Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Pode aceder às suas partilhas de ficheiros do Azure através do ponto de extremidade público acessível na Internet, através de um ou mais pontos de extremidade privados na(s) sua(s) rede(s) ou armazenando em cache a sua partilha de ficheiros do Azure no local com o Azure File Sync (apenas partilhas de ficheiros SMB). Este artigo foca em configurar o Azure Files para acesso direto através de pontos de extremidade públicos e/ou privados. Para saber como armazenar em cache seu compartilhamento de arquivos do Azure local com a Sincronização de Arquivos do Azure, consulte Introdução à Sincronização de Arquivos do Azure.
Recomendamos a leitura de Planejando uma implantação de Arquivos do Azure antes de ler este guia.
O acesso direto a um compartilhamento de arquivos do Azure geralmente requer uma reflexão adicional em relação à rede:
Os compartilhamentos de arquivos SMB se comunicam pela porta 445, que muitas organizações e provedores de serviços de Internet (ISPs) bloqueiam para tráfego de saída (internet). Esta prática tem origem em orientações de segurança herdadas sobre versões obsoletas e não seguras para a Internet do protocolo SMB. Embora o SMB 3.x seja um protocolo seguro para a Internet, as políticas organizacionais ou ISP podem não ser possíveis de alterar. Portanto, a montagem de um compartilhamento de arquivos SMB geralmente requer configuração de rede adicional para usar fora do Azure.
As partilhas de ficheiros NFS dependem da autenticação ao nível da rede e, por conseguinte, só são acessíveis através de redes restritas. Usar um compartilhamento de arquivos NFS sempre requer algum nível de configuração de rede.
A configuração de pontos finais públicos e privados para Arquivos do Azure é realizada na conta de armazenamento do Azure, que é o objeto de gestão de nível superior para Arquivos do Azure. Uma conta de armazenamento é uma construção de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivos do Azure, bem como os recursos de armazenamento para outros serviços de armazenamento do Azure, como contêineres de blob ou filas.
Este vídeo é um guia e uma demonstração de como expor com segurança os compartilhamentos de arquivos do Azure diretamente para operadores de informações e aplicativos em cinco etapas simples. As seções abaixo fornecem links e contexto adicional para a documentação referenciada no vídeo. Observe que o Azure Ative Directory agora é o Microsoft Entra ID. Para obter mais informações, consulte Novo nome para o Azure AD.
Aplica-se a
| Tipo de partilhas de ficheiros | SMB | NFS |
|---|---|---|
| Partilhas de ficheiros Standard (GPv2), LRS/ZRS |
|
|
| Partilhas de ficheiros Standard (GPv2), GRS/GZRS |
|
|
| Partilhas de ficheiros Premium (FileStorage), LRS/ZRS |
|
|
Transferência segura
Por padrão, as contas de armazenamento do Azure exigem transferência segura, independentemente de os dados serem acessados pelo ponto de extremidade público ou privado. Para Arquivos do Azure, a configuração Transferência segura necessária é imposta para todo o acesso de protocolo aos dados armazenados nos compartilhamentos de arquivos do Azure, incluindo SMB, NFS e FileREST. Você pode desativar a configuração Transferência segura necessária para permitir tráfego não criptografado.
Os protocolos SMB, NFS e FileREST têm um comportamento ligeiramente diferente em relação à configuração necessária de transferência segura :
Quando a transferência segura necessária estiver habilitada em uma conta de armazenamento, todos os compartilhamentos de arquivos SMB nessa conta de armazenamento exigirão o protocolo SMB 3.x com algoritmos de criptografia AES-128-CCM, AES-128-GCM ou AES-256-GCM, dependendo da negociação de criptografia disponível/necessária entre o cliente SMB e os Arquivos do Azure. Você pode alternar quais algoritmos de criptografia SMB são permitidos através das configurações de segurança SMB. A desativação da configuração de transferência segura necessária permite montagens SMB 2.1 e SMB 3.x sem criptografia.
Os compartilhamentos de arquivos do NFS Azure usam o pacote do utilitário AZNFS para simplificar montagens criptografadas instalando e configurando o Stunnel (um wrapper TLS de código aberto) no cliente. Consulte Criptografia durante o trânsito para partilhas de ficheiros do Azure NFS.
Quando a transferência segura é necessária, o protocolo FileREST só pode ser usado com HTTPS.
