Planear uma implementação de Ficheiros do Azure
Você pode implantar os Arquivos do Azure de duas maneiras principais: montando diretamente os compartilhamentos de arquivos do Azure sem servidor ou armazenando em cache os compartilhamentos de arquivos do Azure no local usando a Sincronização de Arquivos do Azure. As considerações de implantação serão diferentes com base na opção escolhida.
Montagem direta de um compartilhamento de arquivos do Azure: como os Arquivos do Azure fornecem acesso SMB (Server Message Block) ou NFS (Network File System), você pode montar compartilhamentos de arquivos do Azure no local ou na nuvem usando os clientes SMB ou NFS padrão disponíveis em seu sistema operacional. Como os compartilhamentos de arquivos do Azure não têm servidor, a implantação para cenários de produção não requer o gerenciamento de um servidor de arquivos ou dispositivo NAS. Isso significa que você não precisa aplicar patches de software ou trocar discos físicos.
Armazenar em cache o compartilhamento de arquivos do Azure local com a Sincronização de Arquivos do Azure: a Sincronização de Arquivos do Azure permite centralizar os compartilhamentos de arquivos da sua organização nos Arquivos do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. O Azure File Sync transforma um Windows Server local (ou na nuvem) em um cache rápido do seu compartilhamento de arquivos SMB Azure.
Este artigo aborda principalmente as considerações de implantação para implantar um compartilhamento de arquivos do Azure a ser montado diretamente por um cliente local ou na nuvem. Para planejar uma implantação do Azure File Sync, consulte Planejando uma implantação do Azure File Sync.
Protocolos disponíveis
O Azure Files oferece dois protocolos de sistema de arquivos padrão do setor para montar compartilhamentos de arquivos do Azure: o protocolo SMB (Server Message Block) e o protocolo NFS (Network File System), permitindo que você escolha o protocolo mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não oferecem suporte aos protocolos SMB e NFS no mesmo compartilhamento de arquivos, embora você possa criar compartilhamentos de arquivos do Azure SMB e NFS na mesma conta de armazenamento. Atualmente, o NFS 4.1 só é suportado no novo tipo de conta de armazenamento FileStorage (somente compartilhamentos de arquivos premium).
Com compartilhamentos de arquivos SMB e NFS, o Azure Files oferece compartilhamentos de arquivos de nível empresarial que podem ser dimensionados para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.
| Caraterística | SMB | NFS |
|---|---|---|
| Versões de protocolo suportadas | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4,1 |
| SO recomendado |
|
Kernel Linux versão 4.3+ |
| Níveis disponíveis | Premium, transação otimizada, quente e legal | Premium |
| Modelo de faturação | Capacidade provisionada | |
| Pontos de extremidade da Zona DNS do Azure (visualização) | Suportado | Suportado |
| Redundância | LRS, ZRS, GRS, GZRS | LRS, ZRS |
| Semântica do sistema de arquivos | Win32 | POSIX |
| Autenticação | Autenticação baseada em identidade (Kerberos), autenticação de chave compartilhada (NTLMv2) | Autenticação baseada em host |
| Autorização | Listas de controle de acesso (ACLs) no estilo Win32 | Permissões no estilo UNIX |
| Sensível às maiúsculas e minúsculas | Diferenciação de maiúsculas e minúsculas, preservação de maiúsculas e | Sensível a maiúsculas e minúsculas |
| Excluindo ou modificando arquivos abertos | Apenas com fechadura | Sim |
| Partilha de ficheiros | Modo de partilha do Windows | Gestor de bloqueio de rede de aconselhamento de intervalo de bytes |
| Suporte a links rígidos | Não suportado | Suportado |
| Suporte a links simbólicos | Não suportado | Suportado |
| Opcionalmente acessível à Internet | Sim (apenas SMB 3.0+) | Não |
| Suporta FileREST | Sim | Subconjunto: |
| Bloqueios obrigatórios de intervalo de bytes | Suportado | Não suportado |
| Bloqueios de intervalo de bytes consultivos | Não suportado | Suportado |
| Atributos estendidos/nomeados | Não suportado | Não suportado |
| Fluxos de dados alternativos | Não suportado | N/A |
| Identificadores de objeto | Não suportado | N/A |
