Considerações de rede dos Arquivos do Azure
Você pode acessar os compartilhamentos de arquivo do Azure pelo ponto de extremidade acessível pela Internet pública, em um ou mais pontos de extremidade privados na rede ou armazenando em cache o compartilhamento de arquivo do Azure localmente com a Sincronização de Arquivos do Azure (somente compartilhamentos de arquivo SMB). Este artigo aborda como configurar os Arquivos do Azure para acesso direto em pontos de extremidade públicos e/ou privados. Para saber como armazenar em cache o compartilhamento de arquivo do Azure local com a Sincronização de Arquivos do Azure, confira Introdução à Sincronização de Arquivos do Azure.
Antes de conferir este guia, recomendamos a leitura de Planejamento de uma implantação dos Arquivos do Azure.
Em geral, é importante considerar a rede ao acessar diretamente um compartilhamento de arquivos do Azure:
Os compartilhamentos de arquivo SMB se comunicam pela porta 445, que muitas organizações e ISPs (provedores de serviços de Internet) bloqueiam para tráfego de saída (Internet). Essa prática se origina de orientações de segurança herdadas sobre versões substituídas e não seguras para a Internet do protocolo SMB. Embora o SMB 3.x seja um protocolo seguro para a Internet, as políticas organizacionais ou ISP podem não ser passíveis de alteração. Portanto, a montagem de um compartilhamento de arquivo SMB geralmente requer uma configuração de rede adicional a ser usada fora do Azure.
Os compartilhamentos de arquivo NFS dependem da autenticação no nível da rede e, portanto, só podem ser acessados por meio de redes restritas. O uso de um compartilhamento de arquivo NFS sempre requer algum nível de configuração de rede.
A configuração de pontos de extremidade públicos e privados para Arquivos do Azure é feita no objeto de gerenciamento de nível superior para Arquivos do Azure, ou seja, a conta de armazenamento do Azure. A conta de armazenamento é um constructo de gerenciamento que representa um pool compartilhado de armazenamento no qual você pode implantar vários compartilhamentos de arquivo do Azure, além dos recursos de armazenamento para outros serviços de armazenamento do Azure, como filas ou contêineres de blob.
Este vídeo é um guia e uma demonstração de como expor com segurança compartilhamentos de arquivos do Azure diretamente para os operadores de informações e aplicativos em cinco etapas simples. As seções abaixo fornecem links e contexto adicional para a documentação referenciada no vídeo. Observe que o Azure Active Directory agora é Microsoft Entra ID. Para obter mais informações, consulte Novo nome para o Azure AD.
Aplica-se a
| Tipo de compartilhamento de arquivos | SMB | NFS |
|---|---|---|
| Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS |  |
 |
| Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS | |
|
| Compartilhamento de arquivos premium (FileStorage), LRS/ZRS | |
|
Transferência segura
Por padrão, as contas de armazenamento do Azure exigem a transferência segura, independentemente do modo de acesso aos dados, ou seja, pelo ponto de extremidade público ou privado. Para os Arquivos do Azure, a configuração Exigir a transferência segura é imposta para todo o acesso de protocolo aos dados armazenados em compartilhamentos de arquivo do Azure, incluindo SMB, NFS e FileREST. Você pode desabilitar a configuração Exigir a transferência segura para permitir o tráfego não criptografado. No portal do Azure, você também pode ver essa configuração rotulada como exigir transferência segura para operações de API REST.
Os protocolos SMB, NFS e FileREST têm um comportamento um pouco diferente em relação à configuração Exigir a transferência segura:
Quando a configuração Exigir a transferência segura está habilitada em uma conta de armazenamento, todos os compartilhamentos de arquivo SMB nessa conta de armazenamento exigem o protocolo SMB 3.x com algoritmos de criptografia AES-128-CCM, AES-128-GCM ou AES-256-GCM, dependendo da negociação de criptografia disponível/necessária entre o cliente SMB e os Arquivos do Azure. Você pode alternar quais algoritmos de criptografia SMB são permitidos por meio das configurações de segurança SMB. A desabilitação da configuração Exigir a transferência segura habilita as montagens SMB 2.1 e SMB 3.x sem criptografia.
Os compartilhamentos de arquivo NFS não dão suporte a um mecanismo de criptografia, portanto, a fim de usar o protocolo NFS para acessar um compartilhamento de arquivo do Azure, você precisa desabilitar a configuração Exigir a transferência segura na conta de armazenamento.
Quando a transferência segura é necessária, o protocolo FileREST só pode ser usado com HTTPS. O FileREST é compatível apenas com compartilhamentos de arquivo SMB no momento.
Observação
A comunicação entre um cliente e uma conta de armazenamento do Azure é criptografada usando TLS (Transport Layer Security). Os Arquivos do Azure dependem de uma implementação do Windows de SSL que não se baseia no OpenSSL e, portanto, não é exposta a vulnerabilidades relacionadas ao OpenSSL.