Observação
A comunicação entre um cliente e uma conta de armazenamento do Azure é criptografada usando TLS (Transport Layer Security). Os Arquivos do Azure dependem de uma implementação do Windows de SSL que não é baseada no OpenSSL e, portanto, não está exposta a vulnerabilidades relacionadas ao OpenSSL. Os usuários que preferem manter a flexibilidade entre conexões TLS e não-TLS na mesma conta de armazenamento devem desativar a transferência segura necessária.
Ponto final público
O ponto de extremidade público para as partilhas de ficheiros do Azure numa conta de armazenamento é um ponto de extremidade exposto na Internet. O ponto de extremidade público é o ponto de extremidade padrão para uma conta de armazenamento, no entanto, ele pode ser desativado se desejado.
Os protocolos SMB, NFS e FileREST podem usar o ponto de extremidade público. No entanto, cada um tem regras de acesso ligeiramente diferentes:
As partilhas de ficheiros SMB podem ser acedidas a partir de qualquer lugar do mundo através do terminal público da conta de armazenamento com SMB 3.x com encriptação. Isso significa que as solicitações autenticadas, como as solicitações autorizadas pela identidade de logon de um usuário, podem ser originadas com segurança de dentro ou de fora da região do Azure. Se SMB 2.1 ou SMB 3.x sem criptografia for desejado, duas condições devem ser atendidas:
- A configuração Transferência segura necessária da conta de armazenamento deve ser desativada.
- A solicitação deve ser originada de dentro da região do Azure. Como mencionado anteriormente, as solicitações SMB criptografadas são permitidas de qualquer lugar, dentro ou fora da região do Azure.
Os compartilhamentos de arquivos NFS são acessíveis a partir do ponto de extremidade público da conta de armazenamento se e somente se o ponto de extremidade público da conta de armazenamento estiver restrito a redes virtuais específicas usando pontos de extremidade de serviço. Consulte Configurações de firewall de ponto de extremidade público para obter informações adicionais sobre pontos de extremidade de serviço.
FileREST é acessível através do endpoint público. Se a transferência segura for necessária, apenas solicitações HTTPS serão aceitas. Se a transferência segura estiver desativada, as solicitações HTTP serão aceitas pelo ponto de extremidade público, independentemente da origem.
Configurações de firewall de ponto de extremidade público
O firewall da conta de armazenamento restringe o acesso ao ponto de extremidade público de uma conta de armazenamento. Usando o firewall da conta de armazenamento, você pode restringir o acesso a determinados endereços IP/intervalos de endereços IP, a redes virtuais específicas ou desabilitar totalmente o ponto de extremidade público.
Quando você restringe o tráfego do ponto de extremidade público a uma ou mais redes virtuais, está usando um recurso da rede virtual chamado pontos de extremidade de serviço. As solicitações direcionadas ao ponto de extremidade de serviço do Azure Files ainda estão indo para o endereço IP público da conta de armazenamento; no entanto, a camada de rede está fazendo uma verificação adicional da solicitação para validar que ela vem de uma rede virtual autorizada. Os protocolos SMB, NFS e FileREST suportam pontos de extremidade de serviço. Ao contrário do SMB e do FileREST, as partilhas de ficheiros NFS, no entanto, só podem ser acedidas através do ponto de extremidade público com o uso de um ponto de extremidade de serviço.
Para saber mais sobre como configurar o firewall da conta de armazenamento, consulte Configurar firewalls de armazenamento do Azure e redes virtuais.
Roteamento de rede de ponto de extremidade público
O Azure Files dá suporte a várias opções de roteamento de rede. A opção padrão, roteamento da Microsoft, funciona com todas as configurações do Azure Files. A opção de roteamento da Internet não oferece suporte a cenários de ingresso de domínio do AD ou à Sincronização de Arquivos do Azure.
Terminais privados
Além do ponto de extremidade público padrão para uma conta de armazenamento, os Arquivos do Azure fornecem a opção de ter um ou mais pontos de extremidade privados. Um ponto de extremidade privado é um ponto de extremidade acessível apenas em uma rede virtual do Azure. Quando você cria um ponto de extremidade privado para sua conta de armazenamento, sua conta de armazenamento obtém um endereço IP privado de dentro do espaço de endereço de sua rede virtual, de forma muito semelhante a como um servidor de arquivos local ou dispositivo NAS recebe um endereço IP dentro do espaço de endereço dedicado de sua rede local.
Um ponto de extremidade privado individual está associado a uma sub-rede de rede virtual específica do Azure. Uma conta de armazenamento pode ter pontos de extremidade privados em mais de uma rede virtual.