| Pontos de reanálise | Não suportado | N/A |
| Arquivos esparsos | Não suportado | N/A |
| Compressão | Não suportado | N/A |
| Pipes nomeados | Não suportado | N/A |
| SMB Direto | Não suportado | N/A |
| Leasing de Diretório SMB | Não suportado | N/A |
| Cópia de sombra de volume | Não suportado | N/A |
| Nomes de arquivo curtos (8.3 alias ) | Não suportado | N/A |
| Serviço do servidor | Não suportado | N/A |
| Transações do sistema de arquivos (TxF) | Não suportado | N/A |
Conceitos de gestão
Os compartilhamentos de arquivos do Azure são implantados em contas de armazenamento, que são objetos de nível superior que representam um pool compartilhado de armazenamento. Esse pool de armazenamento pode ser usado para implantar vários compartilhamentos de arquivos, bem como outros recursos de armazenamento, como contêineres de blob, filas ou tabelas. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites que se aplicam a essa conta de armazenamento. Para obter os limites atuais da conta de armazenamento, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
Há dois tipos principais de contas de armazenamento que você usará para implantações do Azure Files:
- Contas de armazenamento de uso geral versão 2 (GPv2): as contas de armazenamento GPv2 permitem implantar compartilhamentos de arquivos do Azure em hardware padrão/baseado em disco rígido (baseado em HDD). Além de armazenar compartilhamentos de arquivos do Azure, as contas de armazenamento GPv2 podem armazenar outros recursos de armazenamento, como contêineres de blob, filas ou tabelas.
- Contas de armazenamento FileStorage: as contas de armazenamento FileStorage permitem implantar compartilhamentos de arquivos do Azure em hardware premium/baseado em disco de estado sólido (baseado em SSD). As contas FileStorage só podem ser usadas para armazenar compartilhamentos de arquivos do Azure; nenhum outro recurso de armazenamento (contêineres blob, filas, tabelas, etc.) pode ser implantado em uma conta FileStorage. Somente contas FileStorage podem implantar compartilhamentos de arquivos SMB e NFS.
Há vários outros tipos de conta de armazenamento que você pode encontrar no portal do Azure, PowerShell ou CLI. Dois tipos de conta de armazenamento, contas de armazenamento BlockBlobStorage e BlobStorage, não podem conter compartilhamentos de arquivos do Azure. Os outros dois tipos de conta de armazenamento que você pode ver são a versão de uso geral 1 (GPv1) e contas de armazenamento clássicas, que podem conter compartilhamentos de arquivos do Azure. Embora o GPv1 e as contas de armazenamento clássico possam conter compartilhamentos de arquivos do Azure, a maioria dos novos recursos dos Arquivos do Azure está disponível apenas nas contas de armazenamento GPv2 e FileStorage. Portanto, recomendamos usar apenas as contas de armazenamento GPv2 e FileStorage para novas implantações e atualizar as contas de armazenamento GPv1 e clássicas se elas já existirem em seu ambiente.
Ao implantar compartilhamentos de arquivos do Azure em contas de armazenamento, recomendamos:
Somente implantando compartilhamentos de arquivos do Azure em contas de armazenamento com outros compartilhamentos de arquivos do Azure. Embora as contas de armazenamento GPv2 permitam que você tenha contas de armazenamento de finalidade mista, como recursos de armazenamento como compartilhamentos de arquivos do Azure e contêineres de blob compartilham os limites da conta de armazenamento, a mistura de recursos pode dificultar a solução de problemas de desempenho posteriormente.
Prestar atenção às limitações de IOPS de uma conta de armazenamento ao implantar compartilhamentos de arquivos do Azure. Idealmente, você mapearia compartilhamentos de arquivos 1:1 com contas de armazenamento. No entanto, isso nem sempre é possível devido a vários limites e restrições, tanto da sua organização quanto do Azure. Quando não for possível ter apenas um compartilhamento de arquivos implantado em uma conta de armazenamento, considere quais compartilhamentos serão altamente ativos e quais compartilhamentos serão menos ativos para garantir que os compartilhamentos de arquivos mais quentes não sejam colocados na mesma conta de armazenamento juntos.
