Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode implantar os Arquivos do Azure de duas maneiras principais: montando diretamente os compartilhamentos de arquivos do Azure sem servidor ou armazenando em cache os compartilhamentos de arquivos locais usando a Sincronização de Arquivos do Azure. As considerações de implantação diferem com base na opção escolhida.
Montagem direta de um compartilhamento de arquivos do Azure: como os Arquivos do Azure fornecem acesso SMB (Server Message Block) ou NFS (Network File System), você pode montar compartilhamentos de arquivos do Azure no local ou na nuvem usando os clientes SMB ou NFS padrão disponíveis em seu sistema operacional. Como os compartilhamentos de arquivos do Azure não têm servidor, a implantação para cenários de produção não requer o gerenciamento de um servidor de arquivos ou dispositivo NAS. Isso significa que você não precisa aplicar patches de software ou trocar discos físicos. Você pode optar por usar compartilhamentos de arquivos clássicos do Azure ou Microsoft.FileShares (visualização) como seu modelo de gerenciamento.
Armazenar em cache partilhas de ficheiros do Azure no local com a Sincronização de Ficheiros do Azure: a Sincronização de Ficheiros do Azure permite-lhe centralizar as partilhas de ficheiros da sua organização nos Ficheiros do Azure, mantendo a flexibilidade, o desempenho e a compatibilidade de um servidor de ficheiros no local. O Azure File Sync transforma um Windows Server local (ou na nuvem) em um cache rápido do seu compartilhamento de arquivos SMB Azure.
Este artigo aborda principalmente as considerações de implantação para implantar um compartilhamento de arquivos do Azure a ser montado diretamente por um cliente local ou na nuvem. Para planejar uma implantação do Azure File Sync, consulte Planejando uma implantação do Azure File Sync.
Conceitos de gestão
No Azure, um recurso é um item gerenciável que você cria e configura em suas assinaturas e grupos de recursos do Azure. Os recursos são oferecidos por provedores de recursos, que são serviços de gerenciamento que fornecem tipos específicos de recursos. Embora você possa trabalhar com muitos recursos para implantar uma carga de trabalho no Azure, o Azure Files se concentra em dois recursos principais:
Contas de armazenamento, oferecidas pelo provedor de
Microsoft.Storagerecursos. As contas de armazenamento são recursos de nível superior que representam um pool compartilhado de armazenamento, IOPS e taxa de transferência no qual você pode implantar compartilhamentos de arquivos clássicos ou outros recursos de armazenamento, dependendo do tipo de conta de armazenamento. Todos os recursos de armazenamento implantados em uma conta de armazenamento compartilham os limites que se aplicam a essa conta de armazenamento. Os compartilhamentos de arquivos clássicos suportam os protocolos de compartilhamento de arquivos SMB e NFS.Compartilhamentos de arquivos (visualização), oferecidos pelo provedor de
Microsoft.FileSharesrecursos. As partilhas de ficheiros são um novo recurso de topo que simplifica a implementação do Azure Files ao eliminar a necessidade de uma conta de armazenamento. Ao contrário das partilhas de ficheiros clássicas, que têm de ser implementadas numa conta de armazenamento, as partilhas de ficheiros são implementadas diretamente no grupo de recursos, tal como as próprias contas de armazenamento, ou outros recursos Azure como máquinas virtuais, discos ou redes virtuais. Atualmente,Microsoft.FileSharesapenas suporta o protocolo de partilha de ficheiros NFS. Se precisares de SMB, escolhe partilhas de ficheiros clássicas.
Este vídeo fornece uma visão geral abrangente das diferenças entre a conta de armazenamento e os modelos de gerenciamento de compartilhamento de arquivos:
Compartilhamentos de arquivos clássicos (Microsoft.Storage)
Os compartilhamentos de arquivos clássicos, ou compartilhamentos de arquivos implantados em contas de armazenamento, são a maneira tradicional de implantar compartilhamentos de arquivos para Arquivos do Azure. Suportam todas as principais funcionalidades suportadas pelos Ficheiros do Azure, incluindo níveis de multimédia SMB e NFS, SSD e HDD, todos os tipos de redundância e em todas as regiões. Embora os compartilhamentos de arquivos clássicos ofereçam suporte a toda a amplitude dos recursos do Azure Files, eles têm limitações importantes de chave:
Planeamento de capacidade: As partilhas de ficheiros clássicas e os objetos filhos, como os containers de blob que estão na mesma conta de armazenamento, partilham um pool comum de armazenamento, IOPS e throughput. Isso significa que colocar vários compartilhamentos de arquivos clássicos em uma conta de armazenamento requer planejamento para evitar gargalos de capacidade. Ao planear partilhas de ficheiros clássicas, deve considerar tanto as necessidades atuais como futuras de cada partilha clássica colocada numa conta de armazenamento, pois o crescimento de uma partilha clássica pode afastar outras partilhas de ficheiros.