Ponto de extremidade público
O ponto de extremidade público dos compartilhamentos de arquivo do Azure em uma conta de armazenamento é um ponto de extremidade exposto na Internet. O ponto de extremidade público é o ponto de extremidade padrão de uma conta de armazenamento, no entanto, ele pode ser desabilitado se desejado.
Os protocolos SMB, NFS e FileREST podem usar o ponto de extremidade público. No entanto, cada uma tem regras um pouco diferentes para acesso:
Os compartilhamentos de arquivo SMB estão acessíveis de qualquer lugar do mundo pelo ponto de extremidade público da conta de armazenamento com SMB 3.x e criptografia. Isso significa que as solicitações autenticadas, como solicitações autorizadas pela identidade de logon do usuário, podem se originar com segurança de dentro ou de fora da região do Azure. Se o SMB 2.1 ou o SMB 3.x sem criptografia for o desejado, duas condições deverão ser atendidas:
- A configuração Exigir a transferência segura da conta de armazenamento deverá ser desabilitada.
- A solicitação deverá ser originada dentro da região do Azure. Como já mencionado, as solicitações SMB criptografadas são permitidas de qualquer lugar, dentro ou fora da região do Azure.
Os compartilhamentos de arquivo NFS estarão acessíveis no ponto de extremidade público da conta de armazenamento somente se o ponto de extremidade público da conta de armazenamento estiver restrito a redes virtuais específicas usando pontos de extremidade de serviço. Confira as configurações de firewall do ponto de extremidade público para obter informações adicionais sobre pontos de extremidade de serviço.
FileREST é acessível por meio do ponto de extremidade público. Se a transferência segura for necessária, somente as solicitações HTTPS serão aceitas. Se a transferência segura estiver desabilitada, as solicitações HTTP serão aceitas pelo ponto de extremidade público, independentemente da origem.
Configurações do firewall de ponto de extremidade público
O firewall da conta de armazenamento restringe o acesso ao ponto de extremidade público para uma conta de armazenamento. Usando o firewall da conta de armazenamento, você pode restringir o acesso a determinados endereços IP/intervalos de endereços IP ou a redes virtuais específicas ou desabilitar totalmente o ponto de extremidade público.
Quando você restringe o tráfego do ponto de extremidade público a uma ou mais redes virtuais, você está usando uma capacidade da rede virtual chamada pontos de extremidade de serviço. As solicitações direcionadas ao ponto de extremidade de serviço dos Arquivos do Azure ainda acessam o endereço IP público da conta de armazenamento, mas a camada de rede faz uma verificação adicional da solicitação para validar se ela vem de uma rede virtual autorizada. Os protocolos SMB, NFS e FileREST dão suporte a pontos de extremidade de serviço. Mas ao contrário do SMB e do FileREST, os compartilhamentos de arquivo NFS só podem ser acessados com o ponto de extremidade público usando um ponto de extremidade de serviço.
Para saber mais sobre como configurar o firewall da conta de armazenamento, confira configurar firewalls de armazenamento e redes virtuais do Azure.
Roteamento de rede de ponto de extremidade público
Arquivos do Azure oferece suporte a várias opções de roteamento de rede. A opção padrão, roteamento Microsoft, funciona com todas as configurações de Arquivos do Azure. A opção de roteamento da Internet não dá suporte a cenários de ingresso no domínio do AD nem à Sincronização de Arquivos do Azure.
Pontos de extremidade privados
Além do ponto de extremidade público padrão para uma conta de armazenamento, os Arquivos do Azure oferecem a opção de ter um ou mais pontos de extremidade privados. Um ponto de extremidade privado é um ponto de extremidade que só pode ser acessado dentro de uma rede virtual do Azure. Quando você cria um ponto de extremidade privado para sua conta de armazenamento, sua conta de armazenamento obtém um endereço IP privado de dentro do espaço de endereço de sua rede virtual, de maneira semelhante a como um servidor de arquivos local ou um dispositivo NAS recebe um endereço IP dentro do espaço de endereço dedicado de sua rede local.
Um ponto de extremidade privado individual está associado a uma sub-rede de rede virtual do Azure específica. Uma conta de armazenamento pode ter pontos de extremidade privados em mais de uma rede virtual.
O uso de pontos de extremidade privados com Arquivos do Azure permite que você:
- Conecte-se com segurança aos compartilhamentos de arquivo do Azure de redes locais usando uma conexão VPN ou ExpressRoute com emparelhamento privado.
- Projeta seus compartilhamentos de arquivo do Azure configurando o firewall da conta de armazenamento para bloquear todas as conexões no ponto de extremidade público. Por padrão, a criação de um ponto de extremidade privado não bloqueia conexões com o ponto de extremidade público.