Somente implantando contas GPv2 e FileStorage e atualizando contas GPv1 e de armazenamento clássico quando você as encontrar em seu ambiente.
Identidade
Para acessar um compartilhamento de arquivos do Azure, o usuário do compartilhamento de arquivos deve ser autenticado e autorizado a acessar o compartilhamento. Isso é feito com base na identidade do usuário que acessa o compartilhamento de arquivos. Os Arquivos do Azure dão suporte aos seguintes métodos de autenticação:
- Serviços de Domínio Ative Directory locais (AD DS ou AD DS local): as contas de armazenamento do Azure podem ser associadas a um domínio associado a Serviços de Domínio Ative Directory de propriedade do cliente, tal como um servidor de ficheiros do Windows Server ou dispositivo NAS. Você pode implantar um controlador de domínio localmente, em uma VM do Azure ou até mesmo como uma VM em outro provedor de nuvem; Os Arquivos do Azure são independentes de onde seu controlador de domínio está hospedado. Depois que uma conta de armazenamento ingressa no domínio, o usuário final pode montar um compartilhamento de arquivos com a conta de usuário com a qual entrou no computador. A autenticação baseada em AD usa o protocolo de autenticação Kerberos.
- Serviços de Domínio Microsoft Entra: Os Serviços de Domínio Microsoft Entra fornecem um controlador de domínio gerenciado pela Microsoft que pode ser usado para recursos do Azure. A associação de domínio à sua conta de armazenamento aos Serviços de Domínio Microsoft Entra oferece benefícios semelhantes à associação de domínio a um AD DS de propriedade do cliente. Essa opção de implantação é mais útil para cenários de elevação e deslocamento de aplicativos que exigem permissões baseadas em AD. Como os Serviços de Domínio Microsoft Entra fornecem autenticação baseada em AD, essa opção também usa o protocolo de autenticação Kerberos.
- Microsoft Entra Kerberos para identidades híbridas: o Microsoft Entra Kerberos permite que você use o Microsoft Entra ID para autenticar identidades de usuário híbridas, que são identidades do AD local sincronizadas com a nuvem. Essa configuração usa o ID do Microsoft Entra para emitir tíquetes Kerberos para acessar o compartilhamento de arquivos com o protocolo SMB. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio do Microsoft Entra híbrido ingressado e Microsoft Entra ingressado VMs.
- Autenticação do Ative Directory sobre clientes SMB para Linux: os Arquivos do Azure dão suporte à autenticação baseada em identidade sobre SMB para clientes Linux usando o protocolo de autenticação Kerberos por meio do AD DS ou dos Serviços de Domínio Microsoft Entra.
- Chave da conta de armazenamento do Azure: os compartilhamentos de arquivos do Azure também podem ser montados com uma chave de conta de armazenamento do Azure. Para montar um compartilhamento de arquivos dessa forma, o nome da conta de armazenamento é usado como o nome de usuário e a chave da conta de armazenamento é usada como uma senha. Usar a chave da conta de armazenamento para montar o compartilhamento de arquivos do Azure é efetivamente uma operação de administrador, porque o compartilhamento de arquivos montado terá permissões totais para todos os arquivos e pastas no compartilhamento, mesmo que eles tenham ACLs. Ao usar a chave da conta de armazenamento para montar sobre SMB, o protocolo de autenticação NTLMv2 é usado. Se você pretende usar a chave da conta de armazenamento para acessar seus compartilhamentos de arquivos do Azure, recomendamos o uso de pontos de extremidade privados ou pontos de extremidade de serviço, conforme descrito na seção Rede .
Para clientes que migram de servidores de arquivos locais ou criam novos compartilhamentos de arquivos nos Arquivos do Azure destinados a se comportar como servidores de arquivos do Windows ou dispositivos NAS, a associação de domínio à sua conta de armazenamento ao AD DS de propriedade do cliente é a opção recomendada. Para saber mais sobre como associar sua conta de armazenamento a um AD DS de propriedade do cliente, consulte Visão geral - autenticação dos Serviços de Domínio Ative Directory local sobre SMB para compartilhamentos de arquivos do Azure.
