Cette architecture montre une façon de fournir des partages de fichiers dans le cloud aux utilisateurs et applications locaux qui accèdent aux fichiers sur Windows Server via un point de terminaison privé.
Architecture
Téléchargez un fichier Visio de cette architecture.
Workflow
Cette solution synchronise l’instance AD DS locale et l’instance Microsoft Entra ID basée sur le cloud. La synchronisation améliore la productivité des utilisateurs en leur fournissant une identité commune pour accéder aux ressources cloud et locales.
Microsoft Entra Connect est l’application Microsoft locale qui effectue la synchronisation. Pour obtenir plus d’informations sur Microsoft Entra Connect, consultez Qu’est-ce que Microsoft Entra Connect ? et Synchronisation Microsoft Entra Connect : comprendre et personnaliser la synchronisation.
Le Réseau virtuel Azure fournit un réseau privé dans le cloud. Pour cette solution, il a au moins deux sous-réseaux, un pour Azure DNS et un pour un point de terminaison privé pour accéder au partage de fichiers.
Un VPN ou Azure ExpressRoute fournit des connexions sécurisées entre le réseau local et le réseau virtuel dans le cloud. Si vous utilisez un VPN, créez une passerelle à l’aide de la passerelle VPN Azure. Si vous utilisez ExpressRoute, créez une passerelle de réseau virtuel ExpressRoute. Pour plus d’informations, consultez Qu’est-ce qu’une passerelle VPN ? et À propos des passerelles de réseau virtuel ExpressRoute.
Azure Files fournit un partage de fichiers dans le cloud. Ceci nécessite un compte Stockage Azure. Pour plus d’informations sur les partages de fichiers, consultez Qu’est-ce qu’Azure Files ?.
Un point de terminaison privé permet d’accéder au partage de fichiers. Un point de terminaison privé est semblable à une carte d’interface réseau à l’intérieur d’un sous-réseau qui se connecte à un service Azure. Dans ce cas, le service est le partage de fichiers. Pour plus d’informations sur les points de terminaison privés, consultez Utiliser des points de terminaison privés pour Stockage Azure.
Le serveur DNS local résout les adresses IP. Toutefois, Azure DNS résout le nom de domaine complet (FQDN) du partage de fichiers Azure. Toutes les requêtes DNS adressées à Azure DNS proviennent du réseau virtuel. Un proxy DNS dans le réseau virtuel achemine ces requêtes vers Azure DNS. Pour plus d’informations, consultez Charges de travail locales à l’aide d’un redirecteur DNS.
Vous pouvez fournir le proxy DNS sur un serveur Windows ou Linux, ou utiliser le Pare-feu Azure. Pour plus d’informations sur l’option du Pare-feu Azure, qui présente l’avantage de ne pas avoir à gérer un ordinateur virtuel, consultez Paramètres DNS du Pare-feu Azure.
Le serveur DNS local est configurée pour transférer le trafic DNS vers Azure DNS via un redirecteur conditionnel. Vous trouverez également des informations sur le transfert conditionnel dans Charges de travail locales à l’aide d’un redirecteur DNS.
L’instance AD DS locale authentifie l’accès au partage de fichiers. Il s’agit d’un processus en quatre étapes, comme décrit dans Première partie : activer l’authentification AD DS pour vos partages de fichiers Azure
Components
- Stockage Azure est un ensemble de services cloud hautement évolutifs et sécurisés pour les données, les applications et les charges de travail. Il comprend Azure Files, Stockage Table Azure et Stockage File d’attente Azure.
- Azure Files offre des partages de fichiers complètement managés dans un compte Stockage Azure. Les fichiers sont accessibles depuis le cloud ou localement. Les déploiements de Windows, Linux et macOS peuvent monter des partages de fichiers Azure simultanément. L’accès aux fichiers utilise le protocole SMB (Server Message Block) standard du secteur.
- Le réseau virtuel Azure est le composant fondamental pour vos réseaux privés dans Azure. Il fournit l’environnement pour les ressources Azure, telles que les machines virtuelles, pour communiquer en toute sécurité entre eux, avec Internet et avec des réseaux locaux.
- Azure ExpressRoute étend les réseaux locaux au cloud Microsoft via une connexion privée.
- La passerelle VPN Azure connecte des réseaux locaux à Azure via des VPN de site à site, à peu près de la même façon que vous vous connectez à une succursale distante. La connectivité est sécurisée et utilise les protocoles standard IPsec (Internet Protocol Security) et IKE (Internet Key Exchange).
- Azure Private Link fournit une connectivité privée entre un réseau virtuel et la plateforme Azure en tant que service (PaaS), appartenant à un client ou à des services partenaires Microsoft. Il simplifie l’architecture réseau et sécurise la connexion entre les points de terminaison dans Azure en éliminant l’exposition des données à l’internet public.
- Un point de terminaison privé est une interface réseau qui utilise une adresse IP privée de votre réseau virtuel. Vous pouvez utiliser des points de terminaison privés pour vos comptes Stockage Azure afin de permettre aux clients d’un réseau virtuel d’accéder aux données via une liaison privée.
- Le Pare-feu Azure est un service de sécurité réseau cloud managé qui protège vos ressources de réseau virtuel Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Vous pouvez configurer le Pare-feu Azure pour qu’il agisse comme proxy DNS. Un proxy DNS est un intermédiaire pour les requêtes DNS entre des machines virtuelles clientes et un serveur DNS.
