Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode implantar os Arquivos do Azure de duas maneiras principais: montando diretamente os compartilhamentos de arquivos sem servidor do Azure ou armazenando em cache os compartilhamentos de arquivos localmente usando a Sincronização de Arquivos do Azure. As considerações de implantação variam conforme a opção escolhida.
Montagem direta de um compartilhamento de arquivo do Azure: como os Arquivos do Azure fornecem acesso do protocolo SMB ou NFS (Network File System), você pode montar os compartilhamentos de arquivo do Azure localmente ou na nuvem usando os clientes SMB ou NFS padrão disponíveis no sistema operacional. Como os compartilhamentos de arquivos do Azure são sem servidor, a implantação para os cenários de produção não exige o gerenciamento de um servidor de arquivos ou dispositivo NAS. Isso significa que você não precisa aplicar patches de software nem trocar discos físicos. Você pode optar por usar compartilhamentos de arquivos clássicos do Azure ou Microsoft.FileShares (versão prévia) como seu modelo de gerenciamento.
Armazenar em cache os compartilhamentos de arquivos do Azure localmente com a Sincronização de Arquivos do Azure:: a Sincronização de Arquivos do Azure permite centralizar os compartilhamentos de arquivos da organização nos Arquivos do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de arquivos local. A Sincronização de Arquivos do Azure transforma um Windows Server local (ou em nuvem) em um cache rápido do compartilhamento de arquivo SMB do Azure.
Este artigo aborda principalmente as considerações de implantação para implantar um compartilhamento de arquivos do Azure para ser montado diretamente por um cliente local ou em nuvem. Para planejar uma implantação de Sincronização de Arquivos do Azure, consulte Planejando uma implantação de sincronização de Arquivos do Azure.
Conceitos de gerenciamento
No Azure, um recurso é um item gerenciável que você cria e configura em suas assinaturas e grupos de recursos do Azure. Os recursos são oferecidos por provedores de recursos, que são serviços de gerenciamento que fornecem tipos específicos de recursos. Embora você possa trabalhar com muitos recursos para implantar uma carga de trabalho no Azure, os Arquivos do Azure se concentram em dois recursos principais:
Contas de armazenamento, oferecidas pelo provedor de recursos
Microsoft.Storage. As contas de armazenamento são recursos de nível superior que representam um pool compartilhado de armazenamento, IOPS e taxa de transferência em que você pode implantar compartilhamentos de arquivos clássicos ou outros recursos de armazenamento, dependendo do tipo de conta de armazenamento. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites aplicáveis a essa conta de armazenamento. Os compartilhamentos de arquivos clássicos dão suporte aos protocolos de compartilhamento de arquivos SMB e NFS.Compartilhamentos de arquivos (versão prévia), oferecidos pelo provedor de recursos
Microsoft.FileShares. Os compartilhamentos de arquivos são um novo recurso de nível superior que simplifica a implantação dos Arquivos do Azure eliminando a conta de armazenamento. Ao contrário dos compartilhamentos de arquivos clássicos, que devem ser implantados em uma conta de armazenamento, os compartilhamentos de arquivos são implantados diretamente no grupo de recursos, como as próprias contas de armazenamento ou outros recursos do Azure com os quais você pode estar familiarizado, como máquinas virtuais, discos ou redes virtuais. Os compartilhamentos de arquivos dão suporte ao protocolo de compartilhamento de arquivos NFS – se você precisar de SMB, escolha compartilhamentos de arquivos clássicos para sua implantação.
Este vídeo fornece uma visão geral abrangente das diferenças entre a conta de armazenamento e os modelos de gerenciamento de compartilhamento de arquivos:
Compartilhamentos de arquivos clássicos (Microsoft.Storage)
Compartilhamentos de arquivos clássicos ou compartilhamentos de arquivos implantados em contas de armazenamento são a maneira tradicional de implantar compartilhamentos de arquivos para os Arquivos do Azure. Eles dão suporte a todos os principais recursos que os Arquivos do Azure dão suporte, incluindo camadas de mídia SMB e NFS, SSD e HDD, todos os tipos de redundância e em todas as regiões. Embora os compartilhamentos de arquivos clássicos ofereçam suporte a toda a amplitude dos recursos dos Arquivos do Azure, eles têm limitações importantes:
Planejamento de capacidade: os compartilhamentos de arquivos clássicos e os objetos filho para outros serviços de armazenamento, como contêineres de blob, que residem na mesma conta de armazenamento compartilham um pool comum de armazenamento, IOPS e taxa de transferência. Isso significa que colocar vários compartilhamentos de arquivos clássicos em uma conta de armazenamento requer planejamento para evitar gargalos de capacidade. Ao planejar a capacidade para compartilhamentos de arquivos clássicos, é necessário considerar tanto as necessidades atuais quanto futuras de cada compartilhamento colocado em uma conta de armazenamento, pois o crescimento de um compartilhamento de arquivo pode limitar o espaço disponível para os outros compartilhamentos de arquivos.