Definições partilhadas: Muitas definições importantes, como regras de rede e segurança, são aplicadas ao nível da conta de armazenamento. Como resultado, colocar partilhas de ficheiros clássicos na mesma conta de armazenamento requer uma consideração cuidadosa. Você deve considerar a conta de armazenamento como um limite de confiança e só colocar compartilhamentos de arquivos clássicos na mesma conta de armazenamento se estiver de acordo com eles com as mesmas configurações de segurança.
Complexidade de escalabilidade: Implementações em larga escala de Azure Files podem exigir a gestão de muitas subscrições Azure devido às restrições do fornecedor de recursos nas contas
Microsoft.Storagede armazenamento. Consulte Limites da conta de armazenamento para obter mais informações.
Há dois tipos principais de contas de armazenamento usados para implantações clássicas de compartilhamento de arquivos:
-
Contas de armazenamento provisionado: as contas de armazenamento provisionado são distinguidas usando o
FileStoragetipo de conta de armazenamento. As contas de armazenamento provisionadas permitem implantar compartilhamentos de arquivos clássicos provisionados em hardware baseado em SSD ou HDD. As contas de armazenamento provisionadas só podem ser usadas para armazenar compartilhamentos de arquivos clássicos e não podem ser usadas para armazenar outros recursos de armazenamento, como contêineres de blob, filas e tabelas. Recomendamos o uso de contas de armazenamento provisionadas para todas as novas implantações clássicas de compartilhamento de arquivos. -
Contas de armazenamento pré-pagas: as contas de armazenamento pré-pagas são distinguidas usando o
StorageV2tipo de conta de armazenamento. As contas de armazenamento pré-pagas permitem-lhe implementar partilhas de ficheiros pré-pagas em hardware baseado em HDD. As contas de armazenamento pré-pagas podem ser usadas para armazenar compartilhamentos de arquivos clássicos e outros recursos de armazenamento, como contêineres de blob, filas ou tabelas.
Para saber mais, consulte Criar um compartilhamento de arquivos clássico.
Partilhas de ficheiros (Microsoft.FileShares)
Os compartilhamentos de arquivos (visualização) são um novo recurso de nível superior do Azure fornecido pelo provedor de Microsoft.FileShares recursos. Estas partilhas de ficheiros oferecem as seguintes vantagens em relação às partilhas clássicas:
Gestão simplificada: Partilhas de ficheiros são criadas diretamente como recursos de topo no portal Azure ou através de APIs de gestão. Isso elimina a necessidade de gerenciar uma conta de armazenamento e simplifica a experiência de implantação.
Capacidade e desempenho independentes: Cada partilha de ficheiros tem o seu próprio armazenamento dedicado, IOPS e throughput. Isto evita a necessidade de planear a capacidade contra os recursos limitados da sua conta de armazenamento e permite que as partilhas de ficheiros cresçam livremente à medida que aumentam as exigências de carga de trabalho.
Configuração granular: as configurações de rede e segurança são aplicadas no nível de compartilhamento de arquivos, oferecendo controle preciso dos limites de acesso e isolamento. Isso facilita a aplicação de políticas de segurança para aplicativos, equipes ou ambientes específicos.
Faturamento previsível e flexível: os compartilhamentos de arquivos usam o modelo de faturamento v2 provisionado, que permite provisionar de forma independente armazenamento, IOPS e taxa de transferência por compartilhamento. Como a faturação no Azure é feita por recurso de topo do Azure, isto permite-lhe acompanhar facilmente os custos de cada partilha individual para atribuição de custos ao projeto, equipa ou cliente que está a usar a partilha de ficheiros.
Dimensionamento e desempenho aprimorados: os compartilhamentos de arquivos oferecem suporte a limites mais altos e tempos de implantação mais baixos do que os compartilhamentos de arquivos clássicos. Para obter mais informações, consulte Metas de desempenho e escalabilidade dos Arquivos do Azure.
