Usare condivisioni file di Azure in un ambiente ibrido

Microsoft Entra ID
File di Azure

Questa architettura illustra come includere condivisioni file di Azure nell'ambiente ibrido. Le condivisioni file di Azure vengono usate come condivisioni file serverless. Integrandoli con Dominio di Active Directory Services (AD DS), è possibile controllare e limitare l'accesso agli utenti di Active Directory Domain Services. Le condivisioni file di Azure possono quindi sostituire i file server tradizionali.

Architettura

Diagramma dell'architettura delle condivisioni file di Azure che illustra come i client possono accedere alla condivisione file di Azure direttamente sulla porta TCP 445 (SMB 3.0) o stabilendo prima la connessione VPN.

Scaricare un file di Visio di questa architettura.

Workflow

Questa architettura è costituita dai componenti seguenti:

  • Tenant di Microsoft Entra. Questo componente è un'istanza di Microsoft Entra creata dall'organizzazione. Funge da servizio directory per le applicazioni cloud archiviando gli oggetti copiati dalla Active Directory locale. Fornisce anche servizi di gestione delle identità quando si accede alle condivisioni file di Azure.
  • Server di Active Directory Domain Services. Questo componente è una directory locale e un servizio di identità. La directory di Active Directory Domain Services viene sincronizzata con Microsoft Entra ID per consentire l'autenticazione degli utenti locali.
  • Server di sincronizzazione Microsoft Entra Connect. Questo componente è un server locale che esegue il servizio di sincronizzazione Microsoft Entra Connect. Questo servizio sincronizza le informazioni contenute nella Active Directory locale con Microsoft Entra ID.
  • Gateway di rete virtuale. Questo componente facoltativo viene usato per inviare traffico crittografato tra un Rete virtuale di Azure e una posizione locale tramite Internet.
  • Condivisioni file di Azure. Le condivisioni file di Azure offrono spazio di archiviazione per file e cartelle a cui è possibile accedere tramite i protocolli SMB (Server Message Block), Network File System (NFS) e Hypertext Transfer Protocol (HTTP). Le condivisioni file vengono distribuite in account di archiviazione di Azure.
  • Insieme di credenziali di Servizi di ripristino. Questo componente facoltativo fornisce il backup delle condivisioni file di Azure.
  • Client. Questi componenti sono computer membri di Active Directory Domain Services, da cui gli utenti possono accedere alle condivisioni file di Azure.

Componenti

Tecnologie chiave usate per implementare questa architettura:

  • Microsoft Entra ID è un servizio di gestione delle identità aziendale che fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale.
  • File di Azure offre condivisioni file completamente gestite nel cloud accessibili usando i protocolli standard del settore.
  • Gateway VPN Gateway VPN invia traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico.

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

  • Sostituire o integrare file server locali. File di Azure può sostituire completamente o integrare i file server locali tradizionali o i dispositivi di archiviazione collegati alla rete. Con le condivisioni file di Azure e l'autenticazione di Active Directory Domain Services, è possibile eseguire la migrazione dei dati a File di Azure. Questa migrazione può sfruttare la disponibilità elevata e la scalabilità riducendo al minimo le modifiche dei client.
  • Lift-and-Shift. File di Azure semplifica il trasferimento in modalità lift-and-shift delle applicazioni che prevedono una condivisione file per archiviare i dati dell'applicazione o dell'utente nel cloud.
  • Backup e ripristino di emergenza. È possibile usare File di Azure come risorsa di archiviazione per i backup o per il ripristino di emergenza per migliorare la continuità aziendale. È possibile usare File di Azure per eseguire il backup dei dati dai file server esistenti mantenendo gli elenchi di controllo di accesso discrezionali di Windows configurati. I dati archiviati in condivisioni file di Azure non sono interessati da situazioni di emergenza che potrebbero riguardare le posizioni locali.
  • Sincronizzazione file di Azure. Con Sincronizzazione file di Azure, le condivisioni file di Azure possono essere replicate in Windows Server, in locale o nel cloud. Questa replica migliora le prestazioni e distribuisce la memorizzazione nella cache dei dati in cui viene usata.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Usare account di archiviazione per utilizzo generico v2 (GPv2) o FileStorage per le condivisioni file di Azure

È possibile creare una condivisione file di Azure in vari account di archiviazione. Sebbene gli account di archiviazione per utilizzo generico v1 (GPv1) e classico possano contenere condivisioni file di Azure, la maggior parte delle nuove funzionalità di File di Azure sono disponibili solo negli account di archiviazione GPv2 e FileStorage. Mentre una condivisione file di Azure archivia i dati degli account di archiviazione per utilizzo generico v2 su hardware basato su unità disco rigido (basato su HDD), archivia i dati degli account di archiviazione FileStorage su hardware basato su unità SSD. Per altre informazioni, vedere Creare una condivisione file Azure.

Creare condivisioni file di Azure negli account di archiviazione che contengono solo condivisioni file di Azure

Gli account di archiviazione consentono di usare servizi di archiviazione diversi nello stesso account di archiviazione. Questi servizi di archiviazione includono condivisioni file di Azure, contenitori BLOB e tabelle. Tutti i servizi di archiviazione in un singolo account di archiviazione condividono gli stessi limiti dell'account di archiviazione. La combinazione di servizi di archiviazione nello stesso account di archiviazione rende più difficile risolvere i problemi di prestazioni.

Nota

Distribuire ogni condivisione file di Azure nel proprio account di archiviazione separato, se possibile. Se più condivisioni file di Azure vengono distribuite nello stesso account di archiviazione, condividono tutti i limiti dell'account di archiviazione.

Usare condivisioni file Premium per carichi di lavoro che richiedono una velocità effettiva elevata

Le condivisioni file Premium vengono distribuite agli account di archiviazione FileStorage e vengono archiviate su hardware basato su unità SSD. Questa configurazione li rende adatti per l'archiviazione e l'accesso ai dati che richiedono prestazioni coerenti, velocità effettiva elevata e bassa latenza. Ad esempio, queste condivisioni file Premium funzionano bene con i database. È possibile archiviare altri carichi di lavoro meno sensibili alla variabilità delle prestazioni nelle condivisioni file standard. Questi tipi di carico di lavoro includono condivisioni file per utilizzo generico e ambienti di sviluppo/test. Per altre informazioni, vedere Come creare una condivisione file di Azure.

Richiedere sempre la crittografia quando si accede alle condivisioni file di Azure SMB

Usare sempre la crittografia in transito quando si accede ai dati nelle condivisioni file di Azure SMB. La crittografia in transito è abilitata per impostazione predefinita. File di Azure consentirà la connessione solo se viene stabilita con un protocollo che usa la crittografia, ad esempio SMB 3.0. I client che non supportano SMB 3.0 non potranno montare la condivisione file di Azure se è necessaria la crittografia in transito.

Usare VPN se la porta usata da SMB (porta 445) è bloccata

Molti provider di servizi Internet bloccano la porta TCP (Transmission Control Protocol) 445, usata per accedere alle condivisioni file di Azure. Se non è possibile sbloccare la porta TCP 445 , è possibile accedere alle condivisioni file di Azure tramite una connessione ExpressRoute o una rete privata virtuale (VPN) (da sito a sito o da punto a sito) per evitare il blocco del traffico. Per altre informazioni, vedere Configurare una VPN da punto a sito (P2S) in Windows per l'uso con File di Azure e Configurare una VPN da sito a sito da usare con File di Azure.

Prendere in considerazione l'uso di Sincronizzazione file di Azure con le condivisioni file di Azure

Il servizio Sincronizzazione file di Azure consente di memorizzare nella cache le condivisioni file di Azure in un file server Windows Server locale. Quando si abilita la suddivisione in livelli nel cloud, Sincronizzazione file garantisce che un file server disponga sempre di spazio disponibile, anche perché rende disponibili più file rispetto a quelli che un file server potrebbe archiviare localmente. Se si dispone di file server Windows Server locali, è consigliabile integrare file server con condivisioni file di Azure usando Sincronizzazione file di Azure. Per altre informazioni, vedere Pianificazione di una distribuzione Sincronizzazione file di Azure.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Scalabilità

  • Le dimensioni della condivisione file di Azure sono limitate a 100 tebibyte (TiB). Non sono previste dimensioni minime di condivisione file e nessun limite per il numero di condivisioni file di Azure.
  • La dimensione massima di un file in una condivisione file è 1 TiB e non esiste alcun limite per il numero di file in una condivisione file.
  • I limiti di operazioni di I/O al secondo e velocità effettiva sono per account di archiviazione di Azure e vengono condivisi tra condivisioni file di Azure nello stesso account di archiviazione.

Per altre informazioni, vedere Obiettivi di scalabilità e prestazioni per File di Azure.

Disponibilità

Nota

Un account di archiviazione di Azure è la risorsa padre per le condivisioni file di Azure. La condivisione file di Azure ha il livello di ridondanza fornito dall'account di archiviazione che contiene la condivisione.