Configurações compartilhadas: muitas configurações importantes, como regras de rede e segurança, são aplicadas no nível da conta de armazenamento e, por isso, colocar compartilhamentos de arquivos clássicos na mesma conta de armazenamento exige uma análise cuidadosa. Você deve considerar a conta de armazenamento como um limite de confiança e colocar apenas compartilhamentos de arquivos clássicos na mesma conta de armazenamento se você estiver bem com eles tendo as mesmas configurações de segurança.
Complexidade de escala: implantações em larga escala dos Arquivos do Azure podem exigir o gerenciamento de muitas assinaturas do Azure devido às restrições em contas de armazenamento do provedor de recursos
Microsoft.Storage. Confira os limites da conta de armazenamento para obter mais informações.
Há dois tipos principais de contas de armazenamento usadas para implantações de compartilhamento de arquivos clássico:
-
Contas de armazenamento provisionadas: as contas de armazenamento provisionadas são distinguidas usando o tipo de conta de armazenamento
FileStorage. As contas de armazenamento provisionadas permitem implantar compartilhamentos de arquivos clássicos provisionados em hardware baseado em SSD ou HDD. As contas de armazenamento provisionadas só podem ser usadas para armazenar compartilhamentos de arquivos clássicos e não podem ser usadas para armazenar outros recursos de armazenamento, como contêineres de blob, filas e tabelas. É recomendável usar contas de armazenamento provisionadas para todas as novas implantações de compartilhamento de arquivos clássicos. -
Contas de armazenamento de pagamento conforme o uso: as contas de armazenamento de pagamento conforme o uso são distinguidas usando o tipo de conta de armazenamento
StorageV2. As contas de armazenamento de Pagamento Conforme o Uso permitem que você implante compartilhamentos de arquivos de Pagamento Conforme o Uso no hardware baseado em HD. As contas de armazenamento de pagamento conforme o uso podem ser usadas para armazenar compartilhamentos de arquivos clássicos e outros recursos de armazenamento, como contêineres de blob, filas ou tabelas.
Para saber mais, confira Criar um compartilhamento de arquivos clássico.
Compartilhamentos de arquivos (Microsoft.FileShares)
Os compartilhamentos de arquivos (versão prévia) são um novo recurso do Azure de nível superior fornecido pelo provedor de recursos Microsoft.FileShares. Os compartilhamentos de arquivos oferecem as seguintes vantagens em relação aos compartilhamentos de arquivos clássicos:
Gerenciamento simplificado: os compartilhamentos de arquivos são criados diretamente como recursos de nível superior no portal ou por meio de APIs de gerenciamento. Isso remove o requisito de gerenciar uma conta de armazenamento e simplifica a experiência de implantação.
Capacidade e desempenho independentes: cada compartilhamento de arquivo tem seu próprio armazenamento dedicado, IOPS e taxa de transferência. Isso evita a necessidade de fazer o planejamento de capacidade em relação aos recursos limitados de suas contas de armazenamento e permite que os compartilhamentos de arquivos aumentem livremente à medida que as demandas de carga de trabalho aumentam.
Configuração granular: as configurações de rede e segurança são aplicadas no nível de compartilhamento de arquivo, fornecendo controle preciso dos limites de acesso e isolamento. Isso facilita a aplicação de políticas de segurança para aplicativos, equipes ou ambientes específicos.
Cobrança previsível e flexível: os compartilhamentos de arquivos usam o modelo de cobrança v2 provisionado, que permite provisionar de forma independente o armazenamento, o IOPS e a taxa de transferência por compartilhamento. Como a cobrança no Azure é feita por recurso de nível superior, o uso de compartilhamentos de arquivos permite rastrear facilmente os custos de cada compartilhamento individual para atribuição de custos ao projeto, equipe ou cliente que está utilizando o compartilhamento de arquivo.
Escala e desempenho aprimorados: os compartilhamentos de arquivos dão suporte a limites mais altos e tempos de implantação menores em comparação com os compartilhamentos de arquivos clássicos. Para obter mais informações, confira Metas de desempenho e escalabilidade de Arquivos do Azure.
Disponibilidade regional
Atualmente, a criação de um compartilhamento de arquivo com Microsoft.FileShares (versão prévia) está disponível nas seguintes regiões:
- Leste da Austrália
- Austrália Central
- Sudeste da Austrália
- Ásia Oriental
- Leste dos EUA
- Norte da Alemanha
- Sul da Coreia
- Sudeste Asiático
- Europa Setentrional
- Oeste da África do Sul
- Sul da Índia
- EAU Central
Atualmente, o suporte a ponto de extremidade privado para compartilhamento de arquivos com Microsoft.FileShares (versão prévia) está disponível em um subconjunto limitado de regiões:
- Todas as regiões de nuvem pública do Azure.
Comparando provedores de recursos: Microsoft.Storage versus Microsoft.FileShares
| Recurso | Compartilhamentos de arquivos clássicos  |
Compartilhamentos de arquivos (Microsoft.FileShares)  |
|---|---|---|
| Garantia de suporte | Geral disponível | Versão prévia pública |
| Recurso de nível superior para o serviço | Conta de armazenamento  |
Compartilhamentos de arquivos |
| Protocolo SMB |
|
|
| Protocolo NFS |
|
|
| Suporte à Sincronização de Arquivos |
|
|
| Exigir conta de armazenamento |
|
|
| Modelo de cobrança de pagamento conforme o uso |
|
|
| Modelo de cobrança v1 provisionado |
|
|
| Modelo de cobrança v2 provisionado |
|
|
| Capacidade de suporte do HDD |
|
|
| Capacidade de suporte do SSD |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Configurações de cobrança, rede e segurança no nível de cada compartilhamento |
|
|
| Configurações de VNet única para um compartilhamento de arquivo |
|
|
| Configuração de VNet única para vários compartilhamentos de arquivos |
|
|
| Driver do CSI do AKS |
|
|
| APIs REST do plano de dados |
|
|
Protocolos disponíveis
Os Arquivos do Azure oferecem dois protocolos de sistema de arquivos padrão do setor para montar compartilhamentos de arquivo do Azure: o protocolo SMB e o protocolo NFS (Network File System) e você pode escolher o mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não têm suporte para os protocolos SMB e NFS no mesmo compartilhamento de arquivos, embora você possa criar compartilhamentos de arquivos SMB e NFS do Azure na mesma conta de armazenamento.
Com os compartilhamentos de arquivo SMB e NFS, os Arquivos do Azure oferecem compartilhamentos de arquivo de nível empresarial que podem ser escalados verticalmente para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.
| Recurso | SMB | NFS |
|---|---|---|
| Versões de protocolo com suporte | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4.1 |
| Sistema operacional recomendado |
|
Kernel do Linux versão 4.3+ |
| Camadas disponíveis | SSD e HDD | Somente SSD |
| Redundância |
|
|
| Semântica do sistema de arquivos | Win32 | POSIX |
| Autenticação | Autenticação baseada em identidade (Kerberos), autenticação de chave compartilhada (NTLMv2) | Autenticação baseada em host |
| Autorização | ACLs (listas de controle de acesso) estilo Win32 | Permissões de estilo UNIX |
| Diferenciar maiúsculas de minúsculas | Não diferencia maiúsculas de minúsculas, elas são preservadas | Diferencia maiúsculas de minúsculas |
| Excluir ou modificar arquivos abertos | Somente com bloqueio | Sim |
| Compartilhamento de arquivos | Modo de compartilhamento do Windows | Gerenciador de bloqueio de rede de aviso de intervalo de bytes |
| Suporte a links físicos | Sem suporte | Com suporte |
| Suporte a links simbólicos | Sem suporte | Com suporte |
| Acessível pela Internet opcionalmente | Sim (somente SMB 3.0 ou superior) | Não |
| Dá suporte a FileREST | Sim | Sim (somente Microsoft.Storage) |
| Bloqueios de intervalo de bytes obrigatórios | Com suporte | Sem suporte |
| Bloqueios de intervalo de bytes recomendados | Sem suporte | Com suporte |
| Atributos estendidos/nomeados | Sem suporte | Sem suporte |
| Fluxos de dados alternativos | Sem suporte | N/D |
| Identificadores de objeto | Sem suporte | N/D |
| Pontos de nova análise | Sem suporte | N/D |
| Arquivos esparsos | Sem suporte | N/D |
| Compactação | Sem suporte | N/D |
| Pipes nomeados | Sem suporte | N/D |
| SMB Direct | Sem suporte | N/D |
| Concessão de diretório do SMB | Sem suporte | N/D |
| Cópia de Sombra de Volume | Sem suporte | N/D |
| Nomes de arquivo curtos (alias 8.3) | Sem suporte | N/D |
| Transações do sistema de arquivos (TxF) | Sem suporte | N/D |
Identidade
Para acessar um compartilhamento de arquivo do Azure, o respectivo usuário precisa ser autenticado e autorizado para acessar o compartilhamento. Isso é feito com base na identidade do usuário que está acessando o compartilhamento de arquivos. Os Arquivos do Azure têm suporte aos seguintes métodos de autenticação:
- AD DS ou AD DS local (Active Directory Domain Services local): as contas de armazenamento do Azure podem ser conectadas ao domínio em um Active Directory Domain Services de propriedade do cliente, bem como a um servidor de arquivos do Windows Server ou um dispositivo NAS. Você pode implantar um controlador de domínio local, em uma VM do Azure ou até mesmo como uma VM em outro provedor de nuvem; Os Arquivos do Azure são independentes de onde seu controlador de domínio está hospedado. Quando uma conta de armazenamento está ingressada no domínio, o usuário final pode montar um compartilhamento de arquivos com a conta de usuário com a qual ele entrou em seu PC. A autenticação baseada em AD usa o protocolo de autenticação Kerberos.
- Microsoft Entra Domain Services: o Microsoft Entra Domain Services fornece um controlador de domínio gerenciado pela Microsoft que pode ser usado para recursos do Azure. O ingresso no domínio de sua conta de armazenamento no Microsoft Entra Domain Services fornece benefícios semelhantes ao ingresso no domínio para um AD DS de propriedade do cliente. Essa opção de implantação é mais útil para cenários de elevação e deslocamento de aplicativos que exigem permissões baseadas no AD. Como o Microsoft Entra Domain Services fornece autenticação baseada em AD, essa opção também usa o protocolo de autenticação Kerberos.
- Kerberos do Microsoft Entra para identidades híbridas: o Kerberos do Microsoft Entra permite que você use o Microsoft Entra ID para autenticar as identidades de usuário híbridas, que são as identidades do AD locais sincronizadas com a nuvem. Essa configuração usa o Microsoft Entra ID para emitir os tíquetes Kerberos necessários para acessar o compartilhamento de arquivos com o protocolo SMB. Isso significa que seus usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir conectividade de rede com controladores de domínio de VMs ingressadas de forma híbrida no Microsoft Entra e ingressadas no Microsoft Entra.
- Autenticação do Active Directory em SMB para clientes Linux: Os Arquivos do Azure dão suporte à autenticação baseada em identidade em SMB para clientes Linux usando o protocolo de autenticação Kerberos por meio do AD DS ou do Microsoft Entra Domain Services.
- Chave da conta de armazenamento do Azure: embora não seja recomendada por motivos de segurança, você também pode montar compartilhamentos de arquivos do Azure usando uma chave de conta de armazenamento do Azure em vez de usar uma identidade. Para montar um compartilhamento de arquivos usando a chave da conta de armazenamento, o nome da conta de armazenamento é usado como nome de usuário e a chave da conta de armazenamento é usada como senha. Usar a chave da conta de armazenamento para montar o compartilhamento de arquivos do Azure é efetivamente uma operação de administrador, pois o compartilhamento de arquivos montado tem permissões completas para todos os arquivos e pastas no compartilhamento, mesmo que eles tenham ACLs. Ao usar a chave da conta de armazenamento para montar por SMB, o protocolo de autenticação NTLMv2 é usado. Em quase todos os casos, é recomendável usar a autenticação baseada em identidade em vez da chave da conta de armazenamento para acessar os compartilhamentos de arquivos do SMB do Azure. No entanto, caso seja necessário utilizar a chave da conta de armazenamento, recomendamos o uso de pontos de extremidade privados ou de serviço, conforme descrito na seção Rede.
Para clientes que migram de servidores de arquivos locais ou criam novos compartilhamentos de arquivos nos Arquivos do Azure com a finalidade de se comportar como servidores de arquivos do Windows ou dispositivos NAS, é recomendável associar sua conta de armazenamento ao AD DS de propriedade do cliente. Para saber mais sobre o ingresso no domínio de sua conta de armazenamento para um AD DS de propriedade do cliente, consulte Visão geral – autenticação do Active Directory Domain Services local sobre SMB para compartilhamentos de arquivos do Azure.