- Aumente a segurança da rede virtual permitindo que você bloqueie o vazamento de dados da rede virtual (e limites de emparelhamento).
Para criar um ponto de extremidade privado, confira Configuração de pontos de extremidade privados para os Arquivos do Azure.
Criação de um túnel de tráfego por uma rede privada virtual ou ExpressRoute
Para usar pontos de extremidade privados para acessar compartilhamentos de arquivo SMB ou NFS do ambiente local, você precisa estabelecer um túnel de rede entre a rede local e o Azure. Uma rede virtual, ou VNet, é semelhante a uma rede tradicional local. Como uma conta de armazenamento do Azure ou uma VM do Azure, uma VNet é um recurso do Azure que é implantado em um grupo de recursos.
Os Arquivos do Azure dão suporte aos seguintes mecanismos para criar túnel de tráfego entre as estações de trabalho e servidores locais e os compartilhamentos de arquivo SMB/NFS do Azure:
- Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual do Azure e uma localização alternativa (como localmente) na Internet. Um Gateway de VPN do Azure é um recurso do Azure que pode ser implantado em um grupo de recursos junto com uma conta de armazenamento ou outros recursos do Azure. Os gateways de VPN expõem dois tipos diferentes de conexões:
- Conexões de gateway de VPN P2S (ponto a site), que são conexões VPN entre o Azure e um cliente individual. Essa solução é útil principalmente para dispositivos que não fazem parte da rede local da organização. Um caso de uso comum são os trabalhadores remotos que precisam montar o compartilhamento de arquivo do Azure de casa, de um café ou de um hotel durante viagens. Para usar uma conexão VPN P2S com os Arquivos do Azure, é necessário configurar uma conexão VPN P2S para cada cliente que será conectado. Consulte Configurar uma VPN P2S (Ponto a Site) no Windows para uso com os Arquivos do Azure e Configurar uma VPN P2S (Ponto a Site) no Linux para uso com os Arquivos do Azure.
- VPN S2S (site a site), que são conexões VPN entre o Azure e a rede de sua organização. Uma conexão VPN S2S permite que você configure uma conexão VPN uma só vez para um servidor VPN ou dispositivo hospedado na rede da organização, em vez de fazer isso para cada dispositivo cliente que precisa acessar o compartilhamento de arquivo do Azure. Consulte Configurar uma VPN S2S (Site a Site) para uso com os Arquivos do Azure.
- ExpressRoute, que permite que você crie uma rota definida entre o Azure e sua rede local que não atravesse a Internet. Como o ExpressRoute fornece um caminho dedicado entre o datacenter local e o Azure, ele pode ser útil quando o desempenho da rede for importante. O ExpressRoute também é uma boa opção quando os requisitos regulatórios ou de política de sua organização exigem um caminho determinístico para seus recursos na nuvem.
Observação
Embora seja recomendável usar pontos de extremidade privados para ampliar a rede local para o Azure, tecnicamente é possível fazer o encaminhamento para o ponto de extremidade público pela conexão VPN. No entanto, para isso é necessário embutir em código o endereço IP do ponto de extremidade público do cluster de armazenamento do Azure que atende à conta de armazenamento. Como as contas de armazenamento podem ser movidas entre clusters de armazenamento a qualquer momento e novos clusters são frequentemente adicionados e removidos, isso requer um hard-coding de todos os endereços IP de armazenamento do Azure possíveis em suas regras de roteamento.
Configuração de DNS
Quando você cria um ponto de extremidade privado, por padrão também criamos uma zona DNS privada (ou atualizamos uma existente) correspondente ao subdomínio privatelink. Estritamente falando, a criação de uma zona DNS privada não é necessária para usar um ponto de extremidade privado para sua conta de armazenamento. No entanto, é altamente recomendável em geral e explicitamente necessário ao montar o compartilhamento de arquivo do Azure com uma entidade de usuário do Active Directory ou ao acessá-lo da API FileREST.
Observação
Este artigo usa o sufixo DNS da conta de armazenamento para as regiões Públicas do Azure, core.windows.net. Esse comentário também se aplica a nuvens soberanas do Azure, como a nuvem do Azure para o Governo dos EUA e a nuvem do Microsoft Azure operado pela 21Vianet – só substitua os sufixos apropriados para o seu ambiente.
Em sua zona DNS privada, criamos um registro A para storageaccount.privatelink.file.core.windows.net e um registro CNAME para o nome regular da conta de armazenamento, que segue o padrão storageaccount.file.core.windows.net. Como a zona DNS privada do Azure está conectada à rede virtual que contém o ponto de extremidade privado, você pode observar a configuração de DNS ao chamar o cmdlet Resolve-DnsName do PowerShell em uma VM do Azure (ou nslookup no Windows e no Linux):
Resolve-DnsName -Name "storageaccount.file.core.windows.net"
Nesse exemplo, a conta de armazenamento storageaccount.file.core.windows.net resolve para o endereço IP privado do ponto de extremidade privado, que é 192.168.0.4.