Usar endpoints privados com o Azure Files permite que si:
- Ligue-se de forma segura às suas partilhas de ficheiros Azure a partir de redes locais através de uma ligação VPN ou ExpressRoute com emparelhamento privado.
- Proteger as partilhas de ficheiros do Azure ao configurar a firewall da conta de armazenamento para bloquear todas as ligações no ponto final público. Por padrão, a criação de um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público.
- Aumente a segurança da rede virtual ao permitir bloquear a exfiltração de dados da rede virtual e das fronteiras de peering.
Para criar um ponto de extremidade privado, consulte Configurando pontos de extremidade privados para arquivos do Azure.
Túnel de tráfego sobre uma rede privada virtual ou ExpressRoute
Para usar pontos de extremidade privados para acessar compartilhamentos de arquivos SMB ou NFS localmente, você deve estabelecer um túnel de rede entre sua rede local e o Azure. Uma rede virtual, ou VNet, é semelhante a uma rede local tradicional. Como uma conta de armazenamento do Azure ou uma VM do Azure, uma VNet é um recurso do Azure que é implantado em um grupo de recursos.
O Azure Files dá suporte aos seguintes mecanismos para encapsular o tráfego entre suas estações de trabalho e servidores locais e compartilhamentos de arquivos SMB/NFS do Azure:
-
Gateway de VPN do Azure: um gateway VPN é um tipo específico de gateway de rede virtual usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local alternativo (como local) pela Internet. Um Gateway de VPN do Azure é um recurso do Azure que pode ser implantado em um grupo de recursos ao lado de uma conta de armazenamento ou outros recursos do Azure. Os gateways VPN expõem dois tipos diferentes de conexões:
- Conexões de gateway VPN ponto a site (P2S), que são conexões VPN entre o Azure e um cliente individual. Essa solução é útil principalmente para dispositivos que não fazem parte da rede local da sua organização. Um caso de uso comum é para teletrabalhadores que desejam ser capazes de montar seu compartilhamento de arquivos do Azure de casa, de uma cafeteria ou de um hotel enquanto estão em viagem. Para usar uma conexão VPN P2S com Arquivos do Azure, você precisará configurar uma conexão VPN P2S para cada cliente que deseja se conectar. Consulte Configurar uma VPN Ponto a Site (P2S) no Windows para uso com Arquivos do Azure e Configurar uma VPN Ponto a Site (P2S) no Linux para uso com Arquivos do Azure.
- VPN Site-to-Site (S2S), que são conexões VPN entre o Azure e a rede da sua organização. Uma conexão VPN S2S permite que você configure uma conexão VPN uma vez para um servidor VPN ou dispositivo hospedado na rede da sua organização, em vez de configurar uma conexão para cada dispositivo cliente que precisa acessar seu compartilhamento de arquivos do Azure. Consulte Configurar uma VPN Site-to-Site (S2S) para utilizar com os Azure Files.
- ExpressRoute, que permite criar uma rota definida entre o Azure e sua rede local que não atravessa a Internet. Como a Rota Expressa fornece um caminho dedicado entre seu datacenter local e o Azure, a Rota Expressa pode ser útil quando o desempenho da rede é uma consideração. O ExpressRoute também é uma boa opção quando os requisitos regulatórios ou de política da sua organização exigem um caminho determinístico para seus recursos na nuvem.
Observação
Embora recomendemos o uso de pontos de extremidade privados para ajudar a estender sua rede local para o Azure, é tecnicamente possível rotear para o ponto de extremidade público pela conexão VPN. No entanto, isso requer a programação fixa do endereço IP do ponto de extremidade público para o cluster de armazenamento do Azure que está associado à sua conta de armazenamento. Como as contas de armazenamento podem ser movidas entre clusters de armazenamento a qualquer momento e novos clusters são frequentemente adicionados e removidos, isso requer a codificação regular de todos os endereços IP de armazenamento do Azure possíveis em suas regras de roteamento.
Configuração do DNS
Quando você cria um ponto de extremidade privado, por padrão, também criamos uma zona DNS privada (ou atualizamos uma existente) correspondente ao privatelink subdomínio. Estritamente falando, a criação de uma zona DNS privada não é necessária para usar um endpoint privado na conta de armazenamento. No entanto, é altamente recomendado em geral e é explicitamente necessário ao montar seu compartilhamento de arquivos do Azure com uma entidade de usuário do Ative Directory ou acessá-lo a partir da API FileREST.
