Considerações de networking de arquivo azureAzure File Sync networking considerations

Pode ligar-se a uma partilha de ficheiros Azure de duas formas:You can connect to an Azure file share in two ways:

  • Aceder diretamente à partilha através dos protocolos SMB ou FileREST.Accessing the share directly via the SMB or FileREST protocols. Este padrão de acesso é principalmente utilizado quando para eliminar o maior número possível de servidores no local.This access pattern is primarily employed when to eliminate as many on-premises servers as possible.
  • Criar uma cache da partilha de ficheiros Azure num servidor no local (ou num Azure VM) com o Azure File Sync, e aceder aos dados da partilha de ficheiros a partir do servidor no local com o seu protocolo de escolha (SMB, NFS, FTPS, etc.) para o seu caso de utilização.Creating a cache of the Azure file share on an on-premises server (or on an Azure VM) with Azure File Sync, and accessing the file share's data from the on-premises server with your protocol of choice (SMB, NFS, FTPS, etc.) for your use case. Este padrão de acesso é útil porque combina o melhor de desempenho no local e escala de nuvem e serviços anexáveis sem servidor, como O Azure Backup.This access pattern is handy because it combines the best of both on-premises performance and cloud scale and serverless attachable services, such as Azure Backup.

Este artigo centra-se em como configurar a rede para quando o seu caso de utilização requer a utilização do Azure File Sync para cache ficheiros no local, em vez de montar diretamente a partilha de ficheiros Azure sobre SMB.This article focuses on how to configure networking for when your use case calls for using Azure File Sync to cache files on-premises rather than directly mounting the Azure file share over SMB. Para obter mais informações sobre considerações de networking para uma implementação de Ficheiros Azure, consulte considerações de networking de ficheiros Azure.For more information about networking considerations for an Azure Files deployment, see Azure Files networking considerations.

A configuração de rede para Azure File Sync abrange dois objetos Azure diferentes: um Serviço de Sincronização de Armazenamento e uma conta de armazenamento Azure.Networking configuration for Azure File Sync spans two different Azure objects: a Storage Sync Service and an Azure storage account. Uma conta de armazenamento é uma construção de gestão que representa um conjunto partilhado de armazenamento no qual você pode implementar várias partilhas de arquivos, bem como outros recursos de armazenamento, tais como recipientes blob ou filas.A storage account is a management construct that represents a shared pool of storage in which you can deploy multiple file shares, as well as other storage resources, such as blob containers or queues. Um Serviço de Sincronização de Armazenamento é uma construção de gestão que representa servidores registados, que são servidores de ficheiros Windows com uma relação de confiança estabelecida com a Azure File Sync, e grupos de sincronização, que definem a topologia da relação de sincronização.A Storage Sync Service is a management construct that represents registered servers, which are Windows file servers with an established trust relationship with Azure File Sync, and sync groups, which define the topology of the sync relationship.

Ligando o servidor de ficheiros do Windows ao Azure com o Azure File SyncConnecting Windows file server to Azure with Azure File Sync

Para configurar e utilizar ficheiros Azure e Azure File Sync com um servidor de ficheiros Windows no local, não é necessária nenhuma rede especial para o Azure para além de uma ligação básica à Internet.To set up and use Azure Files and Azure File Sync with an on-premises Windows file server, no special networking to Azure is required beyond a basic internet connection. Para implementar o Azure File Sync, instale o agente Azure File Sync no servidor de ficheiros Windows que gostaria de sincronizar com o Azure.To deploy Azure File Sync, you install the Azure File Sync agent on the Windows file server you would like to sync with Azure. O agente Azure File Sync consegue sincronização com uma partilha de ficheiros Azure através de dois canais:The Azure File Sync agent achieves synchronization with an Azure file share via two channels:

  • O protocolo FileREST, que é um protocolo baseado em HTTPS para aceder à sua partilha de ficheiros Azure.The FileREST protocol, which is an HTTPS-based protocol for accessing your Azure file share. Como o protocolo FileREST utiliza https padrão para transferência de dados, apenas a porta 443 deve estar acessível de saída.Because the FileREST protocol is uses standard HTTPS for data transfer, only port 443 must be accessible outbound. O Azure File Sync não utiliza o protocolo SMB para transferir dados dos seus Servidores Windows no local para a sua partilha de ficheiros Azure.Azure File Sync does not use the SMB protocol to transfer data from your on-premises Windows Servers to your Azure file share.
  • O protocolo de sincronização Azure File Sync, que é um protocolo baseado em HTTPS para a troca de conhecimentos de sincronização, ou seja, a informação da versão sobre os ficheiros e pastas no seu ambiente, entre pontos finais no seu ambiente.The Azure File Sync sync protocol, which is an HTTPS-based protocol for exchanging synchronization knowledge, i.e. the version information about the files and folders in your environment, between endpoints in your environment. Este protocolo também é utilizado para a troca de metadados sobre os ficheiros e pastas no seu ambiente, tais como os timetamps e as listas de controlo de acesso (ACLs).This protocol is also used to exchange metadata about the files and folders in your environment, such as timestamps and access control lists (ACLs).

Uma vez que a Azure Files oferece acesso direto ao protocolo SMB em ações de ficheiros Azure, os clientes muitas vezes perguntam-se se precisam de configurar uma rede especial para montar as ações de ficheiros Azure com a SMB para o agente Azure File Sync aceder.Because Azure Files offers direct SMB protocol access on Azure file shares, customers often wonder if they need to configure special networking to mount the Azure file shares with SMB for the Azure File Sync agent to access. Isto não só não é necessário, como também é desencorajado, exceto para cenários de administrador, devido à falta de deteção de alterações rápidas nas alterações feitas diretamente à partilha de ficheiros Azure (as alterações podem não ser descobertas por mais de 24 horas, dependendo do tamanho e número de itens na partilha de ficheiros Azure).This is not only not required, but is also discouraged, except for administrator scenarios, due to the lack of quick change detection on changes made directly to the Azure file share (changes may not be discovered for more than 24 hours depending on the size and number of items in the Azure file share). Se desejar utilizar diretamente a partilha de ficheiros Azure, ou seja, não utilizar o Azure File Sync para cache no local, pode saber mais sobre as considerações de networking para acesso direto consultando a visão geral da rede Azure Files.If you desire to use the Azure file share directly, i.e. not use Azure File Sync to cache on-premises, you can learn more about the networking considerations for direct access by consulting Azure Files networking overview.

Embora o Azure File Sync não exija nenhuma configuração especial de rede, alguns clientes podem desejar configurar definições avançadas de rede para permitir os seguintes cenários:Although Azure File Sync does not require any special networking configuration, some customers may wish to configure advanced networking settings to enable the following scenarios:

  • Interoperando com a configuração do servidor proxy da sua organização.Interoperating with your organization's proxy server configuration.
  • Abra a firewall da sua organização no local para os serviços Azure Files e Azure File Sync.Open your organization's on-premises firewall to the Azure Files and Azure File Sync services.
  • Ficheiros Azure do Túnel e Sincronização de Ficheiros Azure sobre ExpressRoute ou uma ligação VPN.Tunnel Azure Files and Azure File Sync over ExpressRoute or a VPN connection.

Configurar servidores de procuraçãoConfiguring proxy servers

Muitas organizações usam um servidor proxy como intermediário entre recursos dentro da sua rede no local e recursos fora da sua rede, como em Azure.Many organizations use a proxy server as an intermediary between resources inside their on-premises network and resources outside their network, such as in Azure. Os servidores proxy são úteis para muitas aplicações, tais como isolamento e segurança de rede, e monitorização e registo.Proxy servers are useful for many applications such as network isolation and security, and monitoring and logging. O Azure File Sync pode interoperar totalmente com um servidor proxy, no entanto deve configurar manualmente as definições de ponto final de procuração para o seu ambiente com Azure File Sync. Isto deve ser feito através do PowerShell utilizando as cmdlets do servidor Azure File Sync.Azure File Sync can interoperate fully with a proxy server, however you must manually configure the proxy endpoint settings for your environment with Azure File Sync. This must be done via PowerShell using the Azure File Sync server cmdlets.

