Serviços de ficheiros híbridos

Microsoft Entra ID
Azure ExpressRoute
Azure Files
Azure Storage Accounts

Esta arquitetura de referência ilustra como usar o Azure File Sync e o Azure Files para estender os recursos de hospedagem de serviços de arquivo em recursos de compartilhamento de arquivos na nuvem e no local.

Arquitetura

An Azure hybrid file services topology diagram.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

A arquitetura é composta pelos seguintes componentes:

  • Conta de armazenamento do Azure. Uma conta de armazenamento usada para hospedar compartilhamentos de arquivos.
  • Arquivos do Azure. Um compartilhamento de arquivos na nuvem sem servidor que fornece o ponto de extremidade na nuvem de uma relação de sincronização usando a Sincronização de Arquivos do Azure. Os arquivos em um compartilhamento de arquivos do Azure podem ser acessados diretamente com o protocolo SMB (Server Message Block) ou FileREST.
  • Sincronizar grupos. Agrupamentos lógicos de compartilhamentos de arquivos do Azure e servidores que executam o Windows Server. Os grupos de sincronização são implantados no Serviço de Sincronização de Armazenamento, que registra servidores para uso com a Sincronização de Arquivos do Azure e contém as relações de grupo de sincronização.
  • Agente do Azure File Sync. Isso é instalado em máquinas Windows Server para habilitar e configurar a sincronização com pontos de extremidade na nuvem.
  • Servidores Windows. Máquinas Windows Server locais ou baseadas na nuvem que hospedam um compartilhamento de arquivos sincronizado com um compartilhamento de arquivos do Azure.
  • ID do Microsoft Entra. O locatário do Microsoft Entra que é usado para sincronização de identidade entre ambientes do Azure e locais.

Componentes

Detalhes do cenário

Utilizações típicas desta arquitetura:

  • Hospedagem de compartilhamentos de arquivos que precisam ser acessíveis a partir de ambientes locais e na nuvem.
  • Sincronização de dados entre vários armazenamentos de dados locais com uma única fonte baseada em nuvem.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que tenha um requisito que as substitua.

Utilização e implementação dos Ficheiros do Azure

Você armazena seus arquivos na nuvem em compartilhamentos de arquivos do Azure sem servidor. Você pode usá-los de duas maneiras: montando-os diretamente (SMB) ou armazenando-os em cache no local usando a Sincronização de Arquivos do Azure. O que você precisa considerar ao planejar sua implantação depende de qual das duas maneiras você escolher.

  • Montagem direta de um compartilhamento de arquivos do Azure. Como os Arquivos do Azure fornecem acesso SMB, você pode montar compartilhamentos de arquivos do Azure no local ou na nuvem usando o cliente SMB padrão disponível nos sistemas operacionais Windows, macOS e Linux. Os compartilhamentos de arquivos do Azure não têm servidor, portanto, implantá-los para cenários de produção não requer o gerenciamento de um servidor de arquivos ou dispositivo de armazenamento conectado à rede (NAS). Isso significa que você não precisa aplicar patches de software ou trocar discos físicos.
  • Armazene em cache o compartilhamento de arquivos do Azure local com a Sincronização de Arquivos do Azure. A Sincronização de Ficheiros do Azure permite-lhe centralizar as partilhas de ficheiros da sua organização nos Ficheiros do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de ficheiros no local. O Azure File Sync transforma um Windows Server local (ou na nuvem) em um cache rápido do seu compartilhamento de arquivos do Azure.

Implementar o Serviço de Sincronização de Armazenamento

Inicie a implantação do Azure File Sync implantando um recurso do Serviço de Sincronização de Armazenamento em um grupo de recursos de sua assinatura selecionada. Recomendamos o provisionamento do menor número possível de objetos do Serviço de Sincronização de Armazenamento. Você criará uma relação de confiança entre seus servidores e esse recurso, e um servidor só poderá ser registrado em um Serviço de Sincronização de Armazenamento. Como resultado, recomendamos que você implante quantos Serviços de Sincronização de Armazenamento forem necessários para separar grupos de servidores. Lembre-se de que servidores de diferentes Serviços de Sincronização de Armazenamento não podem sincronizar entre si.

Registrando máquinas Windows Server com o agente do Azure File Sync

Para habilitar o recurso de sincronização no Windows Server, você deve instalar o agente baixável do Azure File Sync. O agente do Azure File Sync fornece dois componentes principais:

  • FileSyncSvc.exe. O serviço em segundo plano do Windows que é responsável por monitorar as alterações nos pontos de extremidade do servidor e por iniciar sessões de sincronização.
  • StorageSync.sys. Um filtro de sistema de arquivos que permite a hierarquização da nuvem e uma recuperação de desastres mais rápida.