Rede
A montagem direta do compartilhamento de arquivos do Azure geralmente requer alguma reflexão sobre a configuração de rede porque:
- A porta que os compartilhamentos de arquivos SMB usam para comunicação, a porta 445, é frequentemente bloqueada por muitas organizações e provedores de serviços de Internet (ISPs) para tráfego de saída (Internet).
- As partilhas de ficheiros NFS dependem da autenticação ao nível da rede e, por conseguinte, só são acessíveis através de redes restritas. Usar um compartilhamento de arquivos NFS sempre requer algum nível de configuração de rede.
Para configurar a rede, os Arquivos do Azure fornecem um ponto de extremidade público acessível pela Internet e integração com recursos de rede do Azure, como pontos de extremidade de serviço, que ajudam a restringir o ponto de extremidade público a redes virtuais especificadas, e pontos de extremidade privados, que dão à sua conta de armazenamento um endereço IP privado de dentro de um espaço de endereço IP de rede virtual. Embora não haja cobrança extra pelo uso de pontos de extremidade públicos ou pontos de extremidade de serviço, as taxas padrão de processamento de dados se aplicam a pontos de extremidade privados.
Isso significa que você precisará considerar as seguintes configurações de rede:
- Se o protocolo necessário for SMB e todo o acesso sobre SMB for de clientes no Azure, nenhuma configuração de rede especial será necessária.
- Se o protocolo necessário for SMB e o acesso for de clientes locais, será necessária uma conexão VPN ou ExpressRoute do local para sua rede do Azure, com os Arquivos do Azure expostos em sua rede interna usando pontos de extremidade privados.
- Se o protocolo necessário for NFS, você poderá usar pontos de extremidade de serviço ou pontos de extremidade privados para restringir a rede a redes virtuais especificadas. Se você precisar de um endereço IP estático e/ou sua carga de trabalho exigir alta disponibilidade, use um ponto de extremidade privado. Com pontos de extremidade de serviço, um evento raro, como uma interrupção zonal, pode fazer com que o endereço IP subjacente da conta de armazenamento seja alterado. Embora os dados ainda estejam disponíveis no compartilhamento de arquivos, o cliente exigiria uma remontagem do compartilhamento.
Para saber mais sobre como configurar a rede para os Arquivos do Azure, consulte Considerações de rede dos Arquivos do Azure.
Além de se conectar diretamente ao compartilhamento de arquivos usando o ponto de extremidade público ou usando uma conexão VPN/ExpressRoute com um ponto de extremidade privado, o SMB fornece uma estratégia adicional de acesso ao cliente: SMB sobre QUIC. SMB sobre QUIC oferece "VPN SMB" de configuração zero para acesso SMB através do protocolo de transporte QUIC. Embora o Azure Files não ofereça suporte direto ao SMB sobre QUIC, você pode criar um cache leve de seus compartilhamentos de arquivos do Azure em uma VM do Windows Server 2022 Azure Edition usando a Sincronização de Arquivos do Azure. Para saber mais sobre essa opção, consulte SMB sobre QUIC com a Sincronização de Arquivos do Azure.
Encriptação
Os Arquivos do Azure dão suporte a dois tipos diferentes de criptografia:
- Criptografia em trânsito, que se relaciona com a criptografia usada ao montar/acessar o compartilhamento de arquivos do Azure
- Criptografia em repouso, que se relaciona com a forma como os dados são criptografados quando são armazenados no disco
Encriptação em trânsito
Importante
Esta seção aborda detalhes de criptografia em trânsito para compartilhamentos SMB. Para obter detalhes sobre criptografia em trânsito com compartilhamentos NFS, consulte Segurança e rede.