Para obter mais informações sobre como configurar o Azure File Sync com um servidor proxy, consulte Configurar o Azure File Sync com um servidor de procuração.For more information on how to configure Azure File Sync with a proxy server, see Configuring Azure File Sync with a proxy server.

Configurar firewalls e tags de serviçoConfiguring firewalls and service tags

Pode isolar os seus servidores de ficheiros da maioria da localização da Internet para fins de segurança.You may isolate your file servers from most internet location for security purposes. Para utilizar o Azure File Sync no seu ambiente, precisa de ajustar a sua firewall para abri-la para selecionar os serviços Azure.To use Azure File Sync in your environment, you need to adjust your firewall to open it up to select Azure services. Pode fazê-lo recuperando as gamas de endereços IP para os serviços que necessitava através de um mecanismo chamado tags de serviço.You can do this by retrieving the IP address ranges for the services you required through a mechanism called service tags.

O Azure File Sync requer os intervalos de endereços IP para os seguintes serviços, identificados pelas suas etiquetas de serviço:Azure File Sync requires the IP address ranges for the following services, as identified by their service tags:

ServiçoService DescriptionDescription Etiqueta de serviçoService tag
Azure File SyncAzure File Sync O serviço Azure File Sync, representado pelo objeto Storage Sync Service, é responsável pela atividade principal de sincronização de dados entre uma partilha de ficheiros Azure e um servidor de ficheiros Windows.The Azure File Sync service, as represented by the Storage Sync Service object, is responsible for the core activity of syncing data between an Azure file share and a Windows file server. StorageSyncService
Ficheiros do AzureAzure Files Todos os dados sincronizados via Azure File Sync são armazenados na partilha de ficheiros Azure.All data synchronized via Azure File Sync is stored in Azure file share. Os ficheiros alterados nos servidores de ficheiros do Windows são replicados na sua partilha de ficheiros Azure e os ficheiros incluídos no servidor de ficheiros no local são descarregados sem problemas quando um utilizador os solicita.Files changed on your Windows file servers are replicated to your Azure file share, and files tiered on your on-premises file server are seamlessly downloaded when a user requests them. Storage
Azure Resource ManagerAzure Resource Manager O Azure Resource Manager é a interface de gestão do Azure.The Azure Resource Manager is the management interface for Azure. Todas as chamadas de gestão, incluindo o registo do servidor Azure File Sync e as tarefas do servidor de sincronização em curso, são es feitas através do Gestor de Recursos Azure.All management calls, including Azure File Sync server registration and ongoing sync server tasks, are made through the Azure Resource Manager. AzureResourceManager
Azure Active DirectoryAzure Active Directory O Azure Ative Directory, ou Azure AD, contém os principais utilizadores necessários para autorizar o registo do servidor contra um Serviço de Sincronização de Armazenamento, e os principais serviços necessários para que o Azure File Sync seja autorizado a aceder aos seus recursos na nuvem.Azure Active Directory, or Azure AD, contains the user principals required to authorize server registration against a Storage Sync Service, and the service principals required for Azure File Sync to be authorized to access your cloud resources. AzureActiveDirectory

Se estiver a utilizar o Azure File Sync dentro do Azure, mesmo que seja uma região diferente, pode utilizar o nome da etiqueta de serviço diretamente no seu grupo de segurança de rede para permitir o tráfego para esse serviço.If you are using Azure File Sync within Azure, even if its a different region, you can use the name of the service tag directly in your network security group to allow traffic to that service. Para saber mais sobre como fazê-lo, consulte os grupos de segurança da Rede.To learn more about how to do this, see Network security groups.

