do PowerShell que implantarão automaticamente os servidores DNS em sua rede virtual do Azure e os configurarão conforme desejado. Para saber como configurar o encaminhamento de DNS, consulte Configurando o DNS com arquivos do Azure.
Encriptação em trânsito
As conexões feitas do agente do Azure File Sync ao seu compartilhamento de arquivos do Azure ou ao Serviço de Sincronização de Armazenamento são sempre criptografadas. Embora as contas de armazenamento do Azure tenham uma configuração para desabilitar a exigência de criptografia em trânsito para comunicações com os Arquivos do Azure (e os outros serviços de armazenamento do Azure gerenciados fora da conta de armazenamento), desabilitar essa configuração não afetará a criptografia do Azure File Sync ao se comunicar com os Arquivos do Azure. Por padrão, todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada.
Para obter mais informações sobre criptografia em trânsito, consulte Exigindo transferência segura no armazenamento do Azure.