  • Le condivisioni file di Azure supportano attualmente le opzioni di ridondanza dei dati seguenti:
    • Archiviazione con ridondanza locale (LRS). I dati vengono copiati in modo sincrono per tre volte all'interno di un'unica posizione fisica nell'area primaria. Questa procedura protegge dalla perdita di dati a causa di errori hardware, ad esempio un'unità disco non valida.
    • Archiviazione con ridondanza della zona (ZRS). I dati vengono copiati in modo sincrono in tre zone di disponibilità di Azure nell'area primaria. Le zone di disponibilità sono località fisiche esclusive all'interno di un'area di Azure. Ogni zona è costituita da uno o più data center dotati di impianti indipendenti per l'alimentazione, il raffreddamento e la connettività di rete.
    • Archiviazione con ridondanza geografica (GRS). I dati vengono copiati in modo sincrono tre volte all'interno di una singola posizione fisica nell'area primaria usando l'archiviazione con ridondanza locale. I dati vengono quindi copiati in modo asincrono in una singola posizione fisica nell'area secondaria. L'archiviazione con ridondanza geografica fornisce sei copie dei dati distribuiti tra due aree di Azure.
    • Archiviazione con ridondanza geografica della zona .GZRS. I dati vengono copiati in modo sincrono in tre zone di disponibilità di Azure nell'area primaria usando l'archiviazione con ridondanza della zona. I dati vengono quindi copiati in modo asincrono in una singola posizione fisica nell'area secondaria.
  • Le condivisioni file Premium possono essere archiviate solo nell'archiviazione con ridondanza locale e nell'archiviazione con ridondanza della zona. Le condivisioni file standard possono essere archiviate in archiviazione con ridondanza locale, archiviazione con ridondanza geografica e archiviazione con ridondanza geografica della zona. Per altre informazioni, vedere Pianificazione di una distribuzione File di Azure e ridondanza Archiviazione di Azure.
  • File di Azure è un servizio cloud e, come per tutti i servizi cloud, è necessario disporre della connettività Internet per accedere alle condivisioni file di Azure. È consigliabile evitare interruzioni di una soluzione di connessione Internet ridondante.

Gestione

  • È possibile gestire condivisioni file di Azure usando gli stessi strumenti di qualsiasi altro servizio di Azure. Questi strumenti includono portale di Azure, interfaccia della riga di comando di Azure e Azure PowerShell.
  • Le condivisioni file di Azure applicano le autorizzazioni standard per i file di Windows. È possibile configurare le autorizzazioni a livello di directory o file montando una condivisione file di Azure e configurando le autorizzazioni usando Esplora file, il comando di Windows icacls.exe o il cmdlet Set-Acl di Windows PowerShell.
  • È possibile usare lo snapshot della condivisione file di Azure per creare una copia temporizzato e di sola lettura dei dati della condivisione file di Azure. Lo snapshot di condivisione viene creato a livello della condivisione file. È quindi possibile ripristinare singoli file nel portale di Azure o in Esplora file, dove è anche possibile ripristinare un'intera condivisione. È possibile creare fino a 200 snapshot per condivisione, in modo da poter ripristinare i file in diverse versioni temporizzate. Se si elimina una condivisione, vengono eliminati anche i relativi snapshot. Gli snapshot di condivisione sono incrementali. Vengono salvati solo i dati modificati dopo il salvataggio più recente dello snapshot di condivisione. Questa procedura riduce al minimo il tempo necessario per creare lo snapshot di condivisione e consente di risparmiare sui costi di archiviazione. Gli snapshot di condivisione file di Azure vengono usati anche quando si proteggono le condivisioni file di Azure con Backup di Azure. Per altre informazioni, vedere Panoramica degli snapshot di condivisione per File di Azure.
  • È possibile impedire l'eliminazione accidentale delle condivisioni file di Azure abilitando l'eliminazione temporanea per le condivisioni file. Se si elimina una condivisione file quando è abilitata un'eliminazione temporanea, la condivisione file passa a uno stato eliminato temporaneamente anziché essere cancellata definitivamente. È possibile configurare la quantità di tempo di recupero dei dati eliminati temporaneamente prima dell'eliminazione definitiva e del ripristino della condivisione in qualsiasi momento durante questo periodo di conservazione. Per altre informazioni, vedere Abilitare l'eliminazione temporanea nelle condivisioni file di Azure.

Nota

Backup di Azure abilita l'eliminazione temporanea per tutte le condivisioni file nell'account di archiviazione quando si configura il backup per la prima condivisione file di Azure nel rispettivo account di archiviazione.