Se estiver a utilizar o Azure File Sync no local, pode utilizar a marca de serviço API para obter intervalos de endereços IP específicos para a lista de autorizações da sua firewall.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Existem dois métodos para obter esta informação:There are two methods for getting this information:

  • A lista atual de intervalos de endereços IP para todos os serviços Azure que suportam tags de serviço são publicadas semanalmente no Microsoft Download Center sob a forma de um documento JSON.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Cada nuvem Azure tem o seu próprio documento JSON com os intervalos de endereço IP relevantes para essa nuvem:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • A advimento da marca de serviço API (pré-visualização) permite a recuperação programática da lista atual de tags de serviço.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. Na pré-visualização, a a API de descoberta da marca de serviço pode devolver informações menos atuais do que as informações devolvidas dos documentos JSON publicados no Microsoft Download Center.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. Pode utilizar a superfície API com base na sua preferência de automatização:You can use the API surface based on your automation preference:

Para saber mais sobre como utilizar a marca de serviço API para recuperar os endereços dos seus serviços, consulte a lista de permitir endereços IP do Azure File Sync.To learn more about how to use the service tag API to retrieve the addresses of your services, see Allow list for Azure File Sync IP addresses.

Fazer túneis sobre uma rede privada virtual ou ExpressRouteTunneling traffic over a virtual private network or ExpressRoute

Algumas organizações exigem a comunicação com a Azure para passar por um túnel de rede, como uma rede privada virtual privada (VPN) ou ExpressRoute, para uma camada adicional de segurança ou para garantir a comunicação com a Azure segue uma rota determinística.Some organizations require communication with Azure to go over a network tunnel, such as a virtual private private network (VPN) or ExpressRoute, for an additional layer of security or to ensure communication with Azure follows a deterministic route.

Quando estabelece um túnel de rede entre a sua rede no local e o Azure, está a espreitar a sua rede no local com uma ou mais redes virtuais em Azure.When you establish a network tunnel between your on-premises network and Azure, you are peering your on-premises network with one or more virtual networks in Azure. Uma rede virtual, ou VNet, é semelhante a uma rede tradicional que você operaria no local.A virtual network, or VNet, is similar to a traditional network that you'd operate on-premises. Como uma conta de armazenamento Azure ou um VM Azure, um VNet é um recurso Azure que é implantado num grupo de recursos.Like an Azure storage account or an Azure VM, a VNet is an Azure resource that is deployed in a resource group.

Os Ficheiros Azure e o File Sync suportam os seguintes mecanismos para fazer um túnel de tráfego entre os servidores do local e o Azure:Azure Files and File Sync support the following mechanisms to tunnel traffic between your on-premises servers and Azure:

  • Azure VPN Gateway: Um gateway VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego encriptado entre uma rede virtual Azure e uma localização alternativa (como no local) através da internet.Azure VPN Gateway: A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an alternate location (such as on-premises) over the internet. Um Azure VPN Gateway é um recurso Azure que pode ser implantado num grupo de recursos juntamente com uma conta de armazenamento ou outros recursos Azure.An Azure VPN Gateway is an Azure resource that can be deployed in a resource group along side of a storage account or other Azure resources. Uma vez que o Azure File Sync deve ser utilizado com um servidor de ficheiros Windows no local, normalmente utilizaria uma VPN site-to-site (S2S), emboraseja tecnicamente possível utilizar uma VPN ponto-a-local (P2S).Because Azure File Sync is meant to be used with an on-premises Windows file server, you would normally use a Site-to-Site (S2S) VPN, although it is technically possible to use a Point-to-Site (P2S) VPN.

    As ligações VPN site-to-site (S2S) ligam a sua rede virtual Azure e a rede de instalações da sua organização.Site-to-Site (S2S) VPN connections connect your Azure virtual network and your organization's on-premises network. Uma ligação S2S VPN permite-lhe configurar uma ligação VPN uma vez, para um servidor VPN ou dispositivo alojado na rede da sua organização, em vez de fazer para cada dispositivo cliente que precisa aceder à sua partilha de ficheiros Azure.A S2S VPN connection enables you to configure a VPN connection once, for a VPN server or device hosted on your organization's network, rather than doing for every client device that needs to access your Azure file share. Para simplificar a implantação de uma ligação S2S VPN, consulte configurar uma VPN site-to-site (S2S) para utilização com Ficheiros Azure.To simplify the deployment of a S2S VPN connection, see Configure a Site-to-Site (S2S) VPN for use with Azure Files.