Rede
A montagem direta do compartilhamento de arquivo do Azure geralmente exige algumas considerações sobre a configuração de rede porque:
- A porta que os compartilhamentos de arquivo SMB usam para comunicação, a 445, geralmente é bloqueada por várias organizações e ISPs (provedores de serviços de Internet) para tráfego de saída (Internet).
- Os compartilhamentos de arquivo NFS dependem da autenticação no nível da rede e, portanto, só podem ser acessados por meio de redes restritas. O uso de um compartilhamento de arquivo NFS sempre exige algum nível de configuração de rede.
Para configurar a rede, os Arquivos do Azure fornecem um ponto de extremidade público acessível pela Internet e a integração com recursos de rede do Azure, como pontos de extremidade de serviço, que ajudam a restringir o ponto de extremidade público a redes virtuais especificadas, e pontos de extremidade privados, que fornecem à conta de armazenamento um endereço IP privado contido em um espaço de endereços IP da rede virtual. Embora não haja nenhum custo extra para usar pontos de extremidade públicos ou pontos de extremidade de serviço, as taxas de processamento de dados padrão se aplicam a pontos de extremidade privados.
Isso significa que você precisará considerar as seguintes configurações de rede:
- Se o protocolo necessário for SMB e todo o acesso pelo SMB for de clientes no Azure, não será necessária nenhuma configuração de rede específica.
- Se o protocolo necessário for SMB e o acesso for de clientes locais, será necessária uma conexão VPN ou do ExpressRoute do ambiente local com a rede do Azure, e os Arquivos do Azure deverão ser expostos na rede interna usando pontos de extremidade privados.
- Se o protocolo necessário for NFS, você poderá usar pontos de extremidade de serviço ou pontos de extremidade privados para restringir a rede a redes virtuais especificadas. Se você precisar de um endereço IP estático e/ou sua carga de trabalho exigir alta disponibilidade, use um ponto de extremidade privado. Com pontos de extremidade de serviço, um evento raro, como uma interrupção zonal, pode fazer com que o endereço IP subjacente da conta de armazenamento seja alterado. Embora os dados ainda estejam disponíveis no compartilhamento de arquivos, o cliente exigiria uma remontagem do compartilhamento.
Para saber mais sobre como configurar a rede para os Arquivos do Azure, confira Considerações de rede dos Arquivos do Azure.
Além de se conectar diretamente ao compartilhamento de arquivo usando o ponto de extremidade público ou usando uma conexão VPN/ExpressRoute com um ponto de extremidade privado, o SMB oferece uma estratégia de acesso de cliente adicional: SMB por QUIC. O SMB por QUIC oferece a "VPN SMB" sem nenhuma configuração para acesso SMB pelo protocolo de transporte QUIC. Embora nos Arquivos do Azure não haja suporte direto ao SMB por QUIC, você pode criar um cache leve com os compartilhamentos de arquivo do Azure em uma VM do Windows Server 2022 Azure Edition usando a Sincronização de Arquivos do Azure. Para saber mais sobre essa opção, confira SMB por QUIC com a Sincronização de Arquivos do Azure.
Criptografia
Os Arquivos do Azure dão suporte a dois tipos diferentes de criptografia:
- Criptografia em trânsito, que se relaciona à criptografia usada ao montar/acessar o compartilhamento de arquivos do Azure
- Criptografia em repouso, que se refere à forma como os dados são criptografados quando estão armazenados em disco
Criptografia em trânsito
Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Isso significa que quando você monta um compartilhamento de arquivos no SMB ou o acessa por meio do protocolo FileREST (como por meio do portal do Azure, do PowerShell/CLI ou dos SDKs do Azure), os Arquivos do Azure só permitem a conexão se ela for feita com o SMB 3.x com criptografia ou HTTPS. Os clientes que não dão suporte ao SMB 3.x ou os clientes que dão suporte ao SMB 3.x, mas não a criptografia SMB, não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito estiver habilitada. Para obter mais informações sobre quais sistemas operacionais dão suporte ao SMB 3.x com criptografia, consulte nossa documentação detalhada para Windows, macOS e Linux. Todas as versões atuais do PowerShell, da CLI e dos SDKs são compatíveis com HTTPS.
Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia é desabilitada, os Arquivos do Azure também permitem SMB 2.1 e SMB 3.x sem criptografia e chamadas de API FileREST não criptografadas por HTTP. O principal motivo para desabilitar a criptografia em trânsito é dar suporte a alguma aplicativo herdado que precise ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição mais antiga do Linux. Os Arquivos do Azure só permitem conexões SMB 2.1 dentro da mesma região do Azure que o compartilhamento de arquivos do Azure. Um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivos do Azure, como no local ou em uma região diferente do Azure, não poderá acessar o compartilhamento de arquivos.
É altamente recomendável garantir que a criptografia de dados em trânsito esteja habilitada.
Para obter mais informações sobre criptografia em trânsito, consulte a necessidade de transferência segura no armazenamento do Azure e criptografia em trânsito para compartilhamentos de arquivos do Azure NFS.
Criptografia em repouso
Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso por meio da SSE (Criptografia do Serviço de Armazenamento) do Azure. A SSE funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos.
Como os dados são criptografados abaixo do sistema de arquivos do compartilhamento de arquivo do Azure, enquanto são codificados no disco, não é necessário ter acesso à chave subjacente no cliente para ler ou gravar no compartilhamento de arquivo do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.
Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com as chaves gerenciadas pela Microsoft. Com as chaves gerenciadas pela Microsoft, a Microsoft contém as chaves para criptografar e descriptografar os dados. A Microsoft é responsável por girar essas chaves regularmente.
Você também pode optar por gerenciar as próprias chaves, o que dá controle a você sobre o processo de rotação. Se você optar por criptografar seus compartilhamentos de arquivo com chaves gerenciadas pelo cliente, os Arquivos do Azure terão autorização para acessar suas chaves para atender a solicitações de leitura e gravação de seus clientes. Com chaves gerenciadas pelo cliente, você pode revogar essa autorização a qualquer momento. Mas sem essa autorização, o compartilhamento de arquivo do Azure não está mais acessível por meio do SMB ou da API FileREST.
Os Arquivos do Azure usam o mesmo esquema de criptografia que os outros serviços de armazenamento do Azure, como o Armazenamento de Blobs do Azure. Para saber mais sobre a SSE do Armazenamento do Azure, confira Criptografia do Armazenamento do Azure para obter dados inativos.
Proteção de dados
Os arquivos do Azure têm uma abordagem de várias camadas para garantir que seus dados sejam copiados em backup, recuperáveis e protegidos contra ameaças à segurança. Confira Visão geral da proteção de dados do Arquivos do Azure.
Exclusão reversível
A exclusão temporária é uma configuração de nível de conta de armazenamento que permite recuperar o compartilhamento de arquivo quando ele é excluído acidentalmente. Quando um compartilhamento de arquivo é excluído, é feita a transição deles para um estado com exclusão temporária em vez de serem apagados permanentemente. É possível configurar o período de tempo em que os compartilhamentos excluídos temporariamente podem ser recuperados antes de serem excluídos permanentemente e recuperar a exclusão do compartilhamento a qualquer momento durante esse período de retenção.
A exclusão temporária é habilitada por padrão nas novas contas de armazenamento. Se você tem um fluxo de trabalho em que a exclusão de compartilhamentos é comum e esperada, pode decidir ter um período de retenção curto ou não habilitar a exclusão temporária.
Para obter mais informações sobre exclusão reversível, consulte Impedir a exclusão acidental de dados.
Backup
Você pode fazer backup do compartilhamento de arquivos do Azure por meio de instantâneos de compartilhamento, que são cópias pontuais somente leitura do seu compartilhamento. Os instantâneos são incrementais, o que significa que contêm apenas a quantidade de dados alterados desde o instantâneo anterior. Você pode ter até 200 instantâneos por compartilhamento de arquivos e mantê-los por até 10 anos. Você pode tirar instantâneos manualmente no portal do Azure, por meio do PowerShell ou da interface de linha de comando (CLI), ou pode usar o Backup do Azure.
O Backup do Azure para compartilhamentos de arquivos do Azure manipula o agendamento e a retenção de instantâneos. Seus recursos de GFS (avô-pai-filho) significam que você pode usar instantâneos diários, semanais, mensais e anuais, cada um com seu próprio período de retenção distinto. O backup do Azure também orquestra a habilitação da exclusão temporária e usa um bloqueio de exclusão em uma conta de armazenamento assim que qualquer compartilhamento de arquivos dentro dele é configurado para backup. Por fim, o backup do Azure fornece determinados recursos de monitoramento e alerta importantes que permitem aos clientes ter uma exibição consolidada de seus bens de backup.