Você pode baixar o agente na página Download do Agente de Sincronização de Arquivos do Azure no Centro de Download da Microsoft.

Requisitos do sistema operativo

A Sincronização de Arquivos do Azure é suportada pelas versões do Windows Server listadas na tabela a seguir.

Versão SKUs Suportados Opções de implantação suportadas
Windows Server 2019 Datacenter, padrão e IoT Completo e Núcleo
Windows Server 2016 Datacenter, Standard e Servidor de Armazenamento Completo e Núcleo
Windows Server 2012 R2 Datacenter, Standard e Servidor de Armazenamento Completo e Núcleo

Para obter mais informações, consulte Considerações sobre o servidor de arquivos do Windows.

Configurando grupos de sincronização e pontos de extremidade na nuvem

Um grupo de sincronização define a topologia de sincronização para um conjunto de arquivos. Os pontos finais num grupo de sincronização são mantidos em sincronia entre si. Um grupo de sincronização deve conter um ponto de extremidade de nuvem, que representa um compartilhamento de arquivos do Azure, e um ou mais pontos de extremidade de servidor. Um ponto de extremidade de servidor representa um caminho em um servidor registrado. Um servidor pode ter pontos de extremidade de servidor em vários grupos de sincronização. Você pode criar quantos grupos de sincronização forem necessários para descrever adequadamente a topologia de sincronização desejada.

Um ponto de extremidade na nuvem é um ponteiro para um compartilhamento de arquivos do Azure. Todos os pontos de extremidade do servidor serão sincronizados com um ponto de extremidade de nuvem, tornando o ponto de extremidade de nuvem o hub. A conta de armazenamento para o compartilhamento de arquivos do Azure deve estar localizada na mesma região que o Serviço de Sincronização de Armazenamento. A totalidade do compartilhamento de arquivos do Azure é sincronizada, com uma exceção: uma pasta especial, comparável à pasta oculta Informações de Volume do Sistema em um volume do sistema de arquivos NT (NTFS), é provisionada. Este diretório é chamado de . SystemShareInformation e contém metadados de sincronização importantes que não são sincronizados com outros pontos de extremidade.

Configurando pontos de extremidade do servidor

Os pontos finais de servidor representam uma localização específica num servidor registado, como uma pasta num volume do servidor. Um ponto de extremidade de servidor deve ser um caminho em um servidor registrado (em vez de um compartilhamento montado) e deve usar a hierarquização na nuvem. O caminho do ponto de extremidade do servidor deve estar em um volume que não seja do sistema. O NAS não é suportado.

Relações de compartilhamento de arquivos do Azure com o Windows

Você deve implantar compartilhamentos de arquivos do Azure um a um com compartilhamentos de arquivos do Windows sempre que possível. O objeto de ponto de extremidade do servidor oferece um grande grau de flexibilidade sobre como você configura a topologia de sincronização no lado do servidor da relação de sincronização. Para simplificar o gerenciamento, faça com que o caminho do ponto de extremidade do servidor corresponda ao caminho do compartilhamento de arquivos do Windows.

Use o menor número possível de Serviços de Sincronização de Armazenamento. Isso simplifica o gerenciamento quando você tem grupos de sincronização que contêm vários pontos de extremidade de servidor, porque um Windows Server só pode ser registrado em um Serviço de Sincronização de Armazenamento de cada vez.

Preste atenção às limitações de IOPS (operações de E/S por segundo) em uma conta de armazenamento ao implantar compartilhamentos de arquivos do Azure. O ideal é mapear compartilhamentos de arquivos um a um com contas de armazenamento. Nem sempre é possível fazer isso devido a vários limites e restrições da sua organização e do Azure. Quando não for possível ter apenas um compartilhamento de arquivos implantado em uma conta de armazenamento, verifique se os compartilhamentos de arquivos mais ativos não estão na mesma conta de armazenamento.

Recomendações de topologia: firewalls, redes de borda e conectividade de proxy

Considere as seguintes recomendações para topologia de solução.

Firewall e filtragem de tráfego

Com base nas políticas da sua organização ou em requisitos regulatórios exclusivos, talvez seja necessário restringir a comunicação com o Azure. Portanto, o Azure File Sync fornece vários mecanismos para configurar a rede. Com base em suas necessidades, você pode:

  • Túnel a sincronização e o carregamento de ficheiros e o tráfego de transferência através do Azure ExpressRoute ou da rede privada virtual (VPN) do Azure.
  • Utilize os Ficheiros do Azure e as funcionalidades de rede do Azure, tais como pontos de extremidade de serviço e pontos de extremidade privados.
  • Configure o Azure File Sync para dar suporte ao seu proxy em seu ambiente.
  • Acelere a atividade de rede a partir da Sincronização de Ficheiros do Azure.