Observação
Este artigo usa o sufixo DNS da conta de armazenamento para as regiões Públicas do Azure, core.windows.net. Este comentário também se aplica às nuvens Sovereign do Azure, como a nuvem Azure US Government e o Microsoft Azure operado pela nuvem 21Vianet - basta substituir os sufixos apropriados para o seu ambiente.
Na sua zona DNS privada, criamos um registo A para storageaccount.privatelink.file.core.windows.net e um registo CNAME para o nome normal da conta de armazenamento, que segue o padrão storageaccount.file.core.windows.net. Como sua zona DNS privada do Azure está conectada à rede virtual que contém o ponto de extremidade privado, você pode observar a configuração de DNS chamando o Resolve-DnsName cmdlet do PowerShell em uma VM do Azure (alternadamente nslookup no Windows e Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Neste exemplo, a conta de armazenamento storageaccount.file.core.windows.net é traduzida para o endereço IP privado do ponto de extremidade privado, que por acaso é 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Se executar o mesmo comando a partir de instalações locais, verá que o mesmo nome de conta de armazenamento é resolvido para o endereço IP público da conta de armazenamento, ao invés disso. Por exemplo, é um registro CNAME para storageaccount.file.core.windows.net, que, por sua vez, storageaccount.privatelink.file.core.windows.net é um registro CNAME para o cluster de armazenamento do Azure que hospeda a conta de armazenamento:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Isso reflete que a conta de armazenamento tem a capacidade de expor o ponto de extremidade público e um ou mais pontos de extremidade privados. Para garantir que o nome da conta de armazenamento seja resolvido para o endereço IP privado do ponto de extremidade privado, você deve alterar a configuração em seus servidores DNS locais. Isso pode ser feito de várias maneiras:
- Modificar o ficheiro hosts nos seus clientes para resolver
storageaccount.file.core.windows.netpara o endereço IP privado do ponto de extremidade privado desejado. É fortemente desencorajado em ambientes de produção, visto que será necessário efetuar essas alterações em cada cliente que pretenda ligar as suas partilhas de ficheiros do Azure. Além disso, as alterações na conta de armazenamento ou no ponto de extremidade privado não serão tratadas automaticamente. - Criando um registro A para
storageaccount.file.core.windows.netem seus servidores DNS locais. Isso tem a vantagem de que os clientes em seu ambiente local poderão resolver automaticamente a conta de armazenamento sem a necessidade de configurar cada cliente. No entanto, essa solução é igualmente frágil para modificar o arquivo hosts porque as alterações não são refletidas. Embora esta solução seja frágil, pode ser a melhor escolha para alguns ambientes. - Encaminhe a zona dos servidores DNS locais para a
core.windows.netzona DNS privada do Azure. O host DNS privado do Azure pode ser acessado por meio de um endereço IP especial (168.63.129.16) que só é acessível dentro de redes virtuais vinculadas à zona DNS privada do Azure. Para contornar essa limitação, você pode executar servidores DNS adicionais em sua rede virtual que serão encaminhadoscore.windows.netpara a zona DNS privada do Azure. Para simplificar essa configuração, fornecemos cmdlets do PowerShell que implantarão automaticamente os servidores DNS em sua rede virtual do Azure e os configurarão conforme desejado. Para saber como configurar o encaminhamento de DNS, consulte Configurando o DNS com arquivos do Azure.
SMB sobre QUIC
O Windows Server 2022 Azure Edition dá suporte a um novo protocolo de transporte chamado QUIC para o servidor SMB fornecido pela função Servidor de Arquivos. O QUIC é um substituto para o TCP que é construído sobre o UDP, fornecendo inúmeras vantagens sobre o TCP enquanto ainda fornece um mecanismo de transporte confiável. Uma das principais vantagens do protocolo SMB é que, em vez de usar a porta 445, todo o transporte é feito pela porta 443, que é de saída amplamente aberta para suportar HTTPS. Isso significa efetivamente que o SMB sobre QUIC oferece uma "VPN SMB" para compartilhamento de arquivos pela internet pública. O Windows 11 inclui um cliente compatível com SMB via QUIC.
No momento, o Azure Files não oferece suporte direto ao SMB sobre QUIC. No entanto, você pode obter acesso aos compartilhamentos de arquivos do Azure por meio da Sincronização de Arquivos do Azure em execução no Windows Server, conforme no diagrama abaixo. Isso também oferece a opção de fazer com que o Azure File Sync armazene caches locais ou em datacenters diferentes do Azure para fornecer caches locais para uma força de trabalho distribuída. Para saber mais sobre essa opção, consulte Implantar o Azure File Sync e o SMB sobre QUIC.