Você pode executar restaurações em nível de item e de compartilhamento no portal do Azure usando o backup do Azure. Tudo o que você precisa fazer é escolher o ponto de restauração (um instantâneo específico), o arquivo ou diretório específico, se relevante, e depois o local (original ou alternativo) no qual você deseja restaurar. O serviço de backup lida com a cópia dos dados do instantâneo e mostra o progresso da restauração no Portal.
Proteger os Arquivos do Azure com o Microsoft Defender para Armazenamento
O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Ele fornece segurança abrangente analisando o plano de dados e a telemetria do plano de controle gerados pelos Arquivos do Azure. Ele utiliza os recursos avançados de detecção de ameaças da plataforma de Inteligência Contra Ameaças da Microsoft para fornecer alertas de segurança contextuais, incluindo etapas para mitigar as ameaças detectadas e evitar ataques futuros.
O Defender para Armazenamento analisa continuamente o fluxo de telemetria gerado pelos Arquivos do Azure. Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem, juntamente com os detalhes da atividade suspeita, as etapas de investigação, as ações de correção e as recomendações de segurança.
O Defender para Armazenamento detecta malwares conhecidos, como ransomware, vírus, spyware e outros malwares carregado em uma conta de armazenamento com base no hash do arquivo completo (compatível apenas com a API REST). Isso ajuda a evitar que o malware entre na organização e se espalhe para mais usuários e recursos. Consulte Reconhecendo as diferenças entre Rastreamento de Malware e análise de reputação de hash.
O Defender para Armazenamento não acessa os dados da conta de armazenamento e não afeta seu desempenho. Você pode habilitar o Microsoft Defender para Armazenamento no nível de assinatura (recomendado) ou no nível do recurso.
Camadas de armazenamento
Os Arquivos do Azure oferecem duas camadas de mídia de armazenamento: SSD (unidade de estado sólido) e HDD (unidade de disco rígido). Essas camadas permitem que você adapte seus compartilhamentos aos requisitos de desempenho e preço do seu cenário:
SSD (premium): os compartilhamentos de arquivos SSD fornecem alto desempenho consistente e baixa latência, dentro de milissegundos de dígito único para a maioria das operações de E/S, para cargas de trabalho com uso intensivo de E/S. Os compartilhamentos de arquivos SSD são adequados para uma ampla variedade de cargas de trabalho, como bancos de dados, hospedagem de sites e ambientes de desenvolvimento.
Você pode usar compartilhamentos de arquivos SSD com os protocolos SMB e NFS. Os compartilhamentos de arquivos SSD estão disponíveis nos modelos de cobrança provisionados v2 e provisionados v1. Os compartilhamentos de arquivos SSD oferecem um SLA de maior disponibilidade do que os compartilhamentos de arquivos HDD.
HDD (padrão): os compartilhamentos de arquivos em HDD oferecem uma opção de armazenamento econômica para compartilhamentos de arquivos de uso geral. Os compartilhamentos de arquivos HDD estão disponíveis nos modelos de cobrança provisionados v2 e de pagamento conforme o uso, embora recomendemos o modelo provisionado v2 para novas implantações de compartilhamentos de arquivos. Para obter informações sobre o SLA, confira a página SLA do Azure para serviços online.
Ao selecionar uma camada de mídia para sua carga de trabalho, considere seus requisitos de desempenho e uso. Se a carga de trabalho exigir latência de dígito único ou se você estiver usando a mídia de armazenamento SSD localmente, os compartilhamentos de arquivos SSD provavelmente serão os mais adequados. Se a baixa latência não for uma grande preocupação, os compartilhamentos de arquivos HDD poderão ser mais adequados de uma perspectiva de custo. Por exemplo, a baixa latência pode ser menos preocupante em compartilhamentos de equipe montados localmente a partir do Azure ou armazenados em cache localmente por meio da Sincronização de Arquivos do Azure.
Depois de criar um compartilhamento de arquivo em uma conta de armazenamento, você não poderá movê-lo diretamente para uma camada de mídia diferente. Por exemplo, para mover um compartilhamento de arquivo HDD para a camada de mídia SSD, você deve criar um novo compartilhamento de arquivo SSD e copiar os dados do compartilhamento original para o novo compartilhamento de arquivo.
Você pode encontrar mais informações sobre as camadas de mídia SSD e HDD em Entenda os modelos de cobrança dos Arquivos do Azure e Entenda e otimize o desempenho do compartilhamento de arquivo do Azure.