Para saber mais sobre o Azure File Sync e a rede, consulte Considerações de rede do Azure File Sync.

Configurando servidores proxy

Muitas organizações usam um servidor proxy como intermediário entre recursos dentro de sua rede local e recursos fora de sua rede, como no Azure. Os servidores proxy são úteis para muitos aplicativos, como isolamento e segurança de rede e monitoramento e registro. O Azure File Sync pode interoperar totalmente com um servidor proxy; no entanto, você deve definir manualmente as configurações de ponto de extremidade de proxy para seu ambiente com o Azure File Sync. Para fazer isso, use os cmdlets do servidor de Sincronização de Arquivos do Azure no Azure PowerShell.

Para obter mais informações sobre como configurar o Azure File Sync com um servidor proxy, consulte Configurações de proxy e firewall do Azure File Sync.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

  • Você deve considerar o tipo e o desempenho da conta de armazenamento que você usa para hospedar compartilhamentos de arquivos do Azure. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites que se aplicam a essa conta de armazenamento. Para saber mais sobre como determinar os limites atuais para uma conta de armazenamento, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
  • Há dois tipos principais de contas de armazenamento para implantações do Azure Files:
    • Contas de armazenamento de uso geral versão 2 (GPv2). As contas de armazenamento GPv2 permitem-lhe implementar partilhas de ficheiros do Azure em hardware padrão baseado em disco rígido (baseado em HDD). Além de armazenar compartilhamentos de arquivos do Azure, as contas de armazenamento GPv2 podem armazenar outros recursos de armazenamento, como contêineres de blob, filas e tabelas.
    • Contas de armazenamento de armazenamento de arquivo: as contas de armazenamento de armazenamento de arquivo possibilitam que você implante compartilhamentos de arquivos do Azure em hardware premium baseado em disco de estado sólido (baseado em SSD). As contas FileStorage só podem ser usadas para armazenar compartilhamentos de arquivos do Azure. Não é possível implantar outros recursos de armazenamento, como contêineres de blob, filas e tabelas em uma conta FileStorage.
  • Por padrão, os compartilhamentos de arquivos padrão não podem abranger mais de 5 terabytes (TiB), embora o limite de compartilhamento possa ser aumentado para 100 TiB. Para fazer isso, o recurso de compartilhamento de arquivos grandes deve ser habilitado no nível da conta de armazenamento. As contas de armazenamento premium (contas de armazenamento FileStorage) não têm o sinalizador de recurso de compartilhamento de arquivos grande, porque todos os compartilhamentos de arquivos premium já estão habilitados para provisionamento até a capacidade total de 100 TiB. Você só pode habilitar compartilhamentos de arquivos grandes em contas de armazenamento padrão localmente redundantes ou com redundância de zona. Depois de ativar o sinalizador de recurso de compartilhamento de arquivos grandes, não é possível alterar o nível de redundância para armazenamento com redundância geográfica ou armazenamento com redundância de zona geográfica. Para habilitar compartilhamentos de arquivos grandes em uma conta de armazenamento existente, habilite a opção Compartilhamento de arquivos grande na visualização Configuração da conta de armazenamento associada.
  • Você deve garantir que o Azure File Sync tenha suporte nas regiões onde você implanta sua solução. Para obter mais informações, consulte Disponibilidade da região de sincronização de arquivos do Azure.
  • Você deve garantir que os serviços referenciados na seção Arquitetura sejam suportados na região onde você implanta a arquitetura de serviços de arquivo híbridos.
  • Para proteger os dados em seus compartilhamentos de arquivos do Azure contra perda ou corrupção de dados, todos os compartilhamentos de arquivos do Azure armazenam várias cópias de cada arquivo enquanto ele é gravado. Dependendo dos requisitos da sua carga de trabalho, você pode selecionar mais graus de redundância.
  • Versões Anteriores é um recurso do Windows que permite usar instantâneos VSS (Serviço de Cópias de Sombra de Volume) do lado do servidor de um volume para apresentar versões restauráveis de um arquivo a um cliente SMB. Os instantâneos VSS e as Versões Anteriores funcionam independentemente da Sincronização de Ficheiros do Azure. No entanto, a hierarquização da nuvem deve ser definida para um modo compatível. Muitos pontos de extremidade do servidor Azure File Sync podem existir no mesmo volume. Você precisa fazer a seguinte chamada do PowerShell por volume que tenha até mesmo um ponto de extremidade de servidor, onde você planeja ou está usando a camada de nuvem. Para obter mais informações sobre versões anteriores e VSS, consulte Restauração de autoatendimento por meio de versões anteriores e VSS (Serviço de cópias de sombra de volume).