  • ExpressRoute,que lhe permite criar uma rota definida entre o Azure e a sua rede no local que não atravessa a internet.ExpressRoute, which enables you to create a defined route between Azure and your on-premises network that doesn't traverse the internet. Uma vez que o ExpressRoute fornece um caminho dedicado entre o datacenter no local e o Azure, o ExpressRoute pode ser útil quando o desempenho da rede é uma consideração.Because ExpressRoute provides a dedicated path between your on-premises datacenter and Azure, ExpressRoute may be useful when network performance is a consideration. O ExpressRoute também é uma boa opção quando a política ou os requisitos regulamentares da sua organização requerem um caminho determinístico para os seus recursos na nuvem.ExpressRoute is also a good option when your organization's policy or regulatory requirements require a deterministic path to your resources in the cloud.

Pontos finais privadosPrivate endpoints

Para além dos pontos finais públicos predefinidos, os Ficheiros Azure e o File Sync fornecem através da conta de armazenamento e do Serviço de Sincronização de Armazenamento, os Ficheiros Azure e o File Sync oferecem a opção de ter um ou mais pontos finais privados por recurso.In addition to the default public endpoints Azure Files and File Sync provide through the storage account and Storage Sync Service, Azure Files and File Sync provides the option to have one or more private endpoints per resource. Quando cria um ponto final privado para um recurso Azure, obtém um endereço IP privado a partir do espaço de endereço da sua rede virtual, tal como o servidor de ficheiros Windows no local tem um endereço IP dentro do espaço de endereço dedicado da sua rede de instalações.When you create a private endpoint for an Azure resource, it gets a private IP address from within the address space of your virtual network, much like how your on-premises Windows file server has an IP address within the dedicated address space of your on-premises network.

Importante

Para utilizar pontos finais privados no recurso Storage Sync Service, tem de utilizar a versão 10.1 ou superior do agente Azure File Sync.In order to use private endpoints on the Storage Sync Service resource, you must use Azure File Sync agent version 10.1 or greater. As versões do agente antes do 10.1 não suportam pontos finais privados no Serviço de Sincronização de Armazenamento.Agent versions prior to 10.1 do not support private endpoints on the Storage Sync Service. Todas as versões anteriores do agente suportam pontos finais privados no recurso da conta de armazenamento.All prior agent versions support private endpoints on the storage account resource.

Um ponto final privado individual está associado a uma sub-rede de rede virtual Azure específica.An individual private endpoint is associated with a specific Azure virtual network subnet. As contas de armazenamento e os Serviços de Sincronização de Armazenamento podem ter pontos finais privados em mais de uma rede virtual.Storage accounts and Storage Sync Services may have private endpoints in more than one virtual network.

A utilização de pontos finais privados permite-lhe:Using private endpoints enables you to:

  • Ligue-se seguramente aos seus recursos Azure a partir de redes no local utilizando uma ligação VPN ou ExpressRoute com o seu olhar privado.Securely connect to your Azure resources from on-premises networks using a VPN or ExpressRoute connection with private-peering.
  • Proteja os seus recursos Azure desativando os pontos finais públicos para ficheiros Azure e File Sync. Por predefinição, a criação de um ponto final privado não bloqueia as ligações ao ponto final público.Secure your Azure resources by disabling the the public endpoints for Azure Files and File Sync. By default, creating a private endpoint does not block connections to the public endpoint.
  • Aumentar a segurança da rede virtual, permitindo-lhe bloquear a exfiltração de dados a partir da rede virtual (e os limites de espreitar).Increase security for the virtual network by enabling you to block exfiltration of data from the virtual network (and peering boundaries).

