File di Azure accessibili in locale e protetti da Active Directory Domain Services in una rete privata

Questa architettura illustra un modo per fornire condivisioni file nel cloud a utenti e applicazioni locali che accedono ai file in Windows Server tramite un endpoint privato.

Architettura

Scaricare un file di Visio di questa architettura.

Workflow

1. Questa soluzione sincronizza Active Directory Domain Services in locale e Microsoft Entra ID basato sul cloud. La sincronizzazione rende gli utenti più produttivi, fornendo un'identità comune per l'accesso alle risorse cloud e locali.

   Microsoft Entra Connect è l'applicazione Microsoft locale che esegue la sincronizzazione. Per altre informazioni su Microsoft Entra Connect, vedere Descrizione di Microsoft Entra Connect e Microsoft Entra Connect Sync: Informazioni e personalizzazione della sincronizzazione.

2. Rete virtuale di Azure fornisce una rete virtuale nel cloud. Per questa soluzione, ha almeno due subnet, una per DNS di Azure e una per un endpoint privato per accedere alla condivisione file.

3. VPN o Azure ExpressRoute fornisce connessioni sicure tra la rete locale e la rete virtuale nel cloud. Se si usa la VPN, creare un gateway usando Gateway VPN di Azure. Se si usa ExpressRoute, creare un gateway di rete virtuale ExpressRoute. Per altre informazioni, vedere Che cos'è un gateway VPN? e Informazioni sui gateway di rete virtuale per ExpressRoute.

4. File di Azure fornisce una condivisione file nel cloud. È richiesto un account di archiviazione di Azure. Per altre informazioni sulle condivisioni file, vedere Che cos'è File di Azure?.

5. Un endpoint privato fornisce l'accesso alla condivisione file. Un endpoint privato è simile a una scheda di interfaccia di rete (NIC) all'interno di una subnet collegata a un servizio di Azure. In questo caso, il servizio è la condivisione file. Per altre informazioni sugli endpoint privati, vedere Usare endpoint privati per Archiviazione di Azure.

6. Il server DNS locale risolve gli indirizzi IP. Tuttavia, DNS di Azure risolve il nome di dominio completo (FQDN) della condivisione file di Azure. Tutte le query DNS in DNS di Azure hanno origine dalla rete virtuale. All'interno della rete virtuale è presente un proxy DNS per instradare queste query a DNS di Azure. Per altre informazioni, vedere Carichi di lavoro locali con un server d'inoltro DNS.

   È possibile fornire il proxy DNS in un server Windows o Linux oppure è possibile usare Firewall di Azure. Per informazioni sull'opzione Firewall di Azure, che offre il vantaggio di non dover gestire una macchina virtuale, vedere Impostazioni DNS di Firewall di Azure.

7. Il DNS personalizzato locale è configurato per inoltrare il traffico DNS a DNS di Azure tramite un server d'inoltro condizionale. Le informazioni sull'inoltro condizionale sono anche disponibili in Carichi di lavoro locali con server d'inoltro DNS.

8. Active Directory Domain Services locale autentica l'accesso alla condivisione file. Si tratta di un processo in quattro passaggi, come descritto in Parte uno: Abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure

Componenti

• Archiviazione di Azure è un set di servizi cloud altamente scalabili e sicuri per dati, app e carichi di lavoro. Include File di Azure, Archiviazione tabelle di Azure e Archiviazione code di Azure.
• File di Azure offre condivisioni file completamente gestite in un account di archiviazione di Azure. I file sono accessibili dal cloud o in locale. È possibile montare le condivisioni file di Azure simultaneamente da distribuzioni Windows, Linux e macOS. L'accesso ai file utilizza il protocollo SMB (Server Message Block) standard del settore.
• Rete virtuale di Azure rappresenta il blocco costitutivo delle reti private in Azure. Fornisce l'ambiente per le risorse di Azure, ad esempio le macchine virtuali, per comunicare in modo sicuro tra loro, su Internet e sulle reti locali.
• Azure ExpressRoute estende le reti locali nel cloud Microsoft su una connessione privata.
• Il Gateway VPN di Azure collega le reti locali ad Azure attraverso le VPN da sito a sito in modo analogo alla connessione a una filiale remota. La connettività è sicura e usa i protocolli standard del settore IPsec (Internet Protocol Security) e IKE (Internet Key Exchange).
• Un collegamento privato di Azure offre connettività privata da una rete virtuale a servizi PaaS (Platform-as-a-Service) di Azure, di proprietà del cliente o del partner Microsoft. Semplifica l'architettura di rete e protegge la connessione tra endpoint in Azure eliminando l'esposizione dei dati alla rete Internet pubblica.
• L'endpoint privato è un'interfaccia di rete che usa un indirizzo IP provato della rete virtuale. È possibile usare gli endpoint privati per gli account di archiviazione di Azure per consentire ai client in una rete virtuale di accedere ai dati tramite un collegamento privato.
• Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che consente di proteggere le risorse della rete virtuale di Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti. È possibile configurare Firewall di Azure in modo che agisca da proxy DNS. Un proxy DNS è un intermediario per le richieste DNS da macchine virtuali client a un server DNS.

Dettagli dello scenario

Si consideri lo scenario comune seguente: un computer locale che esegue Windows Server viene usato per fornire condivisioni file per utenti e applicazioni. Dominio di Active Directory Services (AD DS) viene usato per proteggere i file e un server DNS locale gestisce le risorse di rete. Tutto funziona all'interno della stessa rete privata.