Redundância
Para ajudar a proteger os dados em seus compartilhamentos de arquivos do Azure contra perda ou corrupção de dados, os Arquivos do Azure armazenam várias cópias de cada arquivo conforme eles são gravados. Dependendo de seus requisitos, você pode selecionar graus de redundância. Atualmente, os Arquivos do Azure dão suporte às seguintes opções de redundância de dados:
LRS (armazenamento com redundância local): com redundância local, cada arquivo é armazenado três vezes em um cluster do Armazenamento do Azure. Essa abordagem ajuda a proteger contra perda de dados devido a falhas de hardware, como uma unidade de disco inválido. No entanto, se ocorrer um desastre como incêndio ou inundação no datacenter, todas as réplicas de uma conta de armazenamento que usa LRS poderão ser perdidas ou irrecuperáveis.
ZRS (armazenamento com redundância de zona): com redundância de zona, três cópias de cada arquivo são armazenadas. No entanto, essas cópias são isoladas fisicamente em três clusters de armazenamento distintos em zonas de disponibilidade do Azure. As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Uma gravação no armazenamento não será aceita até que seja gravada nos clusters de armazenamento de todas as três zonas de disponibilidade.
GRS (armazenamento com redundância geográfica): com redundância geográfica, você tem uma região primária e uma região secundária. Os arquivos são armazenados três vezes em um cluster de armazenamento do Azure na região primária. As gravações são replicadas de maneira assíncrona para uma região secundária definida pela Microsoft.
A redundância geográfica fornece seis cópias de seus dados distribuídos entre as duas regiões do Azure. Se ocorrer um grande desastre, como a perda permanente de uma região do Azure devido a uma catástrofe natural ou outro evento semelhante, a Microsoft executará um failover. Nesse caso, o secundário se torna o primário e atende a todas as operações.
Como a replicação entre as regiões primária e secundária é assíncrona, em caso de um grande desastre, os dados que ainda não foram replicados para a região secundária serão perdidos. Também será possível executar um failover manual de uma conta de armazenamento com redundância geográfica.
GZRS (armazenamento com redundância de zona geográfica):: com redundância de zona geográfica, os arquivos são armazenados três vezes em três clusters de armazenamento distintos na região primária. Todas as gravações depois são replicadas de maneira assíncrona para uma região secundária definida pela Microsoft. O processo de failover para redundância de zona geográfica funciona da mesma forma que funciona para redundância geográfica.
Os compartilhamentos de arquivos HDD dão suporte a todos os quatro tipos de redundância. Os compartilhamentos de arquivos SSD dão suporte apenas a LRS e ZRS.
As contas de armazenamento de pagamento conforme o uso fornecem duas outras opções de redundância que os Arquivos do Azure não dão suporte: armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e armazenamento com redundância de zona geográfica de acesso de leitura (RA-GZRS). Você pode provisionar compartilhamentos de arquivos do Azure em contas de armazenamento com essas opções definidas, mas os Arquivos do Azure não dão suporte à leitura da região secundária. Os compartilhamentos de arquivos do Azure implantados em contas de armazenamento RA-GRS ou RA-GZRS são cobrados como com redundância geográfica ou com redundância de zona geográfica, respectivamente.
Para obter mais informações sobre redundância, confira Redundância de dados dos Arquivos do Azure.
Disponibilidade de compartilhamentos de arquivos de SSD com zona redundante
Compartilhamentos de arquivos SSD com redundância de zona estão disponíveis para um subconjunto de regiões do Azure.
Recuperação de desastre e failover
No caso de uma interrupção não planejada do serviço regional, você deve ter um plano de recuperação de desastres (DR) em vigor para seus compartilhamentos de arquivos do Azure. Para entender os conceitos e processos envolvidos com a DR e o failover da conta de armazenamento, consulte Recuperação de desastres e failover para o Arquivos do Azure.
Migração
Em muitos casos, você não estará estabelecendo um novo compartilhamento de arquivos para a sua rede organização, mas sim migrando um compartilhamento de arquivos existente de um servidor de arquivos local ou dispositivo NAS para os Arquivos do Azure. A escolha da estratégia e da ferramenta de migração correta para seu cenário é importante para o sucesso da sua migração.
O artigo Visão geral da migração aborda brevemente os conceitos básicos e contém uma tabela que leva você a guias de migração que provavelmente abrangem seu cenário.