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 29 Answer csostoracct.privatelink.file.core.windows.net
net
Name : storageaccount.privatelink.file.core.windows.net
QueryType : A
TTL : 1769
Section : Answer
IP4Address : 192.168.0.4
Name : privatelink.file.core.windows.net
QueryType : SOA
TTL : 269
Section : Authority
NameAdministrator : azureprivatedns-host.microsoft.com
SerialNumber : 1
TimeToZoneRefresh : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration : 2419200
DefaultTTL : 300
Se você executar o mesmo comando no local, verá que o mesmo nome da conta de armazenamento é resolvido para o endereço IP público da conta de armazenamento. Por exemplo, storageaccount.file.core.windows.net é um registro CNAME para storageaccount.privatelink.file.core.windows.net, que por sua vez é um registro CNAME para o cluster de armazenamento do Azure que hospeda a conta de armazenamento:
Name Type TTL Section NameHost
---- ---- --- ------- --------
storageaccount.file.core.windows. CNAME 60 Answer storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME 60 Answer file.par20prdstr01a.store.core.windows.net
ore.windows.net
Name : file.par20prdstr01a.store.core.windows.net
QueryType : A
TTL : 60
Section : Answer
IP4Address : 52.239.194.40
Isso reflete o fato de que a conta de armazenamento pode expor o ponto de extremidade público e um ou mais pontos de extremidade privados. Para verificar se o nome da conta de armazenamento resolve o endereço IP privado do ponto de extremidade privado, é necessário alterar a configuração em seus servidores DNS locais. Isso pode ser realizado de várias maneiras:
- Modificar os arquivos de hosts nos clientes para fazer com que o
storageaccount.file.core.windows.netseja resolvido para o endereço IP privado do ponto de extremidade privado desejado. Isso é altamente desaconselhável para ambientes de produção, pois você precisará fazer essas alterações em todos os clientes que desejarem montar seus compartilhamentos de arquivos do Azure, e as alterações na conta de armazenamento ou no ponto de extremidade privado não serão tratadas automaticamente. - Criar um registro A para
storageaccount.file.core.windows.netem seus servidores DNS locais. Isso tem a vantagem de que os clientes no ambiente local podem resolver a conta de armazenamento automaticamente sem precisar configurar cada cliente. No entanto, essa solução também não é boa para modificar o arquivo de hosts porque as alterações não serão refletidas. Embora essa solução seja frágil, ela pode ser a melhor opção para alguns ambientes. - Encaminhe a zona
core.windows.netde seus servidores DNS locais para a zona DNS privada do Azure. O host DNS privado do Azure pode ser acessado por meio de um endereço IP especial (168.63.129.16) que só pode ser acessado dentro de redes virtuais vinculadas à zona DNS privada do Azure. Para solucionar essa limitação, você pode executar servidores DNS adicionais na rede virtual que encaminharãocore.windows.netà zona DNS privada do Azure. Para simplificar essa configuração, fornecemos os cmdlets do PowerShell que implantarão automaticamente os servidores DNS em sua rede virtual do Azure e os configurarão conforme desejado. Para saber como configurar o encaminhamento de DNS, confira Configurar DNS com os Arquivos do Azure.
SMB por QUIC
O Windows Server 2022 Azure Edition dá suporte a um novo protocolo de transporte chamado QUIC para o servidor SMB fornecido pela função de servidor de arquivos. O QUIC é uma substituição do TCP que é criado com base no UDP, oferecendo inúmeras vantagens em relação ao TCP enquanto ainda proporciona um mecanismo de transporte confiável. A principal vantagem para o protocolo SMB é que, ao invés de usar a porta 445, todo o transporte é feito pela porta 443, que é uma saída amplamente aberta para dar suporte a HTTPS. Isso significa efetivamente que o SMB por QUIC oferece uma "VPN SMB" para o compartilhamento de arquivo pela Internet pública. O Windows 11 é fornecido com um cliente compatível com SMB por QUIC.
No momento, os Arquivos do Azure não dão suporte direto ao SMB por QUIC. No entanto, você pode obter acesso aos compartilhamentos de arquivo do Azure por meio da Sincronização de Arquivos do Azure em execução no Windows Server, conforme mostrado no diagrama abaixo. Isso também oferece a opção de ter caches de Sincronização de Arquivos do Azure no local ou em diferentes data centers do Azure para fornecer caches locais para uma força de trabalho distribuída. Para saber mais sobre essa opção, confira Implantar Sincronização de Arquivos do Azure e SMB por QUIC.