Nota

Le condivisioni file Standard e Premium vengono fatturate in base alla capacità usata quando viene eliminata temporanea, anziché la capacità di cui è stato effettuato il provisioning.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

  • Usare l'autenticazione di Active Directory Domain Services tramite SMB per accedere alle condivisioni file di Azure. Questa configurazione offre la stessa esperienza di accesso Single Sign-On (SSO) facile quando si accede alle condivisioni file di Azure come l'accesso alle condivisioni file locali. Per altre informazioni, vedere Come funziona e procedure di abilitazione delle funzionalità. Il client deve essere aggiunto a un dominio ad Active Directory Domain Services, perché l'autenticazione viene comunque eseguita dal controller di dominio di Active Directory Domain Services. Inoltre, è necessario assegnare autorizzazioni a livello di condivisione e a livello di file/directory per ottenere l'accesso ai dati. L'assegnazione delle autorizzazioni a livello di condivisione passa attraverso il modello controllo degli accessi in base al ruolo di Azure. L'autorizzazione a livello di file/directory viene gestita come ACL di Windows.

    Nota

    L'accesso alle condivisioni file di Azure viene sempre autenticato. Le condivisioni file di Azure non supportano l'accesso anonimo. Oltre all'autenticazione basata su identità tramite SMB, gli utenti possono eseguire l'autenticazione nella condivisione file di Azure anche usando la chiave di accesso alle risorse di archiviazione e la firma di accesso condiviso.

  • Tutti i dati archiviati nella condivisione file di Azure vengono crittografati inattivi usando la crittografia del servizio di archiviazione di Azure. SSE funziona in modo analogo alla crittografia unità BitLocker in Windows, in cui i dati vengono crittografati al di sotto del livello del file system. Per impostazione predefinita, i dati archiviati in File di Azure vengono crittografati con chiavi gestite da Microsoft. Con le chiavi gestite da Microsoft, Microsoft gestisce le chiavi per crittografare/decrittografare i dati e gestisce regolarmente la rotazione. È anche possibile scegliere di gestire le proprie chiavi, in modo da controllare manualmente il processo di rotazione.

  • Per impostazione predefinita, per tutti gli account di archiviazione di Azure è abilitata la crittografia in transito. Questa configurazione significa che tutte le comunicazioni con le condivisioni file di Azure vengono crittografate. I client che non supportano la crittografia non possono connettersi alle condivisioni file di Azure. Se si disabilita la crittografia in transito, i client che eseguono sistemi operativi meno recenti, ad esempio Windows Server 2008 R2 o Linux meno recenti, possono connettersi. In questi casi, i dati non vengono crittografati in transito dalle condivisioni file di Azure.

  • Per impostazione predefinita, i client possono connettersi alla condivisione file di Azure da qualsiasi posizione. Per limitare le reti da cui i client possono connettersi alle condivisioni file di Azure, configurare le connessioni firewall, reti virtuali e endpoint privati. Per altre informazioni, vedere Configurare Archiviazione di Azure firewall e reti virtuali e Configurare File di Azure endpoint di rete.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro dell'ottimizzazione dei costi e Informazioni sulla fatturazione File di Azure.

  • File di Azure ha due livelli di archiviazione e due modelli tariffari:
    • Archiviazione Standard: usa l'archiviazione basata su HDD. Non sono presenti dimensioni minime di condivisione file e si paga solo per lo spazio di archiviazione usato. Si paga anche per le operazioni sui file, ad esempio l'enumerazione di una directory o la lettura di un file.
    • Archiviazione Premium: usa l'archiviazione basata su SSD. La dimensione minima per una condivisione file Premium è di 100 gibibyte e si paga per ogni spazio di archiviazione con provisioning. Quando si usa l'archiviazione Premium, tutte le operazioni su file sono gratuite.
  • I costi aggiuntivi sono associati agli snapshot di condivisione file e ai trasferimenti di dati in uscita. Quando si trasferisce dati da condivisioni file di Azure, il trasferimento dei dati in ingresso è gratuito. I costi di trasferimento dei dati dipendono dalla quantità di dati trasferiti e dall'unità di mantenimento delle scorte (SKU) del gateway di rete virtuale, se ne viene usata una. Per altre informazioni sui costi, vedere File di Azure Pricing and Azure Pricing calculator (Prezzi di Azure e calcolatore prezzi di Azure). Il costo effettivo varia in base all'area di Azure e al singolo contratto. Per altre informazioni sui prezzi, rivolgiti a un rappresentante Microsoft.

Passaggi successivi

Altre informazioni sulle tecnologie dei componenti:

Esplorare le architetture correlate: