En esta arquitectura de referencia se ilustra el uso de Azure File Sync y Azure Files para ampliar las funcionalidades de hospedaje de servicios de archivo en los recursos compartidos de archivos tanto locales como en la nube.
Architecture
Descargue un archivo Visio de esta arquitectura.
Flujo de trabajo
La arquitectura consta de los siguientes componentes:
- Cuenta de Azure Storage. Una cuenta de almacenamiento que se usa para hospedar recursos compartidos de archivos.
- Azure Files . Recurso compartido de archivos en la nube sin servidor que proporciona el punto de conexión en la nube de una relación de sincronización mediante Azure File Sync. Es posible acceder directamente a los archivos de un recurso compartido de archivos de Azure con el Bloque de mensajes del servidor (SMB) o el protocolo FileREST.
- Grupos de sincronización. Agrupaciones lógicas de recursos compartidos de archivos de Azure y servidores que ejecutan Windows Server. Los grupos de sincronización se implementan en el servicio de sincronización del almacenamiento, que registra servidores para usarlos con Azure File Sync y contiene las relaciones del grupo de sincronización.
- Agente de Azure File Sync. Se instala en las máquinas con Windows Server para habilitar y configurar la sincronización con los puntos de conexión en la nube.
- Servidores Windows. Máquinas con Windows Server locales o basadas en la nube que hospedan un recurso compartido de archivos que se sincroniza con un recurso compartido de archivos de Azure.
- Microsoft Entra ID. Inquilino de Microsoft Entra que se usa para la sincronización de identidades en entornos locales y de Azure.
Componentes
Detalles del escenario
Los usos habituales de esta arquitectura incluyen:
- Hospedaje de recursos compartidos de archivos que deben ser accesibles desde entornos locales y en la nube.
- Sincronización de datos entre varios almacenes de datos locales con un solo origen basado en la nube.
Recomendaciones
Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito que las invalide.
Uso e implementación de Azure Files
Los archivos se almacenan en la nube en los recursos compartidos de archivos de Azure sin servidor. Puede usarlos de dos maneras: montándolos directamente (SMB) o almacenándolos en caché en el entorno local mediante Azure File Sync. Lo que debe tener en cuenta cuando planee la implementación depende de cuál de las dos maneras elija.
- Montaje directo de un recurso compartido de archivos de Azure. Dado que Azure Files proporciona acceso SMB, puede montar recursos compartidos de archivos de Azure localmente o en la nube mediante el cliente SMB estándar disponible en los sistemas operativos Windows, macOS y Linux. Los recursos compartidos de archivos de Azure son sin servidor, por lo que su implementación en escenarios de producción no requiere la administración de un servidor de archivos o un dispositivo de almacenamiento conectado a la red (NAS). lo que significa que no tiene que aplicar revisiones de software ni intercambiar discos físicos.
- Almacenamiento en caché de recursos compartidos de archivos de Azure localmente con Azure File Sync. Azure File Sync hace posible la centralización de los recursos compartidos de archivos de su organización en Azure Files sin renunciar a la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Azure File Sync transforma una instancia de Windows Server local (o en la nube) en una caché rápida de su recurso compartido de archivos de Azure.
Implementación del servicio de sincronización de almacenamiento
Inicie la implementación de Azure File Sync mediante la implementación de recurso del servicio de sincronización de almacenamiento en un grupo de recursos de la suscripción seleccionada. Se recomienda aprovisionar el menor número posible de objetos del servicio de sincronización de almacenamiento. Se creará una relación de confianza entre los servidores y este recurso, y un servidor solo se puede registrar en un servicio de sincronización de almacenamiento. Como resultado, se recomienda implementar tantos servicios de sincronización de almacenamiento como necesite para separar los grupos de servidores. Tenga en cuenta que los servidores de servicios de sincronización de almacenamiento diferentes no se pueden sincronizar entre sí.
Registro de máquinas con Windows Server con el agente de Azure File Sync
Para habilitar la funcionalidad de sincronización en Windows Server, es preciso instalar el agente de Azure File Sync, que se puede descargar. El agente de Azure File Sync proporciona dos componentes principales:
FileSyncSvc.exe. El servicio de Windows en segundo plano responsable de supervisar los cambios en los puntos de conexión del servidor y de iniciar las sesiones de sincronización.StorageSync.sys. Un filtro del sistema de archivos que habilita la nube por niveles y una recuperación ante desastres más rápida.
Puede descargar el agente desde la página Descarga del agente de Azure File Sync en el Centro de descarga de Microsoft.
Requisitos de sistema operativo
Azure File Sync es compatible con las versiones de Windows Server que aparecen en la tabla siguiente.
| Versión | SKU compatibles | Opciones de implementación compatibles |
|---|---|---|
| Windows Server 2019 | Datacenter, Standard e IoT | Full y Core |
| Windows Server 2016 | Datacenter, Standard y Storage Server | Full y Core |
| Windows Server 2012 R2 | Datacenter, Standard y Storage Server | Full y Core |
Para más información, consulte Consideraciones sobre el servidor de archivos de Windows.
Configuración de grupos de sincronización y puntos de conexión en la nube
Un grupo de sincronización define la topología de sincronización de un conjunto de archivos. Los puntos de conexión dentro de un grupo de sincronización se mantienen sincronizados entre sí. Un grupo de sincronización debe contener un punto de conexión en la nube, que representa un recurso compartido de archivos de Azure, y uno o varios puntos de conexión de servidor. Un punto de conexión de servidor representa una ruta de acceso en un servidor registrado. Un servidor puede tener puntos de conexión de servidor en varios grupos de sincronización. Puede crear tantos grupos de sincronización como sea necesario para describir correctamente la topología de sincronización deseada.
Un punto de conexión en la nube es un puntero a un recurso compartido de archivos de Azure. Todos los puntos de conexión de servidor se sincronizarán con un punto de conexión en la nube, lo que hace que el punto de conexión en la nube actúe como concentrador. La cuenta de almacenamiento para el recurso compartido de archivos de Azure debe encontrarse en la misma región que el servicio de sincronización de almacenamiento. Se sincroniza la totalidad del recurso compartido de archivos de Azure, con una excepción: se aprovisiona una carpeta especial, comparable a la carpeta oculta System Volume Information de un volumen de sistema de archivos NT (NTFS). Este directorio se denomina .SystemShareInformation y contiene metadatos de sincronización importantes que no se sincronizarán con otros puntos de conexión.
Configuración de puntos de conexión de servidor
Un punto de conexión de servidor representa una ubicación específica en un servidor registrado, como una carpeta en un volumen de servidor. Un punto de conexión de servidor debe ser una ruta de acceso en un servidor registrado (en lugar de un recurso compartido montado) y debe usar la nube por niveles. La ruta de acceso del punto de conexión de servidor debe estar en un volumen que no sea del sistema. NAS no es compatible.
Relaciones de recursos compartidos de archivos de Azure con recursos compartidos de archivos de Windows
Debe implementar los recursos compartidos de archivos de Azure en paralelo con los recursos compartidos de archivos de Windows correspondientes siempre que sea posible. El objeto de punto de conexión del servidor proporciona gran cantidad de flexibilidad en la configuración de la topología de sincronización en el lado servidor de la relación de sincronización. Para simplificar la administración, haga coincidir la ruta de acceso del punto de conexión del servidor con la ruta de acceso del recurso compartido de archivos de Windows.
Use el menor número posible de servicios de sincronización de almacenamiento. Esto simplifica la administración cuando tiene grupos de sincronización que contienen varios puntos de conexión de servidor, ya que un servidor con Windows Server solo se puede registrar en un servicio de sincronización de almacenamiento a la vez.
Preste atención a las limitaciones de operaciones de E/S por segundo (IOPS) de una cuenta de almacenamiento cuando implemente recursos compartidos de archivos de Azure. Lo ideal es asignar los recursos compartidos de archivos uno a uno con las cuentas de almacenamiento correspondientes. Esto no siempre es posible debido a varios límites y restricciones de la organización y de Azure. Si no es posible tener un solo recurso compartido de archivos implementado en una cuenta de almacenamiento, asegúrese de que los recursos compartidos de archivos más activos no estén en la misma cuenta de almacenamiento.
Recomendaciones de topología: firewalls, redes perimetrales y conectividad del proxy
Tenga en cuenta las siguientes recomendaciones para la topología de la solución.
Firewall y filtrado de tráfico
En función de las directivas de su organización o de requisitos normativos únicos, es posible que tenga que restringir la comunicación con Azure. Por eso, Azure File Sync proporciona varios mecanismos para configurar las redes. En función de sus requisitos, puede:
- Tunelizar la sincronización y el tráfico de carga y descarga a través de su red privada virtual (VPN) de Azure o de Azure ExpressRoute.
- Usar las características de Azure Files y redes de Azure como puntos de conexión de servicio y puntos de conexión privados.
- Configurar Azure File Sync para que admita su proxy en su entorno.
- Limitar la actividad de la red desde Azure File Sync.
Para más información sobre Azure File Sync y las redes, vea Consideraciones de redes para Azure File Sync.
Configuración de los servidores proxy
Muchas organizaciones usan un servidor proxy como intermediario entre los recursos dentro de la red local y los recursos fuera de la red, como en Azure. Los servidores proxy son útiles para muchas aplicaciones, como el aislamiento y la seguridad de la red, y la supervisión y el registro. Azure File Sync puede interoperar completamente con un servidor proxy, aunque debe configurar manualmente los valores del punto de conexión de proxy para su entorno con Azure File Sync. Esto lo puede hacer mediante los cmdlets del servidor de Azure File Sync de los que dispone Azure PowerShell.
Para más información sobre cómo configurar Azure File Sync con un servidor proxy, consulte Configuración del proxy y el firewall de Azure File Sync.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Confiabilidad
La confiabilidad garantiza que tu aplicación puede cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.
- Debe tener en cuenta el tipo y el rendimiento de la cuenta de almacenamiento que se usa para hospedar los recursos compartidos de archivos de Azure. Todos los recursos de almacenamiento que se implementan en una cuenta de almacenamiento comparten los límites que se aplican a esa cuenta de almacenamiento. Para más información sobre la determinación de los límites actuales de una cuenta de almacenamiento, consulte Objetivos de escalabilidad y rendimiento de Azure Files.
- Hay dos tipos principales de cuentas de almacenamiento para implementaciones de Azure Files:
- Cuentas de almacenamiento de uso general, versión 2 (GPv2). Las cuentas de almacenamiento de GPv2 permiten implementar recursos compartidos de archivos de Azure en hardware estándar o basado en disco duro (HDD). Además de almacenar recursos compartidos de archivos de Azure, las cuentas de almacenamiento de GPv2 pueden almacenar otros recursos de almacenamiento, como contenedores de blobs, colas y tablas.
- Cuentas de almacenamiento FileStorage: las cuentas de almacenamiento FileStorage permiten implementar recursos compartidos de archivos de Azure en hardware prémium o basado en unidades de estado sólido (SSD). Las cuentas de FileStorage solo se pueden usar para almacenar recursos compartidos de archivos de Azure. No se pueden implementar otros recursos de almacenamiento, como contenedores de blobs, colas y tablas en una cuenta de FileStorage.
- De forma predeterminada, los recursos compartidos de archivos estándar no pueden abarcar más de 5 terabytes (TiB), aunque el límite de recursos compartidos puede aumentar hasta 100 TiB. Para ello, la característica de recursos compartidos de archivos grandes debe estar habilitada en el nivel de cuenta de almacenamiento. Las cuentas de almacenamiento prémium (cuentas de almacenamiento FileStorage) no tienen la marca de la característica de recursos compartidos de archivos grandes, ya que todos los recursos compartidos de archivos prémium ya están habilitados para aprovisionar hasta la capacidad completa de 100 TiB. Solo puede habilitar recursos compartidos de archivos grandes en cuentas de almacenamiento estándar con redundancia local o con redundancia de zona. Después de habilitar la marca de la característica de recursos compartidos de archivos grandes, no puede cambiar el nivel de redundancia a almacenamiento con redundancia geográfica o con redundancia de zona geográfica. Para habilitar recursos compartidos de archivos de gran tamaño en una cuenta de almacenamiento existente, habilite la opción de recursos compartidos de archivos grandes en la vista Configuración de la cuenta de almacenamiento asociada.
- Debe asegurarse de que Azure File Sync se admite en las regiones en las que va a implementar la solución. Para más información, consulte Disponibilidad en regiones de Azure File Sync.
- Debe asegurarse de que los servicios a los que se hace referencia en la sección Arquitectura se admiten en la región en la que se implementa la arquitectura de servicios de archivos híbridos.
- Para proteger los datos de los recursos compartidos de archivos de Azure contra la pérdida o daños de los datos, todos los recursos compartidos de los archivos de Azure almacenan varias copias de cada archivo a medida que se escriben. En función de los requisitos de la carga de trabajo, puede seleccionar más niveles de redundancia.
- Versiones anteriores es una característica de Windows que permite el uso de instantáneas de Servicio de instantáneas de volumen (VSS) del servidor de un volumen para presentar versiones restaurables de un archivo a un cliente de SMB. Las instantáneas de VSS y Versiones anteriores funcionan independientemente de Azure File Sync. Sin embargo, la nube por niveles debe establecerse en un modo compatible. Muchos puntos de conexión de Azure File Sync Server pueden existir en el mismo volumen. Debe realizar la siguiente llamada de PowerShell por volumen que tenga incluso un punto de conexión de servidor en el que esté usando o vaya a usar la nube por niveles. Para más información acerca de las versiones anteriores y de VSS, consulte Autoservicio de restauración a través de versiones anteriores y VSS (Servicio de instantáneas de volumen).
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
- Azure File Sync funciona con su identidad basada en Active Directory Domain Services (AD DS) estándar sin ninguna configuración especial más allá de configurar Azure File Sync. Cuando se usa Azure File Sync, el acceso a archivos generalmente pasará por los servidores de almacenamiento en caché de Azure File Sync, en lugar de pasar por el recurso compartido de archivos de Azure. Dado que los puntos de conexión de servidor se encuentran en máquinas con Windows Server, el único requisito para la integración de identidades es el uso de servidores de archivos Windows unidos a un dominio para el registro en el servicio de sincronización de almacenamiento. Azure File Sync almacena las listas de control de acceso (ACL) de los archivos en el recurso compartido de archivos de Azure y los replica en todos los puntos de conexión del servidor.
- Aunque los cambios que se realizan directamente en el recurso compartido de archivos de Azure tardarán más tiempo en sincronizarse con los puntos de conexión del servidor del grupo de sincronización, es posible que quiera asegurarse de que también puede aplicar sus permisos de AD DS en su recurso compartido de archivos directamente en la nube. Para ello, debe unir su cuenta de almacenamiento a su dominio de AD DS local de la misma forma que los servidores de archivos de Windows se unen a un dominio. Para más información acerca de la unión a un dominio de su cuenta de almacenamiento con una instancia de AD DS propiedad del cliente, consulte Introducción a las opciones de autenticación basada en la identidad de Azure Files con el acceso SMB.
- Cuando usa Azure File Sync, existen tres niveles diferentes de cifrado que se deben tener en cuenta:
- Cifrado en reposo de los datos almacenados en Windows Server. Hay dos estrategias para cifrar datos en Windows Server que funcionan habitualmente con Azure File Sync: el cifrado debajo del sistema de archivos, de forma que tanto el sistema de archivos como todos los datos escritos en ella estén cifrados y el cifrado del propio formato de archivo. Estos métodos se pueden usar juntos si lo desea, ya que sus propósitos difieren.
- Cifrado en tránsito entre el agente de Azure File Sync y Azure. El agente de Azure File Sync se comunica con su servicio de sincronización del almacenamiento y el recurso compartido de archivos de Azure mediante los protocolos REST y FileREST de Azure File Sync, ambos usan siempre HTTPS sobre el puerto 443. Azure File Sync no envía solicitudes sin cifrar a través de HTTP.
- Cifrado en reposo para los datos almacenados en el recurso compartido de archivos de Azure. Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso compartido de archivos de Azure, no es necesario acceder a la clave subyacente en el cliente para leer o escribir en dicho recurso compartido.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.
- Consulte la página Principios de la optimización de costos en el marco de buena arquitectura de Azure para obtener recomendaciones sobre optimización de costos.
- La página Precios de Azure Storage proporciona información detallada sobre los precios en función del tipo de cuenta, de la capacidad de almacenamiento, de la replicación y de las transacciones.
- El artículo Detalles de precios de transferencias de datos proporciona información detallada sobre los precios para la salida de datos.
- Puede usar la Calculadora de precios de Azure Storage para ayudarle a calcular los costes.
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.
- El agente de Azure File Sync se actualiza periódicamente con el fin de agregar nueva funcionalidad y solucionar los problemas. Microsoft recomienda configurar Microsoft Update para proporcionar actualizaciones para el agente de Azure File Sync a medida que estén disponibles. Para más información, vea Directiva de actualización del agente de Azure File Sync.
- Azure Storage ofrece la posibilidad de eliminar temporalmente recursos compartidos de archivos, con el fin de que pueda recuperar los datos cuando una aplicación u otro usuario de la cuenta de almacenamiento los hayan eliminado por error. Para más información sobre la eliminación temporal, consulte Habilitación de la eliminación temporal en recursos compartidos de archivos de Azure.
- La nube por niveles es una característica opcional de Azure File Sync por la que los archivos a los que se accede con frecuencia se almacenan en caché localmente en el servidor mientras que todos los demás archivos se organizan en niveles en Azure Files, según la configuración de directiva. Cuando un archivo está en capas, el filtro del sistema de archivos de Azure File Sync (StorageSync.sys) reemplaza al archivo localmente por un puntero al archivo en Azure Files. Un archivo con niveles tiene los atributos sin conexión y FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS establecidos en NTFS para que las aplicaciones de terceros puedan identificar de forma segura archivos en capas. Para más información, consulte Información general de nube por niveles.
Pasos siguientes
- ¿Qué es Azure File Sync?
- ¿Cómo se factura Azure File Sync?
- ¿Cómo se planea una implementación de Azure File Sync?
- ¿Cómo se implementa Azure File Sync?
- Consideraciones de redes para Azure File Sync.
- ¿Qué es la nube por niveles?
- ¿Qué opción de recuperación ante desastres está disponible en Azure File Sync?
- ¿Cómo hacer copias de seguridad de Azure File Sync?
Recursos relacionados
Guía híbrida relacionada:
- Diseño de arquitectura híbrida
- Opciones híbridas de Azure
- Consideraciones de diseño de aplicaciones híbridas
- Implementación de una aplicación híbrida con datos locales que se escalan en la nube
Arquitecturas relacionadas:
- Recurso compartido de archivos de la nube empresarial de Azure
- Archivos de Azure a los que se accede de forma local y que protege AD DS
- Recurso compartido de archivos híbrido con recuperación ante desastres para trabajos tanto remotos como de sucursales locales
- Uso de recursos compartidos de archivos de Azure en un entorno híbrido