Para criar um ponto final privado, consulte configurar pontos finais privados para Azure File Sync.To create a private endpoint, see Configuring private endpoints for Azure File Sync.

Pontos finais privados e DNSPrivate endpoints and DNS

Quando cria um ponto final privado, por padrão também criamos uma (ou atualização) de uma zona de DNS privada existente correspondente ao privatelink subdomínio.When you create a private endpoint, by default we also create a (or update an existing) private DNS zone corresponding to the privatelink subdomain. Para as regiões de nuvem pública, estas zonas de DNS são privatelink.file.core.windows.net para Ficheiros Azure e privatelink.afs.azure.net para Azure File Sync.For public cloud regions, these DNS zones are privatelink.file.core.windows.net for Azure Files and privatelink.afs.azure.net for Azure File Sync.

Nota

Este artigo utiliza o sufixo DNS da conta de armazenamento para as regiões públicas do Azure, core.windows.net .This article uses the storage account DNS suffix for the Azure Public regions, core.windows.net. Este comentário também se aplica às nuvens soberanas de Azure, como a nuvem do Governo dos EUA Azure e a nuvem Azure China - basta substituir os sufixos apropriados para o seu ambiente.This commentary also applies to Azure Sovereign clouds such as the Azure US Government cloud and the Azure China cloud - just substitute the the appropriate suffixes for your environment.

Quando cria pontos finais privados para uma conta de armazenamento e um Serviço de Sincronização de Armazenamento, criamos registos A para eles nas respetivas zonas privadas de DNS.When you create private endpoints for a storage account and a Storage Sync Service, we create A records for them in their respective private DNS zones. Também atualizamos a entrada pública de DNS de modo que os nomes de domínio regulares totalmente qualificados são CNAMEs para o nome de privatelink relevante.We also update the public DNS entry such that the regular fully qualified domain names are CNAMEs for the relevant privatelink name. Isto permite que os nomes de domínio totalmente qualificados apontem para o endereço IP do ponto final privado quando o solicitador está dentro da rede virtual e apontar para o endereço IP do ponto final público quando o solicitador estiver fora da rede virtual.This enables the fully qualified domain names to point at the private endpoint IP address(es) when the requester is inside of the virtual network and to point at the public endpoint IP address(es) when the requester is outside of the virtual network.

Para ficheiros Azure, cada ponto final privado tem um único nome de domínio totalmente qualificado, seguindo o padrão storageaccount.privatelink.file.core.windows.net , mapeado para um endereço IP privado para o ponto final privado.For Azure Files, each private endpoint has a single fully qualified domain name, following the pattern storageaccount.privatelink.file.core.windows.net, mapped to one private IP address for the private endpoint. Para o Azure File Sync, cada ponto final privado tem quatro nomes de domínio totalmente qualificados, para os quatro pontos finais diferentes que o Azure File Sync expõe: gestão, sincronização (primária), sincronização (secundária) e monitorização.For Azure File Sync, each private endpoint has four fully qualified domain names, for the four different endpoints that Azure File Sync exposes: management, sync (primary), sync (secondary), and monitoring. Os nomes de domínio totalmente qualificados para estes pontos finais seguirão normalmente o nome do Serviço de Sincronização de Armazenamento, a menos que o nome contenha caracteres não ASCII.The fully qualified domain names for these endpoints will normally follow the the name of the Storage Sync Service unless the name contains non-ASCII characters. Por exemplo, se o seu nome de Serviço de Sincronização de Armazenamento estiver mysyncservice na região oeste dos EUA 2, os pontos finais equivalentes seriam mysyncservicemanagement.westus2.afs.azure.net , e mysyncservicesyncp.westus2.afs.azure.net mysyncservicesyncs.westus2.afs.azure.net mysyncservicemonitoring.westus2.afs.azure.net .For example, if your Storage Sync Service name is mysyncservice in the West US 2 region, the equivalent endpoints would be mysyncservicemanagement.westus2.afs.azure.net, mysyncservicesyncp.westus2.afs.azure.net, mysyncservicesyncs.westus2.afs.azure.net, and mysyncservicemonitoring.westus2.afs.azure.net. Cada ponto final privado de um Serviço de Sincronização de Armazenamento conterá 4 endereços IP distintos.Each private endpoint for a Storage Sync Service will contain 4 distinct IP addresses.