Disponibilidade regional
Atualmente, a criação de uma partilha de ficheiros com o Microsoft.FileShares (pré-visualização) está disponível nas seguintes regiões. O suporte de endpoint privado para partilha de ficheiros com a Microsoft.FileShares (pré-visualização) está disponível em todas as regiões da cloud pública Azure.
- Leste da Austrália
- Austrália Central
- Austrália Sudeste
- Ásia Leste
- E.U.A. Leste
- Norte da Alemanha
- Sul da Coreia
- Sudeste Asiático
- Europa do Norte
- Oeste da África do Sul
- Sul da Índia
- E.A.U. Central
Comparando provedores de recursos: Microsoft.Storage versus Microsoft.FileShares
| Caraterística | Compartilhamentos de arquivos clássicos  |
Compartilhamentos de arquivos (Microsoft.FileShares)  |
|---|---|---|
| Garantia de apoio | Geral disponível | Pré-visualização pública |
| Recurso de nível superior para o serviço | Conta  |
Compartilhamentos de arquivos |
| Protocolo SMB |
|
|
| Protocolo NFS |
|
|
| Suporte a File Sync |
|
|
| Exigir conta de armazenamento |
|
|
| Modelo de faturação Pay as you go |
|
|
| Modelo de faturamento v1 provisionado |
|
|
| Modelo de faturamento v2 provisionado |
|
|
| Capacidade de suporte para HDD |
|
|
| Capacidade de suporte de SSD |
|
|
| LRS |
|
|
| ZRS |
|
|
| GRS |
|
|
| GZRS |
|
|
| Configurações de faturamento, rede e segurança por nível de compartilhamento |
|
|
| Configurações de vnet única para um compartilhamento de arquivos |
|
|
| Configuração vnet única para vários compartilhamentos de arquivos |
|
|
| Motorista AKS CSI |
|
|
| APIs REST do plano de dados |
|
|
Protocolos disponíveis
O Azure Files oferece dois protocolos de sistema de arquivos padrão do setor para montar compartilhamentos de arquivos do Azure: o protocolo SMB (Server Message Block) e o protocolo NFS (Network File System), permitindo que você escolha o protocolo mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não oferecem suporte aos protocolos SMB e NFS no mesmo compartilhamento de arquivos, embora você possa criar compartilhamentos de arquivos do Azure SMB e NFS na mesma conta de armazenamento.
Com compartilhamentos de arquivos SMB e NFS, o Azure Files oferece compartilhamentos de arquivos de nível empresarial que podem ser dimensionados para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.
| Caraterística | SMB | NFS |
|---|---|---|
| Versões de protocolo suportadas | SMB 3.1.1, SMB 3.0, SMB 2.1 | NFS 4,1 |
| SO recomendado |
|
Kernel Linux versão 4.3+ |
| Níveis disponíveis | SSD e HDD | Apenas SSD |
| Redundância |
|
|
| Semântica do sistema de arquivos | Win32 | POSIX |
| Autenticação | Autenticação baseada em identidade (Kerberos), autenticação de chave compartilhada (NTLMv2) | Autenticação baseada em host |
| Autorização | Listas de controle de acesso (ACLs) no estilo Win32 | Permissões no estilo UNIX |
| Sensível às maiúsculas e minúsculas | Sem diferenciação de maiúsculas e minúsculas, preservação de maiúsculas e minúsculas | Sensível a maiúsculas e minúsculas |
| Excluindo ou modificando arquivos abertos | Somente com fechadura | Sim |
| Partilha de ficheiros | Modo de partilha do Windows | Gestor de bloqueio de rede por recomendação de intervalo de bytes |
| Suporte a links rígidos | Não suportado | Suportado |
| Suporte a links simbólicos | Não suportado | Suportado |
| Opcionalmente acessível à Internet | Sim (somente SMB 3.0+) | Não |
| Suporta FileREST | Sim | Sim (apenas Microsoft.Storage) |
| Bloqueios obrigatórios de intervalo de bytes | Suportado | Não suportado |
| Bloqueios consultivos de intervalo de bytes | Não suportado | Suportado |
| Atributos estendidos ou designados | Não suportado | Não suportado |
| Fluxos de dados alternativos | Não suportado | N/A |
| Identificadores de objeto | Não suportado | N/A |
| Pontos de reanálise | Não suportado | N/A |
| Arquivos esparsos | Não suportado | N/A |
| Compressão | Não suportado | N/A |
| Canais nomeados | Não suportado | N/A |
| SMB Direto | Não suportado | N/A |
| Locação de Diretório SMB | Não suportado | N/A |
| Cópia Sombra de Volume | Não suportado | N/A |
| Nomes de arquivo curtos (alias 8.3) | Não suportado | N/A |
| Transações do sistema de arquivos (TxF) | Não suportado | N/A |
Identidade
Para acessar um compartilhamento de arquivos do Azure, o usuário do compartilhamento de arquivos deve ser autenticado e autorizado a acessar o compartilhamento. Isso é feito com base na identidade do usuário que acessa o compartilhamento de arquivos. Os Arquivos do Azure dão suporte aos seguintes métodos de autenticação:
- Serviços de Domínio Active Directory locais (AD DS ou AD DS local): as contas de armazenamento do Azure podem ser associadas a um domínio pertencente aos Serviços de Domínio Active Directory do cliente, tal como um servidor de ficheiros Windows Server ou um dispositivo NAS. Você pode implantar um controlador de domínio localmente, em uma VM do Azure ou até mesmo como uma VM em outro provedor de nuvem; Os Arquivos do Azure são independentes de onde seu controlador de domínio está hospedado. Uma vez que uma conta de armazenamento é associada a um domínio, o utilizador final pode montar um compartilhamento de ficheiros com a conta de utilizador com a qual acedeu ao seu PC. A autenticação baseada em AD usa o protocolo de autenticação Kerberos.
- Serviços de Domínio Microsoft Entra: Os Serviços de Domínio Microsoft Entra fornecem um controlador de domínio gerenciado pela Microsoft que pode ser usado para recursos do Azure. A associação de domínio à sua conta de armazenamento aos Serviços de Domínio Microsoft Entra oferece benefícios semelhantes à associação de domínio a um AD DS de propriedade do cliente. Essa opção de implantação é mais útil para cenários de elevação e deslocamento de aplicativos que exigem permissões baseadas em AD. Como o Microsoft Entra Domain Services fornece autenticação baseada em AD, esta opção também utiliza o protocolo de autenticação Kerberos.
- Microsoft Entra Kerberos: O Microsoft Entra Kerberos permite-lhe usar o Microsoft Entra ID para autenticar identidades híbridas ou apenas na cloud (pré-visualização). Esta configuração utiliza o Microsoft Entra ID para emitir bilhetes Kerberos para aceder à partilha de ficheiros com o protocolo SMB. Isto significa que os utilizadores finais podem aceder a partilhas de ficheiros Azure pela internet a partir das VMs híbridas e unidas ao Microsoft Entra.
- Autenticação do Active Directory para clientes Linux sobre SMB: Os Arquivos do Azure dão suporte à autenticação baseada em identidade através do SMB para clientes Linux usando o protocolo de autenticação Kerberos por meio do AD DS ou dos Serviços de Domínio do Microsoft Entra.
- Chave da conta de armazenamento do Azure: embora não seja recomendada por motivos de segurança, você também pode montar compartilhamentos de arquivos do Azure usando uma chave de conta de armazenamento do Azure em vez de usar uma identidade. Para montar um compartilhamento de arquivos usando a chave da conta de armazenamento, o nome da conta de armazenamento é usado como o nome de usuário e a chave da conta de armazenamento é usada como uma senha. Usar a chave da conta de armazenamento para montar o compartilhamento de arquivos do Azure é efetivamente uma operação de administrador, porque o compartilhamento de arquivos montado tem permissões totais para todos os arquivos e pastas no compartilhamento, mesmo que eles tenham ACLs. Ao usar a chave da conta de armazenamento para montar em SMB, é utilizado o protocolo de autenticação NTLMv2. Em quase todos os casos, recomendamos usar a autenticação baseada em identidade em vez da chave da conta de armazenamento para acessar os compartilhamentos de arquivos do SMB Azure. No entanto, se o utilizador precisar usar a chave da conta de armazenamento, recomendamos o uso de pontos de extremidade privados ou pontos de extremidade de serviço, conforme descrito na seção Networking.
Para os clientes que estão a migrar de servidores de ficheiros locais ou a criar novas partilhas de ficheiros nos Ficheiros do Azure, destinados a comportar-se como servidores de ficheiros Windows ou dispositivos NAS, é recomendável integrar a sua conta de armazenamento ao AD DS de propriedade do cliente. Para saber mais sobre como associar a sua conta de armazenamento a um AD DS de propriedade do cliente, consulte Descrição Geral - autenticação dos Serviços de Domínio do Active Directory em local via SMB para partilhas de ficheiros do Azure.