Por padrão, todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada. Isso significa que, quando você monta um compartilhamento de arquivos no SMB ou acessa-o por meio do protocolo FileREST (como por meio do portal do Azure, PowerShell/CLI ou SDKs do Azure), os Arquivos do Azure só permitirão a conexão se ela for feita com SMB 3.x com criptografia ou HTTPS. Os clientes que não suportam SMB 3.x ou clientes que suportam SMB 3.x, mas não encriptação SMB, não poderão montar a partilha de ficheiros do Azure se a encriptação em trânsito estiver ativada. Para obter mais informações sobre quais sistemas operacionais suportam SMB 3.x com criptografia, consulte nossa documentação para Windows, macOS e Linux. Todas as versões atuais do PowerShell, CLI e SDKs suportam HTTPS.
Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia estiver desabilitada, os Arquivos do Azure também permitirão SMB 2.1 e SMB 3.x sem criptografia e chamadas de API FileREST não criptografadas por HTTP. A principal razão para desabilitar a criptografia em trânsito é oferecer suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. Os Arquivos do Azure só permitem conexões SMB 2.1 dentro da mesma região do Azure que o compartilhamento de arquivos do Azure; um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivos do Azure, como no local ou em uma região diferente do Azure, não poderá acessar o compartilhamento de arquivos.
É altamente recomendável garantir que a criptografia de dados em trânsito esteja ativada.
Para obter mais informações sobre criptografia em trânsito, consulte Exigindo transferência segura no armazenamento do Azure.
Encriptação inativa
Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a criptografia do serviço de armazenamento do Azure (SSE). A criptografia do serviço de armazenamento funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados sob o sistema de arquivos do compartilhamento de arquivos do Azure, como são codificados em disco, você não precisa ter acesso à chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.
Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com chaves gerenciadas pela Microsoft. Com chaves gerenciadas pela Microsoft, a Microsoft detém as chaves para criptografar/descriptografar os dados e é responsável por girá-las regularmente. Também pode optar por gerir as suas próprias chaves, o que lhe dá controlo sobre o processo de rotação. Se você optar por criptografar seus compartilhamentos de arquivos com chaves gerenciadas pelo cliente, os Arquivos do Azure estarão autorizados a acessar suas chaves para atender às solicitações de leitura e gravação de seus clientes. Com chaves gerenciadas pelo cliente, você pode revogar essa autorização a qualquer momento, mas isso significa que seu compartilhamento de arquivos do Azure não estará mais acessível por meio do SMB ou da API FileREST.
Os Arquivos do Azure usam o mesmo esquema de criptografia que os outros serviços de armazenamento do Azure, como o armazenamento de Blob do Azure. Para saber mais sobre a criptografia do serviço de armazenamento do Azure (SSE), consulte Criptografia de armazenamento do Azure para dados em repouso.
Proteção de dados
Os Arquivos do Azure têm uma abordagem em várias camadas para garantir que seus dados sejam copiados, recuperáveis e protegidos contra ameaças à segurança. Consulte Visão geral da proteção de dados dos Arquivos do Azure.
Eliminação recuperável
A exclusão suave é uma configuração de nível de conta de armazenamento para compartilhamentos de arquivos SMB que permite recuperar seu compartilhamento de arquivos quando ele é excluído acidentalmente. Quando um compartilhamento de arquivos é excluído, ele transita para um estado de exclusão suave em vez de ser permanentemente apagado. Você pode configurar a quantidade de tempo que os compartilhamentos excluídos suavemente são recuperáveis antes de serem excluídos permanentemente e cancelar a exclusão do compartilhamento a qualquer momento durante esse período de retenção.
A exclusão suave está habilitada por padrão para novas contas de armazenamento a partir de janeiro de 2021, e recomendamos deixá-la ativada para a maioria dos compartilhamentos de arquivos SMB. Se você tiver um fluxo de trabalho em que a exclusão de compartilhamento é comum e esperada, você pode decidir ter um curto período de retenção ou não ter a exclusão suave habilitada. A exclusão suave não funciona para compartilhamentos NFS, mesmo que esteja habilitada para a conta de armazenamento.
Para obter mais informações sobre exclusão suave, consulte Impedir exclusão acidental de dados.