Uma vez que a sua zona de DNS privada Azure está ligada à rede virtual que contém o ponto final privado, pode observar a configuração de DNS quando ligando para o Resolve-DnsName cmdlet do PowerShell num VM Azure (alternadamente nslookup no Windows e Linux):Since your Azure private DNS zone is connected to the virtual network containing the private endpoint, you can observe the DNS configuration when by calling the Resolve-DnsName cmdlet from PowerShell in an Azure VM (alternately nslookup in Windows and Linux):

Resolve-DnsName -Name "storageaccount.file.core.windows.net"

Por exemplo, a conta de armazenamento storageaccount.file.core.windows.net resolve-se com o endereço IP privado do ponto final privado, que por acaso é 192.168.0.4 .For this example, the storage account storageaccount.file.core.windows.net resolves to the private IP address of the private endpoint, which happens to be 192.168.0.4.

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  29    Answer     csostoracct.privatelink.file.core.windows.net
net

Name       : storageaccount.privatelink.file.core.windows.net
QueryType  : A
TTL        : 1769
Section    : Answer
IP4Address : 192.168.0.4


Name                   : privatelink.file.core.windows.net
QueryType              : SOA
TTL                    : 269
Section                : Authority
NameAdministrator      : azureprivatedns-host.microsoft.com
SerialNumber           : 1
TimeToZoneRefresh      : 3600
TimeToZoneFailureRetry : 300
TimeToExpiration       : 2419200
DefaultTTL             : 300

Se executar o mesmo comando a partir do local, verá que o mesmo nome da conta de armazenamento se resolve para o endereço IP público da conta de armazenamento; storageaccount.file.core.windows.net é um registo CNAME para storageaccount.privatelink.file.core.windows.net , que por sua vez é um registo CNAME para o cluster de armazenamento Azure que alberga a conta de armazenamento:If you run the same command from on-premises, you'll see that the same storage account name resolves to the public IP address of the storage account instead; storageaccount.file.core.windows.net is a CNAME record for storageaccount.privatelink.file.core.windows.net, which in turn is a CNAME record for the Azure storage cluster hosting the storage account:

Name                              Type   TTL   Section    NameHost
----                              ----   ---   -------    --------
storageaccount.file.core.windows. CNAME  60    Answer     storageaccount.privatelink.file.core.windows.net
net
storageaccount.privatelink.file.c CNAME  60    Answer     file.par20prdstr01a.store.core.windows.net
ore.windows.net

Name       : file.par20prdstr01a.store.core.windows.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 52.239.194.40

Isto reflete o facto de que os Ficheiros Azure e o Azure File Sync podem expor tanto os seus pontos finais públicos como um ou mais pontos finais privados por recurso.This reflects the fact that the Azure Files and Azure File Sync can expose both their public endpoints and one or more private endpoints per resource. Para garantir que os nomes de domínio totalmente qualificados para os seus recursos se resolvam para os endereços IP privados de pontos finais privados, tem de alterar a configuração nos servidores DNS no local.To ensure that the fully qualified domain names for your resources resolve to the private endpoints private IP addresses, you must change the configuration on your on-premises DNS servers. Isto pode ser realizado de várias maneiras:This can be accomplished in several ways:

  • Modificar o ficheiro de anfitriões nos seus clientes para que os nomes de domínio totalmente qualificados para as suas contas de armazenamento e Serviços de Sincronização de Armazenamento resolvam os endereços IP privados pretendidos.Modifying the hosts file on your clients to make the fully qualified domain names for your storage accounts and Storage Sync Services resolve to the desired private IP addresses. Isto é fortemente desencorajado para ambientes de produção, uma vez que você precisará fazer estas alterações a cada cliente que precisa de aceder aos seus pontos finais privados.This is strongly discouraged for production environments, since you will need make these changes to every client that needs to access your private endpoints. As alterações nos seus pontos finais/recursos privados (supressões, modificações, etc.) não serão manuseadas automaticamente.Changes to your private endpoints/resources (deletions, modifications, etc.) will not be automatically handled.
  • Criar zonas DNS nos seus servidores no local privatelink.file.core.windows.net para e privatelink.afs.azure.net com registos A para os seus recursos Azure.Creating DNS zones on your on-premises servers for privatelink.file.core.windows.net and privatelink.afs.azure.net with A records for your Azure resources. Isto tem a vantagem de que os clientes no seu ambiente no local serão capazes de resolver automaticamente os recursos da Azure sem precisarem de configurar cada cliente, no entanto esta solução é igualmente frágil para modificar o ficheiro dos anfitriões porque as alterações não se refletem.This has the advantage that clients in your on-premises environment will be able to automatically resolve Azure resources without needing to configure each client, however this solution is similarly brittle to modifying the hosts file because changes are not reflected. Embora esta solução seja frágil, pode ser a melhor escolha para alguns ambientes.Although this solution is brittle, it may be the best choice for some environments.
  • Encaminhe as core.windows.net zonas e afs.azure.net zonas dos seus servidores DNS no local para a sua zona de DNS privada Azure.Forward the core.windows.net and afs.azure.net zones from your on-premises DNS servers to your Azure private DNS zone. O anfitrião DNS privado Azure pode ser alcançado através de um endereço IP especial ( 168.63.129.16 ) que só é acessível dentro de redes virtuais que estão ligadas à zona privada de DNS Azure.The Azure private DNS host can be reached through a special IP address (168.63.129.16) that is only accessible inside virtual networks that are linked to the Azure private DNS zone. Para contornar esta limitação, pode executar servidores DNS adicionais dentro da sua rede virtual que irão encaminhar core.windows.net e passar para as afs.azure.net zonas de DNS privadas equivalentes do Azure.To workaround this limitation, you can run additional DNS servers within your virtual network that will forward core.windows.net and afs.azure.net on to the equivalent Azure private DNS zones. Para simplificar esta configuração, fornecemos cmdlets PowerShell que irão implantar automaticamente servidores DNS na sua rede virtual Azure e configurá-los conforme desejado.To simplify this set up, we have provided PowerShell cmdlets that will auto-deploy DNS servers in your Azure virtual network and configure them as desired. Para aprender a configurar o reencaminhamento de DNS, consulte configurar DNS com Ficheiros Azure.To learn how to set up DNS forwarding, see Configuring DNS with Azure Files.

Encriptação em trânsitoEncryption in-transit

As ligações efetuadas do agente Azure File Sync à sua partilha de ficheiros Azure ou ao Serviço de Sincronização de Armazenamento estão sempre encriptadas.Connections made from the Azure File Sync agent to your Azure file share or Storage Sync Service are always encrypted. Embora as contas de armazenamento do Azure tenham uma definição para desativar a encriptação necessária em trânsito para comunicações para ficheiros Azure (e os outros serviços de armazenamento Azure que são geridos fora da conta de armazenamento), a desativação desta definição não afetará a encriptação do Azure File Sync ao comunicar com os Ficheiros Azure.Although Azure storage accounts have a setting to disable requiring encryption in transit for communications to Azure Files (and the other Azure storage services that are managed out of the storage account), disabling this setting will not affect Azure File Sync's encryption when communicating with the Azure Files. Por padrão, todas as contas de armazenamento Azure têm encriptação em trânsito ativada.By default, all Azure storage accounts have encryption in transit enabled.

Para obter mais informações sobre encriptação em trânsito, consulte a necessidade de transferência segura no armazenamento Azure.For more information about encryption in transit, see requiring secure transfer in Azure storage.

Ver tambémSee also