Rede
A montagem direta do compartilhamento de arquivos do Azure geralmente requer alguma reflexão sobre a configuração de rede porque:
- A porta que os compartilhamentos de arquivos SMB usam para comunicação, a porta 445, é frequentemente bloqueada por muitas organizações e provedores de serviços de Internet (ISPs) para tráfego de saída (Internet).
- As partilhas de ficheiros NFS dependem da autenticação ao nível da rede e, por conseguinte, só são acessíveis através de redes restritas. Usar um compartilhamento de arquivos NFS sempre requer algum nível de configuração de rede.
Para configurar a rede, os Arquivos do Azure fornecem um ponto de extremidade público acessível pela Internet e integração com recursos de rede do Azure, como pontos de extremidade de serviço, que ajudam a restringir o ponto de extremidade público a redes virtuais especificadas, e pontos de extremidade privados, que dão à sua conta de armazenamento um endereço IP privado de dentro de um espaço de endereço IP de rede virtual. Embora não haja cobrança extra pelo uso de pontos de extremidade públicos ou pontos de extremidade de serviço, as taxas padrão de processamento de dados se aplicam a pontos de extremidade privados.
Isso significa que você precisará considerar as seguintes configurações de rede:
- Se o protocolo necessário for SMB e todo o acesso sobre SMB for de clientes no Azure, nenhuma configuração de rede especial será necessária.
- Se o protocolo necessário for SMB e o acesso for de clientes locais, será necessária uma conexão VPN ou ExpressRoute do local para sua rede do Azure, com os Arquivos do Azure expostos em sua rede interna usando pontos de extremidade privados.
- Se o protocolo necessário for NFS, você poderá usar pontos de extremidade de serviço ou pontos de extremidade privados para restringir a rede a redes virtuais especificadas. Se precisar de um endereço IP estático e/ou a sua carga de trabalho exigir alta disponibilidade, use um ponto de extremidade privado. Com endpoints de serviço, um evento raro, como uma interrupção zonal, pode causar a alteração do endereço IP subjacente da conta de armazenamento. Enquanto os dados ainda estão disponíveis no compartilhamento de arquivos, o cliente exigiria uma remontagem do compartilhamento.
Para saber mais sobre como configurar a rede para os Arquivos do Azure, consulte Considerações de rede dos Arquivos do Azure.
Além de se conectar diretamente à partilha de ficheiros usando o ponto de extremidade público ou usando uma conexão VPN/ExpressRoute com um ponto de extremidade privado, o SMB fornece uma estratégia adicional de acesso ao cliente: SMB sobre QUIC. SMB sobre QUIC oferece um "VPN SMB" sem necessidade de configuração manual para acesso ao SMB através do protocolo de transporte QUIC. Embora o Azure Files não ofereça suporte direto ao SMB sobre QUIC, você pode criar um cache leve de seus compartilhamentos de arquivos do Azure em uma VM do Windows Server 2022 Azure Edition usando a Sincronização de Arquivos do Azure. Para saber mais sobre essa opção, consulte SMB sobre QUIC com a Sincronização de Arquivos do Azure.
Encriptação
Os Arquivos do Azure dão suporte a dois tipos diferentes de criptografia:
- Criptografia em trânsito, que se relaciona com a criptografia usada ao montar/acessar o compartilhamento de arquivos do Azure
- Criptografia em repouso, que se relaciona com a forma como os dados são criptografados quando são armazenados no disco
Encriptação em trânsito
Por padrão, todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada. Isso significa que, quando você monta um compartilhamento de arquivos por SMB ou acessa-o por meio do protocolo FileREST (como por meio do portal do Azure, PowerShell/CLI ou SDKs do Azure), os Arquivos do Azure só permitem a conexão se ela for feita com SMB 3.x com criptografia ou HTTPS. Os clientes que não suportam SMB 3.x ou clientes que suportam SMB 3.x, mas não encriptação SMB, não poderão montar a partilha de ficheiros do Azure se a encriptação em trânsito estiver ativada. Para obter mais informações sobre quais sistemas operacionais suportam SMB 3.x com criptografia, consulte nossa documentação para Windows, macOS e Linux. Todas as versões atuais do PowerShell, CLI e SDKs suportam HTTPS.
Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia está desabilitada, os Arquivos do Azure também permitem SMB 2.1 e SMB 3.x sem criptografia e chamadas de API FileREST não criptografadas por HTTP. A principal razão para desabilitar a criptografia em trânsito é oferecer suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. Os Ficheiros do Azure só permitem ligações SMB 2.1 dentro da mesma região do Azure que a partilha de ficheiros do Azure; um cliente SMB 2.1 fora da região do Azure da partilha de ficheiros do Azure, como no local (on-premises) ou numa região diferente do Azure, não poderá aceder à partilha de ficheiros.
É altamente recomendável garantir que a criptografia de dados em trânsito esteja ativada.
Para obter mais informações sobre criptografia em trânsito, consulte Exigindo transferência segura no armazenamento do Azure e Criptografia em trânsito para compartilhamentos de arquivos do Azure NFS.
Encriptação em repouso
Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso por meio da criptografia do lado do serviço (SSE) do Armazenamento do Azure. O SSE funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos.
Como os dados são criptografados sob o sistema de arquivos do compartilhamento de arquivos do Azure, como são codificados no disco, você não precisa acessar a chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.
Por padrão, os dados armazenados nos Arquivos do Azure são criptografados com chaves gerenciadas pela Microsoft. Com chaves gerenciadas pela Microsoft, a Microsoft detém as chaves para criptografar e descriptografar os dados. A Microsoft é responsável por girar essas chaves regularmente.
Também pode optar por gerir as suas próprias chaves, o que lhe dá controlo sobre o processo de rotação. Se você optar por criptografar seus compartilhamentos de arquivos com chaves gerenciadas pelo cliente, os Arquivos do Azure estarão autorizados a acessar suas chaves para atender às solicitações de leitura e gravação de seus clientes. Com chaves gerenciadas pelo cliente, você pode revogar essa autorização a qualquer momento. Mas, sem essa autorização, seu compartilhamento de arquivos do Azure não está mais acessível por meio do SMB ou da API FileREST.
Os Arquivos do Azure usam o mesmo esquema de criptografia que os outros serviços de Armazenamento do Azure, como o Armazenamento de Blobs do Azure. Para saber mais sobre o Azure Storage SSE, consulte Criptografia do Armazenamento do Azure para dados em repouso.
Proteção de dados
Os Arquivos do Azure têm uma abordagem em várias camadas para garantir que seus dados sejam copiados, recuperáveis e protegidos contra ameaças à segurança. Consulte Visão geral da proteção de dados dos Arquivos do Azure.
Remoção suave
A exclusão suave é uma configuração de nível de conta de armazenamento que permite recuperar seu compartilhamento de arquivos quando ele é excluído acidentalmente. Quando um compartilhamento de arquivos é excluído, ele transita para um estado de exclusão suave em vez de ser permanentemente apagado. Você pode configurar a quantidade de tempo que os compartilhamentos excluídos suavemente são recuperáveis antes de serem excluídos permanentemente e cancelar a exclusão do compartilhamento a qualquer momento durante esse período de retenção.
A exclusão suave é habilitada por padrão para novas contas de armazenamento. Se tiveres um fluxo de trabalho em que a eliminação de partilhas é comum e esperada, podes decidir ter um período de retenção curto ou não ativar a eliminação temporária.
Para obter mais informações sobre exclusão suave, consulte Impedir exclusão acidental de dados.
Backup
Você pode fazer backup do seu compartilhamento de arquivos do Azure através de instantâneos de compartilhamento, que são cópias de um ponto no tempo e de apenas leitura do seu compartilhamento. As capturas instantâneas são incrementais, o que significa que contêm apenas a quantidade de dados alterada desde a última captura. Você pode ter até 200 snapshots por compartilhamento de arquivos e retê-los por até 10 anos. Você pode tirar instantâneos manualmente no portal do Azure, via PowerShell ou interface de linha de comando (CLI), ou pode usar o Backup do Azure.
O Backup do Azure para partilhas de ficheiros do Azure lida com o agendamento e a retenção de instantâneos. As suas capacidades de avô-pai-filho (GFS) significam que é possível tirar cópias instantâneas diárias, semanais, mensais e anuais, cada uma com o seu próprio período de retenção distinto. Azure Backup também orquestra a habilitação da eliminação suave e usa um bloqueio de eliminação numa conta de armazenamento assim que qualquer partilha de ficheiros dentro dela for configurada para backup. Por fim, o Backup do Azure fornece determinados recursos importantes de monitoramento e alerta que permitem que os clientes tenham uma exibição consolidada de seu conjunto de backup.