Backup
Você pode fazer backup do compartilhamento de arquivos do Azure por meio de instantâneos de compartilhamento, que são cópias point-in-time somente leitura do seu compartilhamento. Os instantâneos são incrementais, o que significa que contêm apenas a quantidade de dados alterada desde o instantâneo anterior. Você pode ter até 200 snapshots por compartilhamento de arquivos e retê-los por até 10 anos. Você pode tirar instantâneos manualmente no portal do Azure, via PowerShell ou interface de linha de comando (CLI), ou pode usar o Backup do Azure.
O Backup do Azure para compartilhamentos de arquivos do Azure lida com o agendamento e a retenção de instantâneos. Seus recursos de avô-pai-filho (GFS) significam que você pode tirar instantâneos diários, semanais, mensais e anuais, cada um com seu próprio período de retenção distinto. O Backup do Azure também orquestra a habilitação da exclusão suave e usa um bloqueio de exclusão em uma conta de armazenamento assim que qualquer compartilhamento de arquivos dentro dela é configurado para backup. Por fim, o Backup do Azure fornece determinados recursos importantes de monitoramento e alerta que permitem que os clientes tenham uma exibição consolidada de seu conjunto de backup.
Você pode executar restaurações de nível de item e de compartilhamento no portal do Azure usando o Backup do Azure. Tudo o que você precisa fazer é escolher o ponto de restauração (um instantâneo específico), o arquivo ou diretório específico, se relevante, e, em seguida, o local (original ou alternativo) para o qual deseja restaurar. O serviço de backup lida com a cópia dos dados de instantâneo e mostra o progresso da restauração no portal.
Proteja arquivos do Azure com o Microsoft Defender for Storage
O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Ele fornece segurança abrangente analisando o plano de dados e a telemetria do plano de controle gerados pelos Arquivos do Azure. Ele usa recursos avançados de deteção de ameaças fornecidos pelo Microsoft Threat Intelligence para fornecer alertas de segurança contextuais, incluindo etapas para mitigar as ameaças detetadas e prevenir ataques futuros.
O Defender for Storage analisa continuamente o fluxo de telemetria gerado pelos Arquivos do Azure. Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas são exibidos no Microsoft Defender for Cloud, juntamente com os detalhes da atividade suspeita, etapas de investigação, ações de correção e recomendações de segurança.
O Defender for Storage deteta malware conhecido, como ransomware, vírus, spyware e outro malware carregado para uma conta de armazenamento com base no hash completo do ficheiro (suportado apenas para a API REST). Isso ajuda a evitar que malwares entrem na organização e se espalhem para mais usuários e recursos. Consulte Compreender as diferenças entre a verificação de malware e a análise de reputação de hash.
O Defender for Storage não acessa os dados da conta de armazenamento e não afeta seu desempenho. Você pode habilitar o Microsoft Defender for Storage no nível de assinatura (recomendado) ou no nível de recurso.
Camadas de armazenamento
O Azure Files oferece duas camadas diferentes de armazenamento de mídia, SSD e HDD, que permitem que você adapte seus compartilhamentos aos requisitos de desempenho e preço do seu cenário:
SSD (Premium): As partilhas de ficheiros Premium são utilizadas por unidades de estado sólido (SSD) e proporcionam um elevado desempenho consistente e baixa latência, em milissegundos de um dígito para a maioria das operações de E/S, para cargas de trabalho com utilização intensiva de E/S. Os compartilhamentos de arquivos premium são adequados para uma ampla variedade de cargas de trabalho, como bancos de dados, hospedagem de sites e ambientes de desenvolvimento. Os compartilhamentos de arquivos Premium podem ser usados com os protocolos SMB (Server Message Block) e NFS (Network File System). Os compartilhamentos de arquivos Premium são implantados no tipo de conta de armazenamento FileStorage e só estão disponíveis em um modelo de cobrança provisionado. Para obter mais informações sobre o modelo de faturamento provisionado para compartilhamentos de arquivos premium, consulte Noções básicas sobre provisionamento para compartilhamentos de arquivos premium. Os compartilhamentos de arquivos Premium oferecem um SLA de disponibilidade mais alto do que os compartilhamentos de arquivos padrão (consulte "Nível Premium do Azure Files").