Détails du scénario
Considérez le scénario courant suivant : un ordinateur local exécutant Windows Server est utilisé pour fournir des partages de fichiers pour les utilisateurs et les applications. services de domaine Active Directory (AD DS) est utilisé pour sécuriser les fichiers, et un serveur DNS local gère les ressources réseau. Tout fonctionne au sein du même réseau privé.
Supposons maintenant que vous devez étendre des partages de fichiers au cloud.
L’architecture décrite ici montre comment Azure peut répondre à ce besoin de manière économique tout en maintenant l’utilisation de votre réseau local, AD DS et DNS.
Dans cette configuration, Azure Files est utilisé pour héberger les partages de fichiers. Un VPN de site à site ou Azure ExpressRoute fournit des connexions de sécurité améliorées entre le réseau local et Azure Réseau virtuel. Les utilisateurs et les applications accèdent aux fichiers via ces connexions. Microsoft Entra ID et Azure DNS fonctionnent conjointement avec AD DS et DNS locaux pour garantir un accès sécurisé.
En résumé, si ce scénario s’applique à vous, vous pouvez fournir des partages de fichiers basés sur le cloud à vos utilisateurs locaux à faible coût tout en conservant un accès amélioré à la sécurité via votre infrastructure AD DS et DNS existante.
Cas d’usage potentiels
- Le serveur de fichiers est migré vers le cloud, mais les utilisateurs doivent rester au niveau local.
- Les applications migrées vers le cloud doivent accéder à des fichiers locaux, ainsi qu’à des fichiers migrés vers le cloud.
- Vous devez réduire les coûts en déplaçant le stockage de fichiers vers le cloud.
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
Fiabilité
La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.
- Stockage Azure stocke toujours plusieurs copies de vos données dans la même zone afin qu’elles soient protégées contre les interruptions planifiées ou non. Il existe des options pour créer des copies supplémentaires dans d’autres zones ou régions. Pour plus d’informations, consultez Redondance de Stockage Azure.
- Le Pare-feu Azure offre une haute disponibilité intégrée. Pour plus d’informations, consultez Fonctionnalités du Pare-feu Azure Standard.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.
Ces articles contiennent des informations de sécurité pour les composants Azure :
- Base de référence de sécurité Azure pour le service Stockage Azure
- Base de référence de sécurité Azure pour Azure Private Link
- Ligne de base de sécurité Azure pour les réseaux virtuels
- Base de référence de sécurité Azure pour Pare-feu Azure
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.
Pour estimer le coût des produits et configurations Azure, consultez la calculatrice de prix Azure.
Ces articles contiennent des informations tarifaires pour les composants Azure :
- Tarification Azure Files
- Tarification d’Azure Private Link
- Tarification du réseau virtuel
- Tarification de Pare-feu Azure
Efficacité des performances
L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Pour plus d’informations, consultez Vue d’ensemble du pilier d’efficacité des performances.
- Vos comptes Stockage Azure contiennent tous vos objets de données Stockage Azure, y compris les partages de fichiers. Un compte de stockage fournit pour ses données un espace de noms unique, accessible de n’importe où dans le monde par le biais du protocole HTTP ou HTTPS. Pour cette architecture, votre compte de stockage contient les partages de fichiers fournis par Azure Files. Pour profiter des meilleures performances, nous vous recommandons de suivre ce qui suit :
- Ne placez pas de bases de données, d’objets blob, etc. dans des comptes de stockage incluant des partages de fichiers.
- N’utilisez pas plusieurs partages de fichiers très actif par compte de stockage. Vous pouvez regrouper les partages de fichiers qui sont moins actifs dans le même compte de stockage.
- Si votre charge de travail nécessite une grande quantité d'IOPS, des vitesses de transfert de données extrêmement élevées ou une latence très faible, vous devez opter pour des comptes de stockage premium (FileStorage). Un compte v2 standard à usage général convient à la plupart des charges de travail liées au partage de fichiers SMB. Pour plus d’informations sur la scalabilité et les performances des partages de fichiers, consultez Objectifs de performance et d’extensibilité d’Azure Files.
- N'utilisez pas un compte de stockage v1 universel, car il est dépourvu de fonctionnalités importantes. Passez plutôt à un compte de stockage v2 universel. Les types de comptes de stockage sont décrits dans Vue d’ensemble du compte de stockage.
- Soyez attentif à la taille, à la vitesse et aux autres limitations. Consultez Abonnement Azure et limites, quotas et contraintes du service.
- Il y a peu de choses que vous puissiez faire pour améliorer les performances des composants hors stockage, sauf pour vérifier que votre déploiement respecte les limites, quotas et contraintes décrits dans Abonnement Azure et limites, quotas et contraintes de service.
- Pour plus d’informations sur la scalabilité des composants Azure, consultez Abonnement Azure et limites, quotas et contraintes de service.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Rudnei Oliveira | Ingénieur principal en sécurité Azure
Étapes suivantes
- Démarrage rapide : Créer un réseau virtuel au moyen du portail Azure
- Qu’est-ce qu’une passerelle VPN ?
- Tutoriel : Créer et gérer une passerelle VPN à l’aide du portail Azure
- Partage de fichiers cloud Azure en entreprise
- Concepts et meilleures pratiques relatifs au Réseau virtuel Azure
- Planification d’un déploiement Azure Files
- Utiliser des points de terminaison privés pour Stockage Azure
- Configuration DNS des points de terminaison privés Azure
- Paramètres DNS du Pare-feu Azure
- Comparer les services de domaine Active Directory autogérés, l’ID Microsoft Entra et les services de domaine Microsoft Entra gérés