Você pode executar restaurações de nível de item e de compartilhamento no portal do Azure usando o Backup do Azure. Tudo o que você precisa fazer é escolher o ponto de restauração (um instantâneo específico), o arquivo ou diretório específico, se relevante, e, em seguida, o local (original ou alternativo) para o qual deseja restaurar. O serviço de backup encarrega-se de copiar os dados do instantâneo e exibe o progresso da restauração no portal.
Proteja arquivos do Azure com o Microsoft Defender for Storage
O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. A solução fornece segurança abrangente ao analisar a telemetria do plano de dados e do plano de controlo gerada pelos Arquivos do Azure. Ele usa recursos avançados de deteção de ameaças fornecidos pelo Microsoft Threat Intelligence para fornecer alertas de segurança contextuais, incluindo etapas para mitigar as ameaças detetadas e prevenir ataques futuros.
O Defender for Storage analisa continuamente o fluxo de telemetria gerado pelos Arquivos do Azure. Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas são exibidos no Microsoft Defender for Cloud, juntamente com os detalhes da atividade suspeita, etapas de investigação, ações de correção e recomendações de segurança.
O Defender for Storage deteta malware conhecido, como ransomware, vírus, spyware e outro malware carregado para uma conta de armazenamento com base no hash completo do ficheiro (suportado apenas para a API REST). Isso ajuda a evitar que malwares entrem na organização e se espalhem para mais usuários e recursos. Consulte Compreender as diferenças entre a análise de malware e a análise de reputação de hash.
O Defender for Storage não acessa os dados da conta de armazenamento e não afeta seu desempenho. Você pode habilitar o Microsoft Defender for Storage no nível de assinatura (recomendado) ou no nível de recurso.
Camadas de armazenamento
O Azure Files oferece duas camadas de armazenamento de mídia: disco de estado sólido (SSD) e unidade de disco rígido (HDD). Esses níveis permitem que você adapte suas ações aos requisitos de desempenho e preço do seu cenário:
SSD (premium): As partilhas de ficheiros SSD proporcionam um elevado desempenho consistente e baixa latência, em milissegundos de um dígito para a maioria das operações de E/S, para cargas de trabalho intensivas de E/S. Os compartilhamentos de arquivos SSD são adequados para uma ampla variedade de cargas de trabalho, como bancos de dados, hospedagem de sites e ambientes de desenvolvimento.
Você pode usar compartilhamentos de arquivos SSD com os protocolos SMB e NFS. Os compartilhamentos de arquivos SSD estão disponíveis nos modelos de faturamento provisionados v2 e v1 provisionados . As partilhas de ficheiros SSD oferecem um SLA de maior disponibilidade do que as partilhas de ficheiros HDD.
HDD (padrão): As partilhas de ficheiros HDD fornecem uma opção de armazenamento económica para partilhas de ficheiros de uso geral. As partilhas de ficheiros HDD estão disponíveis com os modelos de faturação v2 epré-pago consoante a utilização , embora recomendemos o modelo v2 provisionado para novas implementações de partilhas de ficheiros. Para obter informações sobre o SLA, consulte a página do SLA do Azure para serviços online.
Ao selecionar uma camada de mídia para sua carga de trabalho, considere seus requisitos de desempenho e uso. Se a sua carga de trabalho exigir latência de um dígito, ou se estiver a utilizar meios de armazenamento SSD nas suas instalações, as partilhas de ficheiros SSD são provavelmente a melhor opção. Se a baixa latência não for tão preocupante, as partilhas de ficheiros HDD podem ser mais adequadas do ponto de vista dos custos. Por exemplo, a baixa latência pode ser menos preocupante com compartilhamentos de equipe montados no local a partir do Azure ou armazenados em cache no local por meio da Sincronização de Arquivos do Azure.
Depois de criar um compartilhamento de arquivos em uma conta de armazenamento, não é possível movê-lo diretamente para uma camada de mídia diferente. Por exemplo, para mover uma partilha de ficheiros HDD para o nível de multimédia SSD, tem de criar uma nova partilha de ficheiros SSD e copiar os dados da partilha original para a nova partilha de ficheiros.
Pode encontrar mais informações sobre os níveis de multimédia SSD e HDD em Compreender os modelos de faturação dos Ficheiros do Azure e Compreender e otimizar o desempenho da partilha de ficheiros do Azure.
Redundância
Para ajudar a proteger os dados em seus compartilhamentos de arquivos do Azure contra perda ou corrupção de dados, os Arquivos do Azure armazenam várias cópias de cada arquivo à medida que são gravados. Dependendo de suas necessidades, você pode selecionar graus de redundância. Atualmente, o Azure Files dá suporte às seguintes opções de redundância de dados:
LRS (armazenamento com redundância local): com redundância local, cada arquivo é armazenado três vezes em um cluster de armazenamento do Azure. Essa abordagem ajuda a proteger contra perda de dados devido a falhas de hardware, como uma unidade de disco defeituosa. No entanto, se ocorrer um desastre, como incêndio ou inundação, no datacenter, todas as réplicas de uma conta de armazenamento que usa o LRS poderão ser perdidas ou irrecuperáveis.
Armazenamento com redundância por zonas (ZRS): Com a redundância por zonas, três cópias de cada ficheiro são armazenadas. No entanto, essas cópias são fisicamente isoladas em três clusters de armazenamento distintos nas zonas de disponibilidade do Azure. As zonas de disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona consiste em um ou mais datacenters equipados com energia, resfriamento e rede independentes. Uma gravação no armazenamento não é aceita até que seja gravada nos clusters de armazenamento em todas as três zonas de disponibilidade.
Armazenamento com redundância geográfica (GRS): com a redundância geográfica, você tem uma região primária e uma região secundária. Os arquivos são armazenados três vezes em um cluster de armazenamento do Azure na região primária. As escritas são replicadas de forma assíncrona para uma região secundária definida pela Microsoft.
A redundância geográfica fornece seis cópias dos seus dados distribuídos entre as duas regiões do Azure. Se ocorrer um desastre de grandes proporções, como a perda permanente de uma região do Azure devido a um desastre natural ou outro evento semelhante, a Microsoft executará um failover. Neste caso, o secundário torna-se o primário e serve todas as operações.
Como a replicação entre as regiões primária e secundária é assíncrona, se ocorrer um desastre grave, os dados ainda não replicados para a região secundária serão perdidos. Você também pode executar um failover manual de uma conta de armazenamento com redundância geográfica.
Armazenamento com redundância de zona geográfica (GZRS): com a redundância de zona geográfica, os arquivos são armazenados três vezes em três clusters de armazenamento distintos na região primária. Todas as escritas são então replicadas de forma assíncrona para uma região secundária definida pela Microsoft. O processo de failover para redundância de zona geográfica funciona da mesma forma que para redundância geográfica.
As partilhas de ficheiros HDD suportam os quatro tipos de redundância. As partilhas de ficheiros SSD suportam apenas LRS e ZRS.
As contas de armazenamento pré-pagas fornecem duas outras opções de redundância que os Arquivos do Azure não suportam: armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e armazenamento redundante de zona geográfica de acesso de leitura (RA-GZRS). Você pode provisionar compartilhamentos de arquivos do Azure em contas de armazenamento com essas opções definidas, mas o Azure Files não oferece suporte à leitura da região secundária. Os compartilhamentos de arquivos do Azure implantados em contas de armazenamento RA-GRS ou RA-GZRS são cobrados como redundantes geográficos ou redundantes de zona geográfica, respectivamente.
Para obter mais informações sobre redundância, consulte Redundância de dados do Azure Files.
Disponibilidade de partilhas de ficheiros SSD redundantes de zona
Os compartilhamentos de arquivos SSD redundantes de zona estão disponíveis para um subconjunto de regiões do Azure.
Recuperação após desastre e tolerância a falhas
No caso de uma interrupção de serviço regional não planejada, você deve ter um plano de recuperação de desastres (DR) em vigor para seus compartilhamentos de arquivos do Azure. Para compreender os conceitos e processos envolvidos na recuperação de desastres e no failover de conta de armazenamento, consulte Recuperação de Desastres e Failover do Azure Files.
Migração
Em muitos casos, você não estará estabelecendo um novo compartilhamento de arquivos net para sua organização, mas migrando um compartilhamento de arquivos existente de um servidor de arquivos local ou dispositivo NAS para o Azure Files. Escolher a estratégia e a ferramenta de migração certas para o seu cenário é importante para o sucesso da migração.
O artigo de visão geral da migração aborda brevemente os conceitos básicos e contém uma tabela que leva você a guias de migração que provavelmente cobrem seu cenário.