Si supponga ora di dover estendere le condivisioni file al cloud.

L'architettura descritta di seguito illustra il modo in cui Azure può soddisfare questa esigenza in modo conveniente, pur mantenendo l'uso della rete locale, di Active Directory Domain Services e di DNS.

In questa configurazione, File di Azure viene usato per ospitare le condivisioni file. Una VPN da sito a sito o Azure ExpressRoute fornisce connessioni di sicurezza avanzata tra la rete locale e Azure Rete virtuale. Gli utenti e le applicazioni accedono ai file tramite queste connessioni. Microsoft Entra ID e DNS di Azure interagiscono con Servizi di dominio Active Directory e DNS locali per garantire l'accesso sicuro.

In sintesi, se questo scenario si applica all'utente, è possibile fornire condivisioni file basate sul cloud agli utenti locali a un costo basso mantenendo al contempo l'accesso alla sicurezza avanzata tramite l'infrastruttura di Active Directory Domain Services e DNS esistente.

Potenziali casi d'uso

• Il file server passa al cloud, ma gli utenti devono rimanere in locale.
• Le applicazioni di cui viene eseguita la migrazione nel cloud devono accedere ai file locali e anche ai file migrati nel cloud.
• È necessario ridurre i costi spostando l'archiviazione file nel cloud.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

• Archiviazione di Azure archivia sempre più copie dei dati nella stessa zona, in modo che siano protetti da interruzioni pianificate e non. Sono disponibili opzioni per la creazione di copie aggiuntive in altre zone o aree. Per altre informazioni, vedere Ridondanza di Archiviazione di Azure.
• Firewall di Azure dispone di funzionalità integrate a disponibilità elevata. Per altre informazioni, vedere Funzionalità standard di Firewall di Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Questi articoli contengono informazioni sulla sicurezza per i componenti di Azure:

• Informazioni di base sulla sicurezza di Azure per Archiviazione di Azure
• Baseline di sicurezza di Azure per il collegamento privato di Azure
• Baseline di sicurezza di Azure per la rete virtuale
• Baseline di sicurezza di Azure per Firewall di Azure

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Per stimare il costo dei prodotti e delle configurazioni di Azure, usare lo strumento di calcolo dei prezzi di Azure.

Questi articoli contengono informazioni sui prezzi per i componenti di Azure:

• Prezzi di File di Azure
• Prezzi del collegamento privato di Azure
• Prezzi della rete virtuale
• Prezzi del servizio Firewall di Azure

Efficienza prestazionale

L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Per altre informazioni, vedere Panoramica del pilastro dell'efficienza delle prestazioni.

• Gli account di archiviazione di Azure contengono tutti gli oggetti dati di Archiviazione di Azure, incluse le condivisioni file. Un account di archiviazione offre uno spazio dei nomi univoco per i dati, uno spazio dei nomi accessibile da qualsiasi parte del mondo tramite HTTP o HTTPS. Per questa architettura, l'account di archiviazione contiene condivisioni file fornite da File di Azure. Per ottenere prestazioni ottimali, è consigliabile tenere presente quanto segue:
  • Non inserire database, BLOB e così via negli account di archiviazione che contengono condivisioni file.
  • Non inserire più di una condivisione file altamente attiva in ogni account di archiviazione. È possibile raggruppare condivisioni file meno attive nello stesso account di archiviazione.
  • Se il carico di lavoro richiede grandi quantità di operazioni di I/O al secondo, velocità di trasferimento dei dati estremamente veloci o una latenza molto bassa, è consigliabile scegliere gli account di archiviazione Premium (FileStorage). Un account standard per uso generico v2 è appropriato per la maggior parte dei carichi di lavoro di condivisione file SMB. Per altre informazioni sulla scalabilità e le prestazioni delle condivisioni file, vedere Obiettivi di scalabilità e prestazioni di File di Azure.
  • Non usare un account di archiviazione di uso generico v1 perché manca di funzionalità importanti. In alternativa, eseguire l'aggiornamento a un account di archiviazione di uso generico v2. I tipi di account di archiviazione sono descritti in Panoramica dell'account di archiviazione.
  • Prestare attenzione a dimensioni, velocità e altre limitazioni. Vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.
• Non vi è molto da fare per migliorare le prestazioni dei componenti non di archiviazione, se non assicurarsi che la distribuzione soddisfi i limiti, le quote e i vincoli descritti in Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.
• Per informazioni sulla scalabilità dei componenti di Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Rudnei Oliveira | Senior Azure Security Engineer

Passaggi successivi

• Guida introduttiva: Creare una rete virtuale con il portale di Azure
• Che cos'è un gateway VPN?
• Esercitazione: Creare e gestire un gateway VPN tramite il portale di Azure
• Condivisione file del cloud aziendale di Azure
• Concetti e procedure consigliate per Rete virtuale di Azure
• Pianificazione per la distribuzione di File di Azure
• Usare endpoint privati per l'Archiviazione di Azure
• Configurazione DNS dell'endpoint privato di Azure
• Impostazioni DNS di Firewall di Azure
• Confrontare Active Directory Domain Services autogestito, Microsoft Entra ID e Microsoft Entra Domain Services gestito

Risorse correlate

• Condivisione file ibrida con ripristino di emergenza per i lavoratori presso filiali locali e remote
• Condivisione file del cloud aziendale di Azure
• Uso delle condivisioni file di Azure in un ambiente ibrido
• Servizi file ibridi