HDD (padrão): As partilhas de ficheiros padrão utilizam unidades de disco rígido (HDD) e fornecem uma opção de armazenamento económica para partilhas de ficheiros de uso geral. Os compartilhamentos de arquivos padrão são implantados no tipo de conta de armazenamento GPv2 (versão 2) de uso geral. Para obter informações sobre o SLA, consulte a página de contratos de nível de serviço do Azure (consulte "Contas de armazenamento"). Os compartilhamentos de arquivos padrão usam um modelo de pagamento conforme o uso que fornece preços baseados no uso. A camada de acesso de um compartilhamento de arquivos permite ajustar os custos de armazenamento em relação ao custo de IOPS para otimizar sua fatura total:
- Os compartilhamentos de arquivos otimizados para transações oferecem o preço de transação de menor custo para cargas de trabalho pesadas de transações que não precisam da baixa latência oferecida pelos compartilhamentos de arquivos premium. Recomendado durante a migração de dados para Arquivos do Azure.
- Os compartilhamentos de arquivos ativos oferecem preços equilibrados de armazenamento e transação para cargas de trabalho que têm uma boa medida de ambos.
- Os compartilhamentos de arquivos interessantes oferecem os preços de armazenamento mais econômicos para cargas de trabalho com uso intensivo de armazenamento.
Ao selecionar uma camada de mídia para sua carga de trabalho, considere seus requisitos de desempenho e uso. Se sua carga de trabalho exigir latência de um dígito ou se você estiver usando mídia de armazenamento SSD local, a camada premium é provavelmente a melhor opção. Se a baixa latência não for tão preocupante, por exemplo, com compartilhamentos de equipe montados no local a partir do Azure ou armazenados em cache no local usando o Azure File Sync, o armazenamento padrão pode ser mais adequado do ponto de vista do custo.
Depois de criar um compartilhamento de arquivos em uma conta de armazenamento, não é possível movê-lo para níveis exclusivos para diferentes tipos de conta de armazenamento. Por exemplo, para mover um compartilhamento de arquivos otimizado para transação para a camada premium, você deve criar um novo compartilhamento de arquivos em uma conta de armazenamento FileStorage e copiar os dados do compartilhamento original para um novo compartilhamento de arquivos na conta FileStorage. Recomendamos usar o AzCopy para copiar dados entre compartilhamentos de arquivos do Azure, mas você também pode usar ferramentas como robocopy no Windows ou rsync para macOS e Linux.
Consulte Noções básicas sobre cobrança de arquivos do Azure para obter mais informações.
Limitações
Atualmente, os compartilhamentos de arquivos padrão com compartilhamentos de arquivos grandes habilitados (capacidade de até 100 TiB) têm certas limitações.
- Somente contas de armazenamento com redundância local (LRS) e de armazenamento com redundância de zona (ZRS) são suportadas.
- Depois de habilitar compartilhamentos de arquivos grandes em uma conta de armazenamento, você não poderá converter a conta de armazenamento para usar armazenamento com redundância geográfica (GRS) ou armazenamento com redundância de zona geográfica (GZRS).
- Depois de ativar compartilhamentos de arquivos grandes, você não pode desativá-lo.
Se você quiser usar GRS ou GZRS com compartilhamentos de arquivos SMB padrão do Azure, consulte Redundância geográfica do Azure Files para visualização de compartilhamentos de arquivos grandes.
Redundância
Para proteger os dados em seus compartilhamentos de arquivos do Azure contra perda ou corrupção de dados, os Arquivos do Azure armazenam várias cópias de cada arquivo à medida que são gravados. Dependendo de suas necessidades, você pode selecionar diferentes graus de redundância. Atualmente, os Arquivos do Azure dão suporte às seguintes opções de redundância de dados:
- Armazenamento com redundância local (LRS): com o LRS, cada arquivo é armazenado três vezes em um cluster de armazenamento do Azure. Isso protege contra a perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa. No entanto, se ocorrer um desastre, como incêndio ou inundação, no data center, todas as réplicas de uma conta de armazenamento usando o LRS poderão ser perdidas ou irrecuperáveis.