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

  • A Sincronização de Ficheiros do Azure funciona com a sua identidade padrão dos Serviços de Domínio Ative Directory (AD DS) sem qualquer configuração especial para além da configuração da Sincronização de Ficheiros do Azure. Quando você usa a Sincronização de Arquivos do Azure, o acesso a arquivos normalmente passa pelos servidores de cache da Sincronização de Arquivos do Azure em vez de pelo compartilhamento de arquivos do Azure. Como os pontos de extremidade do servidor estão localizados em máquinas Windows Server, o único requisito para a integração de identidade é usar servidores de arquivos do Windows associados ao domínio para se registrar no Serviço de Sincronização de Armazenamento. A Sincronização de Arquivos do Azure armazena listas de controle de acesso (ACLs) para os arquivos no compartilhamento de arquivos do Azure e as replica para todos os pontos de extremidade do servidor.
  • Embora as alterações feitas diretamente no compartilhamento de arquivos do Azure levem mais tempo para sincronizar com os pontos de extremidade do servidor no grupo de sincronização, convém garantir que você possa impor suas permissões do AD DS em seu compartilhamento de arquivos diretamente na nuvem também. Para fazer isso, você deve associar sua conta de armazenamento ao domínio do AD DS local, assim como os servidores de arquivos do Windows ingressaram no domínio. Para saber mais sobre como associar sua conta de armazenamento a uma instância do AD DS de propriedade do cliente, consulte Visão geral das opções de autenticação baseada em identidade dos Arquivos do Azure para acesso SMB.
  • Quando você usa a Sincronização de Arquivos do Azure, há três camadas diferentes de criptografia a serem consideradas:
    • Criptografia em repouso para dados armazenados no Windows Server. Há duas estratégias para criptografar dados no Windows Server que funcionam geralmente com a Sincronização de Arquivos do Azure: criptografia sob o sistema de arquivos para que o sistema de arquivos e todos os dados gravados nele sejam criptografados e criptografia dentro do próprio formato de arquivo. Estes métodos podem ser usados em conjunto, se desejado, porque as suas finalidades diferem.
    • Criptografia em trânsito entre o agente do Azure File Sync e o Azure. O agente do Azure File Sync se comunica com seu Serviço de Sincronização de Armazenamento e o compartilhamento de arquivos do Azure usando o protocolo REST do Azure File Sync e o protocolo FileREST, que sempre usam HTTPS pela porta 443. O Azure File Sync não envia solicitações não criptografadas por HTTP.
    • Criptografia em repouso para dados armazenados no compartilhamento de arquivos do Azure. Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a criptografia do serviço de armazenamento do Azure (SSE). A criptografia do serviço de armazenamento funciona de forma muito semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados sob o sistema de arquivos do compartilhamento de arquivos do Azure à medida que os dados são codificados no disco, você não precisa acessar a chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Excelência Operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

  • O agente do Azure File Sync é atualizado regularmente para adicionar novas funcionalidades e resolver problemas. A Microsoft recomenda que você configure o Microsoft Update para fornecer atualizações para o agente de Sincronização de Arquivos do Azure à medida que elas forem disponibilizadas. Para obter mais informações, consulte Política de atualização do agente do Azure File Sync.
  • O Armazenamento do Azure oferece exclusão suave para compartilhamentos de arquivos para que você possa recuperar seus dados quando eles forem excluídos por engano por um aplicativo ou por outro usuário de conta de armazenamento. Para saber mais sobre a exclusão suave, consulte Habilitar exclusão suave em compartilhamentos de arquivos do Azure.
  • A hierarquização na nuvem é um recurso opcional da Sincronização de Arquivos do Azure que armazena em cache os arquivos acessados com frequência localmente no servidor e hierarquiza os outros nos Arquivos do Azure com base nas configurações de política. Quando um arquivo é hierarquizado, o filtro do sistema de arquivos do Azure File Sync (StorageSync.sys) substitui o arquivo localmente por um ponteiro para o arquivo nos Arquivos do Azure. Um arquivo hierárquico tem o atributo offline e o atributo FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS definidos em NTFS para que aplicativos de terceiros possam identificar com segurança arquivos em camadas. Para obter mais informações, consulte Visão geral da hierarquização na nuvem.

Próximos passos

Orientações híbridas relacionadas:

Arquiteturas relacionadas: