Consideraciones de redes para Azure File SyncAzure File Sync networking considerations

Puede conectarse a un recurso compartido de archivos de Azure de dos maneras:You can connect to an Azure file share in two ways:

  • Acceda de forma directa al recurso compartido a través de los protocolos SMB o FileREST.Accessing the share directly via the SMB or FileREST protocols. Este patrón de acceso se emplea principalmente cuando se quieren eliminar tantos servidores locales como sea posible.This access pattern is primarily employed when to eliminate as many on-premises servers as possible.
  • Cree una memoria caché del recurso compartido de archivos de Azure en un servidor local (o en una VM de Azure) con Azure File Sync y acceda a los datos del recurso compartido de archivos desde el servidor local con el protocolo que elija (SMB, NFS, FTPS, etc.) para su caso de uso.Creating a cache of the Azure file share on an on-premises server (or on an Azure VM) with Azure File Sync, and accessing the file share's data from the on-premises server with your protocol of choice (SMB, NFS, FTPS, etc.) for your use case. Este patrón de acceso es útil porque combina lo mejor de la escala en la nube y el rendimiento local junto con los servicios conectables sin servidor, como Azure Backup.This access pattern is handy because it combines the best of both on-premises performance and cloud scale and serverless attachable services, such as Azure Backup.

Este artículo se centra en cómo configurar las redes cuando el caso de uso necesita acceder a Azure File Sync para almacenar en caché archivos localmente, en lugar de montar el recurso compartido de archivos de Azure directamente a través de SMB.This article focuses on how to configure networking for when your use case calls for using Azure File Sync to cache files on-premises rather than directly mounting the Azure file share over SMB. Para obtener más información acerca de las consideraciones de red para una implementación de Azure Files, consulte Consideraciones de redes para Azure Files.For more information about networking considerations for an Azure Files deployment, see Azure Files networking considerations.

La configuración de red para Azure File Sync abarca dos objetos de Azure diferentes: un servicio de sincronización de almacenamiento y una cuenta de almacenamiento de Azure.Networking configuration for Azure File Sync spans two different Azure objects: a Storage Sync Service and an Azure storage account. Una cuenta de almacenamiento es una construcción de administración que representa un grupo compartido de almacenamiento en el que puede implementar varios recursos compartidos de archivos u otros recursos de almacenamiento, como contenedores de blobs o colas.A storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Un servicio de sincronización de almacenamiento es una construcción de administración que representa servidores registrados, que son servidores de archivos de Windows con una relación de confianza establecida con Azure File Sync, y grupos de sincronización, que definen la topología de la relación de sincronización.A Storage Sync Service is a management construct that represents registered servers, which are Windows file servers with an established trust relationship with Azure File Sync, and sync groups, which define the topology of the sync relationship.

Conexión de un servidor de archivos de Windows a Azure con Azure File SyncConnecting Windows file server to Azure with Azure File Sync

Para configurar y usar Azure Files y Azure File Sync con un servidor de archivos de Windows local, no se requiere ninguna conexión de red especial a Azure más allá de una conexión a Internet básica.To set up and use Azure Files and Azure File Sync with an on-premises Windows file server, no special networking to Azure is required beyond a basic internet connection. Para implementar Azure File Sync, instale el agente de Azure File Sync en el servidor de archivos de Windows que desea sincronizar con Azure.To deploy Azure File Sync, you install the Azure File Sync agent on the Windows file server you would like to sync with Azure. El agente de Azure File Sync logra la sincronización con un recurso compartido de archivos de Azure a través de dos canales:The Azure File Sync agent achieves synchronization with an Azure file share via two channels:

  • El protocolo FileREST, que es un protocolo basado en HTTPS para acceder al recurso compartido de archivos de Azure.The FileREST protocol, which is an HTTPS-based protocol for accessing your Azure file share. Dado que el protocolo FileREST usa HTTPS estándar para la transferencia de datos, solo el puerto 443 debe ser de salida accesible.Because the FileREST protocol is uses standard HTTPS for data transfer, only port 443 must be accessible outbound. Azure File Sync no usa el protocolo SMB para transferir datos de los servidores de Windows locales al recurso compartido de archivos de Azure.Azure File Sync does not use the SMB protocol to transfer data from your on-premises Windows Servers to your Azure file share.
  • El protocolo de sincronización de Azure File Sync, que es un protocolo basado en HTTPS para intercambiar el conocimiento de la sincronización, es decir, la información de la versión de los archivos y las carpetas de su entorno, entre los puntos de conexión de su entorno.The Azure File Sync sync protocol, which is an HTTPS-based protocol for exchanging synchronization knowledge, i.e. the version information about the files and folders in your environment, between endpoints in your environment. Este protocolo también se usa para intercambiar metadatos acerca de los archivos y las carpetas de su entorno, como las marcas de tiempo y las listas de control de acceso (ACL).This protocol is also used to exchange metadata about the files and folders in your environment, such as timestamps and access control lists (ACLs).

Dado que Azure Files ofrece acceso directo al protocolo SMB en recursos compartidos de archivos de Azure, los clientes suelen preguntarse si necesitan configurar redes especiales para montar los recursos compartidos de archivos de Azure con SMB para el acceso del agente de Azure File Sync.Because Azure Files offers direct SMB protocol access on Azure file shares, customers often wonder if they need to configure special networking to mount the Azure file shares with SMB for the Azure File Sync agent to access. Esto no solo no es necesario, sino que se desaconseja, excepto en el caso de los escenarios de administrador, debido a la falta de detección rápida de los cambios realizados directamente en el recurso compartido de archivos de Azure (es posible que los cambios no se detecten durante más de 24 horas, según el tamaño y el número de los elementos del recurso compartido de archivos de Azure).This is not only not required, but is also discouraged, except for administrator scenarios, due to the lack of quick change detection on changes made directly to the Azure file share (changes may not be discovered for more than 24 hours depending on the size and number of items in the Azure file share). Si desea usar el recurso compartido de archivos de Azure directamente, es decir, no usar Azure File Sync para el almacenamiento en caché local, puede obtener más información sobre las consideraciones de red para el acceso directo mediante en Información general sobre redes de Azure Files.If you desire to use the Azure file share directly, i.e. not use Azure File Sync to cache on-premises, you can learn more about the networking considerations for direct access by consulting Azure Files networking overview.

Aunque Azure File Sync no requiere ninguna configuración de red especial, es posible que algunos clientes deseen configurar opciones de red avanzadas para habilitar los siguientes escenarios:Although Azure File Sync does not require any special networking configuration, some customers may wish to configure advanced networking settings to enable the following scenarios:

  • Interoperar con la configuración del servidor proxy de la organización.Interoperating with your organization's proxy server configuration.
  • Abrir el firewall local de la organización en los servicios Azure Files y Azure File Sync.Open your organization's on-premises firewall to the Azure Files and Azure File Sync services.
  • Tunelizar Azure Files y Azure File Sync a través de ExpressRoute o una conexión VPN.Tunnel Azure Files and Azure File Sync over ExpressRoute or a VPN connection.

Configuración de los servidores proxyConfiguring proxy servers

Muchas organizaciones usan un servidor proxy como intermediario entre los recursos dentro de la red local y los recursos fuera de la red, como en Azure.Many organizations use a proxy server as an intermediary between resources inside their on-premises network and resources outside their network, such as in Azure. Los servidores proxy son útiles para muchas aplicaciones, como el aislamiento y la seguridad de la red, y la supervisión y el registro.Proxy servers are useful for many applications such as network isolation and security, and monitoring and logging. Azure File Sync puede interoperar completamente con un servidor proxy, aunque debe configurar manualmente los valores del punto de conexión de proxy para su entorno con Azure File Sync. Esto se debe hacer a través de PowerShell con los cmdlets del servidor de Azure File Sync.Azure File Sync can interoperate fully with a proxy server, however you must manually configure the proxy endpoint settings for your environment with Azure File Sync. This must be done via PowerShell using the Azure File Sync server cmdlets.

Para obtener más información sobre cómo configurar Azure File Sync con un servidor proxy, consulte Configuración de Azure File Sync con un servidor proxy.For more information on how to configure Azure File Sync with a proxy server, see Configuring Azure File Sync with a proxy server.

Configuración de firewalls y etiquetas de servicioConfiguring firewalls and service tags

Puede aislar los servidores de archivos de la mayoría de las ubicaciones de Internet con fines de seguridad.You may isolate your file servers from most internet location for security purposes. Para usar Azure File Sync en su entorno, debe ajustar el firewall para abrirlo y seleccionar servicios de Azure.To use Azure File Sync in your environment, you need to adjust your firewall to open it up to select Azure services. Para ello, puede recuperar los intervalos de direcciones IP para los servicios que necesita a través de un mecanismo denominado etiquetas de servicio.You can do this by retrieving the IP address ranges for the services you required through a mechanism called service tags.

Azure File Sync requiere los intervalos de direcciones IP para los siguientes servicios, identificados por sus etiquetas de servicio:Azure File Sync requires the IP address ranges for the following services, as identified by their service tags:

ServicioService DescripciónDescription Etiqueta de servicioService tag
Azure File SyncAzure File Sync El servicio Azure File Sync, como se representa mediante el objeto del servicio de sincronización de almacenamiento, es responsable de la actividad principal de sincronización de datos entre un recurso compartido de archivos de Azure y un servidor de archivos de Windows.The Azure File Sync service, as represented by the Storage Sync Service object, is responsible for the core activity of syncing data between an Azure file share and a Windows file server. StorageSyncService
Azure FilesAzure Files Todos los datos sincronizados a través de Azure File Sync se almacenan en el recurso compartido de archivos de Azure.All data synchronized via Azure File Sync is stored in Azure file share. Los archivos modificados en los servidores de archivos de Windows se replican en el recurso compartido de archivos de Azure, y los archivos en capas en el servidor de archivos local se descargan sin problemas cuando un usuario los solicita.Files changed on your Windows file servers are replicated to your Azure file share, and files tiered on your on-premises file server are seamlessly downloaded when a user requests them. Storage
Azure Resource ManagerAzure Resource Manager Azure Resource Manager es la interfaz de administración de Azure.The Azure Resource Manager is the management interface for Azure. Todas las llamadas de administración, incluidas las tareas de registro del servidor de Azure File Sync y del servidor de sincronización en curso, se realizan a través de Azure Resource Manager.All management calls, including Azure File Sync server registration and ongoing sync server tasks, are made through the Azure Resource Manager. AzureResourceManager
Azure Active DirectoryAzure Active Directory Azure Active Directory, o Azure AD, contiene las entidades de seguridad de usuario necesarias para autorizar el registro del servidor en un servicio de sincronización de almacenamiento y las entidades de servicio necesarias para la autorización de Azure File Sync para el acceso a sus recursos de la nube.Azure Active Directory, or Azure AD, contains the user principals required to authorize server registration against a Storage Sync Service, and the service principals required for Azure File Sync to be authorized to access your cloud resources. AzureActiveDirectory

Si usa Azure File Sync en Azure, aunque sea una región diferente, puede usar el nombre de la etiqueta de servicio directamente en el grupo de seguridad de red para permitir el tráfico a ese servicio.If you are using Azure File Sync within Azure, even if its a different region, you can use the name of the service tag directly in your network security group to allow traffic to that service. Para saber cómo, vea Grupos de seguridad de red.To learn more about how to do this, see Network security groups.

Si usa Azure File Sync de forma local, puede usar la API de etiquetas de servicio para obtener intervalos de direcciones IP específicos para la lista de elementos permitidos del firewall.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Existen dos formas de obtener esta información:There are two methods for getting this information:

  • La lista actual de intervalos de direcciones IP de todos los servicios de Azure que admiten etiquetas de servicio se publica semanalmente en el Centro de descarga de Microsoft en forma de documento JSON.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Cada nube de Azure tiene su propio documento JSON con los intervalos de direcciones IP pertinentes para esa nube:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • La API de detección de etiquetas de servicio (versión preliminar) permite recuperar mediante programación la lista actual de etiquetas de servicio.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. En la versión preliminar, es posible que la API de detección de etiquetas de servicio devuelva información menos actual que la información incluida en los documentos JSON publicados en el Centro de descarga de Microsoft.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. Puede usar la superficie de API en función de su preferencia de automatización:You can use the API surface based on your automation preference:

Para obtener más información sobre cómo usar la API de etiquetas de servicio para recuperar las direcciones de sus servicios, consulte Lista de direcciones IP de Azure File Sync permitidas.To learn more about how to use the service tag API to retrieve the addresses of your services, see Allow list for Azure File Sync IP addresses.

Tunelización del tráfico a través de una red privada virtual o de ExpressRouteTunneling traffic over a virtual private network or ExpressRoute

Algunas organizaciones requieren la comunicación con Azure para pasar por un túnel de red, como una red privada virtual (VPN) o ExpressRoute, para una capa de seguridad adicional o para garantizar que la comunicación con Azure siga una ruta determinista.Some organizations require communication with Azure to go over a network tunnel, such as a virtual private private network (VPN) or ExpressRoute, for an additional layer of security or to ensure communication with Azure follows a deterministic route.

Cuando se establece un túnel de red entre la red local y Azure, se empareja la red local con una o más redes virtuales de Azure.When you establish a network tunnel between your on-premises network and Azure, you are peering your on-premises network with one or more virtual networks in Azure. Una red virtual es similar a una red tradicional que puede usar en el entorno local.A virtual network, or VNet, is similar to a traditional network that you'd operate on-premises. Al igual que una cuenta de almacenamiento de Azure o una máquina virtual de Azure, una red virtual es un recurso de Azure que se implementa en un grupo de recursos.Like an Azure storage account or an Azure VM, a VNet is an Azure resource that is deployed in a resource group.

Azure Files y File Sync admiten los siguientes mecanismos para tunelizar el tráfico entre los servidores locales y Azure:Azure Files and File Sync support the following mechanisms to tunnel traffic between your on-premises servers and Azure:

  • Azure VPN Gateway: Una puerta de enlace de VPN es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación alternativa (por ejemplo, en un entorno local) a través de Internet.Azure VPN Gateway: A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an alternate location (such as on-premises) over the internet. Una instancia de Azure VPN Gateway es un recurso de Azure que se puede implementar en un grupo de recursos junto con una cuenta de almacenamiento u otros recursos de Azure.An Azure VPN Gateway is an Azure resource that can be deployed in a resource group along side of a storage account or other Azure resources. Dado que Azure File Sync está diseñado para usarse con un servidor de archivos de Windows local, normalmente usaría una VPN de sitio a sitio (S2S), aunque es técnicamente posible usar una VPN de punto a sitio (P2S).Because Azure File Sync is meant to be used with an on-premises Windows file server, you would normally use a Site-to-Site (S2S) VPN, although it is technically possible to use a Point-to-Site (P2S) VPN.

    Las conexiones VPN de sitio a sitio (S2S) conectan Azure Virtual Network y la red local de su organización.Site-to-Site (S2S) VPN connections connect your Azure virtual network and your organization's on-premises network. Una conexión de VPN de sitio a sitio le permite configurar una conexión VPN una vez, para un servidor VPN o un dispositivo hospedado en la red de su organización, en lugar de hacerlo para cada dispositivo cliente que necesite tener acceso al recurso compartido de archivos de Azure.A S2S VPN connection enables you to configure a VPN connection once, for a VPN server or device hosted on your organization's network, rather than doing for every client device that needs to access your Azure file share. Para simplificar la implementación de una conexión VPN S2S, consulte Configuración de una VPN de sitio a sitio (S2S) para su uso con Azure Files.To simplify the deployment of a S2S VPN connection, see Configure a Site-to-Site (S2S) VPN for use with Azure Files.

  • ExpressRoute, que permite crear una ruta definida entre Azure y la red local que no atraviesa Internet.ExpressRoute, which enables you to create a defined route between Azure and your on-premises network that doesn't traverse the internet. Como ExpressRoute proporciona una ruta de acceso dedicada entre el centro de recursos local y Azure, ExpressRoute puede resultar útil cuando se tiene en cuenta el rendimiento de la red.Because ExpressRoute provides a dedicated path between your on-premises datacenter and Azure, ExpressRoute may be useful when network performance is a consideration. ExpressRoute también es una buena opción cuando la directiva o los requisitos normativos de la organización requieren una ruta de acceso determinista a los recursos en la nube.ExpressRoute is also a good option when your organization's policy or regulatory requirements require a deterministic path to your resources in the cloud.

Puntos de conexión privadosPrivate endpoints

Además de los puntos de conexión públicos predeterminados que Azure Files y File Sync proporcionan a través de la cuenta de almacenamiento y el servicio de sincronización de almacenamiento, Azure Files y File Sync ofrecen la opción de tener uno o más puntos de conexión privados por recurso.In addition to the default public endpoints Azure Files and File Sync provide through the storage account and Storage Sync Service, Azure Files and File Sync provides the option to have one or more private endpoints per resource. Cuando se crea un punto de conexión privado para un recurso de Azure, este obtiene una dirección IP privada del espacio de direcciones de su red virtual, de forma muy parecida a cómo un servidor de archivos de Windows local tiene una dirección IP dentro del espacio de direcciones dedicado de su red local.When you create a private endpoint for an Azure resource, it gets a private IP address from within the address space of your virtual network, much like how your on-premises Windows file server has an IP address within the dedicated address space of your on-premises network.

Importante

Para usar puntos de conexión privados en el recurso del servicio de sincronización de almacenamiento, debe usar la versión del agente Azure File Sync versión 10.1 o superior.In order to use private endpoints on the Storage Sync Service resource, you must use Azure File Sync agent version 10.1 or greater. Las versiones del agente anteriores a 10.1 no admiten puntos de conexión privados en el servicio de sincronización de almacenamiento.Agent versions prior to 10.1 do not support private endpoints on the Storage Sync Service. Todas las versiones anteriores del agente admiten puntos de conexión privados en el recurso de la cuenta de almacenamiento.All prior agent versions support private endpoints on the storage account resource.

Un punto de conexión privado está asociado a una subred de red virtual de Azure específica.An individual private endpoint is associated with a specific Azure virtual network subnet. Las cuentas de almacenamiento y los servicios de sincronización de almacenamiento pueden tener puntos de conexión privados en más de una red virtual.Storage accounts and Storage Sync Services may have private endpoints in more than one virtual network.

El uso de puntos de conexión privados le permite:Using private endpoints enables you to:

  • Conectarse de forma segura a sus recursos de Azure desde redes locales mediante una conexión VPN o ExpressRoute con emparejamiento privado.Securely connect to your Azure resources from on-premises networks using a VPN or ExpressRoute connection with private-peering.
  • Proteger sus recursos de Azure mediante la deshabilitación de los puntos de conexión públicos para Azure Files y File Sync. De forma predeterminada, crear un punto de conexión privado no bloquea las conexiones al punto de conexión público.Secure your Azure resources by disabling the the public endpoints for Azure Files and File Sync. By default, creating a private endpoint does not block connections to the public endpoint.
  • Aumentar la seguridad de la red virtual, al permitirle bloquear la filtración de datos desde la red virtual (y los límites de emparejamiento).Increase security for the virtual network by enabling you to block exfiltration of data from the virtual network (and peering boundaries).

Para crear un punto de conexión privado, consulte Configuración de puntos de conexión privados para Azure File Sync.To create a private endpoint, see Configuring private endpoints for Azure File Sync.

Puntos de conexión privados y DNSPrivate endpoints and DNS

Cuando se crea un punto de conexión privado, de forma predeterminada también se crea una zona DNS privada (o se actualiza una existente) correspondiente al subdominio privatelink.When you create a private endpoint, by default we also create a (or update an existing) private DNS zone corresponding to the privatelink subdomain. Para las regiones de la nube pública, estas zonas DNS son privatelink.file.core.windows.net para Azure Files y privatelink.afs.azure.net para Azure File Sync.For public cloud regions, these DNS zones are privatelink.file.core.windows.net for Azure Files and privatelink.afs.azure.net for Azure File Sync.

Nota

En este artículo se usa el sufijo DNS de la cuenta de almacenamiento para las regiones públicas de Azure core.windows.net.This article uses the storage account DNS suffix for the Azure Public regions, core.windows.net. Este comentario también se aplica a nubes soberanas de Azure, como la nube de Azure US Government y la nube de Azure China; simplemente sustituya los sufijos adecuados en su entorno.This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud and the Azure China cloud - just substitute the the appropriate suffixes for your environment.