- Armazenamento com redundância de zona (ZRS): com o ZRS, três cópias de cada arquivo são armazenadas. No entanto, essas cópias são fisicamente isoladas em três clusters de armazenamento distintos em diferentes zonas de disponibilidade do Azure. As zonas de disponibilidade são locais físicos exclusivos dentro de uma região do Azure. Cada zona é composta por um ou mais centros de dados equipados com alimentação, arrefecimento e rede independentes. Uma gravação no armazenamento não é aceita até que seja gravada nos clusters de armazenamento nas três zonas de disponibilidade.
- Armazenamento com redundância geográfica (GRS): com o GRS, você tem duas regiões, uma região primária e uma região secundária. Os arquivos são armazenados três vezes em um cluster de armazenamento do Azure na região primária. As gravações são replicadas de forma assíncrona para uma região secundária definida pela Microsoft. O GRS fornece seis cópias de seus dados distribuídos entre duas regiões do Azure. No caso de um desastre de grandes proporções, como a perda permanente de uma região do Azure devido a um desastre natural ou outro evento semelhante, a Microsoft executará um failover. Neste caso, o secundário torna-se o primário, servindo todas as operações. Como a replicação entre as regiões primária e secundária é assíncrona, no caso de um desastre de grandes proporções, os dados ainda não replicados para a região secundária serão perdidos. Você também pode executar um failover manual de uma conta de armazenamento com redundância geográfica.
- Armazenamento com redundância de zona geográfica (GZRS): Você pode pensar no GZRS como ZRS, mas com redundância geográfica. Com o GZRS, os arquivos são armazenados três vezes em três clusters de armazenamento distintos na região primária. Todas as gravações são replicadas de forma assíncrona para uma região secundária definida pela Microsoft. O processo de failover para GZRS funciona da mesma forma que o GRS.
Os compartilhamentos de arquivos padrão do Azure de até 5 TiB dão suporte a todos os quatro tipos de redundância. Compartilhamentos de arquivos padrão maiores que 5 TiB suportam apenas LRS e ZRS. Os compartilhamentos de arquivos Premium do Azure suportam apenas LRS e ZRS.
As contas de armazenamento de uso geral versão 2 (GPv2) fornecem duas outras opções de redundância que os Arquivos do Azure não suportam: armazenamento com redundância geográfica acessível de leitura (RA-GRS) e armazenamento com redundância de zona geográfica acessível de leitura (RA-GZRS). Você pode provisionar compartilhamentos de arquivos do Azure em contas de armazenamento com essas opções definidas, no entanto, os Arquivos do Azure não oferecem suporte à leitura da região secundária. Os compartilhamentos de arquivos do Azure implantados em contas de armazenamento RA-GRS ou RA-GZRS são cobrados como GRS ou GZRS, respectivamente.
Para obter mais informações sobre redundância, consulte Redundância de dados do Azure Files.
Disponibilidade padrão do ZRS
O ZRS para contas de armazenamento v2 de uso geral padrão está disponível para um subconjunto de regiões do Azure.
Disponibilidade ZRS Premium
O ZRS para compartilhamentos de arquivos premium está disponível para um subconjunto de regiões do Azure.
Disponibilidade padrão do GZRS
O GZRS está disponível para um subconjunto de regiões do Azure.
Recuperação após desastre e ativação pós-falha
No caso de uma interrupção de serviço regional não planejada, você deve ter um plano de recuperação de desastres (DR) em vigor para seus compartilhamentos de arquivos do Azure. Para entender os conceitos e processos envolvidos com DR e failover de conta de armazenamento, consulte Recuperação de desastres e failover para arquivos do Azure.
Migração
Em muitos casos, você não estará estabelecendo um novo compartilhamento de arquivos net para sua organização, mas migrando um compartilhamento de arquivos existente de um servidor de arquivos local ou dispositivo NAS para o Azure Files. Escolher a estratégia e a ferramenta de migração certas para o seu cenário é importante para o sucesso da migração.
O artigo de visão geral da migração aborda brevemente os conceitos básicos e contém uma tabela que leva você a guias de migração que provavelmente cobrem seu cenário.