Cuando crea puntos de conexión privados para una cuenta de almacenamiento y un servicio de sincronización de almacenamiento, se crean registros D para estos en sus respectivas zonas DNS privadas.When you create private endpoints for a storage account and a Storage Sync Service, we create A records for them in their respective private DNS zones. También se actualiza la entrada DNS pública de modo que los nombres de dominio completos normales son CNAME para el nombre privatelink pertinente.We also update the public DNS entry such that the regular fully qualified domain names are CNAMEs for the relevant privatelink name. Esto permite que los nombres de dominio completos apunten a las direcciones IP del punto de conexión privado cuando el solicitante se encuentre dentro de la red virtual y apunten a las direcciones IP del punto de conexión público cuando el solicitante esté fuera de la red virtual.This enables the fully qualified domain names to point at the private endpoint IP address(es) when the requester is inside of the virtual network and to point at the public endpoint IP address(es) when the requester is outside of the virtual network.

Para Azure Files, cada punto de conexión privado tiene un nombre de dominio completo único, que sigue el patrón storageaccount.privatelink.file.core.windows.net, asignado a una dirección IP privada para el punto de conexión privado.For Azure Files, each private endpoint has a single fully qualified domain name, following the pattern storageaccount.privatelink.file.core.windows.net, mapped to one private IP address for the private endpoint. Para Azure File Sync, cada punto de conexión privado tiene cuatro nombres de dominio completos, para los cuatro puntos de conexión diferentes que Azure File Sync expone: administración, sincronización (principal), sincronización (secundaria) y supervisión.For Azure File Sync, each private endpoint has four fully qualified domain names, for the four different endpoints that Azure File Sync exposes: management, sync (primary), sync (secondary), and monitoring. Los nombres de dominio completos de estos puntos de conexión normalmente seguirán el nombre del servicio de sincronización de almacenamiento, a menos que el nombre contenga caracteres que no sean ASCII.The fully qualified domain names for these endpoints will normally follow the the name of the Storage Sync Service unless the name contains non-ASCII characters. Por ejemplo, si el nombre del servicio de sincronización de almacenamiento es mysyncservice en la región Oeste de EE. UU. 2, los puntos de conexión equivalentes serían mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net y mysyncservicemonitoring.westus2.afs.azure.net.For example, if your Storage Sync Service name is mysyncservice in the West US 2 region, the equivalent endpoints would be mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net, and mysyncservicemonitoring.westus2.afs.azure.net. Cada punto de conexión privado para un servicio de sincronización de almacenamiento contendrá 4 direcciones IP distintas.Each private endpoint for a Storage Sync Service will contain 4 distinct IP addresses.

Como la zona DNS privada de Azure está conectada a la red virtual que contiene el punto de conexión privado, puede observar la configuración de DNS cuando se llama al cmdlet Resolve-DnsName desde PowerShell en una máquina virtual de Azure (como alternativa nslookup en Windows y Linux):Since your Azure private DNS zone is connected to the virtual network containing the private endpoint, you can observe the DNS configuration when by calling the Resolve-DnsName cmdlet from PowerShell in an Azure VM (alternately nslookup in Windows and Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

En este ejemplo, la cuenta de almacenamiento storageaccount.file.core.windows.net se resuelve en la dirección IP privada del punto de conexión privado, que resulta ser 192.168.0.4.For this example, the storage account storageaccount.file.core.windows.net resolves to the private IP address of the private endpoint, which happens to be 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Si ejecuta el mismo comando en el entorno local, verá que el mismo nombre de cuenta de almacenamiento se resuelve en la dirección IP pública de la cuenta de almacenamiento; storageaccount.file.core.windows.net es un registro CNAME para storageaccount.privatelink.file.core.windows.net, que, a su vez, es un registro CNAME para el clúster de almacenamiento de Azure que hospeda la cuenta de almacenamiento:If you run the same command from on-premises, you'll see that the same storage account name resolves to the public IP address of the storage account instead; storageaccount.file.core.windows.net is a CNAME record for storageaccount.privatelink.file.core.windows.net, which in turn is a CNAME record for the Azure storage cluster hosting the storage account:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Esto refleja el hecho de que Azure Files y Azure File Sync pueden exponer puntos de conexión públicos y uno o más puntos de conexión privados por recurso.This reflects the fact that the Azure Files and Azure File Sync can expose both their public endpoints and one or more private endpoints per resource. Para asegurarse de que los nombres de dominio completos de sus recursos se resuelven en las direcciones IP privadas de los puntos de conexión privados, debe cambiar la configuración de sus servidores DNS locales.To ensure that the fully qualified domain names for your resources resolve to the private endpoints private IP addresses, you must change the configuration on your on-premises DNS servers. Esto puede realizarse de varias maneras:This can be accomplished in several ways:

  • Modificando el archivo de hosts en sus clientes para que los nombres de dominio completos de sus cuentas de almacenamiento y servicios de sincronización de almacenamiento se resuelvan en las direcciones IP privadas deseadas.Modifying the hosts file on your clients to make the fully qualified domain names for your storage accounts and Storage Sync Services resolve to the desired private IP addresses. Esto no se recomienda en absoluto para entornos de producción, ya que necesitará realizar estos cambios en cada cliente que necesite acceso a sus puntos de conexión privados.This is strongly discouraged for production environments, since you will need make these changes to every client that needs to access your private endpoints. Los cambios en los puntos de conexión o recursos privados (eliminaciones, modificaciones, etc.) no se controlarán automáticamente.Changes to your private endpoints/resources (deletions, modifications, etc.) will not be automatically handled.
  • Creación de zonas DNS en los servidores locales para privatelink.file.core.windows.net y privatelink.afs.azure.net con registros D para los recursos de Azure.Creating DNS zones on your on-premises servers for privatelink.file.core.windows.net and privatelink.afs.azure.net with A records for your Azure resources. Este método tiene la ventaja de que los clientes de su entorno local podrán resolver automáticamente los recursos de Azure sin necesidad de configurar cada cliente; sin embargo, esta solución es igualmente frágil para modificar el archivo de hosts, ya que los cambios no se reflejan.This has the advantage that clients in your on-premises environment will be able to automatically resolve Azure resources without needing to configure each client, however this solution is similarly brittle to modifying the hosts file because changes are not reflected. Aunque esta solución es frágil, puede ser la mejor opción para algunos entornos.Although this solution is brittle, it may be the best choice for some environments.
  • Reenvíe las zonas core.windows.net y afs.azure.net de los servidores DNS locales a la zona DNS privada de Azure.Forward the core.windows.net and afs.azure.net zones from your on-premises DNS servers to your Azure private DNS zone. Se puede acceder al host DNS privado de Azure a través de una dirección IP especial (168.63.129.16) que solo es accesible dentro de las redes virtuales que están vinculadas a la zona DNS privada de Azure.The Azure private DNS host can be reached through a special IP address (168.63.129.16) that is only accessible inside virtual networks that are linked to the Azure private DNS zone. Para solucionar esta limitación, puede ejecutar servidores DNS adicionales dentro de la red virtual que reenviarán core.windows.net y afs.azure.net a las zonas DNS privadas de Azure equivalentes.To workaround this limitation, you can run additional DNS servers within your virtual network that will forward core.windows.net and afs.azure.net on to the equivalent Azure private DNS zones. Para simplificar esta configuración, se han proporcionado cmdlets de PowerShell que implementarán automáticamente los servidores DNS en la red virtual de Azure y los configurarán según sea necesario.To simplify this set up, we have provided PowerShell cmdlets that will auto-deploy DNS servers in your Azure virtual network and configure them as desired. Para aprender a configurar el reenvío de DNS, consulte Configuración de DNS con Azure Files.To learn how to set up DNS forwarding, see Configuring DNS with Azure Files.

Cifrado en tránsitoEncryption in-transit

Las conexiones realizadas desde el agente de Azure File Sync en el recurso compartido de archivos de Azure o el servicio de sincronización de almacenamiento siempre están cifradas.Connections made from the Azure File Sync agent to your Azure file share or Storage Sync Service are always encrypted. Aunque las cuentas de almacenamiento de Azure tienen una opción para deshabilitar el requisito del cifrado en tránsito para las comunicaciones a Azure Files (y los otros servicios de almacenamiento de Azure que se administran fuera de la cuenta de almacenamiento), la deshabilitación de esta opción no afectará al cifrado de Azure File Sync cuando se comunique con Azure Files.Although Azure storage accounts have a setting to disable requiring encryption in transit for communications to Azure Files (and the other Azure storage services that are managed out of the storage account), disabling this setting will not affect Azure File Sync's encryption when communicating with the Azure Files. De forma predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito.By default, all Azure storage accounts have encryption in transit enabled.

Para obtener más información sobre el cifrado en tránsito, consulte Requerir transferencia segura en Azure Storage.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Consulte tambiénSee also